Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Firewall *nix: iptables, ipfw, pf etc...

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

Открыть новую тему     Написать ответ в эту тему

Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
iptables
   
Linux

 
  • настройка iptables (крупные статьи переехали на wikibooks)
  • настройка iptables (opennet)
  • Easy Firewall Generator for IPTables Online
  • l7-filter - дополнения для netfilter, позволяющее создавать правила основываясь на данных прикладного уровня.
  • ipset - модуль для ядра Linux к фаерволу netfilter для создания и управления наборами адресов, портов, связок ip+mac.
     
  • схема прохождения пакета через netfilter (или более сложно и подробно)
     
    Так же может быть интересным
  • Перевод руководства по iproute2 и управлению трафиком в Linux (оригинал LARTC) -- внимательно читать оглавление - тема содержит уйму всего!!!
  • Введение в управление трафиком, дисциплины обработки очередей (теория) (opennet) - aka Повесть о Linux и управлении трафиком.
  • QoS в Linux - iproute2 и u32 селектор (хабр)
  • QoS в Linux - iproute2, издеваемся над трафиком (хабр)
     


    ipfw
       
    FreeBSD

  • русский MAN (opennet)
  • настройка ipfw (opennet)
  • настройка ipfw (lissyara)
     
    Достаточно частый вопрос
  • Балансировка и резервирование канала (samag.ru)
     


    pf
       
    OpenBSD

  • начальная настройка pf (lissyara)
  • настройка pf как шлюза (lissyara)

  • Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 23:50 19-08-2010 | Исправлено: Alukardd, 11:42 20-05-2022
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    TGR3
    что там у Вас плюшевое я не знаю. iptables умеет очень и очень многое. Особенно вместе с пакетом iproute2.
    iptables -I FORWARD -p tcp -m multiport --dports 80,443 -j DROP

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 16:48 29-09-2015 | Исправлено: Alukardd, 16:49 29-09-2015
    denis1100

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброго времени суток.  
    Задача такая:  
    VPN server 10.10.10.1  
    есть инженеры 10.10.10.2   - 10.10.10.20  
    есть клиенты    10.10.10.21 - 10.10.10.254  
    Нужно настроить iptables дабы клиенты не видели никого, а инженеры могли ходить по ip к клиентам.  
    спасибо!
    ОС UBUNTU 14 LTS

    Всего записей: 6 | Зарегистр. 30-06-2015 | Отправлено: 11:56 28-10-2015 | Исправлено: denis1100, 12:03 28-10-2015
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    denis1100
    Ну они же не каждый лично в этот сервер с Ubuntu воткнуты...
    Это задача для коммутатора и решается она преимущественно VLAN'ами.

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 18:31 28-10-2015
    vlary



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Alukardd  
    ТС имеет в виду подключение по VPN.
    denis1100  
    Если инженеры должны видеть клиентов, то и те будут видеть инженеров.
    Вообще-то VPN понятие очень растяжимое.
    Если речь идет об OpenVPN с опцией client-to-client, то здесь iptables
    вообще не при делах, система не в курсе пакетов между клиентами.
    Читаем сюда: Ссылка  


    ----------
    Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

    Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 00:19 29-10-2015
    karavan



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    denis1100
    Ответил в правильной ветке

    Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 01:47 29-10-2015
    denis1100

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    спасибо всем ответившим, нет у меня не OpenVpn , ptp (pptpd), может не правильно, но пока работает так:
    -A FORWARD -s 10.10.10.2/32 -p tcp -m tcp -m state --state NEW,ESTABLISHED -m iprange --dst-range 10.10.10.20-10.10.10.254 -j ACCEPT
    -A FORWARD -s 10.10.10.0/24 -d 10.10.10.0/24 -p tcp -m tcp -m state --state ESTABLISHED -j ACCEPT
    пока работает так, режет как надо, клиенту между собой не режутся, инженеров пусть видят.
    Единственное что, не разобрался как прописать диапазон  -s 10.10.10.2/32 - но думаю что достаточно будет погуглить, ну а если не выйдет, заведу правило для каждого нужного ip(благо их не много)

    Всего записей: 6 | Зарегистр. 30-06-2015 | Отправлено: 09:07 29-10-2015
    Zhoporez666

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Прошу помощи. Есть МЭ на линуксе с четырьмя сетевыми интерфейсами. Инет приходит на breth3 (адреса 10.*.*.*), раздается в сеть через breth1 (адреса 192.168.1.*). На breh0 (адреса 192.168.0.*) инет не раздается. Какие настройки надо сделать, чтобы пустить инет на конкретную машину в сети 192.168.0.*?

    Всего записей: 43 | Зарегистр. 28-03-2006 | Отправлено: 14:52 05-11-2015
    urodliv



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Zhoporez666
    Слишком мало данных. Я бы посмотрел вывод этих команд:
    sudo iptables -nvL -t filter
    sudo iptables -nvL -t nat


    ----------
    Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.

    Всего записей: 6714 | Зарегистр. 29-04-2009 | Отправлено: 16:03 05-11-2015
    Zhoporez666

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Код:
    Chain INPUT (policy ACCEPT 1 packets, 1028 bytes)
     pkts bytes target     prot opt in     out     source               destination                                                                                          
        0     0 DROP       all  -f  *      *       0.0.0.0/0            0.0.0.0/0                                                                                            
     9092   18M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                   state RELATED,ESTABLISHED
      770  170K ULOG       all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                   ULOG copy_range 48 nlgroup 1 prefix `icount' queue_threshold 50
        0     0 ACCEPT     tcp  --  breth2 *       0.0.0.0/0            0.0.0.0/0                                                                                                   tcp dpt:22
       12   624 ACCEPT     tcp  --  breth2 *       0.0.0.0/0            0.0.0.0/0                                                                                                   tcp dpt:10050
        0     0 ACCEPT     tcp  --  breth0 *       0.0.0.0/0            0.0.0.0/0                                                                                                   tcp dpt:22
        3   156 ACCEPT     tcp  --  breth1 *       0.0.0.0/0            0.0.0.0/0                                                                                                   tcp dpt:22
        0     0 ACCEPT     tcp  --  breth0 *       0.0.0.0/0            0.0.0.0/0                                                                                                   tcp dpt:8080
        0     0 ACCEPT     tcp  --  breth1 *       0.0.0.0/0            0.0.0.0/0                                                                                                   tcp dpt:8080
        0     0 ACCEPT     tcp  --  breth2 *       0.0.0.0/0            0.0.0.0/0                                                                                                   tcp dpt:8080
      524 26274 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0                                                                                            
       23  1104 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                   tcp dpts:5736:5741
      117  120K ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                            
       61 16468 DROP       all  --  breth0 *       0.0.0.0/0            0.0.0.0/0                                                                                            
       25  2588 DROP       all  --  breth1 *       0.0.0.0/0            0.0.0.0/0                                                                                            
        2   492 DROP       all  --  breth2 *       0.0.0.0/0            0.0.0.0/0                                                                                            
        2   492 DROP       all  --  breth3 *       0.0.0.0/0            0.0.0.0/0                                                                                            
     
    Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination                                                                                          
        0     0 DROP       all  -f  *      *       0.0.0.0/0            0.0.0.0/0                                                                                            
        0     0 DROP       tcp  --  breth0 *       0.0.0.0/0            10.27.254.42                                                                                                tcp dpt:1243
    19423   15M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                   state RELATED,ESTABLISHED
      165  8572 ULOG       all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                   ULOG copy_range 48 nlgroup 1 prefix `fcount' queue_threshold 50
        0     0 DROP       tcp  --  breth0 *       0.0.0.0/0            0.0.0.0/0                                                                                                   tcp dpt:3128
        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.1.2                                                                                                 tcp dpt:8078
      165  8572 ACCEPT     tcp  --  *      *       0.0.0.0/0            10.27.254.42                                                                                        
        0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            10.27.254.42                                                                                        
        0     0 ACCEPT     tcp  --  *      *       192.168.0.254        10.99.1.42                                                                                                  tcp dpt:21
     
    Chain OUTPUT (policy ACCEPT 623 packets, 33470 bytes)
     pkts bytes target     prot opt in     out     source               destination                                                                                          
        0     0 DROP       all  -f  *      *       0.0.0.0/0            0.0.0.0/0                                                                                            
     8905   19M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                   state RELATED,ESTABLISHED
      623 33470 ULOG       all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                   ULOG copy_range 48 nlgroup 1 prefix `ocount' queue_threshold 50

     

    Код:
    Chain PREROUTING (policy ACCEPT 965K packets, 349M bytes)
     pkts bytes target     prot opt in     out     source               destination                                                                                          
        0     0 DNAT       tcp  --  *      *       0.0.0.0/0            10.27.63.42                                                                                                 tcp dpt:80 to:192.168.1.2:8078
        0     0 DNAT       udp  --  *      *       0.0.0.0/0            213.243.116.                                                                                        197     udp dpt:55777 to:10.27.254.42:55777
        0     0 DNAT       tcp  --  *      *       0.0.0.0/0            10.27.63.42                                                                                                 tcp dpt:1263 to:192.168.0.254:3389
     
    Chain POSTROUTING (policy ACCEPT 1154K packets, 62M bytes)
     pkts bytes target     prot opt in     out     source               destination                                                                                          
      123  6388 SNAT       tcp  --  *      *       0.0.0.0/0            10.27.254.42                                                                                                to:10.27.63.42
        0     0 SNAT       udp  --  *      *       0.0.0.0/0            10.27.254.42                                                                                                to:10.27.63.42
        0     0 SNAT       tcp  --  *      *       192.168.0.254        10.99.1.42                                                                                                  to:10.27.63.42
        0     0 SNAT       tcp  --  *      *       0.0.0.0/0            10.27.58.42                                                                                                 to:10.27.63.42
        0     0 SNAT       tcp  --  *      *       0.0.0.0/0            10.27.68.42                                                                                                 to:10.27.63.42
     
    Chain OUTPUT (policy ACCEPT 1206K packets, 65M bytes)
     pkts bytes target     prot opt in     out     source               destination      

    Всего записей: 43 | Зарегистр. 28-03-2006 | Отправлено: 03:16 06-11-2015
    urodliv



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Могу ошибаться, но по вашим правилам выходит, что вы используете прокси-сервер для выпуска пользователей в инет. Так чтобы не обрушить логику работы вашей сети, надо настройки делать в проксе.

    ----------
    Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.

    Всего записей: 6714 | Зарегистр. 29-04-2009 | Отправлено: 23:51 07-11-2015
    Zhoporez666

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Прокси настроен на вышестоящем МЭ, используется squid. На моем МЭ прокси нет. Только iptables надо настроить.

    Всего записей: 43 | Зарегистр. 28-03-2006 | Отправлено: 08:28 08-11-2015
    vlary



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Zhoporez666
    Цитата:
    Прокси настроен на вышестоящем МЭ, используется squid.
    Тогда при чем здесь вообще iptables?
    Настраивай маршрутизацию, и прописывай прокси у клиентов в сети 192.168.0.*.


    ----------
    Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

    Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 11:24 08-11-2015
    urodliv



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Zhoporez666
    В вашем случае эти две строчки говорят о том, что NAT из сети 192.168.0.х есть:

    Код:
      123  6388 SNAT       tcp  --  *      *       0.0.0.0/0            10.27.254.42                                                                                                to:10.27.63.42
        0     0 SNAT       udp  --  *      *       0.0.0.0/0            10.27.254.42                                                                                                to:10.27.63.42  

     
    Правило запрещающее этот самый выход:

    Код:
        0     0 DROP       tcp  --  breth0 *       0.0.0.0/0            0.0.0.0/0                                                                                                   tcp dpt:3128  

    Значит его надо преодолеть:
    - либо так: sudo iptables -t filter -I FORWARD 5 -p tcp -i breth0 --dport 3128 -j ACCEPT;
    - либо так: sudo iptables -t filter -R FORWARD 5 -p tcp -i breth0 ! -s [нужный ip-адрес] --dport 3128 -j DROP.

    ----------
    Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.

    Всего записей: 6714 | Зарегистр. 29-04-2009 | Отправлено: 01:11 09-11-2015 | Исправлено: urodliv, 01:15 09-11-2015
    Zhoporez666

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Спасибо, попробую. Я правильно понимаю, что в цепочке FORWARD в таблице FILTER запрещающая строка (или в других местах есть еще, связанные с этим правила?):
    -p tcp -i breth0 -j DROP --dport 3128
     
    Мне нужно пустить инет на одну машину и для этого думаю использовать второй вариант из предложенного, то есть заменить имеющуюся строку на:
    -p tcp -i breth0 ! -s [нужный ip-адрес] --dport 3128 -j DROP
     
     
    Оно?
     
     
     

    Всего записей: 43 | Зарегистр. 28-03-2006 | Отправлено: 09:22 11-11-2015 | Исправлено: Zhoporez666, 09:31 11-11-2015
    TGR3

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    есть прошивка dd-wrt. Ломаю голову как можно прописать в правилах или настройках, чтобы доступ к нему был только с одного внешнего (или нескольких, если с одного то с одного)  ip адреса? и не видно было другим.

    Всего записей: 165 | Зарегистр. 16-10-2008 | Отправлено: 10:46 02-12-2015
    mithridat1



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Релиз iptables 1.6.0

    ----------
    Если ты не понимаешь, что я говорю, и сомневаешься, верно ли все это, обрати внимание по крайней мере на то, не сомневаешься ли ты в самом этом сомнении своем (Августин Блаженный)

    Всего записей: 5025 | Зарегистр. 05-01-2006 | Отправлено: 13:42 19-12-2015
    OOD

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите как писать логи события?
    -I FORWARD -s 61.178.199.0/24 -j REJECT

    Всего записей: 3391 | Зарегистр. 20-05-2006 | Отправлено: 11:14 23-02-2016
    vlary



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    OOD
    Цитата:
    Подскажите как писать логи события?
    -I FORWARD -s 61.178.199.0/24 –log-prefix “BLABLA: ”  -j  LOG
    -I FORWARD -s 61.178.199.0/24 -j REJECT


    ----------
    Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

    Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 12:13 23-02-2016
    OOD

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    vlary
    А если список слишком большой каждому диапазону по 2 таких записи создавать нужно?
    Для всех одну запись
    Цитата:
    –log-prefix “BLABLA: ”  -j  LOG
     никак?

    Всего записей: 3391 | Зарегистр. 20-05-2006 | Отправлено: 12:44 23-02-2016
    vlary



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    OOD
    Цитата:
    Для всех одну запись  
    Убираешь  -s 61.178.199.0/24, тогда все, что попадет у тебя под запрет в FORWARD, будет писаться с этим префиксом.  


    ----------
    Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

    Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 13:12 23-02-2016
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Firewall *nix: iptables, ipfw, pf etc...


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru