Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Закладки » Firewall *nix: iptables, ipfw, pf etc...

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29

Открыть новую тему     Написать ответ в эту тему

Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
iptables
   
Linux

 
  • настройка iptables (крупные статьи переехали на wikibooks)
  • настройка iptables (opennet)
  • Easy Firewall Generator for IPTables Online
  • l7-filter - дополнения для netfilter, позволяющее создавать правила основываясь на данных прикладного уровня.
  • ipset - модуль для ядра Linux к фаерволу netfilter для создания и управления наборами адресов, портов, связок ip+mac.
     
  • схема прохождения пакета через netfilter (или более сложно и подробно)
     
    Так же может быть интересным
  • Перевод руководства по iproute2 и управлению трафиком в Linux (оригинал LARTC) -- внимательно читать оглавление - тема содержит уйму всего!!!
  • Введение в управление трафиком, дисциплины обработки очередей (теория) (opennet) - aka Повесть о Linux и управлении трафиком.
  • QoS в Linux - iproute2 и u32 селектор (хабр)
  • QoS в Linux - iproute2, издеваемся над трафиком (хабр)
     


    ipfw
       
    FreeBSD

  • русский MAN (opennet)
  • настройка ipfw (opennet)
  • настройка ipfw (lissyara)
     
    Достаточно частый вопрос
  • Балансировка и резервирование канала (samag.ru)
     


    pf
       
    OpenBSD

  • начальная настройка pf (lissyara)
  • настройка pf как шлюза (lissyara)

  • Всего записей: 6468 | Зарегистр. 28-08-2008 | Отправлено: 23:50 19-08-2010 | Исправлено: Alukardd, 11:42 20-05-2022
    urodliv



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    askad
    В таком виде работать не будет. И вот почему.
    1. Самая главная ошибка. Вы не указали правила для исходящих пакетов. Или повторяющиеся правила - это простая ошибка?
    2. Если TRUST_IP и SIP_IP это переменные, то надо писать $TRUST_IP и $SIP_IP.
     
    P.S. А где правила для остальных портов (80, 443, 3306 и др.)?  
    Если что, то можно подключить модуль multiport и делать одно правило на несколько портов.
    P.S. А вообще поднимите виртуалку и потренируйтесь на ней.


    ----------
    Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.

    Всего записей: 6525 | Зарегистр. 29-04-2009 | Отправлено: 21:19 27-10-2012
    askad

    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    1. Самая главная ошибка. Вы не указали правила для исходящих пакетов. Или повторяющиеся правила - это простая ошибка?

    Забыл добавить OUTPUT цепочки  
     

    Код:
    iptables -A ports -s TRUST_IP -p tcp --sport 22 -j ACCEPT

    и т.д. все порты для разрешенных IP адресов.  
     

    Цитата:
    2. Если TRUST_IP и SIP_IP это переменные, то надо писать $TRUST_IP и $SIP_IP.

    Это не переменные, просто показываю, какие IP будут в цепочке указаны.
     

    Цитата:
    P.S. А где правила для остальных портов (80, 443, 3306 и др.)?  
    Если что, то можно подключить модуль multiport и делать одно правило на несколько портов.

    Остальные порты в примере идентичны описанным.
    А как проверить, что в моей версии iptables есть расширение multiport?
     

    Цитата:
    P.S. А вообще поднимите виртуалку и потренируйтесь на ней.  

    поднял, тренируюсь, просто там не всё на 100% идентично описанной ситуации.

    Всего записей: 50 | Зарегистр. 11-04-2003 | Отправлено: 22:49 27-10-2012 | Исправлено: askad, 22:50 27-10-2012
    urodliv



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    А как проверить, что в моей версии iptables есть расширение multiport?

    В вашей версии есть точно.

    Цитата:
    поднял, тренируюсь, просто там не всё на 100% идентично описанной ситуации.

    А кто вам мешает сделать один в один? Это же виртуалки...

    ----------
    Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.

