Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Firewall *nix: iptables, ipfw, pf etc...

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

Открыть новую тему     Написать ответ в эту тему

Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
iptables
   
Linux

 
  • настройка iptables (крупные статьи переехали на wikibooks)
  • настройка iptables (opennet)
  • Easy Firewall Generator for IPTables Online
  • l7-filter - дополнения для netfilter, позволяющее создавать правила основываясь на данных прикладного уровня.
  • ipset - модуль для ядра Linux к фаерволу netfilter для создания и управления наборами адресов, портов, связок ip+mac.
     
  • схема прохождения пакета через netfilter (или более сложно и подробно)
     
    Так же может быть интересным
  • Перевод руководства по iproute2 и управлению трафиком в Linux (оригинал LARTC) -- внимательно читать оглавление - тема содержит уйму всего!!!
  • Введение в управление трафиком, дисциплины обработки очередей (теория) (opennet) - aka Повесть о Linux и управлении трафиком.
  • QoS в Linux - iproute2 и u32 селектор (хабр)
  • QoS в Linux - iproute2, издеваемся над трафиком (хабр)
     


    ipfw
       
    FreeBSD

  • русский MAN (opennet)
  • настройка ipfw (opennet)
  • настройка ipfw (lissyara)
     
    Достаточно частый вопрос
  • Балансировка и резервирование канала (samag.ru)
     


    pf
       
    OpenBSD

  • начальная настройка pf (lissyara)
  • настройка pf как шлюза (lissyara)

  • Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 23:50 19-08-2010 | Исправлено: Alukardd, 11:42 20-05-2022
    Maindde

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день! Помогите решить одну задачку, т.к. в линуксе ноль. Есть роутер на DD-WRT, настроен OpenVPN Server, к нему подключается несколько филиалов, все это делалось, чтобы на филиалах работали IP-телефоны Panasonic, которые подключаются к нашей IP-АТС Panasonic, сейчас звонки работают между офис-филиал, а вот филиал-филиал нет, думается все дело в правилах фаервола, они сейчас пустые, как сделать, чтобы филиалы могли «видеть друг друга» и звонить друг другу.
     
    В инете нашел несколько мануалов по настройке, но не зна, будут ли они работать в такой конфигурации
    Пример:
    # eth0 - внутренний интерфейс 192.168.0.0/24
    # tun  - сетка 192.168.1.0/24 для openvpn-клиентов
    iptables -A INPUT  -p udp -m udp --dport 11194 -j ACCEPT
    iptables -A OUTPUT -p udp -m udp --sport 11194 -j ACCEPT -m conntrack --ctstate ESTABLISHED,RELATED
    iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.0.0/24 -i tun+ -o eth0 -p icmp -j ACCEPT
    iptables -A FORWARD -s 192.168.0.0/24 -d 192.168.1.0/24 -i eth0 -o tun+ -p icmp -j ACCEPT
     
    У меня несколько интерфейсов tun для каждого филиала.

    Всего записей: 1 | Зарегистр. 18-12-2015 | Отправлено: 15:53 25-07-2016 | Исправлено: Maindde, 15:56 25-07-2016
    OOD

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите проблема такая был шлюз настроен на реал айпи и внутренюю сетку, Centos6,Esx4,2 вертуальных интерфейса и 2 реальных.
    Переселил машину на другой сервер esx 5.5.0 тупым копированием вертуалки.
    поменял hostname айпи адреса днс и т.д.  
    нат работает, а Dnat (проброс портов во внутренюю сеть) не работают
    подскажите в чем может быть беда?

    Всего записей: 3378 | Зарегистр. 20-05-2006 | Отправлено: 17:05 22-08-2016
    chydotvorec

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день!
    Подскажите как реализовать.
    Есть комп с 2 сетевыми NAT, forward, iptables
    Есть комп в локальной сети с приложением отправляющего пакеты с определенного порта
    Какое правило iptables нужно прописать чтобы после прохождения NAT,  IP адрес менялся, а вот исходящий порт оставался прежним который шел от проиложения

    Всего записей: 4 | Зарегистр. 07-11-2008 | Отправлено: 06:41 29-08-2016
    ErlahA

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Проблема с пробросом портов, может кто подскажет? Есть локальная сеть, шлюз на Дебиане с iptables. На нем стоит Squid и почтовый сервер Postfix. Нужно пробросить порт на одну машину внутри локалки через Дебиан.
    Не идет проброс, гдето блокируется. вот конфиг iptables  
    Подробнее...

    Всего записей: 53 | Зарегистр. 18-12-2007 | Отправлено: 14:00 29-11-2017 | Исправлено: ErlahA, 14:03 29-11-2017
    karavan



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    ErlahA

    Цитата:
    локальная сеть 192.155.152.0

    Ты это всерьез?
    О каком iptables может идти речь с такими фэйлами.

    Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 14:09 29-11-2017
    ErlahA

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    [q][/q]
    А что не так с адресом ?

    Всего записей: 53 | Зарегистр. 18-12-2007 | Отправлено: 14:24 29-11-2017
    vertex4

    Moderator
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    ErlahA

    Цитата:
    IP     192.155.152.0
    Хост:     192.155.152.0
    Город:     Stamford
    Страна:     United States
    IP диапазон:     192.155.128.0 - 192.155.157.255
    CIDR:     192.155.152.0/22, 192.155.156.0/23, 192.155.128.0/20, 192.155.144.0/21
    Название провайдера:     Thomson Reuters U.S. LLC  

    тебе серых адресов не хватает, и ты решил у американцев белые стырить? не хорошо это
    --to-destination ip:port

    ----------
    В любой инструкции пропущено самое важное - что делать, если это устройство или программа не работают

    Всего записей: 10393 | Зарегистр. 29-01-2006 | Отправлено: 14:36 29-11-2017 | Исправлено: vertex4, 14:36 29-11-2017
    ErlahA

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    vertex офигеть !!! )))
    Мдаа.. Сетка досталась настроенной прошлым админом .. Как то в голову не приходило проверить айпишники. Как посоветуешь исправить малой кровью ? Все осложняется тем что  в сети у всех статика, DHCP нет,придётся менять айпишники и на шлюзе и на DC и во всей локалке ручками ??

    Всего записей: 53 | Зарегистр. 18-12-2007 | Отправлено: 17:30 29-11-2017
    karavan



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Малой кровью - начать с поднятия dhcp с текущим адресным пространством, затем в одну ночь сменить адрес сети.

    Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 20:05 29-11-2017
    ErlahA

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Понятно, будем поднимать ..
    А кстати проброс то заработает с моим конфигом если заменю адреса ?

    Всего записей: 53 | Зарегистр. 18-12-2007 | Отправлено: 21:22 29-11-2017
    karavan



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    ErlahA

    Цитата:
    проброс то заработает с моим конфигом если заменю адреса ?

    Пробросу DNAT`у без разницы соблюдение тобой RFC при назначении адресов, ему не без разницы корректность правила.
    Правильный fix выше vertex4 указал:

    Цитата:
    --to-destination ip:port

     

    Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 22:08 29-11-2017
    ErlahA

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    -A PREROUTING -i eth0 -p tcp -m tcp --dport 8042 -j DNAT --to-destination 192.155.153.2:8042
    -A PREROUTING -s 192.155.152.0/22 -p tcp -m multiport --dports 80,443 -j REDIRECT --to-ports 3128
    -A POSTROUTING -d 192.155.153.2 -p tcp -m tcp --dport 8042 -s 192.155.152.0/22 -j SNAT --to-source 192.155.155.226:8042
    -A POSTROUTING -s 192.155.152.0/22 -o eth0 -j SNAT --to-source www.www.www.www
    -A OUTPUT -d www.www.www.www -p tcp -m tcp --dport 8042 -j DNAT --to-destination 192.155.153.2:8042
    COMMI
    имеется в виду так?

    Всего записей: 53 | Зарегистр. 18-12-2007 | Отправлено: 09:20 30-11-2017
    ErlahA

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    похоже ответа не будет

    Всего записей: 53 | Зарегистр. 18-12-2007 | Отправлено: 21:37 01-12-2017
    OOD

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Помогите пожалуйста упросить в Iptables подобный код:
    Подробнее...
    или может можно в отдельный файл поместить?

    Всего записей: 3378 | Зарегистр. 20-05-2006 | Отправлено: 09:09 08-12-2017
    vertex4

    Moderator
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    OOD
    а откуда эти сети? логичнее было бы объединить некоторые, к примеру, 5.9.0.0/16
    А так - iptables-save  и iptables-restore
    Можно поместить в отдельный файл и скриптом загружать

    Всего записей: 10393 | Зарегистр. 29-01-2006 | Отправлено: 09:31 08-12-2017
    karavan



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    OOD
    ipset помогает избавить фаирвол от множества правил

    Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 09:39 08-12-2017
    OOD

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    vertex4
    Объединить нужно, руки просто не доходят.Сейчас бы их в файл засунуть, но не знаю как не могли бы подсказать?
    Это все спаммерские сети.

    Всего записей: 3378 | Зарегистр. 20-05-2006 | Отправлено: 10:25 08-12-2017 | Исправлено: OOD, 10:26 08-12-2017
    yuris

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    OOD
    можно через init скрипт сохранить/восстановить

    Код:
    service iptables save
    service iptables restore

    скрипт пишет куда он сохраняет, на центосе обычно в /etc/sysconfig/iptables.save

    Всего записей: 382 | Зарегистр. 19-11-2001 | Отправлено: 11:04 08-12-2017
    OOD

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    yuris
    karavan
    vertex4
    Я имел ввиду можно в отдельный файл поместить эти списки, чтобы они не жили в iptables?
    Например как в squid:
    block dstdomain "/etc/squid/acl/block-http"
    в файл block-http поместить эти айпи адреса, или правила блокировки.

    Всего записей: 3378 | Зарегистр. 20-05-2006 | Отправлено: 08:42 14-12-2017
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    OOD
    Вам же уже ответили, что надо для таких целей использовать ipset (в шапке даже ссылка на него есть).
    В интернетах полно разнообразных примеров по тому как их готовить.

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 11:13 14-12-2017
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Firewall *nix: iptables, ipfw, pf etc...


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru