* [Sysadmins] iptables
@ 2007-10-03 13:55 Valery V. Rusnak
2007-10-03 13:58 ` Serge
2007-10-03 14:01 ` Peter V. Saveliev
0 siblings, 2 replies; 36+ messages in thread
From: Valery V. Rusnak @ 2007-10-03 13:55 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Добрый день.
Подскажи пожалуйста как закрыть кому то доступ? В данном случае
192.168.1.51, хочу запретить чтобы он невидел вообще сервер.
iptables -t filter - A INPUT -d 192.168.1.51 -j DROP
iptables -t filter - A OUTPUT -s 192.168.1.51 -j DROP
Что не так?
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] iptables
2007-10-03 13:55 [Sysadmins] iptables Valery V. Rusnak
@ 2007-10-03 13:58 ` Serge
2007-10-03 14:01 ` Peter V. Saveliev
1 sibling, 0 replies; 36+ messages in thread
From: Serge @ 2007-10-03 13:58 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от Wednesday 03 October 2007 16:55:17 Valery V. Rusnak написал(а):
> Добрый день.
> Подскажи пожалуйста как закрыть кому то доступ? В данном случае
> 192.168.1.51, хочу запретить чтобы он невидел вообще сервер.
>
> iptables -t filter - A INPUT -d 192.168.1.51 -j DROP
> iptables -t filter - A OUTPUT -s 192.168.1.51 -j DROP
>
> Что не так?
может
iptables -t filter - A INPUT -s 192.168.1.51 -j DROP
iptables -t filter - A OUTPUT -d 192.168.1.51 -j DROP
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] iptables
2007-10-03 13:55 [Sysadmins] iptables Valery V. Rusnak
2007-10-03 13:58 ` Serge
@ 2007-10-03 14:01 ` Peter V. Saveliev
2007-10-03 14:05 ` Valery V. Rusnak
1 sibling, 1 reply; 36+ messages in thread
From: Peter V. Saveliev @ 2007-10-03 14:01 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Wednesday 03 October 2007, Valery V. Rusnak wrote:
> Добрый день.
> Подскажи пожалуйста как закрыть кому то доступ? В данном случае
> 192.168.1.51, хочу запретить чтобы он невидел вообще сервер.
>
> iptables -t filter - A INPUT -d 192.168.1.51 -j DROP
> iptables -t filter - A OUTPUT -s 192.168.1.51 -j DROP
>
> Что не так?
-d -- это destination. Т.е. если хотите, чтобы 192.168.1.51 не видел машину,
тогда надо использовать
iptables -t filter - A INPUT -s 192.168.1.51 -j DROP
--
Peter V. Saveliev
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] iptables
2007-10-03 14:01 ` Peter V. Saveliev
@ 2007-10-03 14:05 ` Valery V. Rusnak
2007-10-03 14:12 ` Timur Batyrshin
2007-10-04 9:25 ` [Sysadmins] iptables Alexey Shabalin
0 siblings, 2 replies; 36+ messages in thread
From: Valery V. Rusnak @ 2007-10-03 14:05 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 649 bytes --]
Peter V. Saveliev пишет:
> On Wednesday 03 October 2007, Valery V. Rusnak wrote:
>
>> Добрый день.
>> Подскажи пожалуйста как закрыть кому то доступ? В данном случае
>> 192.168.1.51, хочу запретить чтобы он невидел вообще сервер.
>>
>> iptables -t filter - A INPUT -d 192.168.1.51 -j DROP
>> iptables -t filter - A OUTPUT -s 192.168.1.51 -j DROP
>>
>> Что не так?
>>
>
> -d -- это destination. Т.е. если хотите, чтобы 192.168.1.51 не видел машину,
> тогда надо использовать
>
> iptables -t filter - A INPUT -s 192.168.1.51 -j DROP
>
Не помогло :( Я приатачил все строки.
ЗЫ. Не судите строго, только сегодня узнал что такое iptables
[-- Attachment #2: rc.firewall --]
[-- Type: text/plain, Size: 4209 bytes --]
#!/bin/bash
#ÐаÑина в оÑиÑе
# office=192.168.1.111
#ÐаÑина админиÑÑÑаÑоÑа
admin=192.168.1.51
#ÐдÑеÑа ÑоÑÑеÑа
server0=192.168.2.5
# server1=10.15.1.2
# ÐдÑÐµÑ Ñайлового аÑÑ
ива Ñ mp3 и video
#video_serv=172.18.1.2
# ÐнÑеÑÑÐµÐ¹Ñ ÑмоÑÑÑÑий на клиенÑов
# iface_cli=eth1
# ÐнÑеÑÑÐµÐ¹Ñ ÑмоÑÑÑÑий во внеÑний миÑ
iface_world=eth0
# ÐнÑеÑÑÐµÐ¹Ñ ÑмоÑÑÑÑий на аÑÑ
ив
#iface_int=etheth2
#ÐоÑÑÑ, на коÑоÑÑÑ
ÑабоÑÐ°ÐµÑ ÐºÐ¾Ð½ÑигÑÑаÑÐ¾Ñ Ð¸ авÑоÑизаÑоÑ
# conf_port=5555
# user_port1=5555
# user_port2=5555
# РазÑеÑаем ÑоÑваÑдинг пакеÑов Ð¼ÐµÐ¶Ð´Ñ Ð¸Ð½ÑеÑÑейÑами
# ÐÑа ÑÑÑка необÑзаÑелÑна, пÑоÑÑо в некоÑоÑÑÑ
диÑÑÑибÑÑиваÑ
# по ÑмолÑÐ°Ð½Ð¸Ñ ÑоÑваÑдинг ÑазÑеÑен, а в некоÑоÑÑÑ
- запÑеÑен
# ÐÑли Ð¼Ñ Ð¿Ð¾Ð´ÑÑÑаÑ
ÑемÑÑ, Ñ
Ñже не бкдеÑ
echo "1" > /proc/sys/net/ipv4/ip_forward
