Настройка iptables для начинающих.
Модератор: Модераторы разделов
Re: Настройка iptables для начинающих.
Вроде бы iptables-restore для этого используется.
Re: Настройка iptables для начинающих.
Проблема следующего характера: на машине один физический интерфейс eth0 (фиктивный адрес) на котором висят 2 интерфейса vlan10 и vlan20. Vlan10 смотрит в интернет и имеет статический IP (172.3.2.10), vlan20 смотрит в локальную сеть. При любом состоянии файервола (вплоть до все ACCEPT) пакеты на внешний интерфейс проходят как надо, а чтобы до машины добраться через внутренний интерфейс приходит с нее запускать, например, ping во внутреннюю сеть.
ОС: Kubuntu 7.04
ОС: Kubuntu 7.04
Re: Настройка iptables для начинающих.
Люди напоминаю, скрипт надо перерисовать, не используйте его в том виде в котором он сейчас.
Используйте его для написание своего собственного скрипта.
Используйте его для написание своего собственного скрипта.
Чтение man'нов в слух ещЁ никому не помогало!...
kernel 4.2
chmod -x `which chmod`
War, war never changes...
kernel 4.2
chmod -x `which chmod`
War, war never changes...
Re: Настройка iptables для начинающих.
Прошу помощи. Мне нужно настроить свой iptables таким образом, чтобы он блокировал все порты, кроме 8080 (чтобы инет поступал тока через прокси), ftp, pop3 и smtp. Я вот скока читаю форум и никак не могу понять, как настраивается iptables, из моих настроек выходит либо открыто всё, либо ничего. Так что прошу не посылать меня читать документацию на OpenNet, уже смотрел - всё равно не понимаю. Пробывал также guardDog, тот тоже, какие настройки ему не ставь, блокирует всё что надо и не надо - на настройки GuardDog не реагирует. Так что от GuardDog пришлось отказаться. А iptables настраивать умею тока теоретически. Если не лень, напишите пожалуйста, как это осуществить.
- Uncle_Theodore
- Сообщения: 3339
- ОС: Slackware 12.2, ArchLinux 64
Re: Настройка iptables для начинающих.
Чучок писал(а): ↑11.08.2007 05:41Holy Joly Sergik писал(а): ↑05.08.2005 10:38Да не попинает меня автор, сам я iptapbles настраивать так и не научился, впрочем как и ipchains. Так вот специально для настройки firewall под Linux (давно же это было...) я использовал замечательную программку guarddog, представляющую собой KDE-шную морду для редактирования конфигов стенки путем установки/снятия галочек. Для совсем новичков очень даже, особенно для тех, кто с винды пришел.
Полное фуфло! GuardDog тупо блокирует все протоколы, а на настройки ему до лампочки - какие ему не ставь настройки, всё равно тупо всё подряд блокирует. Хорошо, что его ещё можно выключить. Вывод: толку от него никакого. Так что не надо предлагать новичкам фуфло!
P.S. Попробывав iptables и GuardDog, я пришел к выводу, что нормальные FW есть тока в Винде, например, Каспер АнтиХакер, NetLImiter и т.д. - там выбор есть. Жаль что для Линуха до сих пор нету нормальных FW.
Ну так напиши правила пальчиками, и будет тебе файервол, всем файерволам файервол, какой Винде и не снился. Зачем тебе программы какие-то?..
Re: Настройка iptables для начинающих.
Uncle_Theodore писал(а): ↑11.08.2007 05:50Чучок писал(а): ↑11.08.2007 05:41Holy Joly Sergik писал(а): ↑05.08.2005 10:38Да не попинает меня автор, сам я iptapbles настраивать так и не научился, впрочем как и ipchains. Так вот специально для настройки firewall под Linux (давно же это было...) я использовал замечательную программку guarddog, представляющую собой KDE-шную морду для редактирования конфигов стенки путем установки/снятия галочек. Для совсем новичков очень даже, особенно для тех, кто с винды пришел.
Полное фуфло! GuardDog тупо блокирует все протоколы, а на настройки ему до лампочки - какие ему не ставь настройки, всё равно тупо всё подряд блокирует. Хорошо, что его ещё можно выключить. Вывод: толку от него никакого. Так что не надо предлагать новичкам фуфло!
P.S. Попробывав iptables и GuardDog, я пришел к выводу, что нормальные FW есть тока в Винде, например, Каспер АнтиХакер, NetLImiter и т.д. - там выбор есть. Жаль что для Линуха до сих пор нету нормальных FW.
Ну так напиши правила пальчиками, и будет тебе файервол, всем файерволам файервол, какой Винде и не снился. Зачем тебе программы какие-то?..
наверное имелись ввиду те быдлофаеры, которые начинают дико орать когда какая-нить хрень вылезти в сеть пытается. имхо под виндой самый нормальный фаер Kerio Winroute, но принцип его работы чем-то отдалённо напоминает iptables. может единственное, что iptables не может, так это дифференцировать правила для разных процессов, но надо ли?
Re: Настройка iptables для начинающих.
может, если руки выпрямить... может всё, даже трафик подсчитать in/out от каждого процесса
А форумокъ всёжъ таки с гнiльцой...©
Re: Настройка iptables для начинающих.
мне этот глюконат долго ещё в ночных кошмарах являться будет
"Лишь две вещи поражают меня: звёздное небо надо мною и нравственный закон внутри меня." (Иммануил Кант)
Re: Настройка iptables для начинающих.
не подскажите, как открыть доступ на фтп, поднятый на машине из внешки. И как открыть исходящие фтп соединения,чтоыб можно было с этйо машины подключаться к фтп
-
- Сообщения: 71
- ОС: Gentoo 2007.0
Re: Настройка iptables для начинающих.
На сколько я разобрался в скрипте это набор правил для блокировки (firewall), т.к. iptables еще и маскарадинг умеет. Может напишите грамотно правила для перенаправления пакетов и расшаривания инета в локалке.
Многие новички будут вам благодарны
Многие новички будут вам благодарны
Re: Настройка iptables для начинающих.
Привет всем!
Помогите пожайлуста с настройками ipitables. Я недавно начал изучать линукс debian, в линуксе я пока ноль, знакомые тоже не шарят.
Поисковиком пользовался, но ничего не нашел, может плохо искал, прошу строго не судить.
Вообшем начал с этого справочника:
http://gazette.linux.ru.net/rus/articles/i...html#WHERETOGET
Скачал ipitables c caйта http://www.netfilter.org/projects/iptables/index.html
Про настройки ядра там ничего не понял, распаковать получилось через root terminal.
Распаковал в папку home, но думаю что это неправильно и про сборку пакетов я там тоже ничего непонял (то есть эти команды), потому что не нашел эти директории у себя на компе. Некоторых папок у меня вообше нет.
Скажите пожалуйста в какую директорию надо распаковать ipitables и в каком файле нужно писать правила, или может что-то еше нужно перед этим сделать?
Заранее спасибо...
Помогите пожайлуста с настройками ipitables. Я недавно начал изучать линукс debian, в линуксе я пока ноль, знакомые тоже не шарят.
Поисковиком пользовался, но ничего не нашел, может плохо искал, прошу строго не судить.
Вообшем начал с этого справочника:
http://gazette.linux.ru.net/rus/articles/i...html#WHERETOGET
Скачал ipitables c caйта http://www.netfilter.org/projects/iptables/index.html
Про настройки ядра там ничего не понял, распаковать получилось через root terminal.
Распаковал в папку home, но думаю что это неправильно и про сборку пакетов я там тоже ничего непонял (то есть эти команды), потому что не нашел эти директории у себя на компе. Некоторых папок у меня вообше нет.
Скажите пожалуйста в какую директорию надо распаковать ipitables и в каком файле нужно писать правила, или может что-то еше нужно перед этим сделать?
Заранее спасибо...
Re: Настройка iptables для начинающих.
У меня схожая проблема.
Нужно настроить iptables на роутере перед модемом так, чтобы пускало только определенные макадреса, блокируя все остальное. Стандартные средства модема позволяют стелать только 24 правила, а нужно порядка 50-60.
Напишите, если не сложно, пример как это делается. Хотелось бы увидеть- деректория где это писать, как закрыть полностью все и открыть доступ для мака 00.00.00.00.00.00
Заранее спасибо.
Нужно настроить iptables на роутере перед модемом так, чтобы пускало только определенные макадреса, блокируя все остальное. Стандартные средства модема позволяют стелать только 24 правила, а нужно порядка 50-60.
Напишите, если не сложно, пример как это делается. Хотелось бы увидеть- деректория где это писать, как закрыть полностью все и открыть доступ для мака 00.00.00.00.00.00
Заранее спасибо.
Re: Настройка iptables для начинающих.
Предлагаю вместо DROP'ов использовать REJECT, ибо при сканировании nmap'ом DROPнутые порты определяются как firewalled.
Re: Настройка iptables для начинающих.
