Ramaloke Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Есть сервер (Linux Fedora Core 9), на который приходит инет, и который с помощью Сквида раздает интернет в локалку. Есть необходимость запуска WebMoney и других программ, которые не могу работать со Сквидом. Принял решение пробросить NAT (SNAT).     Сел изучать доку по Iptables 1.1.19, автор Oskar Andreasson.   Изучил, ознакомился, проникся душой.     Приступил к практике. И вот здесь овзник вопрос. Мне понравился вариант, который предлагает автор - вариант написания сценария типа rc.firewall, rc.DHCP.firewall и другие. И вносить изменения в таблицы через сценарий. Т.е. внес изменения в сценарий, перезапустил его и все уже пашет и педалит. Т.к. вносить изменения из консоли крайне неудобно т.к. имхо, можно запутаться и накосячить, а в сценарии удобочитаемый вид + туда можно скрипты добавлять для обработки полученных данных.     Собственно вопрос. Как этот сценарий, пусть он будет называться rc.iptables поместить в автозагрузку по запуску системы?   Вообще такой вариант внесения изменений в фаерволл нормальный (с помощью сценария, постановка сценария на автозапуск), с вашей точки зрения??? Всего записей: 90 | Зарегистр. 14-04-2006 | Отправлено: 14:12 15-10-2008

Ramaloke Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: В скрипте /etc/rc.d/init.d/iptables устанавливается переменная IPTABLES_DATA, ее значение - это путь к файлу с правилами. Например, по умолчанию /etc/sysconfig/iptables (не путать с /etc/sysconfig/iptables-config)     Вот в этот файл и будет правильно прописывать правила. Можно вручную, а можно с помощью утилиты system-config-securitylevel   Он скриптом моим туда и записывает (/etc/sysconfig/iptables). Я создаю переменную $ipt, через которую и записываю правила, типа: $iptables -A INPUT -p tcp -s 0/0 -j DROP   Я хочу чтобы при запуске системы он перезаписывал правила по этому скрипту (как бы рабочий на 100% вариант) - во избежание появления различных казусов. Поэтому путь по-умолчанию должен остаться, но перед этим он дожен запустить мой скрипт по записи правил )) Всего записей: 90 | Зарегистр. 14-04-2006 | Отправлено: 10:45 16-10-2008

Ramaloke Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Спасибо. Поэкспериментирую.   Еще такой вопрос. В различных источниках говорится, что фильтрация должна происходить только в таблице filter. В таблицах mangle и nat ее ни в коем случае делать нельзя. Т.е. политика по-умолчанию ACCEPT. С чем это связано? Просто ACCEPT подразумевает под собой пропуск всех и вся, если открыт тот же NAT. Всего записей: 90 | Зарегистр. 14-04-2006 | Отправлено: 10:28 17-10-2008

Ramaloke Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Не, я имею в виду, что политика по-умолчанию для таблиц nat и mangle ACCEPT. Для таблицы filter конечно же DROP. Всего записей: 90 | Зарегистр. 14-04-2006 | Отправлено: 02:02 18-10-2008

Ramaloke Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору aut Ммм, значит я неверно выразился, а омжет и неправильно допонял. В любом случае пакет проходит через какую-либо из чепочек в таблице filter, как вы и сказали. Т.е. если пакет не удовлетворяет ни одному из условий, то он дропается и к нему не применяются правила таблиц nat и mangle. Значит все отлично, защищены.   Но, вот смотрю я на рисунок (http://www.opennet.ru/docs/RUS/iptables/misc/iptables-tutorial/images/tables_traverse.jpg) и наверное что-то так и не допонимаю. Цепочку PREROUTING таблицы nat пакеты проходят до таблицы filter т.е. это пакеты которые nat'ом до нас дошли. Фильтрация будет на уровне протоколов, портов и мест назначения (если указано такое ограничение в правиле цепочке PREROUTING). Т.е. это нормальное положение вещей, я правильно понимаю??? Всего записей: 90 | Зарегистр. 14-04-2006 | Отправлено: 10:37 20-10-2008

