iptables настройка

Knoppix

Модераторы: Warderer, Модераторы разделов

xamSww
Сообщения: 1

iptables настройка

Сообщение xamSww »

Доброго времени суток

По не обходимости приходится использывать vpn
посоветовали настроить файрвол что бы мимо не чего не проходило
вот тут по как сылки делаю ,после перезагрузки все возвращается на исходную
https://wiki.debian.org/iptables

вот что получается

Код: Выделить всё

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
REJECT     all  --  anywhere             loopback/8           reject-with icmp-port-unreachable
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere             state NEW tcp dpt:ssh
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request
LOG        all  --  anywhere             anywhere             limit: avg 5/min burst 5 LOG level debug prefix "iptables denied: "
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

и вообще вызывает сомнения что я правельно делаю ,посоветуйте правельную таблицу
Спасибо сказали:
Вернуться к началу
HorekRediskovich
Сообщения: 125

Re: iptables настройка

Сообщение HorekRediskovich »

Ну так там же вам сказано что надо сохранить правила:

Код: Выделить всё

 iptables-save > /etc/iptables.up.rules

потом сделать скрипт по пути /etc/network/if-pre-up.d/iptables с следующим содержимым

Код: Выделить всё

 #!/bin/sh
 /sbin/iptables-restore < /etc/iptables.up.rules

и дать права на запуск, всё

з.ы. при условии что вы это делаете на debian, так как наши штатные телепаты в летнем отпуске.
Спасибо сказали:
Вернуться к началу
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 21401
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: iptables настройка

Сообщение Bizdelnick »

HorekRediskovich писал(а):
07.07.2016 10:59
Ну так там же вам сказано что
there is a package designed to help with this: iptables-persistent
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще		в течение (часа)
новичок
нюанс
по умолчанию		приемлемо
проблема
пробовать
трафик
Спасибо сказали:
Вернуться к началу
Institut
Сообщения: 281
ОС: mint

Re: iptables настройка

Сообщение Institut »

xamSww
Если у Вас debian то поставте как Вам посоветовали пакет
iptables-persistent
.
Там у Вас в каталоге /etc/iptables/ появится два файла - для протокола Ipv4 - rules.v4 и для протокола ipv6 - rules.v6.
В указанной Вами ссылке также упоминается про iptables-persistent.
Пример файла rules.v4

Код: Выделить всё

# Completed on Mon Jul 21 10:14:09 2014
# Generated by iptables-save v1.4.14 on Mon Jul 21 10:14:09 2014
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT ! -d 127.0.2.0/24 -i lo -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 67:68 --dport 67:68 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 53 -j ACCEPT
COMMIT
# Completed on Mon Jul 21 10:14:09 2014
# Generated by iptables-save v1.4.14 on Mon Jul 21 10:14:09 2014


1.Я не рекомендую Вам использовать костыли в виде скриптов в сетевых интерфейсах, так как iptables-persistent - штатная служба,
и вы ВСЕГДА можете после изменений руками конфигов, например rules.v4 перезапустить службу iptables-persistent ( в убунте - netfilter--persistent),
которая сама и загрузит новые правила правила и ОЧИСТИТ ядро от старых правил.
2.Я не рекомендую использовать опцию reject - лучше drop.
3.Обычно первыми идут разрешающие правила, потом запрещающие, например в Вашем случае

Код: Выделить всё

ACCEPT     tcp  --  anywhere             anywhere             state NEW tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http (какой смысл в этом правиле?)
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https  (какой смысл в этом правиле?)
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
OG        all  --  anywhere             anywhere             limit: avg 5/min burst 5 LOG level debug prefix "iptables denied: "
REJECT     all  --  anywhere             anywhere             drop

4. Обычно указывают сетевой интерфейс, к которым эти правила применять.
5.
По не обходимости приходится использывать vpn
Укажите, какой vpn вы ипользуете, тк у рядя VPN свои порты \n
1194/TCP,UDP OpenVPN
1723 TCP PPTP - pptp Служба VPN в ОС Mac OS X Server
1721/TCP PPTP VPN (совместно с протоколом GRE 47
6.
и вообще вызывает сомнения что я правельно делаю ,посоветуйте правельную таблицу
Напишите свою операционную систему,
сетевые интерфейсы и какой vpn поднимали.
Тогда можно говорить и советовать правильную таблицу. :rolleyes:


Спасибо сказали:
Вернуться к началу

Вернуться в «Debian GNU/Linux»