    Всего записей: 6525 | Зарегистр. 29-04-2009 | Отправлено: 23:24 27-10-2012
    askad

    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    А кто вам мешает сделать один в один? Это же виртуалки...

    Времени и опыта. Этих двух гадов  катастрофически не хватает.
     
    Ну всё это лирика. Утром напишу окончательный вариант цепочек и если будет не трудно, поправьте меня.
     

    Всего записей: 50 | Зарегистр. 11-04-2003 | Отправлено: 00:02 28-10-2012
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    askad
    У меня есть непоняток, вы не забыли про RTP трафик?

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6468 | Зарегистр. 28-08-2008 | Отправлено: 16:01 28-10-2012
    megasoup2009

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Приветствую.
    Имеется установленный Linux Mint 13 на VMWare. Сеть работает через NAT.
    На хосте Win 7.
    Подскажите пожалуйста как настроить iptables, чтобы весь трафик с гостевого Linux уходил на сокс5. Пробовал proxychains, tsocks, dante - не получается весь трафик пустить на сокс. К примеру браузер работает через proxychains, но другие необходимые мне приложения не работают.
    В работе сетей не шарю. В поиске нашёл вот такое правило:
    iptables -t nat -A PREROUTING -i eth0 -p tcp -j REDIRECT --to-port 3128  
    но положительных результатов  это не дало.

    Всего записей: 28 | Зарегистр. 12-01-2009 | Отправлено: 02:04 01-11-2012 | Исправлено: megasoup2009, 02:08 01-11-2012
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    iptables -t nat -A PREROUTING -i eth0 -p tcp -j REDIRECT --to-port 3128  
    Что бы использовать такую конструкция socks сервер должен знать что трафик к нему идёт не сам, а принудительно. Короче должен быть запущен в transparent режиме.
     
    Socks сервер там же, ведь, на Mint'е? proxychains должен вообще-то норм пахать, правда он только для tcp соединений.

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6468 | Зарегистр. 28-08-2008 | Отправлено: 08:40 01-11-2012
    hda0



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    всем привет.
    юзал фс14, перешёл в связи с апгрейдом железа на фс16
    на фс14 были настроены правила через cbqinit
    всё работало. резало кому надо, как надо. перенёс конфиги на фс16, и началась свистопляска с шейперами.
    например клиенту режет udp как положено, а вот тсп трафик опускает ниже плинтуса, на уровне диалапа. причём вроде начинает качать нормально, а потом ниже и ниже.
    кучу ядер персобирал, ставил и снова собирал, тестил - везде картина одна.
    бился я с cbqinit, плюнул на это дело, перерыл горе документашки, и решил руками создать скрипт через tc. сделал, всё вроде верно, но с другой стороны как то коряво работает.
    может глянете, и найдёте ошибку. но для начала опишу что и как.
     
    описание:
    имеем внешний канал который поступает на свитч, далее по vlan136 опрокидывается на пс-рутер, так же на свитч поступает канал на внутрегородские ресурсы по vlan137
    ещё на пс-рутере есть vlan100 (локалка тоже через свитч)
    имеем на пс-рутере свой bgp и автономку для юзеров.  
    и напоследок имеем tun0 интерфейс (ovpn) для раздачи инета для себя любимого  - с любой точки города.
    задача:
    имеем канал 4мбита.
    надо ограничить скачивание клиенту1 на скорости 1280кбит, клиенту2 на скорости 1мбит, себя любимого на скорости 512кбит, оставшуюся скорость отдать остальным юзерам.
    причем у клиента1 и 2 должен быть высокий приоритет, если они качают, что бы их полосой никто не мог воспользоваться, даже я.  
    но если клиент1 и/или 2 освобождают свои полосы, их канал отдавался остальным абонентам в пользование. как только они начинают качать, что бы у остальных канал отбирался в пользу клиента1 и 2.
     
    tc qdisc del dev vlan100 root
    tc qdisc del dev tun0 root
     
    tc qdisc add dev vlan100 root handle 1:0 cbq bandwidth 1Gbit         \
      avpkt 10000 cell 8
     
    tc qdisc add dev tun0 root handle 1:0 cbq bandwidth 1Gbit         \
      avpkt 10000 cell 8
     
    tc class add dev vlan100 parent 1:0 classid 1:1 cbq bandwidth 1Gbit  \
      rate 4Mbit weight 0.4Mbit prio 8 allot 1514 cell 8 maxburst 20      \
      avpkt 10000 bounded
     
    tc class add dev tun0 parent 1:1 classid 1:2 cbq bandwidth 1Gbit  \
      rate 512Kbit weight 51Kbit prio 3 allot 1514 cell 8 maxburst 20      \
      avpkt 10000 borrow sharing
    tc class add dev vlan100 parent 1:1 classid 1:3 cbq bandwidth 1Gbit  \
      rate 1280Kbit weight 128Kbit prio 1 allot 1514 cell 8 maxburst 20      \
      avpkt 10000 borrow sharing
    tc class add dev vlan100 parent 1:1 classid 1:4 cbq bandwidth 1Gbit  \
      rate 1Mbit weight 0.1Mbit prio 2 allot 1514 cell 8 maxburst 20      \
      avpkt 10000 borrow sharing
    tc class add dev vlan100 parent 1:1 classid 1:5 cbq bandwidth 1Gbit  \
      rate 4Mbit weight 0.4Mbit prio 5 allot 1514 cell 8 maxburst 20      \
      avpkt 10000 borrow sharing
     
    tc qdisc add dev tun0 parent 1:2 handle 20: sfq perturb 10
    tc qdisc add dev vlan100 parent 1:3 handle 30: sfq perturb 10
    tc qdisc add dev vlan100 parent 1:4 handle 40: sfq perturb 10
    tc qdisc add dev vlan100 parent 1:5 handle 50: sfq perturb 10
     
    tc filter add dev tun0 parent 1:0 protocol ip prio 1 u32 match ip \
      dst xxx.238.104.102 flowid 1:2
    tc filter add dev vlan100 parent 1:0 prio 1 protocol ip u32 match ip \
      dst xxx.238.104.62 flowid 1:3
    tc filter add dev vlan100 parent 1:0 protocol ip prio 1 u32 match ip \
      dst xxx.238.105.14 flowid 1:4
    tc filter add dev vlan100 parent 1:0 protocol ip prio 1 u32 match ip \
      dst xxx.238.105.0/24 flowid 1:5
    tc filter add dev vlan100 parent 1:0 protocol ip prio 1 u32 match ip \
      dst xxx.238.106.0/24 flowid 1:5
    tc filter add dev vlan100 parent 1:0 protocol ip prio 1 u32 match ip \
      dst xxx.238.107.0/24 flowid 1:5
     
    что тут не так? как то всё равно коряво работает. сижу, смотрю трафик у абонента xxx.238.104.62 как шёл на максимальной возможной так и идёт, зато у абонентов с flowid 1:5 он срезается до неприличия.

    Всего записей: 158 | Зарегистр. 28-02-2005 | Отправлено: 20:06 01-11-2012
    megasoup2009

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Socks сервер там же, ведь, на Mint'е?

    Сокс сервер находится за пределами Minta. К примеру сокс сервер может быть как вариант вообще не в моей сети. Возможно организовать перенаправление всего трафика с гостя Linux на сокс?
    Мне нужно запустить некоторые приложения через wine и соединиться через сокс. Так вот именно proxychains не может этого сделать.

    Всего записей: 28 | Зарегистр. 12-01-2009 | Отправлено: 20:53 01-11-2012
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    megasoup2009
    Действие REDIRECT это только для локальных ухищрений, в случае удалённой машины вам нужно действие DNAT.
    А вот что proxychains не может Вам помочь это странно. Воспроизводить ситуацию возможности сейчас нету...

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6468 | Зарегистр. 28-08-2008 | Отправлено: 12:21 02-11-2012
    megasoup2009

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    del

    Всего записей: 28 | Зарегистр. 12-01-2009 | Отправлено: 01:56 03-11-2012 | Исправлено: megasoup2009, 22:12 22-11-2012
    Eluvatar



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Так получилось, что создал отдельную тему , хотя логичнее было написать тут, если кто может помочь - посмотрите пожалуйста этот топ : Ссылка

    Всего записей: 114 | Зарегистр. 14-09-2005 | Отправлено: 10:58 20-11-2012
    FloID aka

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Всем привет
    Нужен совет с пробросом портов.
    Система ФриБСД 8. Нужно пробросить опредёные порты, ну там радмин, рдп и т.д. на другие машины.
    В общем сделал так: в "/etc/rc.d" создал исполняемый файл с содержанием natd -n re1 -f '/etc/natd.conf'  файл /etc/natd.conf прописал  
    use_sockets     yes
    same_ports      yes
    unregistered_only       yes
    redirect_port   tcp     192.168.0.1:3389       3389
    в ипфв доступ открыт, в диспетчере демон висит, пробывал убивать и подгружать заново, не работает.
    re1 - внешний интерфейс
    Подскажите пожалуйста.

    Всего записей: 48 | Зарегистр. 08-11-2012 | Отправлено: 09:06 28-11-2012
    Valery12

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Так получилось, что создал отдельную тему , хотя логичнее было написать тут, если кто может помочь - посмотрите пожалуйста этот топ : Ссылка
    Eluvatar а как провайдеры отнеслись к тому что их линки, а следовательно и домашние сети соединены через свич, или они в разных VLAN?
     

    Всего записей: 2325 | Зарегистр. 21-07-2003 | Отправлено: 09:22 28-11-2012
    OOD

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите какие порты необходимы для торрентов, Iptables выглядит так:
    Подробнее...
    Nat раздаю для NAS так:
    -A POSTROUTING -s [NAS-адрес]/32 -o eth1 -j MASQUERADE
     
    Через торрент клиенты сидов не видно, пиров видно.
     

    Всего записей: 3365 | Зарегистр. 20-05-2006 | Отправлено: 15:02 28-11-2012
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    OODНе хотите на мои вопросы ответить?
    Цитата:
    Что за правила такие, что за самодельная цепочка RH-... и почему INPUT и FORWARD идут в одну и туже цепочку???
    Да и вообще, если это все правила, что у Вас есть, то на текущий момент разрешено ВСЁ.


    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6468 | Зарегистр. 28-08-2008 | Отправлено: 15:52 28-11-2012
    OOD

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Alukardd
    RH- стандартные правила, которые были изначально в конфиге , порты просто подписывали...
    Из правил еще есть:

    Код:
     
    *nat
    *nat
    REROUTING ACCEPT [0:0]
    OSTROUTING ACCEPT [0:0]
    UTPUT ACCEPT [0:0]
     

     
    дальше список адресов для Nat
    -A POSTROUTING -s [NAS-адрес]/32 -o eth1 -j MASQUERADE

    Всего записей: 3365 | Зарегистр. 20-05-2006 | Отправлено: 16:08 28-11-2012 | Исправлено: OOD, 16:10 28-11-2012
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    OOD
    В чьём конфиге? Это железка какая-то?
     
    Ещё раз — при таких правилах у вас разрешено абсолютно всё.
     
    p.s. я конечно могу "смотреть в книгу и видеть там фигу", но всё же оно так как я сказал.

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6468 | Зарегистр. 28-08-2008 | Отправлено: 18:04 28-11-2012
    FloID aka

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Народ помогите с моей проблемой, неужели не кто не пробрасывал порты, любой какой нибудь способ.

    Всего записей: 48 | Зарегистр. 08-11-2012 | Отправлено: 21:53 28-11-2012
    urodliv



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    FloID aka
    Вам уже дали ответ в первоначальной теме

    ----------
    Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.

    Всего записей: 6525 | Зарегистр. 29-04-2009 | Отправлено: 22:27 28-11-2012
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Закладки » Firewall *nix: iptables, ipfw, pf etc...


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2020

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru