Firewall на vpn(корбина-москва) (Как смотреть логи и закрывает ли он все дыры?)

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС для молодых и начинающих системных администраторов.

Модератор: SLEDopit

Аватара пользователя
rolph
Сообщения: 111
ОС: OpenSUSE 11.1

Firewall на vpn(корбина-москва)

Сообщение rolph »

Нашел на форуме корбины скрипт фаервола.
Скажите, пожалуйста, обеспечит ли он защиту и закроет ли возможные дыры?
И где можно посмотреть логи? Или надо добавить какой-нибудь параметр?

Спасибо

Собсно сам скрипт:

Код: Выделить всё

#!/bin/sh

#iptaibles rules for NAT

#ifaces:
LO_IFACE="lo"
LO_IP="127.0.0.1"

INET_IFACE="ppp0"

LAN_IFACE="eth0"

MY_NET="eth1"
LOCAL_NET="192.168.0.0/24"

iptables="/usr/sbin/iptables"

# Очищаем таблицы.
#
$iptables -F
$iptables -t nat -F
$iptables -t mangle -F
$iptables -X

#INPUT:
$iptables -P INPUT DROP
#Разрешаем пинг:
$iptables -A INPUT -p icmp -j ACCEPT
#Разрешаем loopback
$iptables -A INPUT -i $LO_IFACE -j ACCEPT
#Разрешаем входящие запросы на роутер с локальной сети
$iptables -A INPUT -s $LOCAL_NET -i $MY_NET -j ACCEPT
#разрешаем входящие пакеты от установленных соединений:
$iptables -A INPUT -i $LAN_IFACE --match state --state ESTABLISHED -j ACCEPT
#тоже самое для ppp0:
$iptables -A INPUT -i $INET_IFACE --match state --state ESTABLISHED -j ACCEPT

#FORWARD:
$iptables -P FORWARD DROP
#включаем фрагментацию пакетов(из-за разницы mtu у интерфейсов eth0 и ppp0)
$iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
#разрешаем пинги:
$iptables -A FORWARD -p icmp -j ACCEPT
#разрешаем все пакеты из локальной сети
$iptables -A FORWARD -i $MY_NET -j ACCEPT
# разрешаем пакеты извне в локальную сеть только для уже установленных соединений:
$iptables -A FORWARD -i $INET_IFACE -d $LOCAL_NET --match state --state ESTABLISHED -j ACCEPT
$iptables -A FORWARD -i $LAN_IFACE -d $LOCAL_NET --match state --state ESTABLISHED -j ACCEPT

#OUTPUT:
$iptables -P OUTPUT DROP
#разрешаем пинги:
$iptables -A OUTPUT -p icmp -j ACCEPT
#разрешаем Loopback
$iptables -A OUTPUT -o $LO_IFACE -j ACCEPT
#разрешаем трафик в локальную сеть
$iptables -A OUTPUT -d $LOCAL_NET -o $MY_NET -j ACCEPT
#разрешаем установку и поддержание соеденений с интерфейсов eth0 и ppp0
$iptables -A OUTPUT -o $LAN_IFACE --match state --state NEW,ESTABLISHED -j ACCEPT
$iptables -A OUTPUT -o $INET_IFACE --match state --state NEW,ESTABLISHED -j ACCEPT

# Маскируем адреса
$iptables -t nat -A POSTROUTING -s $LOCAL_NET -o $LAN_IFACE -j MASQUERADE
$iptables -t nat -A POSTROUTING -s $LOCAL_NET -o $INET_IFACE -j MASQUERADE
OpenSUSE 11.1 x86_64 / Ubuntu 9.04 / gnome 2.26.1
Спасибо сказали:

Parus95
Сообщения: 64
ОС: OpenSuSE 11.1 и Gentoo

Re: Firewall на vpn(корбина-москва)

Сообщение Parus95 »

rolph писал(а):
24.02.2009 19:21
Скажите, пожалуйста, обеспечит ли он защиту и закроет ли возможные дыры?
И где можно посмотреть логи? Или надо добавить какой-нибудь параметр?

Спасибо

Собсно сам скрипт:

нет, этот скрипт служит для раздачи инета по своей локалке.
Логов не ведётся ибо не ведётся.
Мой блог на twitter на blogspot
ВКонтакте - самый посещаемый сайт в России и Украине.
А я-то думал что гугл - самый посещаемый сайт:(
Спасибо сказали:

IMB
Сообщения: 2501
ОС: Debian

Re: Firewall на vpn(корбина-москва)

Сообщение IMB »

rolph писал(а):
24.02.2009 19:21
Скажите, пожалуйста, обеспечит ли он защиту и закроет ли возможные дыры?

Вопрос изначально поставлен не верно. Вы не сообщили организацию Вашей сети и работающие сервисы.
Спасибо сказали:

Аватара пользователя
rolph
Сообщения: 111
ОС: OpenSUSE 11.1

Re: Firewall на vpn(корбина-москва)

Сообщение rolph »

IMB писал(а):
24.02.2009 21:45
rolph писал(а):
24.02.2009 19:21
Скажите, пожалуйста, обеспечит ли он защиту и закроет ли возможные дыры?

Вопрос изначально поставлен не верно. Вы не сообщили организацию Вашей сети и работающие сервисы.

В виду моего малого опыта в линухе, я думал, что данный скрипт поможет закрыть просто бреши на компьютере, который просто подключен к интернету через vpn.
А оказалось, данный скрипт для раздачи инета
OpenSUSE 11.1 x86_64 / Ubuntu 9.04 / gnome 2.26.1
Спасибо сказали:

Аватара пользователя
xtty
Сообщения: 182
Статус: Развожу чертенков и пингвинов
ОС: Linux

Re: Firewall на vpn(корбина-москва)

Сообщение xtty »

А какие именно дыры то нужно закрыть ? А что мешает просто написать свое правила и не париться ....Закрой то что не нужно и открой то что нужно...вот и все ...
Gentoo 2014

Спасибо сказали:

Аватара пользователя
danger08
Сообщения: 715
ОС: Linux (CentOS, Ubuntu)

Re: Firewall на vpn(корбина-москва)

Сообщение danger08 »

rolph писал(а):
24.02.2009 22:49
IMB писал(а):
24.02.2009 21:45
rolph писал(а):
24.02.2009 19:21
Скажите, пожалуйста, обеспечит ли он защиту и закроет ли возможные дыры?

Вопрос изначально поставлен не верно. Вы не сообщили организацию Вашей сети и работающие сервисы.

В виду моего малого опыта в линухе, я думал, что данный скрипт поможет закрыть просто бреши на компьютере, который просто подключен к интернету через vpn.
А оказалось, данный скрипт для раздачи инета

Вам нужен толковый мануал по IPTables для начинающих, например от Оскара Андреассона в переводе Киселева.
Там вроде все доступно расписано, с примерами.
Блогосайт - http://www.fateyev.com
Спасибо сказали:

Аватара пользователя
rolph
Сообщения: 111
ОС: OpenSUSE 11.1

Re: Firewall на vpn(корбина-москва)

Сообщение rolph »

danger08 писал(а):
25.02.2009 12:08
rolph писал(а):
24.02.2009 22:49
IMB писал(а):
24.02.2009 21:45
rolph писал(а):
24.02.2009 19:21
Скажите, пожалуйста, обеспечит ли он защиту и закроет ли возможные дыры?

Вопрос изначально поставлен не верно. Вы не сообщили организацию Вашей сети и работающие сервисы.

В виду моего малого опыта в линухе, я думал, что данный скрипт поможет закрыть просто бреши на компьютере, который просто подключен к интернету через vpn.
А оказалось, данный скрипт для раздачи инета

Вам нужен толковый мануал по IPTables для начинающих, например от Оскара Андреассона в переводе Киселева.
Там вроде все доступно расписано, с примерами.

Спасибо, почитаю.
Плюс нашел в википедии нормальный перевод.
OpenSUSE 11.1 x86_64 / Ubuntu 9.04 / gnome 2.26.1
Спасибо сказали:

marentan
Сообщения: 5

Re: Firewall на vpn(корбина-москва)

Сообщение marentan »

danger08, спасибо за мануал, помогло.
знакомства в москве

kernel 4.2
chmod -x `which chmod`
War, war never changes...
Спасибо сказали: