Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Закладки » Firewall *nix: iptables, ipfw, pf etc...

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

Открыть новую тему     Написать ответ в эту тему

Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
iptables
   
Linux

 
  • настройка iptables (крупные статьи переехали на wikibooks)
  • настройка iptables (opennet)
  • Easy Firewall Generator for IPTables Online
  • l7-filter - дополнения для netfilter, позволяющее создавать правила основываясь на данных прикладного уровня.
  • ipset - модуль для ядра Linux к фаерволу netfilter для создания и управления наборами адресов, портов, связок ip+mac.
     
  • схема прохождения пакета через netfilter (или более сложно и подробно)
     
    Так же может быть интересным
  • Перевод руководства по iproute2 и управлению трафиком в Linux (оригинал LARTC) -- внимательно читать оглавление - тема содержит уйму всего!!!
  • Введение в управление трафиком, дисциплины обработки очередей (теория) (opennet) - aka Повесть о Linux и управлении трафиком.
  • QoS в Linux - iproute2 и u32 селектор (хабр)
  • QoS в Linux - iproute2, издеваемся над трафиком (хабр)
     


    ipfw
       
    FreeBSD

  • русский MAN (opennet)
  • настройка ipfw (opennet)
  • настройка ipfw (lissyara)
     
    Достаточно частый вопрос
  • Балансировка и резервирование канала (samag.ru)
     


    pf
       
    OpenBSD

  • начальная настройка pf (lissyara)
  • настройка pf как шлюза (lissyara)

  • Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 23:50 19-08-2010 | Исправлено: Alukardd, 11:42 20-05-2022
    urodliv



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Как объяснил предыдущий админ, необходимо именно прописывать и в Input, и в Output, таковы настройки фаервола.

    Ещё раз. Цепочки INPUT и OUTPUT отвечают за фильтрацию пакетов идущих в (из) userspace на самом шлюзе. Вряд ли вам они нужны. Не всегда предыдущий админ прав.

    Цитата:
    Получается, правильно будет так?

    Нет. Правильно будет так:

    Код:
     
    iptables -A FORWARD -d $edds -p tcp -m multiport --dport 389,1002,1720,1731,1503,3601,3603,3604,5001,5060,8080,3230:3237,3220:3225,1024:65535 -j ACCEPT
    iptables -A FORWARD -s $edds -p tcp -m multiport --sport 389,1002,1720,1731,1503,3601,3603,3604,5001,5060,8080,3230:3237,3220:3225,1024:65535 -j ACCEPT
    iptables -A FORWARD -d $edds -p udp -m multiport --dport 1002,3601,5060,1718:1719,3230:3247,1024:65535 -j ACCEPT
    iptables -A FORWARD -s $edds -p udp -m multiport --sport 1002,3601,5060,1718:1719,3230:3247,1024:65535 -j ACCEPT  
     


    ----------
    Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.

    Всего записей: 6684 | Зарегистр. 29-04-2009 | Отправлено: 13:52 06-08-2012 | Исправлено: urodliv, 13:52 06-08-2012
    syrus

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Alukardd
    Я спрашивал этот момент, мне сказали, что фаервол настроен так, что эти цепочки нужны, что кроме форвардинга их необходимо разрешить на вход/выход... Потому и пишу, но попробую закомментировать, может я что недопонял.
     
    В форварде я попутал с dport/sport. Получается так?

    Код:
     
    iptables -I INPUT -p tcp --dport 389,1002,1720,1731,1503,3601,3603,3604,5001,5060,8080 -j ACCEPT  
    iptables -I OUTPUT -p tcp --dport 389,1002,1720,1731,1503,3601,3603,3604,5001,5060,8080 -j ACCEPT  
    iptables -I INPUT -p udp --dport 1002,3601,5060 -j ACCEPT  
    iptables -I OUTPUT -p udp --dport 1002,3601,5060 -j ACCEPT  
     
    iptables -I INPUT -p tcp -m multiport --dport 3230:3237,3220:3225,1024:65535 -j ACCEPT  
    iptables -I OUTPUT -p tcp -m multiport --dport 3230:3237,3220:3225,1024:65535 -j ACCEPT  
    iptables -I INPUT -p udp -m multiport --dport 1718:1719,3230:3247,1024:65535 -j ACCEPT  
    iptables -I OUTPUT -p udp -m multiport --dport 1718:1719,3230:3247,1024:65535 -j ACCEPT  
     
    iptables -A FORWARD -d $edds -p tcp --dport 389,1002,1720,1731,1503,3601,3603,3604,5001,5060,8080 -j ACCEPT  
    iptables -A FORWARD -s $edds -p tcp --sport 389,1002,1720,1731,1503,3601,3603,3604,5001,5060,8080 -j ACCEPT  
    iptables -A FORWARD -d $edds -p udp --dport 1002,3601,5060 -j ACCEPT  
    iptables -A FORWARD -s $edds -p udp --sport 1002,3601,5060 -j ACCEPT  
     
    iptables -A FORWARD -d $edds -p tcp -m multiport --dport 3230:3237,3220:3225,1024:65535 -j ACCEPT  
    iptables -A FORWARD -s $edds -p tcp -m multiport --sport 3230:3237,3220:3225,1024:65535 -j ACCEPT  
    iptables -A FORWARD -d $edds -p udp -m multiport --dport 1718:1719,3230:3247,1024:65535 -j ACCEPT  
    iptables -A FORWARD -s $edds -p udp -m multiport --sport 1718:1719,3230:3247,1024:65535 -j ACCEPT  
     

     
    Шапку уже читаю, параллельно спрашиваю тут... У нас как всегда все нужно было сделать еще вчера)
    У нас стоит polycom pvx, он позволяет и мне прицепиться по конкретному адресу, и другим прицепиться по моему.
     
    Добавлено:
    urodliv
    Да, получается я не так понял, либо наверное не прав предыдущий... Уже мозги запутались, ведь действительно зачем input/output транзитному трафику?
     
    В оконцовке просто выйдет так?:

    Код:
     
    iptables -A FORWARD -d $edds -p tcp --dport 389,1002,1720,1731,1503,3601,3603,3604,5001,5060,8080 -j ACCEPT  
    iptables -A FORWARD -s $edds -p tcp --sport 389,1002,1720,1731,1503,3601,3603,3604,5001,5060,8080 -j ACCEPT  
    iptables -A FORWARD -d $edds -p udp --dport 1002,3601,5060 -j ACCEPT  
    iptables -A FORWARD -s $edds -p udp --sport 1002,3601,5060 -j ACCEPT  
       
    iptables -A FORWARD -d $edds -p tcp -m multiport --dport 3230:3237,3220:3225,1024:65535 -j ACCEPT  
    iptables -A FORWARD -s $edds -p tcp -m multiport --sport 3230:3237,3220:3225,1024:65535 -j ACCEPT  
    iptables -A FORWARD -d $edds -p udp -m multiport --dport 1718:1719,3230:3247,1024:65535 -j ACCEPT  
    iptables -A FORWARD -s $edds -p udp -m multiport --sport 1718:1719,3230:3247,1024:65535 -j ACCEPT  
     

    Всего записей: 56 | Зарегистр. 15-06-2006 | Отправлено: 14:11 06-08-2012
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    syrus
    Что бы к Вам цепляться, нужно либо иметь "белый" ip на Polycom'е, либо писать правила для DNAT'а.
     
    Как правильно и красиво Вам написал т. urodliv.
     
    Все описанные правила, описывают ситуацию когда подключаются к Вам. Для разрешения исходящих соединений надо описать те же правила, только поменять местами -s и -d, при этом --sports и --dports не трогать.

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 14:20 06-08-2012
    syrus

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Alukardd

    Цитата:
    Что бы к Вам цепляться, нужно либо иметь "белый" ip на Polycom'е, либо писать правила для DNAT'а.  

    У нашей сети есть статический ip-адрес, по которому и пытаются попасть на polycom, который стоит на одной из машин ($edds). Почему и хочу весь приходящий на определенные порты трафик перенаправлять на $edds.
    Подходит ли статический ip-адрес под "белый" и какие правила для DNAT'а вы имеете в виду?
     

    Цитата:
    Для разрешения исходящих соединений надо описать те же правила

    Понял, спасибо.

    Всего записей: 56 | Зарегистр. 15-06-2006 | Отправлено: 14:26 06-08-2012 | Исправлено: syrus, 14:27 06-08-2012
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    syrus
    Эм... У вас какая структура сети? LAN <---> GW (NAT) <---> Internet - такая? В локалке у вас какие адреса, реальные или локальные?
     
    Кстати, рекомендует для пущей надёжности описывать правила в цепочке FORWARD с указанием интерфейсов (, например, -i eth0 -o eth1). Это не обязательно, но так для справки.

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 14:38 06-08-2012 | Исправлено: Alukardd, 14:39 06-08-2012
    syrus

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Alukardd
    Да, вы правы.
     

    Цитата:
    FORWARD с указанием интерфейсов (, например, -i eth0 -o eth1)

    Спасибо за совет, я разберусь, поправлю.

    Всего записей: 56 | Зарегистр. 15-06-2006 | Отправлено: 14:40 06-08-2012
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    syrus
    Тогда показывайте ту часть скрипта которая занимается NAT'ом. Т.е. правила в цепочках POSTROUTING и PREROUTING таблицы nat (-t nat).

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 14:47 06-08-2012
    syrus

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Alukardd
    К сожалению смогу показать только завтра, у нас уже 10 вечера, а дома комп переустановил и ОпенВПН еще не ставил, т.к. не было острой нужды.
    Но я в эту секцию ничего не добавлял, касательно polycom'a.
    На что нужно обратить внимание? Касательно чего почитать мануалы?

    Всего записей: 56 | Зарегистр. 15-06-2006 | Отправлено: 15:00 06-08-2012
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    syrus
    Читать всю статью на wikibooks. Это касательно iptables.
    Я не знаю что там у Вас с общим пониманием функционирования сети. Знаете ли вы что такое NAT, что такое маршрутизация и т.п. вещи.

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 15:03 06-08-2012
    urodliv



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    На что нужно обратить внимание?

    Чесслово, я бы вообще все правила сюда вытолкнул, чтобы хоть что-то стало понятно. Ибо если читать на сайте поликома, то такого бешеного количества портов открывать совершенно нет необходимости.

    ----------
    Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.

    Всего записей: 6684 | Зарегистр. 29-04-2009 | Отправлено: 15:05 06-08-2012
    syrus

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Alukardd, urodliv
    Спасибо, я с wikibooks и начал, завтра дочитаю, буду вникать.
    С утра кину файл с правилами, может еще какие косяки увидите))
     

    Цитата:
    Ибо если читать на сайте поликома, то такого бешеного количества портов открывать совершенно нет необходимости.

    Я все порты брал отсюда - http://www.polycom.su/support/faq/detail.php?ID=904
    Тут их многовато, но наши кураторы так и сказали, чтобы были отрыты все.

    Всего записей: 56 | Зарегистр. 15-06-2006 | Отправлено: 15:10 06-08-2012
    syrus

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Alukardd, urodliv
    Спасибо вам огромное за помощь))
    Разобрался с настройками, при обращении на наш внешний адрес появилось видео-изображение... Почему-то нет звука от них и Polycom не принимает веб-камеру, хотя в винде она работает, но это уже тема другого разговора

    Всего записей: 56 | Зарегистр. 15-06-2006 | Отправлено: 08:31 07-08-2012
    Small_green_yojik



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день!
    Есть модем DLINK с внешнем ip и внутренним 192.168.1.1 за ним стоит debian шлюз (iptables, proxy, reserve_inet, openVPN) 192.168.1.2 и 192.168.0.70, в сети, на одной (192.168.0.105) из машин поднят FTP.
     
    Проблема с пробросом FTP до сервера.
    Буду очень благодарен за помощь.
     
    На модеме просто прокинул 21 до 192.168.1.2 (в активном режиме для начала дабы список файлов хотя бы увидеть).
    iptables шлюз

    Всего записей: 214 | Зарегистр. 18-05-2009 | Отправлено: 11:29 15-08-2012 | Исправлено: Small_green_yojik, 11:46 15-08-2012
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Small_green_yojik
    ЭМ... А 20 порт?
    С натом FTP вообще есть заморочки, в случае Linux неплохо бы добавить модуль modprobe nf_conntrack_ftp
     
    Добавлено:
    И да, сервер всё же в пассивном режиме надо ставить, т.к. вряд ли у клиента белый ip.

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 12:23 15-08-2012
    Small_green_yojik



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Alukardd
    Добавил, добавил 20-й. Картина прежняя.
     
    Клиент будет с белым ip (по факту FTP нужен только для одного клиента; обмен по FTP, вместо VPN)

    Всего записей: 214 | Зарегистр. 18-05-2009 | Отправлено: 12:39 15-08-2012
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Small_green_yojik
    Вы в FORWARD не разрешили подключения на диапазон портов, ни в одну сторону ни в другую, так не какой из режимов FTP законнектится не сможет. Кстати, диапазон портов разрешён тот который используют Ваш ftp сервер и клиент?

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 12:47 15-08-2012
    Small_green_yojik



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Alukardd
    Раскоментил. Добавил порт форвардинг для диапазона на модем. Пока все попрежнему. Быть может ему SNAT на модем не хватает?

    Всего записей: 214 | Зарегистр. 18-05-2009 | Отправлено: 12:55 15-08-2012
    urodliv



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Small_green_yojik
    Ну я бы того, начал бы эту "балалайку" разруливать с модема. Ибо что-то мне подсказывает (гусары молчать!), что там стоит "одомашненная мыльница". И как показывает практика, у них-то оооочень большие проблемы с пробросом ftp.


    ----------
    Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.

    Всего записей: 6684 | Зарегистр. 29-04-2009 | Отправлено: 12:57 15-08-2012
    Small_green_yojik



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Текущий Iptables
     
    Нат на модеме
     
    Добавлено:
    На FTP вижу: could not send reply, disconnected

    Всего записей: 214 | Зарегистр. 18-05-2009 | Отправлено: 13:02 15-08-2012 | Исправлено: Small_green_yojik, 13:03 15-08-2012
    urodliv



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Ну так я бы вашу задачу на две части поделил.
    1. Подключаем ftp-сервер в сеть 192.168.1.x и пробуем на него пролезть извне. Если не прошли, то дальше трепыхаться бесполезно - надо менять модем. Если прошли, то переходим ко второму пункту.
    2. Возвращаем ftp-серверу его теперешний адрес. В сеть 192.168.1.x подключаем комп и с него пытаемся пробраться через деба на сервак.
    А то если не разделить вашу задачу на две, то можно долго и упорно ловить "серую кошку в тёмной комнате, особенно если её там нет".

    ----------
    Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.

    Всего записей: 6684 | Зарегистр. 29-04-2009 | Отправлено: 13:20 15-08-2012 | Исправлено: urodliv, 13:21 15-08-2012
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Закладки » Firewall *nix: iptables, ipfw, pf etc...


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru