From: "Nikolay A. Fetisov" <naf@naf.net.ru> To: sysadmins@lists.altlinux.org Subject: Re: [Sysadmins] "Макроязык" для firewall Date: Mon, 28 Jan 2008 13:11:21 +0300 Message-ID: <20080128131121.7a19e479@v3405.naf.net.ru> (raw) In-Reply-To: <f7a739430801272234x77cc2edw4a5d073a5f9fd395@mail.gmail.com> On Mon, 28 Jan 2008 09:34:30 +0300 Eugene Prokopiev wrote: > А есть ли у нас или может кто использует самопальные средства (набор > скриптов, а не GUI) для упрощения написания правил iptables? ... FIAIF - в дистрибутиве есть. Для обсуждаемой в community@ темы простого шлюза >комп с двумя сетевушками > eth0 192.168.x.51(городская сеть и VPN) > eth2 192.168.0.1 > шлюз 192.168.x.1 (http://lists.altlinux.org/pipermail/community/2008-January/403115.html) конфигурация выглядела бы так: /etc/fiaif/fiaif.conf ------8<--------------- ... DONT_START=0 ZONES="EXT INT" CONF_INT=zone.int CONF_EXT=zone.ext ... DEBUG=0 ... ------8<--------------- /etc/fiaif/zone.int: ------8<--------------- NAME=INT DEV=eth2 DYNAMIC=1 GLOBAL=0 IP_EXTRA="" NET_EXTRA="224.0.0.0/4" DHCP_SERVER=0 INPUT[0]="ACCEPT ALL 0.0.0.0/0=>0.0.0.0/0" OUTPUT[0]="ACCEPT ALL 0.0.0.0/0=>0.0.0.0/0" FORWARD[0]="ALL DROP ALL 0.0.0.0/0=>0.0.0.0/0" REDIRECT_PROXY="tcp 80 0.0.0.0/0=>0.0.0.0/0 127.0.0.1 3128" SNAT[0]="EXT ALL 0.0.0.0/0=>0.0.0.0/0" TC_ENABLE=0 ------8<--------------- /etc/fiaif/zone.ext: ------8<--------------- NAME=EXT DEV=eth0 DYNAMIC=1 GLOBAL=1 IP_EXTRA="" NET_EXTRA="192.168.x.0/255.255.255.0" DHCP_SERVER=0 INPUT[0]="ACCEPT tcp ssh 0.0.0.0/0=>0.0.0.0/0" INPUT[1]="ACCEPT icmp echo-request 0.0.0.0/0=>0.0.0.0/0" INPUT[2]="DROP_NOLOG udp 67,135,137,138,139,445,520 0.0.0.0/0=>0.0.0.0/0" INPUT[3]="DROP_NOLOG tcp 135,137,138,139,445,520 0.0.0.0/0=>0.0.0.0/0" INPUT[4]="REJECT udp ALL 0.0.0.0/0=>0.0.0.0/0" INPUT[5]="DROP ALL 0.0.0.0/0=>0.0.0.0/0" OUTPUT[0]="ACCEPT ALL 0.0.0.0/0=>0.0.0.0/0" FORWARD[0]="ALL ACCEPT ALL 0.0.0.0/0=>0.0.0.0/0" REPLY_AUTH="EXT tcp-reset tcp auth 0.0.0.0/0=>0.0.0.0/0" REPLY_TRACEROUTE="EXT icmp-port-unreachable udp 33434:33464 0.0.0.0/0=>0.0.0.0/0" LIMIT_PING="EXT DROP 1/second 3 ICMP echo-request 0.0.0.0/0=>0.0.0.0/0" TC_ENABLE=0 ------8<--------------- В итоговой конфигурации были бы заблокированы обращения извне с частных подсетей (кроме явно разрешённой 192.168.x.0/24), с ещё не распределённых IANA диапазонов адресов, включено логирование отброшенных пакетов (кроме CIFS), ну и т.п. - в общей сложности порядка 400 правил. Примеры конфигурации в пакете, разумеется, присутствуют. -- С уважением, Николай Фетисов
next prev parent reply other threads:[~2008-01-28 10:11 UTC|newest] Thread overview: 9+ messages / expand[flat|nested] mbox.gz Atom feed top 2008-01-28 6:34 Eugene Prokopiev 2008-01-28 8:41 ` [Sysadmins] " Макроязык " " Led 2008-01-28 8:57 ` [Sysadmins] "Макроязык" " Andrew Kornilov 2008-01-28 9:02 ` Anton Kvashin 2008-01-28 10:11 ` Nikolay A. Fetisov [this message] 2008-01-28 13:35 ` Евгений Терешков 2008-01-29 6:07 ` Eugene Prokopiev 2008-01-31 16:11 ` Maxim Tyurin 2008-01-31 22:13 ` [Sysadmins] " Макроязык " " Peter V. Saveliev
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=20080128131121.7a19e479@v3405.naf.net.ru \ --to=naf@naf.net.ru \ --cc=sysadmins@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git