Firewall (iptables) (хакер mustdie)
Модератор: Модераторы разделов
-
- Сообщения: 26
Firewall (iptables)
Помогите пожалуйста разобраться в том, как работает критерий limit и limit-burst в iptables. Документацию читал, но ни черта в ней не понял.
Помни! В километре 1000 метров (а не 1024)...
-
- Сообщения: 585
- Статус: Просто flook
Re: Firewall (iptables)
Все время бъется на промежутки опр. длины (параметр rate).
burst-number определяет макс. кол-во событий, которые могут произойти в каждый промежуток, но с тем условием, что каждое произошедшее событие уменьшает число разрешенных событий на след. промежуток, а каждое не произошедшее - увеличивает. На пальцах - так.
burst-number определяет макс. кол-во событий, которые могут произойти в каждый промежуток, но с тем условием, что каждое произошедшее событие уменьшает число разрешенных событий на след. промежуток, а каждое не произошедшее - увеличивает. На пальцах - так.
В каждом из нас спит гений... и с каждым днем все крепче...
-
- Сообщения: 383
- ОС: Debian Sid
Re: Firewall (iptables)
Под документацией имеловсь в виду- iptables-tutorial ( http://gazette.linux.ru.net/rus/articles/i...s-tutorial.html ) ?
А если в кратце, как описано в iptables-tutorial, критерий limit устанавливает максимальное количество пакетов пропускаемое через данное правило, за указанный временной интервал.
А если в кратце, как описано в iptables-tutorial, критерий limit устанавливает максимальное количество пакетов пропускаемое через данное правило, за указанный временной интервал.
-
- Сообщения: 585
- Статус: Просто flook
Re: Firewall (iptables)
Не просто максимальное число пакетов.
Тот алгоритм, который сидит внутри обеспечивает проход не более чем max*(1-time/tnt) пакетов за время time, позволяя непродолжительные "вспышки".
Тот алгоритм, который сидит внутри обеспечивает проход не более чем max*(1-time/tnt) пакетов за время time, позволяя непродолжительные "вспышки".
В каждом из нас спит гений... и с каждым днем все крепче...
-
- Сообщения: 26
Re: Firewall (iptables)
Так, построим вопрос по другому. Имеем:
iptables -P INPUT DROP
iptables -A INPUT -p TCP --dport 80 -m limit --limit 10/minute --limit-burst 100 -j ACCEPT
Это означает, что каждый пакет приходящий на 80 порт увеличивает счетчик (burst). Из этого-же счетчика каждую минуту вычитается 10 (--limit 10/minute). Пока счетчик не равен 100 (--limit-burst 100) приминяется -j ACCEPT.
А когда счетчик достигнет 100?
Или может я не прав в корне?
iptables -P INPUT DROP
iptables -A INPUT -p TCP --dport 80 -m limit --limit 10/minute --limit-burst 100 -j ACCEPT
Это означает, что каждый пакет приходящий на 80 порт увеличивает счетчик (burst). Из этого-же счетчика каждую минуту вычитается 10 (--limit 10/minute). Пока счетчик не равен 100 (--limit-burst 100) приминяется -j ACCEPT.
А когда счетчик достигнет 100?
Или может я не прав в корне?
Помни! В километре 1000 метров (а не 1024)...
-
- Сообщения: 585
- Статус: Просто flook
Re: Firewall (iptables)
ну не то чтобы каждую минуту. На самом деле на проверках вычитается (time - prev_time) / 10min * 10, но вобщем ты прав - каждую минуту вычитают 10.
В каждом из нас спит гений... и с каждым днем все крепче...
-
- Сообщения: 26
Re: Firewall (iptables)
Въехал таки!
Всем спасибо!
Тему можно закрыть.
Всем спасибо!
Тему можно закрыть.
Помни! В километре 1000 метров (а не 1024)...
-
- Сообщения: 26
Re: Firewall (iptables)
Это что-то клиническое. Не работает FTP через firewall (iptables). Точнее работает, но только в активном режиме. Подскажите, люди добрые, а то скоро с ума сойду.
iptables выставил так:
Еще, естественно, стоит трансляция адресов в табличке POSTROUTING
ip_nat_ftp, ip_conntrack_ftp подгружены.
iptables выставил так:
Код: Выделить всё
iptables -A FORWARD -p TCP -d 192.168.2.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p TCP -s 192.168.2.0/24 -m multiport --dport 20,21 -j ACCEPT
Еще, естественно, стоит трансляция адресов в табличке POSTROUTING
ip_nat_ftp, ip_conntrack_ftp подгружены.
Помни! В километре 1000 метров (а не 1024)...
-
- Сообщения: 585
- Статус: Просто flook
Re: Firewall (iptables)
Ессно в пассивном не пашет. В пассивном клиент коннектится не только на 21 и 22 порты
В каждом из нас спит гений... и с каждым днем все крепче...
-
- Сообщения: 26
Re: Firewall (iptables)
Всё. Посыпал голову пеплом. Всем спасибо.
Помни! В километре 1000 метров (а не 1024)...
-
- Сообщения: 161
Re: Firewall (iptables)
Доброго всем дня
Имеем сервер на AltLinux 2.3.
Два интерфейса: eth0 - xxx.xxx.xxx.1 - внешний, eth1 - yyy.yyy.yyy.1 - внутренний.
Имеется клиентская машина с адресом yyy.yyy.yyy.2 и игейтевеем yyy.yyy.yyy.1.
На сервере прописываем правило для SNAT:
iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source xxx.xxx.xxx.1
Все политики пока сделал ACCEPT.
Не работает NAT. Т.е. с клиентской машины пакеты не ходят во внешнюю сеть.
В чем может быть проблема?
Спасибо
Имеем сервер на AltLinux 2.3.
Два интерфейса: eth0 - xxx.xxx.xxx.1 - внешний, eth1 - yyy.yyy.yyy.1 - внутренний.
Имеется клиентская машина с адресом yyy.yyy.yyy.2 и игейтевеем yyy.yyy.yyy.1.
На сервере прописываем правило для SNAT:
iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source xxx.xxx.xxx.1
Все политики пока сделал ACCEPT.
Не работает NAT. Т.е. с клиентской машины пакеты не ходят во внешнюю сеть.
В чем может быть проблема?
Спасибо
Debian Sarge, Windows XP SP2
-
- Сообщения: 383
- ОС: Debian Sid
Re: Firewall (iptables)
(LSN @ Tuesday, 21 September 2004, 14:18) писал(а):Доброго всем дня
Имеем сервер на AltLinux 2.3.
Два интерфейса: eth0 - xxx.xxx.xxx.1 - внешний, eth1 - yyy.yyy.yyy.1 - внутренний.
Имеется клиентская машина с адресом yyy.yyy.yyy.2 и игейтевеем yyy.yyy.yyy.1.
На сервере прописываем правило для SNAT:
iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source xxx.xxx.xxx.1
Все политики пока сделал ACCEPT.
Не работает NAT. Т.е. с клиентской машины пакеты не ходят во внешнюю сеть.
В чем может быть проблема?
Спасибо
А если просто iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source xxx.xxx.xxx.1
т.е. не указывая tcp
-
- Сообщения: 1019
- Статус: Экс-металлюга
Re: Firewall (iptables)
а как насчет
echo 1 >/proc/sys/net/ipv4/ip_forward
сделано?
echo 1 >/proc/sys/net/ipv4/ip_forward
сделано?
ArchLinux / IceWM
-
- Сообщения: 161
Re: Firewall (iptables)
to madskull
Спасибо.
Забыл просто, что необходимо указывать про маршрутизацию пакетов в sysctl.conf.
Закрыто
Спасибо.
Забыл просто, что необходимо указывать про маршрутизацию пакетов в sysctl.conf.
Закрыто
Debian Sarge, Windows XP SP2
-
- Сообщения: 185
Re: Firewall (iptables)
Ну приветик всем !!
Решил я всётаки настроить fairwall
После того что я увидил в логах samba server :
И так где-то уже подвергаюсь дня 3 атакам ?
Ну больше нравится идея доверенных адрессов !
Вопрос как из dns адресса узнать ip адресс ??
Т.е. нужна прога(или т.п.) обратная dns серверу !!!
Чтобы я указал в firewall доверянные адресса !!
Спасибо !!!
Решил я всётаки настроить fairwall
После того что я увидил в логах samba server :
[2004/11/30 02:00:03, 0] lib/access.c:check_access(331)
Denied connection from (212.186.96.228)
[2004/11/30 02:30:09, 0] lib/access.c:check_access(331)
Denied connection from (4.8.78.249)
[2004/11/30 03:05:47, 0] lib/access.c:check_access(331)
Denied connection from (24.39.122.165)
[2004/11/30 03:34:07, 0] lib/access.c:check_access(331)
Denied connection from (211.59.34.76)
И так где-то уже подвергаюсь дня 3 атакам ?
Ну больше нравится идея доверенных адрессов !
Вопрос как из dns адресса узнать ip адресс ??
Т.е. нужна прога(или т.п.) обратная dns серверу !!!
Чтобы я указал в firewall доверянные адресса !!
Спасибо !!!
Gentoo Base System version 1.6.14
-
- Модератор
- Сообщения: 1056
- Статус: киберпИнгвин на гусеничном ходу
- ОС: Debian unstable
Re: Firewall (iptables)
Ты ничего не путаешь? Может тебе просто обратное преобразование провести надо? Тогда man host, man nslookup...
Читаю вслух с выражением маны - $50/ч + стоимость звонка. Настраиваю сервисы за Вас - $100/ч + стоимость выезда и проживания.
И восемь строк матом...(бесплатно)
И восемь строк матом...(бесплатно)
-
- Сообщения: 128
Re: Firewall (iptables)
Зачем лезть в дебри?
В smb.conf добавь строчку:
eth1 - сетевуха, смотрящая в локальную сеть.
А файрволл все равно нужен
В smb.conf добавь строчку:
Код: Выделить всё
interfaces = eth1
eth1 - сетевуха, смотрящая в локальную сеть.
А файрволл все равно нужен
Сами мы не местные...
-
- Сообщения: 185
Re: Firewall (iptables)
Может что - то и путаю !!!???
Пример: есть доменные адресса
http://www.linuxforum.ru
http://www.google.com.ua
И много др.
Как узнать их ip адресса ???
Вот собственно что мне и надо было???
Да !
Я бы добавил, но увы пока токо модемное соединение к internet
и локалка
Пример: есть доменные адресса
http://www.linuxforum.ru
http://www.google.com.ua
И много др.
Как узнать их ip адресса ???
Вот собственно что мне и надо было???
Да !
В smb.conf добавь строчку:
CODE
interfaces = eth1
eth1 - сетевуха, смотрящая в локальную сеть.
Я бы добавил, но увы пока токо модемное соединение к internet
и локалка
Gentoo Base System version 1.6.14
-
- Сообщения: 383
- ОС: Debian Sid
Re: Firewall (iptables)
(moodperson @ Среда, 01 Декабря 2004, 0:51) писал(а):Может что - то и путаю !!!???
Пример: есть доменные адресса
http://www.linuxforum.ru
http://www.google.com.ua
И много др.
Как узнать их ip адресса ???
Вот собственно что мне и надо было???
Да !
host www.linuxforum.ru
www.linuxforum.ru A 81.222.134.33
nslookup www.linuxforum.ru
В smb.conf добавь строчку:
CODE
interfaces = eth1
eth1 - сетевуха, смотрящая в локальную сеть.
Я бы добавил, но увы пока токо модемное соединение к internet
и локалка
Я чего то не понимаю - если нет eth1 добавь eth0
-
- Бывший модератор
- Сообщения: 749
- ОС: GNU/Linux
Re: Firewall (iptables)
(Vladislav @ Среда, 01 Декабря 2004, 9:31) писал(а):host www.linuxforum.ru
www.linuxforum.ru A 81.222.134.33
nslookup www.linuxforum.ru
я бы добавил что 'nslookup' deprecated (зд.: устарела) и пользоваться надо 'dig'.
-
- Бывший модератор
- Сообщения: 1571
- ОС: Cygwin
Re: Firewall (iptables)
Хм, я то всегда resolve пользуюсь.
-
- Бывший модератор
- Сообщения: 2199
- Статус: главный форумный маргинал
- ОС: gnu/linux
-
- Сообщения: 185
Re: Firewall (iptables)
Идея ping это неплохо - тепрь ip адресс не проблема !!!
Из одной большой проблемы вытекает куча малых .
Куча не куча а проблемма появилась следующая.
После создания правил для fairwall и настройки, при запуске скрипта fairwall(а)
получаю следуюющее:
как видно причина в
поначалу думал глюк из-за нового ядра - хотя на старом тоже самое
Значит дело не в ядре тогда в чем ????
Из одной большой проблемы вытекает куча малых .
Куча не куча а проблемма появилась следующая.
После создания правил для fairwall и настройки, при запуске скрипта fairwall(а)
получаю следуюющее:
Сбрасываются все текущие правила и пользовательские цепочки:
ipchains: Incompatible with this kernel
[ СБОЙ ]
Очищаются все текущие правила и пользовательские цепочки:
ipchains: Incompatible with this kernel
[ СБОЙ ]
Загружаются правила брандмауэра ipchains: [ ОК ]
как видно причина в
ipchains: Incompatible with this kernel
поначалу думал глюк из-за нового ядра - хотя на старом тоже самое
Значит дело не в ядре тогда в чем ????
Gentoo Base System version 1.6.14
-
- Бывший модератор
- Сообщения: 2749
- Статус: <3 Anime
- ОС: Gentoo Linux <3
Re: Firewall (iptables)
Может стоит поставить iptables а не ipchains???
-
- Бывший модератор
- Сообщения: 1571
- ОС: Cygwin
Re: Firewall (iptables)
(serg_sk @ Среда, 01 Декабря 2004, 21:12) писал(а):Может стоит поставить iptables а не ipchains???
Не можно, а нужно.
-
- Сообщения: 185
Re: Firewall (iptables)
А как насчёт толковой документации по iptables да и ещё бы и на русском
А то в нете искал кроме хлама и мути ничего толкового не нашёл
А то в нете искал кроме хлама и мути ничего толкового не нашёл
Gentoo Base System version 1.6.14
-
- Сообщения: 383
- ОС: Debian Sid
Re: Firewall (iptables)
(moodperson @ Четверг, 02 Декабря 2004, 3:35) писал(а):А как насчёт толковой документации по iptables да и ещё бы и на русском
А то в нете искал кроме хлама и мути ничего толкового не нашёл
http://www.opennet.ru/opennews/art.shtml?num=1602
-
- Сообщения: 193
- Статус: Кроме звезд
Re: Firewall (iptables)
я вот когда--то с линуксгазетты скачивал отличный док!! просто суперский..
Глубина, глубина, я не твой.. отпусти меня глубина..
-
- Сообщения: 185
Re: Firewall (iptables)
я вот когда--то с линуксгазетты скачивал отличный док!! просто суперский..
Имя сайта не подкинете - Спасибо !
Gentoo Base System version 1.6.14
-
- Сообщения: 383
- ОС: Debian Sid