![]() |
IPTABLES!!! RULES, Разгавор о iptables
Доброе время суток. Хотелбы поднять вопрос по iptable. Я новичёк и мануал читал, но не савсем понял. Есть шлюз Fedora Core4, eth1-смотрит в инет ip=194.44.x.x, eth0=локалка ip=192.168.0.1. На шлюзе как-же стоит squid, apache(их с трудом сам настроил), Нада помоч мне с написанием правил по защите шлюза.
|
Это зависит от того, что шлюз должен роутить, только интернет, почту, доступ к веб-серверу, ICQ и т.д.
Если в общем, то сначала запрещаешь все, а потом открываешь только те порты, которые нужны. |
Цитата:
|
поищите на форуме - тут давались настройки для нужных вам функций, причем, и конкретно, подходит для Федора. если не найдете - то в личку или будем вместе через форум настраивать.
|
Добрый день, вечер ALL! (нужное подчеркнуть)
По личной просьбе BuuG и для всех заново подымаем тему IpTables. Может кто нормальную статью напишет? Ибо, то что есть в нете, дает минимальные данные по настройке без полных примеров, аля вставил - подправил и работает. Ведь не всем дано разбираться в тонкостях применения, да и многим это просто не надо. Вот так заново и подымается вопрос обычными пользователями. Благодаря книге "Брандмауры в Линукс" первое издание, мной уже было рассказано, как переделать правила с ipchains на iptables. К сожалению второе издание, применительно к iptables, у нас не издавалось(или я этот момент пропустил). Именно с этой книги я понял некоторые аспекты функционирования netfilter. И уже сам настраивал свои правила. Ну что ALL? Может совместно напишем статью для oszone.ru из цикла для начинающих? До скорого. Начинаем. |
Для начала некоторые условия:
1. Мои правила не оптимизированы. 2. Рассмотрение идет только для RH (RH9, Fedora Core 1,2,3,4) 3. В соответствии с пунктом 2 все настройки iptables располагаются в /etc/sysconfig/iptables и в них не нужно явно указывать команду iptables ибо за нас это делает старт скрипт /etc/rc.d/init.d/iptables 4. Все замечания исправления принимаются. 5. Условия сети – внутренняя сеть eth0 - 10.10.10.0/24, внешняя eth1 x.x.x.x, ДНС1 x1.x1.x1.x1, ДНС2 x2.x2.x2.x2 . 6. Правила по умолчанию созданные при установке системы я удаляю. |
Код:
# Linux Firewalls - host myhost.mydomain.ru |
Пояснения
1. По умолчанию я разрешаю все… Это не правильно, но так оно работает ибо по другому появляется незначительная на первый взгляд задежка. Код:
:INPUT ACCEPT [0:0] Код:
:admin-in - [0:0] Код:
# Refuse packets claiming to be from a Class A private network |
Код:
#------------------------------------------------------------ |
Код:
#------------------------------------------------------------ |
Код:
#------------------------------------------------------------ |
Код:
#------------------------------------------------------------------ |
Код:
#------------------------------------------------------------------ |
Маленькое пояснение
Код:
#------------------------------------------------------------------ |
Теперь по моим цепочкам
Код:
:admin-in - [0:0] Код:
# Work Station Код:
#!/bin/sh Код:
#!/bin/sh Код:
#!/bin/sh Код:
#!/bin/sh |
СМ. пост 12 и 15 пояснения
Это сделано чтоб был минимаальный контроль(например ночью не качали.) Т.Е админы(руководство) постоянный доступ в нет а вот для остальных только по рассписанию с 8-50 до 20-50. Ну вот и все удачи. Напишите кто нить статью..., до скорого SergLeo. |
А если расмотреть политику поумолчанию которая все запрещяет, просто надо прикрутить еще старгазера.
|
Цитата:
Цитата:
|
Время: 15:51. |
Время: 15:51.
© OSzone.net 2001-