Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Настройка IPTABLES

< Предыдущая 1 2
Ответить
Настройки темы
Настройка IPTABLES

Новый участник


Сообщения: 5
Благодарности: 0

Профиль | Отправить PM | Цитировать

Админы. Помогите плз настроить Linux RH9. Задача такого плана: У меня в сети 2-а сервера.
1. Linux RH9. 2.Novell 6.0.
На обоих серверах по две сетевые карты. Linux смотрит в инет (eth0), eth1 смотрит на Novell (eth3), eth4 смотрит в локалку. Пинги с локалки доходят до eth0. Пинги с Linux доходят до локалки. Тут все нормально. В интернет имеет доступ только Linux сервер. С локалки доступа в инет нету.
Как мне настроить Linux, чтобы (для начала) из локалки все имели доступ в инет? (т.е чтобы Linux форвордил все запросы и туда и обратно)

Отправлено: 12:20, 16-09-2003

 

Аватара для sergleo

Старожил


Сообщения: 178
Благодарности: 4

Профиль | Отправить PM | Цитировать

Ок, если вы уже набрали этот кусок кода то лучше по порядку - структура:
1. начинаем с подготовки iptables - 1-й кусок скриптов отправленный 15:46 16-09-2003 . ВНИМАНИЕ! Все остальное вставляется в участок где стоят теги <поцокано>
2. вставляем участок скриптов отправленный 17:17 16-09-2003.
3. следующим идет кусок скрипта для работы с AUTH и DNS т.к. к ним идет наибольший трафик(проверено iptraf`ом)
#------------------------------------------------------------------
# Required Services
#------------------------------------------------------------------

#------------------------------------------------------------------
# AUTH (113) - Allowing Your Outgoing AUTH Requests as a Client
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX *--sport 1024:65535 -d any/0 --dport 113 -j ACCEPT
-A INPUT *-i eth1 -p tcp ! --syn -s any/0 --sport 113 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j ACCEPT
#---------------------------------
# AUTH server (113)
# Accepting Incoming AUTH Requests
-A INPUT *-i eth1 -p tcp -s any/0 --sport 1024:65535 -d XXX.XXX.XXX.XXX *--dport 113 -j ACCEPT
-A OUTPUT -o eth1 -p tcp ! --syn -s XXX.XXX.XXX.XXX --sport 113 -d any/0 --dport 1024:65535 -j ACCEPT
#------------------------------------------------------------------
# OR Rejecting Incoming AUTH Requests
#-A INPUT -i eth0 -p tcp -d 10.0.0.254 --dport 113 -j REJECT
#-A INPUT -i eth1 -p tcp -d XXX.XXX.XXX.XXX --dport 113 -j REJECT

#------------------------------------------------------------------
# DNS (53)
# ---------------------

#------------------------------------------------------------------
# DNS client modes (53)
# ---------------------
-A OUTPUT -o eth1 -p udp -s XXX.XXX.XXX.XXX --sport 1024:65535 -d a.a.a.a --dport 53 -j ACCEPT
-A INPUT *-i eth1 -p udp -s a.a.a.a *--sport 53 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j ACCEPT
-A OUTPUT -o eth1 -p udp -s XXX.XXX.XXX.XXX --sport 1024:65535 -d b.b.b.b --dport 53 -j ACCEPT
-A INPUT *-i eth1 -p udp -s b.b.b.b --sport 53 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j ACCEPT
#------------------------------------------------------------------
# TCP client to server requests are allowed by the protocol
# if UDP requests fail. This is rarely seen. Usually, clients
# use TCP as a secondary nameserver for zone transfers from
# their primary nameservers, and as hackers.
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX --sport 1024:65535 -d a.a.a.a --dport 53 -j ACCEPT
-A INPUT *-i eth1 -p tcp ! --syn -s a.a.a.a --sport 53 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j ACCEPT
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX --sport 1024:65535 -d b.b.b.b --dport 53 -j ACCEPT
-A INPUT *-i eth1 -p tcp ! --syn -s b.b.b.b --sport 53 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j ACCEPT
#------------------------------------------------------------------
# DNS server modes (53)
# ---------------------
# DNS caching & forwarding nameserver
# -----------------------------------
# server to server query or response
# Caching only name server uses UDP, not TCP
-A OUTPUT -o eth1 -p udp -s XXX.XXX.XXX.XXX --sport 53 -d a.a.a.a --dport 53 -j ACCEPT
-A INPUT *-i eth1 -p udp -s a.a.a.a *--sport 53 -d XXX.XXX.XXX.XXX --dport 53 -j ACCEPT
-A OUTPUT -o eth1 -p udp -s XXX.XXX.XXX.XXX --sport 53 -d b.b.b.b --dport 53 -j ACCEPT
-A INPUT *-i eth1 -p udp -s b.b.b.b --sport 53 -d XXX.XXX.XXX.XXX --dport 53 -j ACCEPT
#------------------------------------------------------------------
# DNS full nameserver
# -------------------
# client to server DNS transaction
-A INPUT *-i eth1 -p udp -s any/0 --sport 1024:65535 -d XXX.XXX.XXX.XXX --dport 53 -j ACCEPT
-A OUTPUT -o eth1 -p udp -s XXX.XXX.XXX.XXX --sport 53 -d any/0 --dport 1024:65535 -j ACCEPT
#------------------------------------------------------------------
# peer-to-peer server DNS transaction
-A INPUT *-i eth1 -p udp -s a.a.a.a *--sport 53 -d XXX.XXX.XXX.XXX --dport 53 -j ACCEPT
-A OUTPUT -o eth1 -p udp -s XXX.XXX.XXX.XXX --sport 53 -d a.a.a.a --dport 53 -j ACCEPT
-A INPUT *-i eth1 -p udp -s b.b.b.b --sport 53 -d XXX.XXX.XXX.XXX --dport 53 -j ACCEPT
-A OUTPUT -o eth1 -p udp -s XXX.XXX.XXX.XXX --sport 53 -d b.b.b.b --dport 53 -j ACCEPT
#------------------------------------------------------------------
# Zone Transfers
# due to the potential danger of zone transfers,
# only allow TCP traffic to specific secondaries.
-A INPUT *-i eth1 -p tcp -s a.a.a.a --sport 1024:65535 -d XXX.XXX.XXX.XXX --dport 53 -j ACCEPT
-A OUTPUT -o eth1 -p tcp ! --syn -s XXX.XXX.XXX.XXX --sport 53 -d a.a.a.a --dport 1024:65535 -j ACCEPT
-A INPUT *-i eth1 -p tcp -s b.b.b.b --sport 1024:65535 -d XXX.XXX.XXX.XXX --dport 53 -j ACCEPT
-A OUTPUT -o eth1 -p tcp ! --syn -s XXX.XXX.XXX.XXX --sport 53 -d b.b.b.b --dport 1024:65535 -j ACCEPT

Учти что это ты вставляешь после описания протокола icmp меду тегами поцокано... Блин повторяюсь...
Это и все остальное вставляем до описания:

#------------------------------------------------------------------
# Masquerade internal traffic.
# All internal traffic is masqueraded externally.
*nat
-A POSTROUTING -o eth1 -j MASQUERADE

т.к. используем по умолчанию таблицу *filter, а таблица *nat нужна несколько для других целей например для маскарадинга и переброса портов.

Учти что ххх.ххх.ххх.ххх - IP адрес внешнего интерфейса,
а.а.а.а - ip адрес 1-го DNS сервера провайдера *а b.b.b.b второй соответственно

PS. далее стандартно /etc/rc.d/init.d/iptables restart *перезапускаем iptables он должен написать что у тебя все OK

Вопросы?
следующим рассмотри например www...


Добавлено:

Продолжаем...
#------------------------------------------------------------------
# TCP services on selected ports
#------------------------------------------------------------------

#------------------------------------------------------------------
# HTTP (80)
#------------------------------------------------------------------
# Accessing Remote Web Sites as a Client
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX  --sport 1024:65535 -d any/0 --dport 80 -j ACCEPT
-A INPUT  -i eth1 -p tcp ! --syn -s any/0 --sport 80 -d XXX.XXX.XXX.XXX  --dport 1024:65535 -j ACCEPT
#------------------------------------------------------------------
# Allowing Remote Access to a Local Web Server
-A INPUT  -i eth1 -p tcp -s any/0 --sport 1024:65535 -d XXX.XXX.XXX.XXX --dport 80 -j ACCEPT
-A OUTPUT -o eth1 -p tcp ! --syn -s XXX.XXX.XXX.XXX --sport 80 -d any/0 --dport 1024:65535 -j ACCEPT

#------------------------------------------------------------------
# HTTPS (443)
#------------------------------------------------------------------
# Accessing Remote Web Sites Over SSL as a Client
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX  --sport 1024:65535 -d any/0 --dport 443 -j ACCEPT
-A INPUT  -i eth1 -p tcp ! --syn -s any/0 --sport 443 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j ACCEPT
#------------------------------------------------------------------
# Allowing Remote Access to a Local SSL Web Server
-A INPUT  -i eth1 -p tcp -s any/0 --sport 1024:65535 -d XXX.XXX.XXX.XXX  --dport 443 -j ACCEPT
-A OUTPUT -o eth1 -p tcp ! --syn -s XXX.XXX.XXX.XXX --sport 443 -d any/0 --dport 1024:65535 -j ACCEPT

где xxx.xxx.xxx.xxx - IP адрес внешней сетевой карты... смотрящей на провайдера...

Добавлено:

раздаем ftp

#------------------------------------------------------------------
# FTP (20, 21) - Allowing Outgoing Client Access to Remote FTP Servers
# --------------------------------------------------------------------
# outgoing request
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX --sport 1024:65535 -d any/0 --dport 21 -j ACCEPT
-A INPUT  -i eth1 -p tcp ! --syn -s any/0 --sport 21 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j ACCEPT
#------------------------------------------------------------------
# Normal Port Mode FTP Data Channels
-A INPUT  -i eth1 -p tcp -s any/0 --sport 20 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j ACCEPT
-A OUTPUT -o eth1 -p tcp ! --syn -s XXX.XXX.XXX.XXX --sport 1024:65535 -d any/0 --dport 20 -j ACCEPT
#------------------------------------------------------------------
# Passive Mode FTP Data Channels
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX  --sport 1024:65535 -d any/0 --dport 1024:65535 -j ACCEPT
-A INPUT  -i eth1 -p tcp ! --syn -s any/0 --sport 1024:65535 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j ACCEPT

#------------------------------------------------------------------
# FTP (20, 21) - Allowing Incoming Access to Your Local FTP Server
# ----------------------------------------------------------------
# incoming request
-A INPUT  -i eth1 -p tcp -s any/0 --sport 1024:65535 -d XXX.XXX.XXX.XXX --dport 21 -j ACCEPT
-A OUTPUT -o eth1 -p tcp ! --syn -s XXX.XXX.XXX.XXX --sport 21 -d any/0 --dport 1024:65535 -j ACCEPT
#------------------------------------------------------------------
# Normal Port Mode FTP Data Channel Responses
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX  --sport 20 -d any/0 --dport 1024:65535 -j ACCEPT
-A INPUT  -i eth1 -p tcp ! --syn -s any/0 --sport 1024:65535 -d XXX.XXX.XXX.XXX --dport 20 -j ACCEPT
#------------------------------------------------------------------
# Passive Mode FTP Data Channel Responses
-A INPUT  -i eth1 -p tcp -s any/0 --sport 1024:65535 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j ACCEPT
-A OUTPUT -o eth1 -p tcp ! --syn -s XXX.XXX.XXX.XXX --sport 1024:65535 -d any/0 --dport 1024:65535 -j ACCEPT
продолжение следует....

Добавлено:

Остальные сервисы...

#------------------------------------------------------------------
# SSH client (22)
#------------------------------------------------------------------
# Allowing Client Access to Remote SSH Servers
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX  --sport 1024:65535 -d any/0 --dport 22 -j ACCEPT
-A INPUT  -i eth1 -p tcp ! --syn -s any/0 --sport 22 -d XXX.XXX.XXX.XXX  --dport 1024:65535 -j ACCEPT
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX  --sport 1020:1023 -d any/0  --dport 22 -j ACCEPT
-A INPUT  -i eth1 -p tcp ! --syn -s any/0 --sport 22 -d XXX.XXX.XXX.XXX  --dport 1020:1023 -j ACCEPT
#------------------------------------------------------------------
# Allowing Remote Client Access to Your Local SSH Server
-A INPUT  -i eth1 -p tcp -s any/0 --sport 1024:65535 -d XXX.XXX.XXX.XXX --dport 22 -j DROP
-A OUTPUT -o eth1 -p tcp ! --syn -s XXX.XXX.XXX.XXX --sport 22 -d any/0 --dport 1024:65535 -j DROP
-A INPUT  -i eth1 -p tcp -s any/0 --sport 1020:1023 -d XXX.XXX.XXX.XXX  --dport 22 -j DROP
-A OUTPUT -o eth1 -p tcp ! --syn -s XXX.XXX.XXX.XXX --sport 22 -d any/0 --dport 1020:1023 -j DROP

#------------------------------------------------------------------
# Sending Mail through a remote SMTP gateway (25)
# -----------------------------------------------
# SMTP client to an ISP account without a local server
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX  --sport 1024:65535 -d any/0 --dport 25 -j ACCEPT
-A INPUT  -i eth1 -p tcp ! --syn -s any/0 --sport 25 -d XXX.XXX.XXX.XXX  --dport 1024:65535 -j ACCEPT
#------------------------------------------------------------------
# Receiving Mail as a Local SMTP server (25)
# ------------------------------------------
-A INPUT  -i eth1 -p tcp -s any/0 --sport 1024:65535 -d XXX.XXX.XXX.XXX --dport 25 -j ACCEPT
-A OUTPUT -o eth1 -p tcp ! --syn -s XXX.XXX.XXX.XXX --sport 25 -d any/0 --dport 1024:65535 -j ACCEPT

#------------------------------------------------------------------
# POP (110)
#------------------------------------------------------------------
# Retrieving Mail as a POP Client
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX --sport 1024:65535 -d any/0 --dport 110 -j ACCEPT
-A INPUT -i eth1 -p tcp ! --syn -s any/0 --sport 110 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j ACCEPT
#------------------------------------------------------------------
# Hosting a POP Server for Remote Clients
-A INPUT  -i eth1 -p tcp -s any/0 --sport 1024:65535 -d XXX.XXX.XXX.XXX  --dport 110 -j DROP
-A OUTPUT -o eth1 -p tcp ! --syn -s XXX.XXX.XXX.XXX --sport 110 -d any/0 --dport 1024:65535 -j DROP

#------------------------------------------------------------------
# IMAP (143)
#------------------------------------------------------------------
# Retrieving Mail as an IMAP Client
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX  --sport 1024:65535 -d any/0 --dport 143 -j ACCEPT
-A INPUT  -i eth1 -p tcp ! --syn -s any/0 --sport 143 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j ACCEPT
#------------------------------------------------------------------
# Hosting an IMAP Server for Remote Clients
-A INPUT  -i eth1 -p tcp -s any/0 --sport 1024:65535 -d XXX.XXX.XXX.XXX  --dport 143 -j DROP
-A OUTPUT -o eth1 -p tcp ! --syn -s XXX.XXX.XXX.XXX --sport 143 -d any/0 --dport 1024:65535 -j DROP

#------------------------------------------------------------------
# TELNET (23)
#------------------------------------------------------------------
# Allowing Outgoing Client Access to Remote Sites
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX --sport 1024:65535 -d any/0 --dport 23 -j ACCEPT
-A INPUT  -i eth1 -p tcp ! --syn -s any/0 --sport 23 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j ACCEPT
#------------------------------------------------------------------
# Allowing Incoming Access to Your Local Server
-A INPUT  -i eth1 -p tcp -s any/0 --sport 1024:65535 -d XXX.XXX.XXX.XXX --dport 23 -j DROP
-A OUTPUT -o eth1 -p tcp ! --syn -s XXX.XXX.XXX.XXX --sport 23 -d any/0 --dport 1024:65535 -j DROP

#------------------------------------------------------------------
# NNTP (119)
#------------------------------------------------------------------
# Reading and Posting News as a Usenet Client
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX  --sport 1024:65535 -d any/0 --dport 119 -j ACCEPT
-A INPUT  -i eth1 -p tcp ! --syn -s any/0 --sport 119 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j ACCEPT
#------------------------------------------------------------------
# Hosting a Usenet News Server for Remote Clients
-A INPUT  -i eth1 -p tcp -s any/0 --sport 1024:65535 -d XXX.XXX.XXX.XXX  --dport 119 -j DROP
-A OUTPUT -o eth1 -p tcp ! --syn -s XXX.XXX.XXX.XXX --sport 119 -d any/0 --dport 1024:65535 -j DROP
#------------------------------------------------------------------
# Allowing Peer News Feeds for a Local Usenet Server
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX --sport 1024:65535 -d any/0 --dport 119 -j DROP
-A INPUT -i eth1 -p tcp ! --syn -s any/0 --sport 119 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j DROP

#------------------------------------------------------------------
# FINGER (79)
#------------------------------------------------------------------
# Accessing Remote finger Servers as a Client
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX  --sport 1024:65535 -d any/0 --dport 79 -j ACCEPT
-A INPUT  -i eth1 -p tcp ! --syn -s any/0 --sport 79 -d XXX.XXX.XXX.XXX  --dport 1024:65535 -j ACCEPT
#------------------------------------------------------------------
# Allowing Remote Client Access to a Local finger Server
-A INPUT  -i eth1 -p tcp -s any/0 --sport 1024:65535 -d XXX.XXX.XXX.XXX --dport 79 -j DROP
-A OUTPUT -o eth1 -p tcp ! --syn -s XXX.XXX.XXX.XXX --sport 79 -d any/0 --dport 1024:65535 -j DROP

#------------------------------------------------------------------
# WHOIS client (43)
# -----------------
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX  --sport 1024:65535 -d any/0 --dport 43 -j DROP
-A INPUT  -i eth1 -p tcp ! --syn -s any/0 --sport 43 -d XXX.XXX.XXX.XXX  --dport 1024:65535 -j DROP

#------------------------------------------------------------------
# Gopher client (70)
# ------------------
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX  --sport 1024:65535 -d any/0 --dport 70 -j DROP
-A INPUT  -i eth1 -p tcp ! --syn -s any/0 --sport 70 -d XXX.XXX.XXX.XXX  --dport 1024:65535 -j DROP

#------------------------------------------------------------------
# WAIS client (210)
# -----------------
-A OUTPUT -o eth1 -p tcp -s XXX.XXX.XXX.XXX  --sport 1024:65535 -d any/0 --dport 210 -j ACCEPT
-A INPUT  -i eth1 -p tcp ! --syn -s any/0 --sport 210 -d XXX.XXX.XXX.XXX --dport 1024:65535 -j ACCEPT
далеее....

Добавлено:

Разрешаем traceroute (tracert в винде...)
#------------------------------------------------------------------
# UDP accept only on selected ports
#------------------------------------------------------------------

#------------------------------------------------------------------
# TRACEROUTE
# traceroute usually uses -S 32769:65535 -D 33434:33523
#------------------------------------------------------------------
# Enabling Outgoing traceroute Requests
-A OUTPUT -o eth1 -p udp -s XXX.XXX.XXX.XXX --sport 32769:65535 -d any/0 --dport 33434:33523 -j ACCEPT
#------------------------------------------------------------------
# incoming query from the ISP. All others are denied by default.
-A INPUT -i eth1 -p udp -s any/0 --sport 32769:65535 -d XXX.XXX.XXX.XXX --dport 33434:33523 -j ACCEPT

остались только правила запрета....

Добавлено:

#------------------------------------------------------------------
# SPOOFING & BAD ADDRESSES
# Refuse spoofed packets.
# Ignore blatantly illegal source addresses.
# Protect yourself from sending to bad addresses.
#------------------------------------------------------------------

#------------------------------------------------------------------
# Refuse packets claiming to be to or from a Class A private network
-A INPUT  -i eth1 -s 10.0.0.0/8 -j DROP
-A INPUT  -i eth1 -d 10.0.0.0/8 -j DROP
-A OUTPUT -o eth1 -s 10.0.0.0/8 -j DROP
-A OUTPUT -o eth1 -d 10.0.0.0/8 -j DROP
#------------------------------------------------------------------
# Refuse packets claiming to be to or from a Class B private network
-A INPUT  -i eth1 -s 172.16.0.0/12 -j DROP
-A INPUT  -i eth1 -d 172.16.0.0/12 -j DROP
-A OUTPUT -o eth1 -s 172.16.0.0/12 -j DROP
-A OUTPUT -o eth1 -d 172.16.0.0/12 -j DROP
#------------------------------------------------------------------
# Refuse packets claiming to be to or from a Class C private network
-A INPUT  -i eth1 -s 192.168.0.0/16 -j DROP
-A INPUT  -i eth1 -d 192.168.0.0/16 -j DROP
-A OUTPUT -o eth1 -s 192.168.0.0/16 -j DROP
-A OUTPUT -o eth1 -d 192.168.0.0/16 -j DROP
#------------------------------------------------------------------
# Refuse Class D multicast addresses
# Multicast is only illegal as a source address.
# Multicast uses UDP
-A INPUT  -i eth1 -s 224.0.0.0/4 -j DROP
-A OUTPUT -o eth1 -s 224.0.0.0/4 -j DROP
#------------------------------------------------------------------
# Refuse Class E reserved IP addresses
-A INPUT  -i eth1 -s 240.0.0.0/5 -j DROP
-A OUTPUT -o eth1 -d 240.0.0.0/5 -j DROP
#------------------------------------------------------------------
# Refuse packets claiming to be from the loopback interface
-A INPUT  -i eth1 -s 127.0.0.0/8 -j DROP
-A OUTPUT -o eth1 -s 127.0.0.0/8 -j DROP
#------------------------------------------------------------------
# Refuse spoofed packets pretending to be from
# the external interface's IP address
-A INPUT -i eth1 -s XXX.XXX.XXX.XXX -j DROP
#------------------------------------------------------------------
# Refuse malformed broadcast packets
-A INPUT  -i eth1 -s 255.255.255.255 -j DROP
-A INPUT  -i eth1 -d 0.0.0.0 -j DROP

#------------------------------------------------------------------
# UNPRIVILEGED PORTS
# Avoid ports subject to protocol & system administration problems.
#------------------------------------------------------------------

#------------------------------------------------------------------
# Open Windows:
#------------------------------------------------------------------
# establishing a connection
-A OUTPUT -o eth1 -p tcp --syn -s XXX.XXX.XXX.XXX -d any/0 --dport 2000 -j DROP
#------------------------------------------------------------------
# incoming connection
-A INPUT -i eth1 -p tcp --syn -d XXX.XXX.XXX.XXX --dport 2000 -j DROP

#------------------------------------------------------------------
# X Windows:
#------------------------------------------------------------------
# establishing a remote connection
-A OUTPUT -o eth1 -p tcp --syn -s XXX.XXX.XXX.XXX -d any/0 --dport 6000:6063 -j DROP
#------------------------------------------------------------------
# incoming connection attempt
-A INPUT  -i eth1 -p tcp --syn -d XXX.XXX.XXX.XXX --dport 6000:6063 -j DROP

#------------------------------------------------------------------
# SOCKS:
#------------------------------------------------------------------
# establishing a connection
-A OUTPUT -o eth1 -p tcp --syn -s XXX.XXX.XXX.XXX -d any/0 --dport 1080 -j DROP
#------------------------------------------------------------------
# incoming connection
-A INPUT  -i eth1 -p tcp --syn -d XXX.XXX.XXX.XXX --dport 1080 -j DROP

#------------------------------------------------------------------
# NFS:
#------------------------------------------------------------------
# TCP connections
-A INPUT  -i eth1 -p tcp --syn -d XXX.XXX.XXX.XXX --dport 2049 -j DROP
-A OUTPUT -o eth1 -p tcp --syn -d any/0 --dport 2049 -j DROP
#------------------------------------------------------------------
# UDP connections
-A INPUT -i eth1 -p udp -d XXX.XXX.XXX.XXX --dport 2049 -j DROP
#------------------------------------------------------------------
# NFS incoming request  (normal UDP mode)
-A OUTPUT -o eth1 -p udp -d any/0 --dport 2049 -j DROP


Добавлено:

Ну вот вроде и все.... теперь маленькие пояснения...

1. Это должно работать... во всяком случае у меня работает без проблем...
2. Правила запрета идут в конце скрипта что не совсем корректно для безопастности.... лучше их вставлять после описания протокола icmp. Но таким образом я несколько разгружаю сетевые средства iptables для увеличения быстродействия... ведь они все равно работают... и ловят...
3. Правила не оптимизированы те неспользуется механизм встроенных пользовательских обьявлений цепочек...
4. нет правил для SQUID`да и всяких там конференций и RealAudio

Ну вот вроде и все... Пишите... Вопросы... Замечания... добавления...

Да прибудет с тобой силя Linux

-------
Best regard`s SergLeo

Отправлено: 13:10, 17-09-2003 | #11



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Пользователь


Сообщения: 111
Благодарности: 0

Профиль | Отправить PM | Цитировать

Круто, SergLeo - нафлудил, а как полезно!

Я тож для себя нужного почерпнул.

Пасиба.

-------
Линукс - самая никудышная ОС, если не считать всех остальных...
Люблю на досуге журнальчик почитать - "/var/log/syslog" или ещё какой....

Отправлено: 15:43, 20-09-2003 | #12


Аватара для Barracuda

Редкий гость


Сообщения: 1769
Благодарности: 16

Профиль | Сайт | Отправить PM | Цитировать

Gorza
С чего ты взял, что жт флуд - просто развёрнутый ответ на вопрос

-------
Жизнь - цепь, а мелочи - в ней звенья. Нельзя звену не придавать значения.(C) 80 дней вокруг света
---
Це все, що маю я... (С) Друга ріка

Отправлено: 18:42, 20-09-2003 | #13


Пользователь


Сообщения: 111
Благодарности: 0

Профиль | Отправить PM | Цитировать

флуд - \буквально\ - затопление
и никакого негативного смысла я не вкладывал в это слово.

-------
Линукс - самая никудышная ОС, если не считать всех остальных...
Люблю на досуге журнальчик почитать - "/var/log/syslog" или ещё какой....

Отправлено: 11:52, 22-09-2003 | #14


Пользователь


Сообщения: 111
Благодарности: 0

Профиль | Отправить PM | Цитировать

Я стартовал изучение iptables c доки
"Использование iptables на автономной dual-up машине" -> google
Грамотная дока, показывающая что брандмауэр нужен даже на домашней машине..

Добавлено:

Там, допустим, файл /etc/sysconfig/iptables не редактируется напрямую. Вначале создается промежуточный скрипт со списком команд iptables, уже после загрузки которого делается сохранение полученного ruleset в /etc/sysconfig/iptables (iptables-save)
..что по-моему более грамотно и понятней для новичка, ведь с утилитами iptables-save -restore все равно будет нужно работать.
А Серглео все равно маладец!

Добавлено:

Там, допустим, файл /etc/sysconfig/iptables не редактируется напрямую. Вначале создается промежуточный скрипт со списком команд iptables, уже после загрузки которого делается сохранение полученного ruleset в /etc/sysconfig/iptables (iptables-save)
..что по-моему более грамотно и понятней для новичка, ведь с утилитами iptables-save -restore все равно будет нужно работать.
А Серглео все равно маладец!

-------
Линукс - самая никудышная ОС, если не считать всех остальных...
Люблю на досуге журнальчик почитать - "/var/log/syslog" или ещё какой....

Отправлено: 10:28, 08-10-2003 | #15


Пользователь


Сообщения: 111
Благодарности: 0

Профиль | Отправить PM | Цитировать

http://devzone.stealthp.org/iptables-control/

Это скрипт для быстрой настройки ip-tables

Добавлено:

http://devzone.stealthp.org/iptables-control/

Это скрипт для быстрой настройки ip-tables

Добавлено:

Очень полезная штука
************************************
http://devzone.stealthp.org/iptables-control/
      (Linux 2.4.x iptables configurator)
************************************

-------
Линукс - самая никудышная ОС, если не считать всех остальных...
Люблю на досуге журнальчик почитать - "/var/log/syslog" или ещё какой....

Отправлено: 13:27, 08-10-2003 | #16


Аватара для Guest

Guest

Профиль | Цитировать

Народ а зачем вы ставите запреты в цепочки?
Наверное проще поставить default policy DROP на INPUT и OUTPUT
все что нужно разрешил и все. И можешь быть уверен что ни одна зараза (пакет) не прорвется.


Добавлено:

"Наверное проще поставить default policy DROP на INPUT и OUTPUT"
т.е. на INPUT и FORWARD



Добавлено:

для iptables работает

Отправлено: 16:31, 03-02-2004 | #17


Аватара для Guest

Guest

Профиль | Цитировать

т.к превоночально данные правила работали под ipchains - а он все же некорректно обрабатывал default ценочки(те были явные "тормаза"... Вот и осталось все как есть... Плюс по тексту если читать сообщения там идут пояснения почему так...

А далее дело вашего вкуса, что и как использовать... Это всего-лиш руководство к действию, а не ман или ховту... И не обязательно на него операться...

Добавлено:

Мой пост
________________
by sergleo

Отправлено: 16:29, 04-02-2004 | #18


Аватара для Guest

Guest

Профиль | Цитировать

Народ подскажите как в iptables (RH конфиг) реализовать сложную логику типа
"если source ИЛИ distanation адрес ххх.ххх.ххх.ххх то принять"
или
"если трафик не между локальными сетками, а наружу то переслать на на gateway чтобы он его SNATнул "
Думаю что это надо делать с помощью набора пользовательских цепочек, но вот как именно не допру.

спасибо

Отправлено: 17:41, 04-02-2004 | #19


Аватара для Guest

Guest

Профиль | Цитировать

Любую, сложную логику можно реализовать разбив на более простую
Цитата:
"если source ИЛИ distanation адрес ххх.ххх.ххх.ххх то принять"
-A INPUT  -s XXX.XXX.XXX.XXX -j ACCEPT
-A INPUT  -d XXX.XXX.XXX.XXX -j ACCEPT
или
-A INPUT -s XXX.XXX.XXX.XXX -d XXX.XXX.XXX.XXX -j ACCEPT

Учитывая что неспользуется все остальное например: интерфейс и порт назначения

Лучше если сложную логику реализовывать с помощью определяемых пользователем цепочек более подробно почитайте HOWTO по iptables на русском например 1.1.19 на сайте www.opennet.ru
_______________________________
by sergleo

Отправлено: 10:26, 09-02-2004 | #20

< Предыдущая 1 2


Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Настройка IPTABLES

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Debian/Ubuntu - Настройка IPTables для PPTPD Undel Общий по Linux 2 17-09-2009 17:30
Debian/Ubuntu - iptables в Ubuntu-начальная настройка... Bren74 Общий по Linux 10 28-10-2007 17:06
настройка активного ftp-соединения в iptables vagner_HATE Общий по Linux 3 02-03-2007 12:24
IPTABLES!!! RULES, Разгавор о iptables BuuG Общий по Linux 17 03-03-2006 16:00


« Предыдущая тема | Следующая тема »


 
Переход