Ramaloke Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Политику по-умолчанию DROP я делаю для цепочек INPUT, OUTPUT и FORWARD. Тем самым предусматриваю обо варианта прохождения пакета ))   Спасибо за разъяснение. Всего записей: 90 | Зарегистр. 14-04-2006 | Отправлено: 16:37 20-10-2008

sasku Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ramaloke Цитата: Как этот сценарий, пусть он будет называться rc.iptables поместить в автозагрузку по запуску системы?   Вообще такой вариант внесения изменений в фаерволл нормальный (с помощью сценария, постановка сценария на автозапуск), с вашей точки зрения???   или настраиваеш сценарий - запускаеш его - и   service iptables save - пожеш в конце сценария прописать и все   или сценарий (или его вызов) прописываеш в /etc/rc.d/rc.local   - это типа autoexec.bat Всего записей: 413 | Зарегистр. 30-05-2002 | Отправлено: 10:40 21-10-2008

Ramaloke Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: или настраиваеш сценарий - запускаеш его - и   service iptables save - пожеш в конце сценария прописать и все     Кстати, такой вот вопрос возник. При загрузке, iptables считывает данные с /etc/sysconfig/iptables. Т.е. если я запустив сценарий, не сделаю после iptables-save > /etc/sysconfig/iptables то после перезагрузки настройки сбрасываются. В iptables-config в пункте "сохранять значения после перезагрузки" стоит "нет" (из личных соображений).   В связи с чем хотелось бы узнать куда он помещает настройки "временные" после применения сценария? И это правило (iptables-save > /etc/sysconfig/iptables) и как следствие поведение iptables применимо к любой UNIX системе (при такой настройке iptables-config), или это в Linux Red Hat / Fedora такое??? Всего записей: 90 | Зарегистр. 14-04-2006 | Отправлено: 14:18 21-10-2008

ptaha Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ramaloke Да никуда он не помещает. Этот сценарий - фича редхата - прост набор команд для iptables. Iptables все свои настройки только в оперативке хранит. Когда ты выполняешь команду сохранения, скрипт просто сбрасывает текущие настройки iptables в файл в своем формате. А при загрузке системы скрипт эти настройки загружает в iptables - последовательным выполнением команды iptables с параметрами этого файла. Всего записей: 134 | Зарегистр. 16-01-2004 | Отправлено: 03:51 23-10-2008

Ramaloke Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору ptaha Т.е. если в Red Hat / Fedora можно не придумывать "финты ушами" для загрузки сценария при загрузке системы, то в других все же придется извращаться методами, которые подсказали выше? Всего записей: 90 | Зарегистр. 14-04-2006 | Отправлено: 13:14 23-10-2008

ptaha Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ramaloke   ну, примерно так. но в баше можно более гибкий скрипт своять.   Я, например, в дебиане использую скрипт post-up в /etc/network/interfaces для активации правил iptables Всего записей: 134 | Зарегистр. 16-01-2004 | Отправлено: 22:26 25-10-2008

Ramaloke Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Возник вопрос теперь другого характера. Был IP статический, а стал IP динамический, да к тому же DSL (pptp). Как вариант в сценарий rc.iptables в шапку добавить функцию, которая будет вычислять IP и подставлять его в значения ниже. НО при первой перезагрузке или обрыве коннекта нам присвоится другой IP. И придется очищать таблицы, затем снова запускать скрипт.     Отсюда вопрос: можно ли как-то отказаться от привязки скрипта к IP, т.е. убрать его из обращения, а вместо этого использовать скажем только имя интерфейса? Тогда при перезагрузке сервера или при переподключении коннекта важность момента смены IP приравняется к 0.   Говоря о привязке к IP я говорю о следующем: INET_IP="10.0.0.1" INET_IFACE="eth1" INET_BROADCAST="10.0.0.255"   Заранее спасибо за помощь. Всего записей: 90 | Зарегистр. 14-04-2006 | Отправлено: 18:25 10-03-2009 | Исправлено: Ramaloke, 20:22 10-03-2009

AnDySs1 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору а поиграйтесь Всего записей: 1426 | Зарегистр. 04-11-2004 | Отправлено: 20:24 10-03-2009

Ramaloke Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Хм, довольно любопытно. Т.е. вы намекаете, что: INET_IP="10.0.0.1"   INET_IFACE="eth1"   INET_BROADCAST="10.0.0.255" спокойно заменяется на: INET_IFACE="eth1"   а строки типа: $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT $IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP меняются на: $IPTABLES -A INPUT -p ALL -i $LO_IFACE -i $INET_IFACE -j ACCEPT $IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE   ??? Всего записей: 90 | Зарегистр. 14-04-2006 | Отправлено: 22:10 10-03-2009 | Исправлено: Ramaloke, 16:27 11-03-2009

Страницы: 1 2 3

Компьютерный форум Ru.Board » Операционные системы » UNIX » Активные темы » Iptables. Начальная настройка.

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование