Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Firewall *nix: iptables, ipfw, pf etc...

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28

Открыть новую тему     Написать ответ в эту тему

Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
iptables
   
Linux

 
  • настройка iptables (крупные статьи переехали на wikibooks)
  • настройка iptables (opennet)
  • Easy Firewall Generator for IPTables Online
  • l7-filter - дополнения для netfilter, позволяющее создавать правила основываясь на данных прикладного уровня.
  • ipset - модуль для ядра Linux к фаерволу netfilter для создания и управления наборами адресов, портов, связок ip+mac.
     
    Так же может быть интересным
  • Перевод руководства по iproute2 и управлению трафиком в Linux (оригинал LARTC) -- внимательно читать оглавление - тема содержит уйму всего!!!
  • Введение в управление трафиком, дисциплины обработки очередей (теория) (opennet) - aka Повесть о Linux и управлении трафиком.
  • QoS в Linux - iproute2 и u32 селектор (хабр)
  • QoS в Linux - iproute2, издеваемся над трафиком (хабр)
     


    ipfw
       
    FreeBSD

  • русский MAN (opennet)
  • настройка ipfw (opennet)
  • настройка ipfw (lissyara)
     
    Достаточно частый вопрос
  • Балансировка и резервирование канала (samag.ru)
     


    pf
       
    OpenBSD

  • начальная настройка pf (lissyara)
  • настройка pf как шлюза (lissyara)

  • Всего записей: 6442 | Зарегистр. 28-08-2008 | Отправлено: 23:50 19-08-2010 | Исправлено: Alukardd, 22:16 13-05-2022
    stalker780



    Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Подскажите по iptables. 3й день ломаю голову Тяжко мне дается iptables
     
    Описание проблемы
     
    Добавлено:
    Заработал бан... Но так и не понял, что я сделал немного поправил конфиг fail2ban

    Всего записей: 216 | Зарегистр. 01-07-2003 | Отправлено: 16:06 15-12-2017
    Small_green_yojik



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброго всем дня!
    Возникла необходимость пробросить WOL  
     
    Схема следующая: роутер раздает по DHCP 192.168.2.0/24, WAN роутера смотрит в локалку с IP 192.168.0.244, нужно будить ПК с 192.168.0.x
     
    Т.е.: (Телефон) 2.5 <> 2.1 (роутер) 0.244 <> 0.0/24
     
    Шлю WOL пакет на 192.168.0.1, tcpdump'ом вижу что 0.1 пакет получает.  
    Пытаюсь пробросить пакет: " iptables -t nat -A PREROUTING -p UDP -d 192.168.0.1 --dport 9 -j DNAT --to-destination 192.168.0.255:9"
    Исходящих пакетов от 0.1 на 9 порт не вижу. ЧЯДНТ?
     
    Буду благодарен за помощь.
     
     
     

    Всего записей: 214 | Зарегистр. 18-05-2009 | Отправлено: 15:06 15-07-2019
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Small_green_yojik
    Ну, во-первых, я не уверен за UDP порт 9, это иногда не так, надо перебирать кажется 6,7,9.
    Во-вторых, правило NAT, если порт не меняется, то и не надо его указывать в "правой" части.
     

    Цитата:
    Шлю WOL пакет на 192.168.0.1, tcpdump'ом вижу что 0.1 пакет получает.  
    0.1 это простите кто? И почему на чём-то выключенном и ждущем WOL пакет, Вы смогли запустить tcpdump?
    Цитата:
    Исходящих пакетов от 0.1 на 9 порт не вижу. ЧЯДНТ?  
    разве не его будить надо? Почему от него должны быть пакеты?
     
    В общем, если будить надо с телефона, то сначала надо бы понять какие пакеты он шлёт в сеть. Для чего сдампать всё на роутере и там поглядеть.

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6442 | Зарегистр. 28-08-2008 | Отправлено: 15:45 15-07-2019
    Small_green_yojik



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Alukardd
    Ок. Чуть поконкретнее:
    0.1 - шлюз сети, на котором организуется проброс  
    9 порт - именно он, т.к. wakeonlan утилита, запущенная на шлюзе 0.1, будит 0.32 (а именно его в тестах я и пытаюсь будить) на ура именно по UDP 9
     
    Дампаю все на 0.1
     
    Добавлено:
    Порт указан т.к. пытался не только с 9 на 9 пробрасывать, но и, н-р, 79 > 9  
     
    Добавлено:
    Т.е. как мне видится схема: телефон шлет пакеты на 0.1:9, а 0.1 их переадресует на 192.168.0.255:9
     
    Добавлено:
    iptables -t nat -A PREROUTING -p UDP -d 192.168.0.1 --dport 9 -j DNAT --to-destination 192.168.0.32
    Отрабатывает нормально.
     
    iptables на broadcast не пробрасывает.

    Всего записей: 214 | Зарегистр. 18-05-2009 | Отправлено: 16:19 15-07-2019 | Исправлено: Small_green_yojik, 16:28 15-07-2019
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Small_green_yojik
    А у Вас между сетями налажена маршрутизация или они nat'ятся друг в друга?
    Если маршрутизируются, то как выглядит FORWARD цепочка таблицы filter? А если nat'ятся, то показывайте SNAT правила.
     
    p.s. и отвечайте одним сообщением, а не четырьмя.

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6442 | Зарегистр. 28-08-2008 | Отправлено: 17:46 15-07-2019 | Исправлено: Alukardd, 17:47 15-07-2019
    Small_green_yojik



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Alukardd
    Будить одну машину пока достаточно.
     
    SNAT на шлюзе выглядел следующим образом: iptables -t nat -A POSTROUTING -p UDP-d 192.168.0.255 --dport 9 -j SNAT --to-source 192.168.0.1
     
    Но с одной машиной прекрасно работает и без него.
     
     
    Сдается мне проблема в том, что iptables работает уровнем выше, чем broadcast'ы

    Всего записей: 214 | Зарегистр. 18-05-2009 | Отправлено: 11:16 16-07-2019 | Исправлено: Small_green_yojik, 11:40 16-07-2019
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Small_green_yojik
    Broadcast такой же ip пакет.
    Вот с его пересылкой, могут быть вопросы, но Вы же хоите что бы на шлюз приходил ubicast, а шлюз дальше уже слал broadcast, так что проблем с этим быть ни каких не должно.

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6442 | Зарегистр. 28-08-2008 | Отправлено: 12:51 16-07-2019
    urodliv



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Small_green_yojik
    Так ежели утилита WOL на шлюзе работает, то почему бы ей и не пользоваться? Сделать доступ извне к шлюзу по ssh и засылать нужную команду.

    ----------
    Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.

    Всего записей: 6511 | Зарегистр. 29-04-2009 | Отправлено: 13:04 16-07-2019
    Small_green_yojik



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    urodliv
    Когда нужно несколько машин включить - так и делаю.
    vpn -> ssh -> sh скрипт с wol
     
    А когда нужно одну по-быстрому - хочется просто кнопочку нажать одну и все...
     
     
    Добавлено:
    Alukardd

    Цитата:
    быть ни каких не должно.

     
    Не должно, но... суслик есть.

    Всего записей: 214 | Зарегистр. 18-05-2009 | Отправлено: 14:59 16-07-2019
    Alukardd



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    urodliv
    у меня для этого был SSI (.shtml).

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

    Всего записей: 6442 | Зарегистр. 28-08-2008 | Отправлено: 18:27 16-07-2019
    newhk



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Привет!
    Вопрос.
    Есть iptables и 2 web сервера в локалке (оба должны работать на стандартных портах).
    Можно ли настроить iptables так, чтобы при запросе на один домен было перенаправление на web-сервер1, а при запросе второго домена было перенаправление на web-сервер2?
     
    Если такое можно сделать средствами шлюза, то прошу не предлагать конфигурацию обратного прокси из nginx или апача.

    Всего записей: 346 | Зарегистр. 02-02-2009 | Отправлено: 22:45 25-12-2019
    karavan



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    newhk
    Цитата:
    Если такое можно сделать средствами шлюза
    Можно. Но по утилизации ресурсов будет дороже, чем
    Цитата:
    прокси из nginx


    Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 23:44 25-12-2019
    newhk



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    karavan
    Как?
    Тыкните пожалуйста.
    Или на грамотную статью по настройке обратного прокси для с выпуском сертификата(тов).
    У меня 2 бэкэнд сервера:
    1. Почтовыик с веб мордой
    2. Nextcloud с принудительные перенаправлением на https

    Всего записей: 346 | Зарегистр. 02-02-2009 | Отправлено: 07:45 26-12-2019
    vlary



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    newhk
    Цитата:
    Тыкните пожалуйста.  
    Гдето так: тыц...


    ----------
    Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

    Всего записей: 17034 | Зарегистр. 13-06-2007 | Отправлено: 10:45 26-12-2019
    newhk



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    vlary
    Спасибо!

    Всего записей: 346 | Зарегистр. 02-02-2009 | Отправлено: 13:04 26-12-2019
    palamars



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день, хочу организовать средствами iptables нехитрую защиту от сетевых сканеров.
    -Если происходит обращение на 80-порт, мы пакет дропаем и заносим IP адрес отправителя в blacklist
    -В дальнейшем дропаем любой пакет, который приходит с IP из блеклиста
    Я видел реализации с фальшивым http сервисом поднятым на этом порту, но мне это кажется усложнением сущности. Должно быть какое-то простое решение...

    Всего записей: 92 | Зарегистр. 10-11-2006 | Отправлено: 00:44 02-05-2020
    Mavrikii

    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    palamars

    Цитата:
    но мне это кажется усложнением сущности

    ну потому, что так работает honeypot
    https://ru.wikipedia.org/wiki/Honeypot
     

    Цитата:
    -В дальнейшем дропаем любой пакет, который приходит с IP из блеклиста

    https://gist.github.com/SBejga/5c5feb70324a8c9626d3
    но это для логов, не добавления в блок после.
     
    потому что не совсем прямая задача для файера, нужен отдельный скрипт.
     
    к примеру так
    https://blog.own.sh/low-interaction-honeypots-with-python/
    https://gist.github.com/omnidan/1456674
    и вместо логгирования добавлять IP в блок.

    Всего записей: 12535 | Зарегистр. 20-09-2014 | Отправлено: 05:06 02-05-2020 | Исправлено: Mavrikii, 05:31 02-05-2020
    vertex4



    Platinum Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    но это для логов, не добавления в блок после.  

    сохраняешь в лог и потом туда натравливаешь fail2ban. Так делаем, дешево и сердито (мы просто в любом случае используем fail2ban, поэтому лишней сущности нет)

    ----------
    В любой инструкции пропущено самое важное - что делать, если это устройство или программа не работают

    Всего записей: 10321 | Зарегистр. 29-01-2006 | Отправлено: 07:15 02-05-2020
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    palamars
    Вы так полинета забаните. Фаер постаить не пробовали, а не табуретку?

    Цитата:
    Если происходит обращение на 80-порт, мы пакет дропаем и заносим IP адрес отправителя в blacklist
    Дёшево и сердито, молодцы.
    Одно не понятно. Зачем включать коннектор в принципе? Заразно же.
     
    Добавлено:
    Всё, я понял. Всякий, кто заходит на 80 есть враг.
    Вопросов больше не имею, одмины

    ----------
    Скучно

    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 08:53 02-05-2020
    ipmanyak



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    palamars Есть подобные  и готовые решения
     пакет Fail2ban  
    Инструкция    https://vps.ua/wiki/configuring-fail2ban/
     
    Portcentry
    https://www.lissyara.su/articles/freebsd/security/portsentry/


    ----------
    В сортире лучше быть юзером, чем админом...

    Всего записей: 10987 | Зарегистр. 10-12-2003 | Отправлено: 10:20 02-05-2020
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Firewall *nix: iptables, ipfw, pf etc...


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2020

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru