Настройка iptables для начинающих.
Модератор: Модераторы разделов
Re: Настройка iptables для начинающих.
Нашел статью, о подсчете трафика с помощю iptables и bash:
http://linuxportal.ru/entry.php/P84_0_3_10/
Думаете стоит использовать?
http://linuxportal.ru/entry.php/P84_0_3_10/
Думаете стоит использовать?
O Fortuna
velut luna
velut luna
Re: Настройка iptables для начинающих.
В дагонку по поводу написание скрипта. Собственно в файле /etc/services находится почти все, что надо =) Так, что можно использовать его за основу выбора, что добавить в правила.
по поводу учета трафика, если только отдельным скриптом.
по поводу учета трафика, если только отдельным скриптом.
Чтение man'нов в слух ещЁ никому не помогало!...
kernel 4.2
chmod -x `which chmod`
War, war never changes...
kernel 4.2
chmod -x `which chmod`
War, war never changes...
- serg_sk
- Бывший модератор
- Сообщения: 2749
- Статус: <3 Anime
- ОС: Gentoo Linux <3
- Контактная информация:
Re: Настройка iptables для начинающих.
Для Morda:
Код: Выделить всё
serg_sk@Elvenhome ~ $ sudo emerge -s rkhunter
Password:
Searching...
[ Results for search key : rkhunter ]
[ Applications found : 1 ]
* app-forensics/rkhunter
Latest version available: 1.2.7
Latest version installed: 1.2.7
Size of downloaded files: 166 kB
Homepage: http://www.rootkit.org/
Description: Rootkit Hunter scans for known and unknown rootkits, backdoors, and sniffers.
License: GPL-2
serg_sk@Elvenhome ~ $ sudo emerge -fp rkhunter
Calculating dependencies ...done!
http://distfiles.gentoo.org/distfiles/rkhunter-1.2.7.tar.gz http://distro.ibiblio.org/pub/Linux/distributions/gentoo/distfiles/rkhunter-1.2.7.tar.gz http://downloads.rootkit.nl/rkhunter-1.2.7.tar.gz
Re: Настройка iptables для начинающих.
Да и еще по поводу сброса правил.
Опять же лучше использовать
# Удаление правил
$IPT -F
$IPT -t nat -F
$IPT -t mangle -F
# Очищаем нестандартные правила
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X
Опять же лучше использовать
# Удаление правил
$IPT -F
$IPT -t nat -F
$IPT -t mangle -F
# Очищаем нестандартные правила
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X
Чтение man'нов в слух ещЁ никому не помогало!...
kernel 4.2
chmod -x `which chmod`
War, war never changes...
kernel 4.2
chmod -x `which chmod`
War, war never changes...
Re: Настройка iptables для начинающих.
Объединил все выше сказанное в один скрипт.
Надо тестировать.
Это не конечный продукт, а версия для тестирования. Так что для использования не рекомендуется.
Работоящия версия выше.
Надо тестировать.
Спасибо, так как я ничего не понимаю в выше сказаном, буду использовать конечный продукт
Это не конечный продукт, а версия для тестирования. Так что для использования не рекомендуется.
Работоящия версия выше.
O Fortuna
velut luna
velut luna
Re: Настройка iptables для начинающих.
Спасибо, так как я ничего не понимаю в выше сказаном, буду использовать конечный продукт
Sonic добавил в 16.08.2005 15:28
Исчез, мистика
Sonic добавил в 16.08.2005 15:36
Да мне всё-равно. Не сервер пентагона.
Sonic добавил в 16.08.2005 15:28
Исчез, мистика
Sonic добавил в 16.08.2005 15:36
(Morda @ Вторник, 16 Августа 2005, 19:25) писал(а):Это не конечный продукт, а версия для тестирования. Так что для использования не рекомендуется.
Да мне всё-равно. Не сервер пентагона.
LinuxForum.ru :: Форум пользователей ОС Linux
Re: Настройка iptables для начинающих.
(Sonic @ Вторник, 16 Августа 2005, 19:36) писал(а):Спасибо, так как я ничего не понимаю в выше сказаном, буду использовать конечный продукт
Sonic добавил в 16.08.2005 15:28
Исчез, мистика
Sonic добавил в 16.08.2005 15:36
(Morda @ Вторник, 16 Августа 2005, 19:25) писал(а):Это не конечный продукт, а версия для тестирования. Так что для использования не рекомендуется.
Да мне всё-равно. Не сервер пентагона.
Я прочто не знаю, работает она или нет.
Повторяю второй раз:
А как относитесь к тому, чтобы написать на Shell небольшой установшик, где можно просто выбрать, что открыть, а что нет. На этом основание и будет генерироваться скрипт инициализации.
Morda добавил в 16.08.2005 16:42
Можно добавить действие log или ulog для журналирования отброшенных пакетов.
Думаю лучше использовать ulog, так как он предоставляет возможность журналирования пакетов в пользовательское пространство.
O Fortuna
velut luna
velut luna
Re: Настройка iptables для начинающих.
(Morda @ Вторник, 16 Августа 2005, 16:42) писал(а):Повторяю второй раз:
А как относитесь к тому, чтобы написать на Shell небольшой установшик, где можно просто выбрать, что открыть, а что нет. На этом основание и будет генерироваться скрипт инициализации.
shorewall ? +) или как там его
Может не стоит изобретать велосипед?
Чтение man'нов в слух ещЁ никому не помогало!...
kernel 4.2
chmod -x `which chmod`
War, war never changes...
kernel 4.2
chmod -x `which chmod`
War, war never changes...
Re: Настройка iptables для начинающих.
Дабавил журналирование с помощю ULOGD. Log пишет пакеты в системный журнал, поэтому чтобы их там не искать, лучше пользоватся ulogd. Кстати, а ulogd есть во всех дистрибутивах?
Есле нет, то лучше пользоватся log, можно просто написать скрипт, который будет вытаскивать логи из системного журнала и помещать их в определенный файл.
Есле нет, то лучше пользоватся log, можно просто написать скрипт, который будет вытаскивать логи из системного журнала и помещать их в определенный файл.
O Fortuna
velut luna
velut luna
Re: Настройка iptables для начинающих.
Предлогаю просто писать изменения прям в форуме =). что бы каждый раз не качать.
Актуально если инет через VPN
#Для VPN
iptables -A INPUT -p 47 -m state --state ESTABLISHED,RELATED -i $INET_IFACE -j ACCEPT
iptables -A OUTPUT -p TCP --dport 1723 -o eth0 -j ACCEPT
iptables -A OUTPUT -p 47 -o eth0 -j ACCEPT
Актуально если инет через VPN
#Для VPN
iptables -A INPUT -p 47 -m state --state ESTABLISHED,RELATED -i $INET_IFACE -j ACCEPT
iptables -A OUTPUT -p TCP --dport 1723 -o eth0 -j ACCEPT
iptables -A OUTPUT -p 47 -o eth0 -j ACCEPT
Чтение man'нов в слух ещЁ никому не помогало!...
kernel 4.2
chmod -x `which chmod`
War, war never changes...
kernel 4.2
chmod -x `which chmod`
War, war never changes...
Re: Настройка iptables для начинающих.
(TuLiss @ Вторник, 16 Августа 2005, 21:45) писал(а):Предлогаю просто писать изменения прям в форуме =). что бы каждый раз не качать.
Актуально если инет через VPN
#Для VPN
iptables -A INPUT -p 47 -m state --state ESTABLISHED,RELATED -i $INET_IFACE -j ACCEPT
iptables -A OUTPUT -p TCP --dport 1723 -o eth0 -j ACCEPT
iptables -A OUTPUT -p 47 -o eth0 -j ACCEPT
Это включю в скрипт, но надо добавить правила для разрешения http, pop, imap, ftp, серверов, БД postgresql, mysql, пейджеров isq, msn, и т. д. Как я писал выше у меня этого нет, поэтому,
я не могу проверить правила. Но надеюсь мир не без добрых людей?
Morda добавил в 16.08.2005 18:35
Вроде-бы необходимо для поддержка динамического IP, (при использовании SLIP, PPP или DHCP)
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
Хотя ip у меня динамический я этим не пользуюсь.
O Fortuna
velut luna
velut luna
Re: Настройка iptables для начинающих.
(Morda @ Вторник, 16 Августа 2005, 18:35) писал(а):echo "1" > /proc/sys/net/ipv4/ip_dynaddr
Хотя ip у меня динамический я этим не пользуюсь.
Сомнительно. Думаю пока включать не стоит =)
далее читал (нет ну мало ли)
http://linuxportal.ru/entry.php/1730_0_3_0_C/
Скрипт в сетку к нам закинул, уж не знаю протестирует ли кто.
По поводу сервисов , я же писал. Или в дебиан такого файла нет? +)
P.S Можно было бы еще ntp открыть =)
Чтение man'нов в слух ещЁ никому не помогало!...
kernel 4.2
chmod -x `which chmod`
War, war never changes...
kernel 4.2
chmod -x `which chmod`
War, war never changes...
Re: Настройка iptables для начинающих.
# ------------------------------------------------------------ ------
# HTTP сервер (80)
# ----------------
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 80 --sport $UNPRIVPORTS -j ACCEPT
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport $UNPRIVPORTS --sport 80 -j ACCEPT ! --syn
# ------------------------------------------------------------ ------
# HTTPS сервер (443)
# ------------------
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 443 --sport $UNPRIVPORTS -j ACCEPT
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport $UNPRIVPORTS --sport 43 -j ACCEPT ! --syn
# ------------------------------------------------------------ ------
# MySQL сервер (3306)
# -------------------
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 3306 --sport $UNPRIVPORTS -j ACCEPT
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport $UNPRIVPORTS --sport 3306 -j ACCEPT ! --syn
# ------------------------------------------------------------ ------
# IMAP сервер (143)
# -----------------
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 143 --sport $UNPRIVPORTS -j ACCEPT
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport $UNPRIVPORTS --sport 143 -j ACCEPT ! --syn
# ------------------------------------------------------------ ------
# PostgreSQL сервер (5432)
# -----------------
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 5432 --sport $UNPRIVPORTS -j ACCEPT
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport $UNPRIVPORTS --sport 5432 -j ACCEPT ! --syn
Тестируйте.
Morda добавил в 17.08.2005 06:28
Скрипт для vpn.
Позволяет запускать vpn:
vpn start
vpn stop
Думаю лучше оставить одним скриптом, хотя можно и соедтнить со скриптом itables.
# HTTP сервер (80)
# ----------------
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 80 --sport $UNPRIVPORTS -j ACCEPT
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport $UNPRIVPORTS --sport 80 -j ACCEPT ! --syn
# ------------------------------------------------------------ ------
# HTTPS сервер (443)
# ------------------
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 443 --sport $UNPRIVPORTS -j ACCEPT
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport $UNPRIVPORTS --sport 43 -j ACCEPT ! --syn
# ------------------------------------------------------------ ------
# MySQL сервер (3306)
# -------------------
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 3306 --sport $UNPRIVPORTS -j ACCEPT
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport $UNPRIVPORTS --sport 3306 -j ACCEPT ! --syn
# ------------------------------------------------------------ ------
# IMAP сервер (143)
# -----------------
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 143 --sport $UNPRIVPORTS -j ACCEPT
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport $UNPRIVPORTS --sport 143 -j ACCEPT ! --syn
# ------------------------------------------------------------ ------
# PostgreSQL сервер (5432)
# -----------------
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 5432 --sport $UNPRIVPORTS -j ACCEPT
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport $UNPRIVPORTS --sport 5432 -j ACCEPT ! --syn
Тестируйте.
Morda добавил в 17.08.2005 06:28
Скрипт для vpn.
Позволяет запускать vpn:
vpn start
vpn stop
Думаю лучше оставить одним скриптом, хотя можно и соедтнить со скриптом itables.
O Fortuna
velut luna
velut luna
- Angel_13th
- Сообщения: 1164
- Статус: ...-oo=ll=oo-...
- ОС: Gentoo
Re: Настройка iptables для начинающих.
Люди подскажите как сделать Маскардинг или форвардинг на порты 25, 110, 6667. что бы пропускал только эти порты.
WorkStation Ubuntu 10.10 on Fujitsu-Siemens Amilo Pro 3545
Re: Настройка iptables для начинающих.
(Angel_13th @ Среда, 17 Августа 2005, 12:27) писал(а):Люди подскажите как сделать Маскардинг или форвардинг на порты 25, 110, 6667. что бы пропускал только эти порты.
Вроде так:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A FORWARD -p tcp -j REDIRECT --to-port 25
iptables -A FORWARD -p tcp -j REDIRECT --to-port 110
iptables -A FORWARD -p tcp -j REDIRECT --to-port 6667
Morda добавил в 17.08.2005 09:19
Для фильтрации неправильных пакетов:
$IPT -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
И еще, можно уменьшить скрипт путем создания собственных цепочек:
# Создаем цепочки
$IPT -N tcp_packets
$IPT -N udp_packets
$IPT -N icmp_packets
$IPT -N allowed
# Направляем пакеты на соответствующие цепочки
# Для TCP пакетов
$IPT -A INPUT -p tcp -j tcp_packets
$IPT -A FORWARD -p tcp -j tcp_packets
$IPT -A OUTPUT -p tcp -j tcp_packets
# Для UDP пакетов
$IPT -A INPUT -p udp -j udp_packets
$IPT -A FORWARD -p udp -j udp_packets
$IPT -A OUTPUT -p udp -j udp_packets
# Для ICMP пакетов
$IPT -A INPUT -p icmp -j icmp_packets
$IPT -A FORWARD -p icmp -j icmp_packets
$IPT -A OUTPUT -p icmp -j icmp_packets
# И дальше добавляем правила, например:
# SMTP клиент (порт 25)
$IPT -A tcp_packet -p tcp -m tcp -o $INET_IFACE --dport 25 --sport 1024:65535 -j allowed
$IPT -A tcp_packet -p tcp -m tcp -i $INET_IFACE --dport 1024:65535 --sport 25 -j allowed ! --syn
# Остальное в этой цепочке сбрасываем
$IPT -A tcp_packet -j DROP
# Цепочка allowed
# Отбрасывать все пакеты, которые не могут быть идентифицированы и поэтому не могут иметь определенного статуса.
$IPT -A allowed -m state --state INVALID -j DROP
# Принимать все пакеты, которые инициированы из уже установленного соединения, и имеющим признак ESTABLISHED.
# Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении.
$IPT -A allowed -m state --state ESTABLISHED,RELATED -j ACCEPT
# Все, что осталось сбрасываем.
$IPT -A allowed -j DROP
Только почему-то это у меня не работает. <_<
O Fortuna
velut luna
velut luna
Re: Настройка iptables для начинающих.
Morda добавил в 17.08.2005 06:28
Скрипт для vpn.
Позволяет запускать vpn:
vpn start
vpn stop
Думаю лучше оставить одним скриптом, хотя можно и соедтнить со скриптом itables.
[quote]
Со всеми копирайтами скрипт лежит тут =) + дока как юзать
VPN
Скрипт для vpn.
Позволяет запускать vpn:
vpn start
vpn stop
Думаю лучше оставить одним скриптом, хотя можно и соедтнить со скриптом itables.
[quote]
Со всеми копирайтами скрипт лежит тут =) + дока как юзать
VPN
Чтение man'нов в слух ещЁ никому не помогало!...
kernel 4.2
chmod -x `which chmod`
War, war never changes...
kernel 4.2
chmod -x `which chmod`
War, war never changes...
Re: Настройка iptables для начинающих.
Сейчас надо-бы ужать скрипт с помощю пользовательских цепочек, чтобы не писать одно и тоже правило два раза.
Morda добавил в 17.08.2005 11:42
Выкладываю пилотную версию с пользовательскими цепочками.
Она почемута неработает. Вроде все правильно делаю. Смотрите, может найдете ошибки.
Morda добавил в 17.08.2005 11:42
Выкладываю пилотную версию с пользовательскими цепочками.
Она почемута неработает. Вроде все правильно делаю. Смотрите, может найдете ошибки.
O Fortuna
velut luna
velut luna
Re: Настройка iptables для начинающих.
(Morda @ Среда, 17 Августа 2005, 11:42) писал(а):Она почемута неработает. Вроде все правильно делаю. Смотрите, может найдете ошибки.
Что именно не работае то?
А то так каждую строчку проверять мозг поедит
Чтение man'нов в слух ещЁ никому не помогало!...
kernel 4.2
chmod -x `which chmod`
War, war never changes...
kernel 4.2
chmod -x `which chmod`
War, war never changes...
Re: Настройка iptables для начинающих.
Пакеты вообще не идут. Правила взял из старой версии, практически не изменял их.
O Fortuna
velut luna
velut luna
Re: Настройка iptables для начинающих.
По поводу гуйной морды, я поначалу юзал kmyfirewall.
Терь по поводу скриптов, интересно: неокторые правила себе добавил, но...
некоторые моменты мне не показались нецелесообразными, а именно: у вас там порты разрешены каждый в новом правиле, хорошо когда пару сетей и соответсвенно пара правил для них, но допустим есть список сетей ( в моем случае список ua-ix, в среднем порядка 600-620 сетей) и не хочется это чтоб буржуи из за бугра не лезли к вам на комп(у кого выделенка и траф тарифицируется как росийский и мировой меня поймут), получается что на каждую сеть на один порт новое правило, а допустим у меня 5 разрешенных потов для ua-ix'a...оно будет мне генерить более 3000 правил! порядка тормозит машину...бред полный. Проще ghbvtybnm -m multiport в моем случае это выглядит так
и список сетей лежит в файле /etc/netip/ua-ix.ip, который каждый час закачивается обновляется по крону а за ним и запускается мой скрипт
диапазон адресов каждой сети начинается с новой строчки, в результате работы скрипта правил столько же сколько и сетей
И вопрос по поводу ослика.... мне выдает LowID, из за правил. Кто знает как решить пишите.
Слушаю ваши замечания по поводу настроек
Терь по поводу скриптов, интересно: неокторые правила себе добавил, но...
некоторые моменты мне не показались нецелесообразными, а именно: у вас там порты разрешены каждый в новом правиле, хорошо когда пару сетей и соответсвенно пара правил для них, но допустим есть список сетей ( в моем случае список ua-ix, в среднем порядка 600-620 сетей) и не хочется это чтоб буржуи из за бугра не лезли к вам на комп(у кого выделенка и траф тарифицируется как росийский и мировой меня поймут), получается что на каждую сеть на один порт новое правило, а допустим у меня 5 разрешенных потов для ua-ix'a...оно будет мне генерить более 3000 правил! порядка тормозит машину...бред полный. Проще ghbvtybnm -m multiport в моем случае это выглядит так
Код: Выделить всё
#ua-ix rules
UA=$(egrep -v "^<|^[:blank:]*$" /etc/netip/ua-ix.ip)
for i in ${UA}; do
/sbin/iptables -A INPUT -p tcp -s ${i} -m multiport --destination-port 21,22,80,443 -j ACCEPT
done
и список сетей лежит в файле /etc/netip/ua-ix.ip, который каждый час закачивается обновляется по крону а за ним и запускается мой скрипт
Код: Выделить всё
0 * * * * rm /etc/netip/ua-ix.ip && links2 -dump http://dg.ip.net.ua/list.html >>/etc/netip/ua-ix.ip && /root/iptables.sh
диапазон адресов каждой сети начинается с новой строчки, в результате работы скрипта правил столько же сколько и сетей
И вопрос по поводу ослика.... мне выдает LowID, из за правил. Кто знает как решить пишите.
Слушаю ваши замечания по поводу настроек
Re: Настройка iptables для начинающих.
(CuB @ Четверг, 18 Августа 2005, 19:27) писал(а): /sbin/iptables -A INPUT -p tcp -s ${i} -m multiport --destination-port 21,22,80,443 -j ACCEPT
так на всякий случий, а не до 15 портов можно указывать?
Чтение man'нов в слух ещЁ никому не помогало!...
kernel 4.2
chmod -x `which chmod`
War, war never changes...
kernel 4.2
chmod -x `which chmod`
War, war never changes...
Re: Настройка iptables для начинающих.
Еще одна рабочая версия. На цепочки пока забил. А так вроде все работает.
O Fortuna
velut luna
velut luna
Re: Настройка iptables для начинающих.
Чесно говоря сколько можно максимум не имею ни малейшего понятия.(TuLiss @ Пятница, 19 Августа 2005, 7:43) писал(а):так на всякий случий, а не до 15 портов можно указывать?
Но мне так гораздо проще чем делать 4-5 циклов с одним значением -dport, да и правил гораздо меньше выходит
Код: Выделить всё
> iptables -L |wc -l
645
2Morda: и все таки, почему бы не пихать порты в одно правило? (твой скрипт 159-163 строки) правила одни и те же, -m multiport стоит тоже, не проще зделать
Код: Выделить всё
$IPT -A INPUT -p tcp -m tcp -m multiport -i $INET_IFACE -j DROP --dports 915,925,783,3310,10000
Re: Настройка iptables для начинающих.
(CuB @ Пятница, 19 Августа 2005, 15:45) писал(а):2Morda: и все таки, почему бы не пихать порты в одно правило? (твой скрипт 159-163 строки) правила одни и те же, -m multiport стоит тоже, не проще зделать
ведь уменьшается количество правил, в следствии чего увеличивается скорость с которой пакет проходит/не проходит через firewallКод: Выделить всё
$IPT -A INPUT -p tcp -m tcp -m multiport -i $INET_IFACE -j DROP --dports 915,925,783,3310,10000
Я это писал еще на первой странице:
Это для простоты редактирования, например:
# POP3 клиент (110)
$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 110 --sport $UNPRIPORTS -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 110 -j ACCEPT ! --syn
# IMAP4 клиент (143)
#$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 143 --sport $UNPRIPORTS -j ACCEPT
#$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 143 -j ACCEPT ! --syn
O Fortuna
velut luna
velut luna
Re: Настройка iptables для начинающих.
насчет таких правил согласен, хотел привести пример на праивлах для самбы с твоего скрипта, и стало интересно что за -m tcp ? для чего оно?
а по поводу примера...если зделать с
$IPT -A OUTPUT -p tcp -m multiport -o $INET_IFACE --dport $UNPRIPORTS --sport 137,138,139 -j ACCEPT
$IPT -A OUTPUT -p udp -m multiport -o $INET_IFACE --dport $UNPRIPORTS --sport 137,138,139 -j ACCEPT
неужели трудно будет редактировать?а правил то меньше
а по поводу примера...если зделать с
$IPT -A OUTPUT -p tcp -m multiport -o $INET_IFACE --dport $UNPRIPORTS --sport 137,138,139 -j ACCEPT
$IPT -A OUTPUT -p udp -m multiport -o $INET_IFACE --dport $UNPRIPORTS --sport 137,138,139 -j ACCEPT
неужели трудно будет редактировать?а правил то меньше
Re: Настройка iptables для начинающих.
(CuB @ Пятница, 19 Августа 2005, 16:09) писал(а):насчет таких правил согласен, хотел привести пример на праивлах для самбы с твоего скрипта, и стало интересно что за -m tcp ? для чего оно?
а по поводу примера...если зделать с
$IPT -A OUTPUT -p tcp -m multiport -o $INET_IFACE --dport $UNPRIPORTS --sport 137,138,139 -j ACCEPT
$IPT -A OUTPUT -p udp -m multiport -o $INET_IFACE --dport $UNPRIPORTS --sport 137,138,139 -j ACCEPT
неужели трудно будет редактировать?а правил то меньше
Упсссссс. Ошибаются все.
Существуют неявные критерии, точнее, те критерии, которые подгружаются неявно и становятся доступны, например при -p --protocol или -m --match. На сегодняшний день существует три автоматически подгружаемых расширения, это TCP критерии, UDP критерии и ICMP критерии (при построении своих правил я столкнулся с необходимостью явного указания ключа -m tcp, т.е. о неявности здесь говорить не приходится) Загрузка этих расширений может производиться и явным образом с помощью ключа -m, -match, например -m tcp.
O Fortuna
velut luna
velut luna
Re: Настройка iptables для начинающих.
Я это писал еще на первой странице:
Это для простоты редактирования, например:
А что если сделать переменные?
Сделать переменную на правило. А потом уже к нему обовлять порты?
=)
Да и потом, может в отдельную переменную вынести ip домашних сетей?
потом, про пинг. 1 правило отбрасывать пакеты.
Второе пинг с ограничением, это правило не сработает, так как 1 правило этого не допустит.
Пинги лучше разрешать. Вообще дурной тон, запрет пингов.
Чтение man'нов в слух ещЁ никому не помогало!...
kernel 4.2
chmod -x `which chmod`
War, war never changes...
kernel 4.2
chmod -x `which chmod`
War, war never changes...
Re: Настройка iptables для начинающих.
Morda, благодарю за обьяснение. Буду знать. И вот еще, может кому то интересно... http://www.opennet.ru/base/net/iptables_treasures.txt.html ...
Re: Настройка iptables для начинающих.
(TuLiss @ Пятница, 19 Августа 2005, 16:56) писал(а):Я это писал еще на первой странице:
Это для простоты редактирования, например:
А что если сделать переменные?
Сделать переменную на правило. А потом уже к нему обовлять порты?
=)
Так?
PORTS="1,2,3,4,5"
$IPT -A OUTPUT -p tcp -m multiport -o $INET_IFACE --dport $PORTS --sport $UNPRIPORTS -j ACCEPT
$IPT -A INPUT -p tcp -m multiport -i $INET_IFACE --dport $UNPRIPORTS --sport $PORTS -j ACCEPT ! --syn
O Fortuna
velut luna
velut luna
Re: Настройка iptables для начинающих.
(Morda @ Пятница, 19 Августа 2005, 14:03) писал(а):Так?
PORTS="1,2,3,4,5"
$IPT -A OUTPUT -p tcp -m multiport -o $INET_IFACE --dport $PORTS --sport $UNPRIPORTS -j ACCEPT
$IPT -A INPUT -p tcp -m multiport -i $INET_IFACE --dport $UNPRIPORTS --sport $PORTS -j ACCEPT ! --syn
Ну да.
На самом деле респект тебе. Я сам такую шнягу давно хотел забаянить =) все руки не доходили.
Чтение man'нов в слух ещЁ никому не помогало!...
kernel 4.2
chmod -x `which chmod`
War, war never changes...
kernel 4.2
chmod -x `which chmod`
War, war never changes...