Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Закладки » Firewall *nix: iptables, ipfw, pf etc...

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

Открыть новую тему     Написать ответ в эту тему

Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
iptables
   
Linux

 
  • настройка iptables (крупные статьи переехали на wikibooks)
  • настройка iptables (opennet)
  • Easy Firewall Generator for IPTables Online
  • l7-filter - дополнения для netfilter, позволяющее создавать правила основываясь на данных прикладного уровня.
  • ipset - модуль для ядра Linux к фаерволу netfilter для создания и управления наборами адресов, портов, связок ip+mac.
     
  • схема прохождения пакета через netfilter (или более сложно и подробно)
     
    Так же может быть интересным
  • Перевод руководства по iproute2 и управлению трафиком в Linux (оригинал LARTC) -- внимательно читать оглавление - тема содержит уйму всего!!!
  • Введение в управление трафиком, дисциплины обработки очередей (теория) (opennet) - aka Повесть о Linux и управлении трафиком.
  • QoS в Linux - iproute2 и u32 селектор (хабр)
  • QoS в Linux - iproute2, издеваемся над трафиком (хабр)
     


    ipfw
       
    FreeBSD

  • русский MAN (opennet)
  • настройка ipfw (opennet)
  • настройка ipfw (lissyara)
     
    Достаточно частый вопрос
  • Балансировка и резервирование канала (samag.ru)
     


    pf
       
    OpenBSD

  • начальная настройка pf (lissyara)
  • настройка pf как шлюза (lissyara)

  • Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 23:50 19-08-2010 | Исправлено: Alukardd, 11:42 20-05-2022
    Negoros

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Всем спасибо за участие.
     

    Цитата:
    КМК, вам проще будет поставить виндовый сервак и поднять на нем тот же WinRoute, чем поднимать сквида с нуля под фрей.

     
    Это понятно, но сейчас цели такой нет. На роутере поднята служба ipfw, основной задачей которой - дифференцированно резать трафик группам пользователей и с этим она справляется хорошо. Остальное вторично. Сквида нет. На  ipfw также прописаны правила блокировки соц сетей, где я периодически добавляю и обновляю пул адресов. Вдруг появивщуюся задачу ( блокировка инета нескольким компам кроме одного двух сайтов), путем поднятия виндового роутера считаю нецелесообразным, во всяком случае пока.  

    Всего записей: 6 | Зарегистр. 27-07-2011 | Отправлено: 11:51 04-08-2011
    Johny_x3mal



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Привет всем!
     
    Посодействуйте в конфигурации iptables, плиз.
     
    Имеется CentOS, Yast2 (я так понял он рулит SuSeFirewall112)  
     
    Что нужно -  
    нужно разрешить входящий трафик с Инета по следующим портам: 5060, 4090, 25, 3128 8009, 8012
    Только со следующих адресов x.x.x.x и y.y.y.y, и доменного имени tel.lextel.ru
     
    iptables -nvL (много букф... я не осилил)
    Chain INPUT (policy DROP 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination    
        0     0 ACCEPT     0    --  lo     *       0.0.0.0/0            0.0.0.0/0      
    2295K  520M ACCEPT     0    --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
     9748 1559K input_int  0    --  eth0   *       0.0.0.0/0            0.0.0.0/0      
      311 45030 input_ext  0    --  eth1   *       0.0.0.0/0            0.0.0.0/0      
        0     0 input_ext  0    --  *      *       0.0.0.0/0            0.0.0.0/0      
        0     0 LOG        0    --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-IN-ILL-TARGET '
        0     0 DROP       0    --  *      *       0.0.0.0/0            0.0.0.0/0      
     
    Chain FORWARD (policy DROP 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination    
        0     0 TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 TCPMSS clamp to PMTU
     2219  149K forward_int  0    --  eth0   *       0.0.0.0/0            0.0.0.0/0    
        0     0 forward_ext  0    --  eth1   *       0.0.0.0/0            0.0.0.0/0    
        0     0 LOG        0    --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWD-ILL-ROUTING '
        0     0 DROP       0    --  *      *       0.0.0.0/0            0.0.0.0/0      
     
    Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination    
        0     0 ACCEPT     0    --  *      lo      0.0.0.0/0            0.0.0.0/0      
    2621K  529M ACCEPT     0    --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED
        0     0 LOG        0    --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-OUT-ERROR '
     
    Chain forward_ext (1 references)
     pkts bytes target     prot opt in     out     source               destination    
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 0
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 3
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 11
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 12
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 14
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 18
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 3 code 2
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 5
        0     0 LOG        0    --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 PKTTYPE = multicast LOG flags 6 level 4 prefix `SFW2-FWDext-DROP-DEFLT '
        0     0 DROP       0    --  *      *       0.0.0.0/0            0.0.0.0/0           PKTTYPE = multicast
        0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 tcp flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-FWDext-DROP-DEFLT '
        0     0 LOG        icmp --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWDext-DROP-DEFLT '
        0     0 LOG        udp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWDext-DROP-DEFLT '
        0     0 LOG        0    --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 state INVALID LOG flags 6 level 4 prefix `SFW2-FWDext-DROP-DEFLT-INV '
        0     0 DROP       0    --  *      *       0.0.0.0/0            0.0.0.0/0      
     
    Chain forward_int (1 references)
     pkts bytes target     prot opt in     out     source               destination    
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 0
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 3
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 11
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 12
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 14
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 18
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 3 code 2
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 5
        0     0 LOG        0    --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 PKTTYPE = multicast LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT '
        0     0 DROP       0    --  *      *       0.0.0.0/0            0.0.0.0/0           PKTTYPE = multicast
        0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 tcp flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT '
        0     0 LOG        icmp --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT '
      936 66777 LOG        udp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT '
        0     0 LOG        0    --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 state INVALID LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT-INV '
     2219  149K reject_func  0    --  *      *       0.0.0.0/0            0.0.0.0/0    
     
    Chain input_ext (2 references)
     pkts bytes target     prot opt in     out     source               destination    
        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           PKTTYPE = broadcast udp dpt:123
      230 38254 DROP       0    --  *      *       0.0.0.0/0            0.0.0.0/0           PKTTYPE = broadcast
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 4
        4   220 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 0
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 3
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 11
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 12
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 14
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 18
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 3 code 2
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 5
        0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 tcp dpt:5060 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:5060
        0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 tcp dpt:5061 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:5061
        0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 tcp dpt:53 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:53
        9  3108 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpts:5000:32000
        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:53
        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:123
        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:69
        2   100 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 state NEW limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-ACC '
        2   100 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22
        0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:5060 state NEW limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-ACC '
        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:5060
        0     0 LOG        udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:5060 state NEW limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-ACC '
        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:5060
       10   512 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:1723 state NEW limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-ACC '
       12   608 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:1723
        0     0 reject_func  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:113 state NEW
        0     0 LOG        0    --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 PKTTYPE = multicast LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
        0     0 DROP       0    --  *      *       0.0.0.0/0            0.0.0.0/0           PKTTYPE = multicast
       46  2408 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 tcp flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
        0     0 LOG        icmp --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
        0     0 LOG        udp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
        5   204 LOG        0    --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 state INVALID LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT-INV '
       54  2740 DROP       0    --  *      *       0.0.0.0/0            0.0.0.0/0      
     
    Chain input_int (1 references)
     pkts bytes target     prot opt in     out     source               destination    
        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           PKTTYPE = broadcast udp dpt:67
        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           PKTTYPE = broadcast udp dpt:177
        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           PKTTYPE = broadcast udp dpt:631
        0     0 DROP       0    --  *      *       0.0.0.0/0            0.0.0.0/0           PKTTYPE = broadcast
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 4
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 8
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 0
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 3
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 11
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 12
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 14
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 18
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 3 code 2
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED icmp type 5
        0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 tcp dpt:110 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INint-ACC-TCP '
        0     0 ACCEPT         0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 tcp dpt:25 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INint-ACC-TCP '
        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:25
        0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 tcp dpt:3128 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INint-ACC-TCP '
        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:3128
       28  1680 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 tcp dpt:5060 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INint-ACC-TCP '
       28  1680 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:5060
        0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 tcp dpt:53 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INint-ACC-TCP '
        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:53
     8848 1486K ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpts:5000:32000
        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:53
        0     0 LOG        0    --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 PKTTYPE = multicast LOG flags 6 level 4 prefix `SFW2-INint-DROP-DEFLT '
        0     0 DROP       0    --  *      *       0.0.0.0/0            0.0.0.0/0           PKTTYPE = multicast
        0     0 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 tcp flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INint-DROP-DEFLT '
        0     0 LOG        icmp --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INint-DROP-DEFLT '
      749 60454 LOG        udp  --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INint-DROP-DEFLT '
        0     0 LOG        0    --  *      *       0.0.0.0/0            0.0.0.0/0           limit: avg 3/min burst 5 state INVALID LOG flags 6 level 4 prefix `SFW2-INint-DROP-DEFLT-INV '
      872 70780 reject_func  0    --  *      *       0.0.0.0/0            0.0.0.0/0    
     
