From: "Nikolay A. Fetisov" <naf@naf.net.ru>
To: sysadmins@lists.altlinux.org
Subject: Re: [Sysadmins] "Макроязык" для firewall
Date: Mon, 28 Jan 2008 13:11:21 +0300
Message-ID: <20080128131121.7a19e479@v3405.naf.net.ru> (raw)
In-Reply-To: <f7a739430801272234x77cc2edw4a5d073a5f9fd395@mail.gmail.com>
On Mon, 28 Jan 2008 09:34:30 +0300
Eugene Prokopiev wrote:
> А есть ли у нас или может кто использует самопальные средства (набор
> скриптов, а не GUI) для упрощения написания правил iptables? ...
FIAIF - в дистрибутиве есть.
Для обсуждаемой в community@ темы простого шлюза
>комп с двумя сетевушками
> eth0 192.168.x.51(городская сеть и VPN)
> eth2 192.168.0.1
> шлюз 192.168.x.1
(http://lists.altlinux.org/pipermail/community/2008-January/403115.html)
конфигурация выглядела бы так:
/etc/fiaif/fiaif.conf
------8<---------------
...
DONT_START=0
ZONES="EXT INT"
CONF_INT=zone.int
CONF_EXT=zone.ext
...
DEBUG=0
...
------8<---------------
/etc/fiaif/zone.int:
------8<---------------
NAME=INT
DEV=eth2
DYNAMIC=1
GLOBAL=0
IP_EXTRA=""
NET_EXTRA="224.0.0.0/4"
DHCP_SERVER=0
INPUT[0]="ACCEPT ALL 0.0.0.0/0=>0.0.0.0/0"
OUTPUT[0]="ACCEPT ALL 0.0.0.0/0=>0.0.0.0/0"
FORWARD[0]="ALL DROP ALL 0.0.0.0/0=>0.0.0.0/0"
REDIRECT_PROXY="tcp 80 0.0.0.0/0=>0.0.0.0/0 127.0.0.1 3128"
SNAT[0]="EXT ALL 0.0.0.0/0=>0.0.0.0/0"
TC_ENABLE=0
------8<---------------
/etc/fiaif/zone.ext:
------8<---------------
NAME=EXT
DEV=eth0
DYNAMIC=1
GLOBAL=1
IP_EXTRA=""
NET_EXTRA="192.168.x.0/255.255.255.0"
DHCP_SERVER=0
INPUT[0]="ACCEPT tcp ssh 0.0.0.0/0=>0.0.0.0/0"
INPUT[1]="ACCEPT icmp echo-request 0.0.0.0/0=>0.0.0.0/0"
INPUT[2]="DROP_NOLOG udp 67,135,137,138,139,445,520 0.0.0.0/0=>0.0.0.0/0"
INPUT[3]="DROP_NOLOG tcp 135,137,138,139,445,520 0.0.0.0/0=>0.0.0.0/0"
INPUT[4]="REJECT udp ALL 0.0.0.0/0=>0.0.0.0/0"
INPUT[5]="DROP ALL 0.0.0.0/0=>0.0.0.0/0"
OUTPUT[0]="ACCEPT ALL 0.0.0.0/0=>0.0.0.0/0"
FORWARD[0]="ALL ACCEPT ALL 0.0.0.0/0=>0.0.0.0/0"
REPLY_AUTH="EXT tcp-reset tcp auth 0.0.0.0/0=>0.0.0.0/0"
REPLY_TRACEROUTE="EXT icmp-port-unreachable udp 33434:33464 0.0.0.0/0=>0.0.0.0/0"
LIMIT_PING="EXT DROP 1/second 3 ICMP echo-request 0.0.0.0/0=>0.0.0.0/0"
TC_ENABLE=0
------8<---------------
В итоговой конфигурации были бы заблокированы обращения извне с частных
подсетей (кроме явно разрешённой 192.168.x.0/24), с ещё не распределённых
IANA диапазонов адресов, включено логирование отброшенных пакетов (кроме CIFS),
ну и т.п. - в общей сложности порядка 400 правил.
Примеры конфигурации в пакете, разумеется, присутствуют.
--
С уважением,
Николай Фетисов
next prev parent reply other threads:[~2008-01-28 10:11 UTC|newest]
Thread overview: 9+ messages / expand[flat|nested] mbox.gz Atom feed top
2008-01-28 6:34 Eugene Prokopiev
2008-01-28 8:41 ` [Sysadmins] " Макроязык " " Led
2008-01-28 8:57 ` [Sysadmins] "Макроязык" " Andrew Kornilov
2008-01-28 9:02 ` Anton Kvashin
2008-01-28 10:11 ` Nikolay A. Fetisov [this message]
2008-01-28 13:35 ` Евгений Терешков
2008-01-29 6:07 ` Eugene Prokopiev
2008-01-31 16:11 ` Maxim Tyurin
2008-01-31 22:13 ` [Sysadmins] " Макроязык " " Peter V. Saveliev
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20080128131121.7a19e479@v3405.naf.net.ru \
--to=naf@naf.net.ru \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git