научите IPTABLES [Версия для КПК] - Компьютерный форум OSzone.net

Показать полную графическую версию : научите IPTABLES

exo

30-08-2010, 15:15

Добрый день. В наглую так прошу - научите IPTABLES.
Кое-какие понятия имеются, но хочу закрепить в голове. Ибо в последнее время слишком уж много сервером поломано моих...
Значит есть сервер.
Вот имеющиеся настройки IPTABLES.

# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere state NEW,RELATED,ESTABLISHED tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere state NEW,RELATED,ESTABLISHED tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere state NEW,RELATED,ESTABLISHED tcp dpt:pop3s
ACCEPT tcp -- anywhere anywhere state NEW,RELATED,ESTABLISHED tcp dpt:http
ACCEPT tcp -- anywhere anywhere state NEW,RELATED,ESTABLISHED tcp dpt:https
ACCEPT tcp -- anywhere anywhere state NEW,RELATED,ESTABLISHED tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere state NEW,RELATED,ESTABLISHED tcp dpt:domain
ACCEPT udp -- anywhere anywhere state NEW,RELATED,ESTABLISHED udp dpt:domain
ACCEPT icmp -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED
расскажите, пожалуйста, здесь хоть какая-то безопасность есть? я вижу упоминаются почтовые протоколы, веб протоколы, все они ACCEPT.
Что значит policy DROP ?

Спасибо.

Telepuzik

30-08-2010, 15:47

Неплохо было бы посмотреть на сами правила а не на вывод iptables -L
расскажите, пожалуйста, здесь хоть какая-то безопасность есть? »
ACCEPT all -- anywhere anywhere »
Разрешает весь входящий трафик.
Что значит policy DROP ? »
Политика по-умолчанию отбрасывать пакеты не удовлетворяющие не одному правилу.
Начните изучение вот с этого мануала (http://www.opennet.ru/docs/RUS/iptables/), он хоть и староват но почитать стоит.

Serenikii

02-09-2010, 15:41

В наглую отвечаю, поставь shorewall. В нём можешь окрыться полностью, он всё равно, сам поставит один из самых необходимых правил.

akshara

18-09-2010, 01:02

У меня примерно тоже что и у автора темы(нашел настройку в инете)

modprobe iptable_filter

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -p TCP --sport 32768:65535 -j ACCEPT

iptables -A OUTPUT -p UDP --sport 32768:65535 -j ACCEPT

fossil

18-09-2010, 09:38

Лучшее руководство по iptables - http://www.opennet.ru/docs/RUS/iptables/

Serenikii

20-09-2010, 17:55

fossil, Тут есть один ма-а-аленький момент - ман не поможет пониманию процесса и необходимости фильтрации тех или иных пакетов.

hub-lex

22-09-2010, 04:54

http://www.iptables.ru/

Yustus

29-09-2010, 12:27

Для "чайников" советую Webmin - проще разобраться на первых порах.

James Marsh

10-10-2010, 19:54

Для Дебиана юзаю arno-iptables-firewall
Для базовой настройки вроде хватает