    Chain reject_func (3 references)
     pkts bytes target     prot opt in     out     source               destination    
        0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with tcp-reset
     3091  219K REJECT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable
        0     0 REJECT     0    --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-proto-unreachable
     
     
    Вроде бы порты открыл .... а там ли?
     
    iptables редактировал в файле etc/sysconfig/scripts/*SuSEFirewall112-custom:
    ...
    #example: always filter backorifice/netbus trojan connect requests and log them.
    #for target in LOG DROP; do
    #    for chain in input_ext input_dmz input_int forward_int forward_ext forward_dmz; do
    #        iptables -A $chain -j $target -p tcp --dport 31337
    #        iptables -A $chain -j $target -p udp --dport 31337
    #        iptables -A $chain -j $target -p tcp --dport 12345:12346
    #        iptables -A $chain -j $target -p udp --dport 12345:12346
    #    done
     
    iptables -A forward_int -j ACCEPT -p tcp --dport 5060
    iptables -A forward_int -j ACCEPT -p tcp --dport 4090
    iptables -A forward_int -j ACCEPT -p tcp --dport 25
    iptables -A forward_int -j ACCEPT -p tcp --dport 3128
    iptables -A forward_int -j ACCEPT -p tcp --dport 8009
    iptables -A forward_int -j ACCEPT -p tcp --dport 8012
    iptables -A forward_int -j DROP -p tcp
     
    Если я всё верно сделал, где прописать правило, скаких IP принимать пакеты? и КАК?
     
    Например, в том же файле, ниже прописать:
     
    iptables -A INPUT ! -s x.x.x.x -j DROP
    iptables -A INPUT ! -s y.y.y.y -j DROP
    iptables -A INPUT ! -s tel.lextel.ru -j DROP
     
    ??????????????????????????????????????

    Всего записей: 222 | Зарегистр. 07-09-2005 | Отправлено: 16:27 16-08-2011
    DJs3000

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите пожалуйста как правильно пробросить порты на pf если стоит Астериск за натом а к ниму нужно пробросить удп 5060 и диопазон от 10000-20000. Спасибо.

    Всего записей: 185 | Зарегистр. 22-08-2010 | Отправлено: 00:54 02-09-2011
    vlary



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    DJs3000
    Цитата:
    как правильно пробросить порты на pf если стоит Астериск за натом
    Проброс VoIP через НАТ есть занятие весьма геморройное. Посему для этого лучше использовать программные решения (STUN, Siproxd и т.д.).
     


    ----------
    Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

    Всего записей: 17274 | Зарегистр. 13-06-2007 | Отправлено: 11:17 02-09-2011
    Boris_Popov



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    DJs3000
    Ну вот вариант для динамического ната и iptables. Для pf не подойдет.
    #
     
     
    Добавлено:
    vlary

    Цитата:
    Проброс VoIP через НАТ есть занятие весьма геморройное.

    угу, особенно если не хочется возможный профиль атаки расширять. У меня на SIP правил 20 для разных клиентов.

    Всего записей: 479 | Зарегистр. 27-09-2003 | Отправлено: 11:32 02-09-2011 | Исправлено: Boris_Popov, 22:57 02-09-2011
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Boris_Popov
    Просили не iptables, а pf...

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 13:28 02-09-2011
    Boris_Popov



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Alukardd
    упс  
    сейчас поправлю сообщение.

    Всего записей: 479 | Зарегистр. 27-09-2003 | Отправлено: 22:55 02-09-2011
    zepterman

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    помогите, написать правило iptables для шлюза, которое будет запрещать все исходящие соединения(source any) на любой хост, кроме 192.168.1.1(destination any, allow 192.168.1.1) по протоколу TCP/UDP на порт 53.

    Всего записей: 190 | Зарегистр. 27-04-2006 | Отправлено: 09:35 30-09-2011
    kerevra



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    -A FORWARD -i $LOCAL_IFACE -d 192.168.1.1 -p udp --dport 53 -j ACCEPT
    -A FORWARD -i $LOCAL_IFACE -d 192.168.1.1 -p tcp --dport 53 -j ACCEPT
    -A FORWARD -i $LOCAL_IFACE -p tcp --dport 53 -j DROP
    -A FORWARD -i $LOCAL_IFACE -p udp --dport 53 -j DROP

    Всего записей: 1192 | Зарегистр. 25-11-2009 | Отправлено: 11:04 30-09-2011 | Исправлено: kerevra, 11:08 30-09-2011
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите как в netfilter можно получить среднее значение pps или хоть какое-то? Очень хотелось бы понять нагрузку на каждый интерфейс...

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 13:22 30-09-2011
    ASE_DAG



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Alukardd
    А если так?
     
    # tcpstat -i wlan0 -o '%p\n' -1

    ----------
    Dmitry Alexandrov <321942@gmail.com> [PGP] [BTC]

    Всего записей: 9272 | Зарегистр. 12-05-2005 | Отправлено: 14:51 30-09-2011
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ASE_DAG
    спасибо! Поставил эту утилитку...
    А что дает linklayer??? -l На статистику pps вроде как не влияет?

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 15:50 30-09-2011
    ASE_DAG



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Alukardd
    > А что дает linklayer??? -l
    А что не понятно?

    Цитата:
    Include the size of the link-layer header when calculating statistics.  (Ethernet only, right now.  Usually 14 bytes per packet.)


    ----------
    Dmitry Alexandrov <321942@gmail.com> [PGP] [BTC]

    Всего записей: 9272 | Зарегистр. 12-05-2005 | Отправлено: 15:57 30-09-2011 | Исправлено: ASE_DAG, 15:57 30-09-2011
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ASE_DAG
    Ну я прочел... Я и написал - На статистику pps вроде как не влияет
     
    Добавлено:
    Кстати снимается статистика только по tcp протоколу или это просто название тулзы?

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 16:07 30-09-2011
    Boris_Popov



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    iptables и хосты с динамическим пулом IP-адресов - как решить проблему?
     
    Уважаемый олл!  
     
    Собственно, сабж. Например, gmail.com (pop.gmail.com:995, smtp.gmail.com:465), у которого куча IP-адресов, периодически меняющихся.
     
    Делать отдельную цепочку и прописывать туда IP-адреса хостов ручками задолбало. Хочется, чтобы все работало и без ручного вмешательства.  
    Открывать наружу 995 и 465 порт полностью не подходит по соображениям безопасности.  
    Итого, хотелось бы скрипт, который бы:  
    - автоматически брал имена хостов и нужные порты из списка в файле;  
    - разрешал (резолвил) их в IP-адрес(а);  
    - проверял наличие в rc.firewall правил для соответствующих адресов, если есть - не трогал бы их  
    - добавлял в rc.firewall правила для хостов / портов из списка. Ну, например, так.
     

    Код:
     
    $IPTABLES -A FORWARD -i $LAN_IF -o $INET_IF -s $LAN_RANGE -d [первый IP-адрес для pop.gmail.com] -m multiport -p tcp --dport 995,465 -j ACCEPT  
    ...  
    $IPTABLES -A FORWARD -i $LAN_IF -o $INET_IF -s $LAN_RANGE -d [крайний IP-адрес для pop.gmail.com] -m multiport -p tcp --dport 995,465 -j ACCEPT
     

     
    Потом его добавляем в cron.d, крутим каждые N минут и радуемся жизни  
    Что-то похожее есть здесь.  
     
    Если у кого-то есть готовое рабочее решение такого или другого вида — поделитесь. Не хочется изобретать велосипед.
     
     

    Всего записей: 479 | Зарегистр. 27-09-2003 | Отправлено: 18:57 20-12-2011
    ASE_DAG



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Boris_Popov
    [1], [2], здесь — где-нибудь еще вы этот вопрос задали? ;-)
     
    Реализовать для фильтрации пакетов по имени хоста назначения, когда адрес динамический, указанное вами можно да и не очень сложно, но, как вы сами понимаете, это есть костыль.
    Но хотел я сказать другое. Если речь именно о Гуглопочте, то я решительно не понимаю, зачем подходить к решению этой задачи с той точки зрения, что адреса не известны. Подсети, принадлежащие Гуглю, в кратковременной перспективе известны, а в долговременной — легко узнаются:
    $ dig +short TXT _spf.google.com
    Или вам надо разрешить шифрованную связь строго с Гуглопочтой, но никак не с другими сервисами Гугля?

    ----------
    Dmitry Alexandrov <321942@gmail.com> [PGP] [BTC]

    Всего записей: 9272 | Зарегистр. 12-05-2005 | Отправлено: 18:52 22-12-2011
    alexsunn



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Уважаемые подскажите по вопросу iptables centos6, к примеру чтобы там работал nat по ftp
    надо прописать на загрузку модуля ip_nat_ftp и  ip_conntrack_ftp. То есть если мне к примеру нужен Nat по  sip,то обязательно подгружать kernel/net/ipv4/netfilter/nf_nat_sip.ko то бишь ip_nat_sip? Но модулей так сказать на все нужды нет или есть какой нибудь универсальный?
    Еще маленький вопросик как реализовать схему настройки nat по типу , чтобы для одного компа в локальной сети шел nat по службам ftp,ntp,icq , а другой комп к примеру по smtp и pop3 ?  
    к примеру так можно-
    iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE --to 1.2.3.4-1.2.3.6:1-1023 --to 1.2.3.10-1.2.3.25:25
    iptables -t nat -A POSTROUTING -p udp -o ppp0 -j MASQUERADE --to 1.2.3.7-1.2.3.9:10000-10230
     
    ps вычитал в рунах
    что только так для маскарадинга
    iptables -t nat -A POSTROUTING -p udp -o ppp0 -j MASQUERADE --to-ports 10000-20000
    интересно тогда как прокидывать нат на определенные ip адреса!?

    Всего записей: 267 | Зарегистр. 21-12-2005 | Отправлено: 09:54 23-12-2011 | Исправлено: alexsunn, 12:24 23-12-2011
    Boris_Popov



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ASE_DAG
     

    Цитата:
    [1], [2], здесь — где-нибудь еще вы этот вопрос задали?

     
    Ну, хотя бы в одном из трех мест получил нормальный ответ

    Цитата:
    Или вам надо разрешить шифрованную связь строго с Гуглопочтой, но никак не с другими сервисами Гугля?

    Строго с [smtp|pop].gmail.com. Все остальное - сквид с мониторингом логов (lightsquid).
    P.S. Скрипт "в лоб" уже написал (по более простому алгоритму), полет нормальный Понимаю, что костыль - но с моей нагрузкой на сервер оверхед незначительный и приемлемый.
    P.P.S. Попутно посмотрел Firestarter. Жаль, что проект забросили - мог бы получиться вменяемый гуевый брандмауэр для домашнего использования.
     
     
     
     
     
     
    Добавлено:
    alexsunn

    Цитата:
    интересно тогда как прокидывать нат на определенные ip адреса!

    Как вариант: -j DNAT --to-destination

    Всего записей: 479 | Зарегистр. 27-09-2003 | Отправлено: 16:39 23-12-2011 | Исправлено: Boris_Popov, 16:48 23-12-2011
    usertum



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    [delete] Вопрос решил сам.

    Всего записей: 471 | Зарегистр. 01-07-2008 | Отправлено: 11:59 29-12-2011 | Исправлено: usertum, 17:59 02-01-2012
    alexsunn



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Boris_Popov
    DNAT это мальца не то, а простой проброс портов.

    Всего записей: 267 | Зарегистр. 21-12-2005 | Отправлено: 15:13 03-01-2012
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Закладки » Firewall *nix: iptables, ipfw, pf etc...


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru