From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <lionews@mail.ru>
Date: Thu, 4 Oct 2007 20:37:21 +0400
From: LIO <lionews@mail.ru>
X-Mailer: Voyager (v3.72.03) Professional
X-Priority: 3 (Normal)
Message-ID: <5610597868.20071004203721@mail.ru>
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
In-Reply-To: <4704F6FC.6090704@ukr.net>
References: <47039F45.30500@ukr.net>
	<b966c1e40710040225m1a296422x1a162dfe8e472860@mail.gmail.com>
	<4704DE99.5090109@ukr.net>
	<200710041543.03503.serge.polkovnikov@gmail.com>
	<4704E24D.3080200@iop.kiev.ua> <4704EB76.7030404@ukr.net>
	<4704F6FC.6090704@ukr.net>
MIME-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Transfer-Encoding: 8bit
Subject: Re: [Sysadmins] iptables
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.9
Precedence: list
Reply-To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmin discuss <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Thu, 04 Oct 2007 16:37:13 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/5610597868.20071004203721@mail.ru/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

Здравствуйте.

4.10.2007 18:21 Valery wrote:

>>> Любыми генераторами правил можно пользоваться только когда Вы
>>> способны осознанно проэкзаменовать результат их работы, ИМХО.
ИМХО тоже. Абсолютно согласен.

>> Вот во вложении, то что у меня получилось, переделав один конфиг.
>> Там есть строка доступ по SSH закрывает 192.168.0.0/16. А как перекрыть 
>> отовсюду? Это и 80го порта касается.

там есть много строчек, и для http:
# С─азС─Р╣С┬РёС┌С▄ Р╢Р╬С│С┌С┐Р© Р╪Р╫Р╣ Р©Р╬ 80 Р©Р╬С─С┌С┐, С│Р╩Р╣Р╢С┐С▌С┴Р╣Р╣ заЩС─Р╣С┌РёС┌ Р╡С│Р╣Р╪.
iptables -t filter -A INPUT -s 192.168.1.51 -p tcp --dport 80 -j ACCEPT
#заЩС─Р╣С┌РёС┌С▄ Р╡С│Р╣Р╪ Р╢Р╬С│С┌С┐Р© Р©Р╬ 80 Р©Р╬С─С┌С┐
iptables -t filter -A INPUT -s 192.168.0.0/16 -p tcp --dport 80 -j DROP

и для SSH тоже
# iptables -t filter -A INPUT -s 192.168.1.111 -p tcp --dport 22 -j ACCEPT
iptables -t filter -A INPUT -s 192.168.1.51 -p tcp --dport 22 -j ACCEPT
# Р·Р°Р╨С─С▀С┌С▄ Р©Р╬ SSH
iptables -t filter -A INPUT -s 192.168.0.0/16 -p tcp --dport 22 -j DROP

напиши вместо этого (на худой конец до этого)
# С─азС─Р╣С┬РёС┌С▄ Р╢Р╬С│С┌С┐Р© Р╪Р╫Р╣ Р©Р╬ 80 Р©Р╬С─С┌С┐, С│Р╩Р╣Р╢С┐С▌С┴Р╣Р╣ заЩС─Р╣С┌РёС┌ Р╡С│Р╣Р╪.
iptables -t filter -A INPUT -s 192.168.1.51 -j ACCEPT
iptables -t filter -A INPUT -s 192.168.0.0/16 -j DROP
чтобы запретить доступ всем из подсети 192.168.0.0/16 кроме
192.168.1.51. Вот только пролистав ниже можно увидеть что
# РазС─Р╣С┬РёС┌С▄ С│Р╣С─Р╡Р╣С─С┐ Р╬Р╠С┴Р°С┌С▄С│С▐ С│ Р╡Р╫Р╣С┬Р╫РёР╪ Р╪РёС─Р╬Р╪
iptables -t filter -A INPUT -i $iface_world -j ACCEPT
iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT
для "внешнего мира" (eth0) входной то и двери нет (дыра размером с
пару окон). Поэтому это стоит подправить на следующее
iptables -t filter -A INPUT -s 192.168.1.51 -j ACCEPT
iptables -t filter -A INPUT -j DROP
Тогда доступ будет закрыт вообще всем кроме 192.168.1.15

А если вспомнить первое Ваше письмо где вы говорили что доступ надо
закрыть только 192.168.1.15 (сделать с точностью до наоборот), то
iptables -t filter -A INPUT -s !192.168.1.51 -j ACCEPT

Надеюсь, данные "примеры" помогут Вам.

ЗЫЖ Чего-то с кодировочкой намудрили...


-- 
Binary yours,
 LIO