Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » UNIX » Нужна помощь по Iptables

Модерирует : ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3

Открыть новую тему     Написать ответ в эту тему

greenfox



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Не подскажет кто, вбиваю команду
iptables --list
в итоге таблицы выводятся нескоклько медленно что ли.... иногда вывод минут 5 может занимать в зависимости от навароченности таблицы. Так и должно быть?

----------
Три вещи вечны: смерть, налоги и потеря данных...

Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 13:37 02-03-2007
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
greenfox
Это у тебя. iptables -L все мгновенно.
 
Вопросец.
Насколько имеет смысл делать iptables -P OUTPUT DROP ?

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 12:58 01-05-2007
greenfox



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KUSA

Цитата:
Это у тебя. iptables -L
нет, мне "--list -n" помог

----------
Три вещи вечны: смерть, налоги и потеря данных...

Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 23:23 01-05-2007
ZaqwrKos

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
iptables -L будет запрашивать DNS о указанных в списке узлах, и при найденных соответствиях выдавать к примеру обратную зону *.*.in-addr.arpa  
iptables -L -n (network) не будет отправлять запросы DNS  
вроде так )

Всего записей: 611 | Зарегистр. 26-02-2007 | Отправлено: 10:03 02-05-2007
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вопросы остались и добавились
1. Насколько имеет смысл делать iptables -P OUTPUT DROP
2. Какие номера портов не должны быть открыты на сетевых интерфейсах, но нужны для системы. Мне удалось найти 630,640,783,3310,10000 Еще есть какие-нибудь?

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 13:57 03-05-2007
sda00



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
KUSA
1. смысл в зависимости от системы
2. http://sda00.mylivepage.ru/file/?fileid=1204
http://sda00.mylivepage.ru/file/index
тут мои правила (для загрузки - iptables-restore)
смотри (разрешён протокол GRE для туннелирования по vpn)

Всего записей: 928 | Зарегистр. 15-02-2004 | Отправлено: 15:53 03-05-2007
FreeLSD_md



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Подскажите пжалуйста, есть ли существенная разница между http://iptables-tutorial.frozentux.net/iptables-tutorial.htm   и  http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html  для случая:
Slackaware Linux 12
задача: CBQ + HTB + firewall
и ещё - необходимо ли пересобирать ядро для подготовки ?

Всего записей: 711 | Зарегистр. 10-10-2006 | Отправлено: 00:57 21-06-2008
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
FreeLSD_md
Iptables Tutorial 1.2.2 -  к сожалению от 2006 года
Под Mandriva ничего не пересобирал - там была сложность с запуском при старте и ...  
На сегодняшний день почти нет готовых решений, поэтому придется почти с нуля
 
 
зы
 
sda00

Цитата:
-A input_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 3 -j ACCEPT


Цитата:
-A input_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 3/2 -j ACCEPT  
Ты первым правилом разрешил все по 3 типу - второе не нужно ?  
 
Очень длинный синтаксис - хотя я тоже до сих пор еще не все понял
Я пока отказался от FTP но вместе с этим и от
Цитата:
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Пробую разобраться

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 11:09 22-06-2008 | Исправлено: KUSA, 11:12 22-06-2008
SIlnur

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Закрываю 25 порт с локалки на всё кроме mail.anrb.ru.
iptables -I FORWARD 1 -p tcp -s 192.168.0.0/255.255.255.0 -d ! mail.anrb.ru --dport 25 -j DROP
Возник вопрос как добавить еще одно исключение в это правило. Допустим smtp.mail.ru
Просто приписать через запятую не работает . Помогите плиз. Прошу сильно не пинать. Я новичок.

Всего записей: 7 | Зарегистр. 21-11-2007 | Отправлено: 08:52 26-06-2008
NightSpamer



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SIlnur
Вписать разрешающее правило перед запретом:
iptables -I FORWARD 1 -p tcp -s 192.168.0.0/255.255.255.0 -d smtp.mail.ru --dport 25 -j ACCEPT
Кстати, почему цепочка FORWARD, а не OUTPUT? Маршрутизатор делаете?

Всего записей: 291 | Зарегистр. 28-11-2006 | Отправлено: 09:32 26-06-2008 | Исправлено: NightSpamer, 10:43 26-06-2008
SIlnur

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Да.  
Спасибо, счас поробую.

Всего записей: 7 | Зарегистр. 21-11-2007 | Отправлено: 11:08 26-06-2008
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SIlnur
1 разрешаешь mail.anrb.ru
2 разрешаешь smtp.mail.ru
3 drop ALL 25 TCP
но почему FORWARD а не INPUT?

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 00:04 27-06-2008
tankistua

Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
использовать днс-имена в фаерволе плохая идея - можно не дождаться загрузки фаервола, в плохих случаях - машины.

Всего записей: 9572 | Зарегистр. 15-01-2002 | Отправлено: 01:46 27-06-2008
NightSpamer



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KUSA
FORWARD там потому, что настраивается маршрутизация а не безопасность localhost-а.  
tankistua
Да, идея не очень. А как сделать иначе?

Всего записей: 291 | Зарегистр. 28-11-2006 | Отправлено: 08:42 27-06-2008
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
B критерий лимит за что отвечает? ману читал, но не понял
ради проверки сделал -A INPUT -i eth0 -p tcp  --sport 80 -m limit --limit 1/second -j ACCEPT
Интернет работает, но скорость маленькая

 
зы
имеется в виду limit burst

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 23:39 28-06-2008 | Исправлено: KUSA, 21:30 30-06-2008
NightSpamer



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
-m limit --limit 1/second -j ACCEPT

принимать 1 пакет в секунду, отсюда и скорость.
Насчёт правил - оба интересные) Я так понял, что вы пытаетесь фильтровать ответы http? Тогда почему бы не использовать "-m state --state RELATED,ESTABLISHED" ?

Всего записей: 291 | Зарегистр. 28-11-2006 | Отправлено: 10:39 30-06-2008
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
NightSpamer

Цитата:
Я так понял, что вы пытаетесь фильтровать ответы http?  
таблица фильтр цепочка входящие - просто я не уверен, что  RELATED безобиден (открывает новое соединение-зачем, если сеанс уже начался?)(Вариант с ESTABLISHED более верен, чем с ! --syn)    
 
Я уже поправил насчет limit
Просто не могу понять limit-burst в сочетаниии с limit как правильно сделать

Цитата:
All echo replies will be blocked when the burst value has been exceeded, and then be refilled by the limit value every second.
Все эхо ответы будут заблокированы, когда входящие значение было превышено, а затем будет  установлен на допустимое(приемлемое) значение каждую секунду.
Буду экспериментировать - других вариантов пока не вижу - не нашел примеров    
 
Попытался для OUTPUT использовать критерий --pid-owner
в результате вычитал, что он не поддерживается начиная с версий ядра 2.6.15 и выше
Неужели убрали на совсем?  
 
 

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 22:00 30-06-2008
NightSpamer



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Где-то в пояснениях видел забавный "аппаратный аналог": ведро с водой емкостью limit-burst, туда наливают со скоростью limit. Скачать из ведра можно весь объём limit-burst сразу, но тогда потом придётся довольствоваться только потоком limit. Либо ждать, пока не заполнится весь limit-burst снова.
 
 
Добавлено:
RELATED безобиден. Для http, возможно, и не нужен. Но, например, правила для ftp без него настроить намного сложнее.

Всего записей: 291 | Зарегистр. 28-11-2006 | Отправлено: 23:24 30-06-2008 | Исправлено: NightSpamer, 23:25 30-06-2008
KUSA

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
NightSpamer

Цитата:
Но, например, правила для ftp без него настроить намного сложнее.

а я без него обошелся
 

Цитата:
но тогда потом придётся довольствоваться только потоком limit.
Те до презагруза компа?
те исчерпали число подключений и все -- не верится, что-то должно быть
 

Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 20:53 01-07-2008 | Исправлено: KUSA, 21:04 02-07-2008
NightSpamer



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KUSA, ну написал-же "Либо ждать, пока не заполнится весь limit-burst снова." и "туда наливают со скоростью limit"
Т.е. при limit-burst=100 и limit=10/second ждать до восстановления первоначального состояния 10 секунд ничего не скачивая.

Всего записей: 291 | Зарегистр. 28-11-2006 | Отправлено: 21:43 01-07-2008
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3

Компьютерный форум Ru.Board » Операционные системы » UNIX » Нужна помощь по Iptables


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru