Firewall (iptables) (хакер mustdie)

Готовые решения для многих вопросов, которые очень часто задаются снова и снова.

Модератор: Модераторы разделов

Аватара пользователя
danamond
Сообщения: 26

Firewall (iptables)

Сообщение danamond »

Помогите пожалуйста разобраться в том, как работает критерий limit и limit-burst в iptables. Документацию читал, но ни черта в ней не понял.
Помни! В километре 1000 метров (а не 1024)...
Спасибо сказали:
Аватара пользователя
flook
Сообщения: 585
Статус: Просто flook

Re: Firewall (iptables)

Сообщение flook »

Все время бъется на промежутки опр. длины (параметр rate).
burst-number определяет макс. кол-во событий, которые могут произойти в каждый промежуток, но с тем условием, что каждое произошедшее событие уменьшает число разрешенных событий на след. промежуток, а каждое не произошедшее - увеличивает. На пальцах - так. :rolleyes:
В каждом из нас спит гений... и с каждым днем все крепче...
Спасибо сказали:
Аватара пользователя
Vladislav
Сообщения: 383
ОС: Debian Sid
Контактная информация:

Re: Firewall (iptables)

Сообщение Vladislav »

Под документацией имеловсь в виду- iptables-tutorial ( http://gazette.linux.ru.net/rus/articles/i...s-tutorial.html ) ?
А если в кратце, как описано в iptables-tutorial, критерий limit устанавливает максимальное количество пакетов пропускаемое через данное правило, за указанный временной интервал.
Спасибо сказали:
Аватара пользователя
flook
Сообщения: 585
Статус: Просто flook

Re: Firewall (iptables)

Сообщение flook »

Не просто максимальное число пакетов.
Тот алгоритм, который сидит внутри обеспечивает проход не более чем max*(1-time/tnt) пакетов за время time, позволяя непродолжительные "вспышки".
В каждом из нас спит гений... и с каждым днем все крепче...
Спасибо сказали:
Аватара пользователя
danamond
Сообщения: 26

Re: Firewall (iptables)

Сообщение danamond »

Так, построим вопрос по другому. Имеем:

iptables -P INPUT DROP
iptables -A INPUT -p TCP --dport 80 -m limit --limit 10/minute --limit-burst 100 -j ACCEPT

Это означает, что каждый пакет приходящий на 80 порт увеличивает счетчик (burst). Из этого-же счетчика каждую минуту вычитается 10 (--limit 10/minute). Пока счетчик не равен 100 (--limit-burst 100) приминяется -j ACCEPT.

А когда счетчик достигнет 100?
Или может я не прав в корне?
Помни! В километре 1000 метров (а не 1024)...
Спасибо сказали:
Аватара пользователя
flook
Сообщения: 585
Статус: Просто flook

Re: Firewall (iptables)

Сообщение flook »

;) ну не то чтобы каждую минуту. На самом деле на проверках вычитается (time - prev_time) / 10min * 10, но вобщем ты прав - каждую минуту вычитают 10. :)
В каждом из нас спит гений... и с каждым днем все крепче...
Спасибо сказали:
Аватара пользователя
danamond
Сообщения: 26

Re: Firewall (iptables)

Сообщение danamond »

Въехал таки!
Всем спасибо!
Тему можно закрыть.
Помни! В километре 1000 метров (а не 1024)...
Спасибо сказали:
Аватара пользователя
danamond
Сообщения: 26

Re: Firewall (iptables)

Сообщение danamond »

Это что-то клиническое. Не работает FTP через firewall (iptables). Точнее работает, но только в активном режиме. Подскажите, люди добрые, а то скоро с ума сойду.

iptables выставил так:

Код: Выделить всё

iptables -A FORWARD -p TCP -d 192.168.2.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p TCP -s 192.168.2.0/24 -m multiport --dport 20,21 -j ACCEPT

Еще, естественно, стоит трансляция адресов в табличке POSTROUTING

ip_nat_ftp, ip_conntrack_ftp подгружены.
Помни! В километре 1000 метров (а не 1024)...
Спасибо сказали:
Аватара пользователя
flook
Сообщения: 585
Статус: Просто flook

Re: Firewall (iptables)

Сообщение flook »

Ессно в пассивном не пашет. В пассивном клиент коннектится не только на 21 и 22 порты ;)
В каждом из нас спит гений... и с каждым днем все крепче...
Спасибо сказали:
Аватара пользователя
danamond
Сообщения: 26

Re: Firewall (iptables)

Сообщение danamond »

Всё. Посыпал голову пеплом. Всем спасибо.
Помни! В километре 1000 метров (а не 1024)...
Спасибо сказали:
LSN
Сообщения: 161

Re: Firewall (iptables)

Сообщение LSN »

Доброго всем дня
Имеем сервер на AltLinux 2.3.
Два интерфейса: eth0 - xxx.xxx.xxx.1 - внешний, eth1 - yyy.yyy.yyy.1 - внутренний.
Имеется клиентская машина с адресом yyy.yyy.yyy.2 и игейтевеем yyy.yyy.yyy.1.
На сервере прописываем правило для SNAT:
iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source xxx.xxx.xxx.1
Все политики пока сделал ACCEPT.
Не работает NAT. Т.е. с клиентской машины пакеты не ходят во внешнюю сеть.
В чем может быть проблема?
Спасибо
Debian Sarge, Windows XP SP2
Спасибо сказали:
Аватара пользователя
Vladislav
Сообщения: 383
ОС: Debian Sid
Контактная информация:

Re: Firewall (iptables)

Сообщение Vladislav »

(LSN @ Tuesday, 21 September 2004, 14:18) писал(а):Доброго всем дня
Имеем сервер на AltLinux 2.3.
Два интерфейса: eth0 - xxx.xxx.xxx.1 - внешний, eth1 - yyy.yyy.yyy.1 - внутренний.
Имеется клиентская машина с адресом yyy.yyy.yyy.2 и игейтевеем yyy.yyy.yyy.1.
На сервере прописываем правило для SNAT:
iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source xxx.xxx.xxx.1
Все политики пока сделал ACCEPT.
Не работает NAT. Т.е. с клиентской машины пакеты не ходят во внешнюю сеть.
В чем может быть проблема?
Спасибо

А если просто iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source xxx.xxx.xxx.1
т.е. не указывая tcp
Спасибо сказали:
Аватара пользователя
madskull
Сообщения: 1019
Статус: Экс-металлюга
Контактная информация:

Re: Firewall (iptables)

Сообщение madskull »

а как насчет
echo 1 >/proc/sys/net/ipv4/ip_forward

сделано?
ArchLinux / IceWM
Спасибо сказали:
LSN
Сообщения: 161

Re: Firewall (iptables)

Сообщение LSN »

to madskull
Спасибо.
Забыл просто, что необходимо указывать про маршрутизацию пакетов в sysctl.conf.
Закрыто
Debian Sarge, Windows XP SP2
Спасибо сказали:
moodperson
Сообщения: 185

Re: Firewall (iptables)

Сообщение moodperson »

Ну приветик всем !!
Решил я всётаки настроить fairwall
После того что я увидил в логах samba server :
[2004/11/30 02:00:03, 0] lib/access.c:check_access(331)
  Denied connection from  (212.186.96.228)
[2004/11/30 02:30:09, 0] lib/access.c:check_access(331)
  Denied connection from  (4.8.78.249)
[2004/11/30 03:05:47, 0] lib/access.c:check_access(331)
  Denied connection from  (24.39.122.165)
[2004/11/30 03:34:07, 0] lib/access.c:check_access(331)
  Denied connection from  (211.59.34.76)

И так где-то уже подвергаюсь дня 3 атакам ?
Ну больше нравится идея доверенных адрессов !
Вопрос как из dns адресса узнать ip адресс ??
Т.е. нужна прога(или т.п.) обратная dns серверу !!!
Чтобы я указал в firewall доверянные адресса !!
Спасибо !!!
Gentoo Base System version 1.6.14
Спасибо сказали:
Аватара пользователя
Warderer
Модератор
Сообщения: 1056
Статус: киберпИнгвин на гусеничном ходу
ОС: Debian unstable

Re: Firewall (iptables)

Сообщение Warderer »

Ты ничего не путаешь? Может тебе просто обратное преобразование провести надо? Тогда man host, man nslookup...
Читаю вслух с выражением маны - $50/ч + стоимость звонка. Настраиваю сервисы за Вас - $100/ч + стоимость выезда и проживания.
И восемь строк матом...(бесплатно)
Спасибо сказали:
Аватара пользователя
crez
Сообщения: 128
Контактная информация:

Re: Firewall (iptables)

Сообщение crez »

Зачем лезть в дебри?
В smb.conf добавь строчку:

Код: Выделить всё

interfaces = eth1

eth1 - сетевуха, смотрящая в локальную сеть.

А файрволл все равно нужен ;)
Сами мы не местные...
Спасибо сказали:
moodperson
Сообщения: 185

Re: Firewall (iptables)

Сообщение moodperson »

Может что - то и путаю !!!??? :(
Пример: есть доменные адресса
http://www.linuxforum.ru
http://www.google.com.ua
И много др.
Как узнать их ip адресса ???
Вот собственно что мне и надо было???
Да !
В smb.conf добавь строчку:
CODE
interfaces = eth1

eth1 - сетевуха, смотрящая в локальную сеть.

Я бы добавил, но увы пока токо модемное соединение к internet
и локалка :(
Gentoo Base System version 1.6.14
Спасибо сказали:
Аватара пользователя
Vladislav
Сообщения: 383
ОС: Debian Sid
Контактная информация:

Re: Firewall (iptables)

Сообщение Vladislav »

(moodperson @ Среда, 01 Декабря 2004, 0:51) писал(а):Может что - то и путаю !!!??? :(
Пример: есть доменные адресса
http://www.linuxforum.ru
http://www.google.com.ua
И много др.
Как узнать их ip адресса ???
Вот собственно что мне и надо было???
Да !

host www.linuxforum.ru
www.linuxforum.ru A 81.222.134.33

nslookup www.linuxforum.ru
В smb.conf добавь строчку:
CODE
interfaces = eth1
eth1 - сетевуха, смотрящая в локальную сеть.

Я бы добавил, но увы пока токо модемное соединение к internet
и локалка :(


Я чего то не понимаю - если нет eth1 добавь eth0 :)
Спасибо сказали:
Аватара пользователя
aim
Бывший модератор
Сообщения: 749
ОС: GNU/Linux
Контактная информация:

Re: Firewall (iptables)

Сообщение aim »

(Vladislav @ Среда, 01 Декабря 2004, 9:31) писал(а):host www.linuxforum.ru
www.linuxforum.ru      A      81.222.134.33

nslookup www.linuxforum.ru


я бы добавил что 'nslookup' deprecated (зд.: устарела) и пользоваться надо 'dig'.
Спасибо сказали:
Аватара пользователя
Bolverk
Бывший модератор
Сообщения: 1571
ОС: Cygwin
Контактная информация:

Re: Firewall (iptables)

Сообщение Bolverk »

Хм, я то всегда resolve пользуюсь.
Спасибо сказали:
Аватара пользователя
polachok
Бывший модератор
Сообщения: 2199
Статус: главный форумный маргинал
ОС: gnu/linux
Контактная информация:

Re: Firewall (iptables)

Сообщение polachok »

а я ping пользуюсь! :P
И немедленно выпил.
Спасибо сказали:
moodperson
Сообщения: 185

Re: Firewall (iptables)

Сообщение moodperson »

Идея ping это неплохо - тепрь ip адресс не проблема !!! :)
Из одной большой проблемы вытекает куча малых .
Куча не куча а проблемма появилась следующая.
После создания правил для fairwall и настройки, при запуске скрипта fairwall(а)
получаю следуюющее:

Сбрасываются все текущие правила и пользовательские цепочки:
ipchains: Incompatible with this kernel
                                                                                                  [ СБОЙ ]
Очищаются все текущие правила и пользовательские цепочки:
ipchains: Incompatible with this kernel
                                                                                                  [ СБОЙ ]
Загружаются правила брандмауэра ipchains:                        [  ОК  ]

как видно причина в
ipchains: Incompatible with this kernel

поначалу думал глюк из-за нового ядра - хотя на старом тоже самое
Значит дело не в ядре тогда в чем ???? :huh:
Gentoo Base System version 1.6.14
Спасибо сказали:
Аватара пользователя
serg_sk
Бывший модератор
Сообщения: 2749
Статус: <3 Anime
ОС: Gentoo Linux <3
Контактная информация:

Re: Firewall (iptables)

Сообщение serg_sk »

Может стоит поставить iptables а не ipchains???
Не ждали?! А я приперся!
Помойка Gentoo'шника
-------
Спасибо сказали:
Аватара пользователя
Bolverk
Бывший модератор
Сообщения: 1571
ОС: Cygwin
Контактная информация:

Re: Firewall (iptables)

Сообщение Bolverk »

(serg_sk @ Среда, 01 Декабря 2004, 21:12) писал(а):Может стоит поставить iptables а не ipchains???

Не можно, а нужно.
Спасибо сказали:
moodperson
Сообщения: 185

Re: Firewall (iptables)

Сообщение moodperson »

А как насчёт толковой документации по iptables да и ещё бы и на русском :D
А то в нете искал кроме хлама и мути ничего толкового не нашёл :(
Gentoo Base System version 1.6.14
Спасибо сказали:
Аватара пользователя
Vladislav
Сообщения: 383
ОС: Debian Sid
Контактная информация:

Re: Firewall (iptables)

Сообщение Vladislav »

(moodperson @ Четверг, 02 Декабря 2004, 3:35) писал(а):А как насчёт толковой документации по iptables да и ещё бы и на русском  :D
А то в нете искал кроме хлама и мути ничего толкового не нашёл  :(

http://www.opennet.ru/opennews/art.shtml?num=1602
Спасибо сказали:
Аватара пользователя
Kaster Troy
Сообщения: 193
Статус: Кроме звезд
Контактная информация:

Re: Firewall (iptables)

Сообщение Kaster Troy »

я вот когда--то с линуксгазетты скачивал отличный док!! просто суперский.. ;)
Глубина, глубина, я не твой.. отпусти меня глубина..
Спасибо сказали:
moodperson
Сообщения: 185

Re: Firewall (iptables)

Сообщение moodperson »

я вот когда--то с линуксгазетты скачивал отличный док!! просто суперский..

Имя сайта не подкинете - Спасибо ! :)
Gentoo Base System version 1.6.14
Спасибо сказали:
Закрыто