Настройка iptables для начинающих.

[pas]

Вроде бы iptables-restore для этого используется.

[Cursed]

Проблема следующего характера: на машине один физический интерфейс eth0 (фиктивный адрес) на котором висят 2 интерфейса vlan10 и vlan20. Vlan10 смотрит в интернет и имеет статический IP (172.3.2.10), vlan20 смотрит в локальную сеть. При любом состоянии файервола (вплоть до все ACCEPT) пакеты на внешний интерфейс проходят как надо, а чтобы до машины добраться через внутренний интерфейс приходит с нее запускать, например, ping во внутреннюю сеть.
ОС: Kubuntu 7.04

[TuLiss]

Люди напоминаю, скрипт надо перерисовать, не используйте его в том виде в котором он сейчас.
Используйте его для написание своего собственного скрипта.

[Чучок]

Прошу помощи. Мне нужно настроить свой iptables таким образом, чтобы он блокировал все порты, кроме 8080 (чтобы инет поступал тока через прокси), ftp, pop3 и smtp. Я вот скока читаю форум и никак не могу понять, как настраивается iptables, из моих настроек выходит либо открыто всё, либо ничего. Так что прошу не посылать меня читать документацию на OpenNet, уже смотрел - всё равно не понимаю. Пробывал также guardDog, тот тоже, какие настройки ему не ставь, блокирует всё что надо и не надо - на настройки GuardDog не реагирует. Так что от GuardDog пришлось отказаться. А iptables настраивать умею тока теоретически. Если не лень, напишите пожалуйста, как это осуществить.

[Uncle_Theodore]

Да не попинает меня автор, сам я iptapbles настраивать так и не научился, впрочем как и ipchains. Так вот специально для настройки firewall под Linux (давно же это было...) я использовал замечательную программку guarddog, представляющую собой KDE-шную морду для редактирования конфигов стенки путем установки/снятия галочек. Для совсем новичков очень даже, особенно для тех, кто с винды пришел.

Полное фуфло! GuardDog тупо блокирует все протоколы, а на настройки ему до лампочки - какие ему не ставь настройки, всё равно тупо всё подряд блокирует. Хорошо, что его ещё можно выключить. Вывод: толку от него никакого. Так что не надо предлагать новичкам фуфло!
P.S. Попробывав iptables и GuardDog, я пришел к выводу, что нормальные FW есть тока в Винде, например, Каспер АнтиХакер, NetLImiter и т.д. - там выбор есть. Жаль что для Линуха до сих пор нету нормальных FW.

Ну так напиши правила пальчиками, и будет тебе файервол, всем файерволам файервол, какой Винде и не снился. Зачем тебе программы какие-то?..

[-=LexX=-]

Да не попинает меня автор, сам я iptapbles настраивать так и не научился, впрочем как и ipchains. Так вот специально для настройки firewall под Linux (давно же это было...) я использовал замечательную программку guarddog, представляющую собой KDE-шную морду для редактирования конфигов стенки путем установки/снятия галочек. Для совсем новичков очень даже, особенно для тех, кто с винды пришел.

Полное фуфло! GuardDog тупо блокирует все протоколы, а на настройки ему до лампочки - какие ему не ставь настройки, всё равно тупо всё подряд блокирует. Хорошо, что его ещё можно выключить. Вывод: толку от него никакого. Так что не надо предлагать новичкам фуфло!
P.S. Попробывав iptables и GuardDog, я пришел к выводу, что нормальные FW есть тока в Винде, например, Каспер АнтиХакер, NetLImiter и т.д. - там выбор есть. Жаль что для Линуха до сих пор нету нормальных FW.

Ну так напиши правила пальчиками, и будет тебе файервол, всем файерволам файервол, какой Винде и не снился. Зачем тебе программы какие-то?..

наверное имелись ввиду те быдлофаеры, которые начинают дико орать когда какая-нить хрень вылезти в сеть пытается. имхо под виндой самый нормальный фаер Kerio Winroute, но принцип его работы чем-то отдалённо напоминает iptables. может единственное, что iptables не может, так это дифференцировать правила для разных процессов, но надо ли?

[sda]

может единственное, что iptables не может, так это дифференцировать правила для разных процессов, но надо ли?

может, если руки выпрямить... может всё, даже трафик подсчитать in/out от каждого процесса

[magesor]

имхо под виндой самый нормальный фаер Kerio Winroute

мне этот глюконат долго ещё в ночных кошмарах являться будет

[aliens]

не подскажите, как открыть доступ на фтп, поднятый на машине из внешки. И как открыть исходящие фтп соединения,чтоыб можно было с этйо машины подключаться к фтп

[SupraGoblin]

На сколько я разобрался в скрипте это набор правил для блокировки (firewall), т.к. iptables еще и маскарадинг умеет. Может напишите грамотно правила для перенаправления пакетов и расшаривания инета в локалке.
Многие новички будут вам благодарны

[carkov]

Привет всем!

Помогите пожайлуста с настройками ipitables. Я недавно начал изучать линукс debian, в линуксе я пока ноль, знакомые тоже не шарят.
Поисковиком пользовался, но ничего не нашел, может плохо искал, прошу строго не судить.
Вообшем начал с этого справочника:

http://gazette.linux.ru.net/rus/articles/i...html#WHERETOGET

Скачал ipitables c caйта http://www.netfilter.org/projects/iptables/index.html

Про настройки ядра там ничего не понял, распаковать получилось через root terminal.
Распаковал в папку home, но думаю что это неправильно и про сборку пакетов я там тоже ничего непонял (то есть эти команды), потому что не нашел эти директории у себя на компе. Некоторых папок у меня вообше нет.

Скажите пожалуйста в какую директорию надо распаковать ipitables и в каком файле нужно писать правила, или может что-то еше нужно перед этим сделать?

Заранее спасибо...

[[aT]Nemec]

У меня схожая проблема.
Нужно настроить iptables на роутере перед модемом так, чтобы пускало только определенные макадреса, блокируя все остальное. Стандартные средства модема позволяют стелать только 24 правила, а нужно порядка 50-60.
Напишите, если не сложно, пример как это делается. Хотелось бы увидеть- деректория где это писать, как закрыть полностью все и открыть доступ для мака 00.00.00.00.00.00
Заранее спасибо.

[0xFF]

Предлагаю вместо DROP'ов использовать REJECT, ибо при сканировании nmap'ом DROPнутые порты определяются как firewalled.

[UnO]

А от скрытого сканирования (nmap -sF -p1-65536 x.x.x.x) правила добавлены?

[kils]

Подскажите плиз как мне заблочить url, чтобы с офисной сети к данному url и всех его страниц небыло доступа?

[(asper]

Подскажите плиз как мне заблочить url, чтобы с офисной сети к данному url и всех его страниц небыло доступа?

Например узнать ip этого домена и:
iptables -A INPUT -p all -s <ip_домена> -j DROP
iptables -A OUTPUT -p all -d <ip_домена> -j DROP
iptables -A FORWARD -p all -s <ip_домена> -j DROP
iptables -A FORWARD -p all -d <ip_домена> -j DROP

(или REJECT)

Узнать IP можно тем же ping-ом

[jabx]

Последняя версия скрипта прикреплена к первому сообщения, то есть к этому.
Те версии, которые находятся ниже не всегда рабочие и их качать не нужно.

При обнаружении любых ошибок пожалуйста сообщайте на форум или на E-mail
указанный в скрипте.

Последняя стабильная версия:

Сообщение отредактировал Morda - Sep 14 2005, в 16:16

где "Последняя стабильная версия:"? ссылка в первом сообщении отсутствует!

[begemot.]

Ага, ссылка в первом посте действительно отсуствует

Как показывает статистика, универсальных правил настройки iptables не существует (что наглядно показывает их потрясающую гибкость) , но, всё же, поглядеть на решения опытных очень интересно.

И есть ли хорошая русскоязычная книга по настройкам Firewall'a в Linux 'e?

Заранее спасибо.

[MadDog]

begemot.
Немного устаревшая тыц, встречал в МСК в Библио-Глобусе.

[begemot.]

Немного устаревшая тыц, встречал в МСК в Библио-Глобусе.

Она ведь по ipchains...
К тому же, её и в наличии- то нет.

[MadDog]

Она ведь по ipchains...

Ага, поэтому и написал, что немного устаревшая. Но, ИМХО, для общего развития прочитать можно.

К тому же, её и в наличии- то нет.

Тут вроде бы есть и стоит совсем немного.

[AlexYeCu]

Такой вопрос: устанавливал guarddog "на посмотреть". Не понравилось - снёс. В т.ч. и созданный ею /etc/rc.firewall.
В итоге получил такую проблему - весь траффик (почти - pptp устанавливается, а больше - даже ping не проходит) режется при подключение соединения. До тех пор, пока не перезапустишь iptables: "Политика цепочек брандмауэра устанавливается в ACCEPT" - после этого всё нормально (не считая того, что файервол по сути не работает). /etc/sysconfig/iptables - дефолтный, из трёх строчек. В readme к guarddog сказано:

The firewall script that Guarddog creates needs to be run when ever an
network interface is brought up or down. In fact if Guarddog is not run
after a network interface is brought up then the firewall *should* stop
all traffic through that interface. This is a security feature.

Ес-но он не запускается, но где его запуск может быть прописан? И как должен выглядеь (проверил все файлы с ifup в названии в каталогах /etc/sysconfig/network-scripts и /sbin). Хочется избавитсься от зависимости от этого (на данный момент отсутствующего ) скрипта.

[Anybis]

Может и глупый вопрос, но всёже.
Где в дебиан находиться файлик rc.firewall?
Знаю что в федоре /etc/rc.d/rc.firewall

В курсе что в дебиан можно просто с консоли вводить сразу команды, но интересует в какой файлик пишуться эти команды. Т.е. если запустив mc я могбы через F4 редактировать правила.

[chitatel]

Может и глупый вопрос, но всёже.
Где в дебиан находиться файлик rc.firewall?
Знаю что в федоре /etc/rc.d/rc.firewall

А Вы поищите ответ в разделе Debian - там этот вопрос обсуждался, про запуск и правила iptables.

В курсе что в дебиан можно просто с консоли вводить сразу команды

А в других дистрибутивах так нельзя, что ли? Файлик-то этот, как я понимаю, нужен чтобы не "вводить сразу команды" всякий раз.

[homa]

хоть тема вродь как и для начинающих, но начинающие должны расти вместе с темой))
столкнулся с проблемой - надо сделать поддержку ipset, коль кто умеет отпишитесь пожалуйста

сорри за относительный оффтоп

а потом можно будет и пописать как его использовать)

[Samba]

Очень удобно использовать SHOREWALL.

Очень прост в настройке, тем более есть примеры и документации на русском языке.

[zakachkin]

Доброго времени суток!
Можно ли посредством iptables урезать скорость определённому человеку (IP) к целой подсети по всем портам сразу?
например для адреса 169.254.1.13 отрезать доступ к подсети 10.0.0.0/24
Дайте плиз готовую команду!

[Satir]

например для адреса 169.254.1.13 отрезать доступ к подсети 10.0.0.0/24

Код: Выделить всё

/sbin/iptables -A FORWARD -s 169.254.1.13 -d 10.0.0.0/24 -j DROP

сам такое делать не пробовал, так что возможно не работает...

с ограничением скорости, если честно, не очень понятно.. там есть критерий limit, но он ограничивает скорость, измеряемую в пакетах/секунду. как это дело перевести в МБ/сек, я не знаю... самому было бы интересно послушать
вот пример из мануала:

Код: Выделить всё

iptables -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 3/minute --limit-burst 5 -j DROP

за расшифровкой сюда

[zakachkin]

например для адреса 169.254.1.13 отрезать доступ к подсети 10.0.0.0/24

Код: Выделить всё

/sbin/iptables -A FORWARD -s 169.254.1.13 -d 10.0.0.0/24 -j DROP

сам такое делать не пробовал, так что возможно не работает...

так не работает
а вот так

Код: Выделить всё

-A FORWARD -p tcp -s 169.254.1.7 -d 10.0.0.0/24 -j DROP

(я файлы в mc редактирую)
в самый раз-)
Satir, спасибо за идёю

[sspphheerraa]

Перезалил скрипт

TuLiss, а в какой кодировке он у тебя записан?
Что ни пробовал - нигде комментарии не отображаются по русски