А от скрытого сканирования (nmap -sF -p1-65536 x.x.x.x) правила добавлены?
Re: Настройка iptables для начинающих.
Подскажите плиз как мне заблочить url, чтобы с офисной сети к данному url и всех его страниц небыло доступа?
Re: Настройка iptables для начинающих.
Например узнать ip этого домена и:
iptables -A INPUT -p all -s <ip_домена> -j DROP
iptables -A OUTPUT -p all -d <ip_домена> -j DROP
iptables -A FORWARD -p all -s <ip_домена> -j DROP
iptables -A FORWARD -p all -d <ip_домена> -j DROP
(или REJECT)
Узнать IP можно тем же ping-ом
Сомнительно доброе привидение
Re: Настройка iptables для начинающих.
T04ka писал(а): ↑05.08.2005 09:50Последняя версия скрипта прикреплена к первому сообщения, то есть к этому.
Те версии, которые находятся ниже не всегда рабочие и их качать не нужно.
При обнаружении любых ошибок пожалуйста сообщайте на форум или на E-mail
указанный в скрипте.
Последняя стабильная версия:
Сообщение отредактировал Morda - Sep 14 2005, в 16:16
где "Последняя стабильная версия:"? ссылка в первом сообщении отсутствует!
Re: Настройка iptables для начинающих.
Ага, ссылка в первом посте действительно отсуствует
Как показывает статистика, универсальных правил настройки iptables не существует (что наглядно показывает их потрясающую гибкость) , но, всё же, поглядеть на решения опытных очень интересно.
И есть ли хорошая русскоязычная книга по настройкам Firewall'a в Linux 'e?
Заранее спасибо.
Как показывает статистика, универсальных правил настройки iptables не существует (что наглядно показывает их потрясающую гибкость) , но, всё же, поглядеть на решения опытных очень интересно.
И есть ли хорошая русскоязычная книга по настройкам Firewall'a в Linux 'e?
Заранее спасибо.
Алкоголь - наркотический пост-плазматический яд.
Тюремная смертность в три (!!!) раза ниже, чем на свободе, поскольку в тюрьмах запрещён алкоголь! статистика МВД
Тюремная смертность в три (!!!) раза ниже, чем на свободе, поскольку в тюрьмах запрещён алкоголь! статистика МВД
Re: Настройка iptables для начинающих.
begemot.
Немного устаревшая тыц, встречал в МСК в Библио-Глобусе.
Немного устаревшая тыц, встречал в МСК в Библио-Глобусе.
Re: Настройка iptables для начинающих.
(MadDog) писал(а):Немного устаревшая тыц, встречал в МСК в Библио-Глобусе.
Она ведь по ipchains...
К тому же, её и в наличии- то нет.
Алкоголь - наркотический пост-плазматический яд.
Тюремная смертность в три (!!!) раза ниже, чем на свободе, поскольку в тюрьмах запрещён алкоголь! статистика МВД
Тюремная смертность в три (!!!) раза ниже, чем на свободе, поскольку в тюрьмах запрещён алкоголь! статистика МВД
Re: Настройка iptables для начинающих.
Ага, поэтому и написал, что немного устаревшая. Но, ИМХО, для общего развития прочитать можно.
Тут вроде бы есть и стоит совсем немного.
Re: Настройка iptables для начинающих.
Такой вопрос: устанавливал guarddog "на посмотреть". Не понравилось - снёс. В т.ч. и созданный ею /etc/rc.firewall.
В итоге получил такую проблему - весь траффик (почти - pptp устанавливается, а больше - даже ping не проходит) режется при подключение соединения. До тех пор, пока не перезапустишь iptables: "Политика цепочек брандмауэра устанавливается в ACCEPT" - после этого всё нормально (не считая того, что файервол по сути не работает). /etc/sysconfig/iptables - дефолтный, из трёх строчек. В readme к guarddog сказано:
Ес-но он не запускается, но где его запуск может быть прописан? И как должен выглядеь (проверил все файлы с ifup в названии в каталогах /etc/sysconfig/network-scripts и /sbin). Хочется избавитсься от зависимости от этого (на данный момент отсутствующего ) скрипта.
В итоге получил такую проблему - весь траффик (почти - pptp устанавливается, а больше - даже ping не проходит) режется при подключение соединения. До тех пор, пока не перезапустишь iptables: "Политика цепочек брандмауэра устанавливается в ACCEPT" - после этого всё нормально (не считая того, что файервол по сути не работает). /etc/sysconfig/iptables - дефолтный, из трёх строчек. В readme к guarddog сказано:
The firewall script that Guarddog creates needs to be run when ever an
network interface is brought up or down. In fact if Guarddog is not run
after a network interface is brought up then the firewall *should* stop
all traffic through that interface. This is a security feature.
Ес-но он не запускается, но где его запуск может быть прописан? И как должен выглядеь (проверил все файлы с ifup в названии в каталогах /etc/sysconfig/network-scripts и /sbin). Хочется избавитсься от зависимости от этого (на данный момент отсутствующего ) скрипта.
Re: Настройка iptables для начинающих.
Может и глупый вопрос, но всёже.
Где в дебиан находиться файлик rc.firewall?
Знаю что в федоре /etc/rc.d/rc.firewall
В курсе что в дебиан можно просто с консоли вводить сразу команды, но интересует в какой файлик пишуться эти команды. Т.е. если запустив mc я могбы через F4 редактировать правила.
Где в дебиан находиться файлик rc.firewall?
Знаю что в федоре /etc/rc.d/rc.firewall
В курсе что в дебиан можно просто с консоли вводить сразу команды, но интересует в какой файлик пишуться эти команды. Т.е. если запустив mc я могбы через F4 редактировать правила.
Re: Настройка iptables для начинающих.
А Вы поищите ответ в разделе Debian - там этот вопрос обсуждался, про запуск и правила iptables.
В курсе что в дебиан можно просто с консоли вводить сразу команды
А в других дистрибутивах так нельзя, что ли? Файлик-то этот, как я понимаю, нужен чтобы не "вводить сразу команды" всякий раз.
Re: Настройка iptables для начинающих.
хоть тема вродь как и для начинающих, но начинающие должны расти вместе с темой))
столкнулся с проблемой - надо сделать поддержку ipset, коль кто умеет отпишитесь пожалуйста
сорри за относительный оффтоп
а потом можно будет и пописать как его использовать)
столкнулся с проблемой - надо сделать поддержку ipset, коль кто умеет отпишитесь пожалуйста
сорри за относительный оффтоп
а потом можно будет и пописать как его использовать)
Re: Настройка iptables для начинающих.
Очень удобно использовать SHOREWALL.
Очень прост в настройке, тем более есть примеры и документации на русском языке.
Очень прост в настройке, тем более есть примеры и документации на русском языке.
Kubuntu 8.10
Re: Настройка iptables для начинающих.
Доброго времени суток!
Можно ли посредством iptables урезать скорость определённому человеку (IP) к целой подсети по всем портам сразу?
например для адреса 169.254.1.13 отрезать доступ к подсети 10.0.0.0/24
Дайте плиз готовую команду!
Можно ли посредством iptables урезать скорость определённому человеку (IP) к целой подсети по всем портам сразу?
например для адреса 169.254.1.13 отрезать доступ к подсети 10.0.0.0/24
Дайте плиз готовую команду!
Re: Настройка iptables для начинающих.
например для адреса 169.254.1.13 отрезать доступ к подсети 10.0.0.0/24
Код: Выделить всё
/sbin/iptables -A FORWARD -s 169.254.1.13 -d 10.0.0.0/24 -j DROP
сам такое делать не пробовал, так что возможно не работает...
с ограничением скорости, если честно, не очень понятно.. там есть критерий limit, но он ограничивает скорость, измеряемую в пакетах/секунду. как это дело перевести в МБ/сек, я не знаю... самому было бы интересно послушать
вот пример из мануала:
Код: Выделить всё
iptables -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 3/minute --limit-burst 5 -j DROP
за расшифровкой сюда
Великие умы обсуждают идеи. Средние – события. Остальные обсуждают людей.
Re: Настройка iptables для начинающих.
Satir писал(а): ↑09.06.2008 17:04например для адреса 169.254.1.13 отрезать доступ к подсети 10.0.0.0/24
Код: Выделить всё
/sbin/iptables -A FORWARD -s 169.254.1.13 -d 10.0.0.0/24 -j DROP
сам такое делать не пробовал, так что возможно не работает...
так не работает
а вот так
Код: Выделить всё
-A FORWARD -p tcp -s 169.254.1.7 -d 10.0.0.0/24 -j DROP
(я файлы в mc редактирую)
в самый раз-)
Satir, спасибо за идёю
- sspphheerraa
- Сообщения: 1375
- ОС: Gentoo
Re: Настройка iptables для начинающих.
TuLiss, а в какой кодировке он у тебя записан?
Что ни пробовал - нигде комментарии не отображаются по русски
Sspphheerraa