# ÐÑиÑаем пÑавила ÑайÑвола
iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X
# ÐолиÑика по ÑмолÑÐ°Ð½Ð¸Ñ DROP: вÑем вÑÑ Ð·Ð°Ð¿ÑеÑено
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
# РазÑеÑаем пингам Ñ
одиÑÑ Ð²ÑÑÐ´Ñ Ð¸ вÑегда
#iptables -t filter -A INPUT -p icmp -j ACCEPT
#iptables -t filter -A FORWARD -p icmp -j ACCEPT
#iptables -t filter -A OUTPUT -p icmp -j ACCEPT
# РазÑеÑаем вÑÑ Ð½Ð° локалÑном инÑеÑÑейÑе
iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT
iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT
# РазÑеÑиÑÑ ÑеÑвеÑÑ Ð¾Ð±ÑаÑÑÑÑ Ñо внеÑним миÑом
iptables -t filter -A INPUT -i $iface_world -j ACCEPT
iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT
iptables -t filter -A INPUT -s 192.168.1.51 -j DROP
#iptables -t filter -A INPUT -s $admin -d $server0 -j REJECT
#iptables -t filter -A OUTPUT -d $admin -s $server0 -j REJECT
# РазÑеÑиÑÑ Ð²Ð¸Ð´ÐµÐ¾-ÑеÑвеÑÑ Ð¾Ð±ÑаÑаÑÑÑÑ Ð²Ð¾ внеÑним миÑом и ÑоÑÑеÑом
# iptables -t filter -A INPUT -s $video_serv -j ACCEPT
# iptables -t filter -A FORWARD -s $video_serv -j ACCEPT
# iptables -t filter -A FORWARD -d $video_serv -j ACCEPT
# iptables -t filter -A OUTPUT -d $video_serv -j ACCEPT
# DNS. ÐамеÑÑ, ÐÐС ÑабоÑÐ°ÐµÑ Ð¸ по TCP и по UDP
iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
# SSH
#iptables -t filter -A INPUT -p tcp -s $office -d $server0 --dport 22 -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp -d $office -s $server0 --sport 22 -j ACCEPT
#iptables -t filter -A INPUT -p tcp -s $admin -d $server0 --dport 22 -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport 22 -j ACCEPT
# Stargazer configurator
#iptables -t filter -A INPUT -p tcp -s 192.168.0.0/24 -d $server0 --dport $conf_port -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp -d 192.168.0.0/24 -s $server0 --sport $conf_port -j ACCEPT
# UDP stargazer InetAccess
#iptables -t filter -A INPUT -p udp -s 192.168.0.0/24 --sport $user_port2 -d $server0 --dport $user_port1 -j ACCEPT
#iptables -t filter -A OUTPUT -p udp -d 192.168.0.0/24 --dport $user_port1 -s $server0 -j ACCEPT
#All local
# iptables -t filter -A INPUT -p tcp -s 192.168.0.0/24 -d $server0 -j ACCEPT
# iptables -t filter -A OUTPUT -p tcp -d 192.168.0.0/24 -s $server0 -j ACCEPT
#ÐаÑкаÑад
#iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE
#iptables -t nat -A POSTROUTING -s 0.0.0.0/0 -o eth0 -j MASQUERADE
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] iptables
2007-10-03 14:05 ` Valery V. Rusnak
@ 2007-10-03 14:12 ` Timur Batyrshin
2007-10-03 14:17 ` Valery V. Rusnak
2007-10-04 9:25 ` [Sysadmins] iptables Alexey Shabalin
1 sibling, 1 reply; 36+ messages in thread
From: Timur Batyrshin @ 2007-10-03 14:12 UTC (permalink / raw)
To: sysadmins
Valery V. Rusnak (Wed, 03 Oct 2007 17:05:01 +0300):
> iptables -t filter -A INPUT -i $iface_world -j ACCEPT
> iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT
Вот эти строчки уберите, они разрешают весь трафик по интерфейсу
$iface_world. Потом уже можно будет дальше смотреть.
По iptables есть хороший туториал на русском на www.opennet.ru -- там
всего что-то около 30 страниц, если распечатать.
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] iptables
2007-10-03 14:12 ` Timur Batyrshin
@ 2007-10-03 14:17 ` Valery V. Rusnak
2007-10-03 14:19 ` Motsyo Gennadi aka Drool
2007-10-03 14:34 ` Peter V. Saveliev
0 siblings, 2 replies; 36+ messages in thread
From: Valery V. Rusnak @ 2007-10-03 14:17 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Timur Batyrshin пишет:
> Valery V. Rusnak (Wed, 03 Oct 2007 17:05:01 +0300):
>
>
>> iptables -t filter -A INPUT -i $iface_world -j ACCEPT
>> iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT
>>
>
> Вот эти строчки уберите, они разрешают весь трафик по интерфейсу
> $iface_world. Потом уже можно будет дальше смотреть.
>
> Убрал. Доступ пропал откуда либо.
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] iptables
2007-10-03 14:17 ` Valery V. Rusnak
@ 2007-10-03 14:19 ` Motsyo Gennadi aka Drool
2007-10-03 14:21 ` Andrii Dobrovol`s`kii
2007-10-03 14:34 ` Peter V. Saveliev
1 sibling, 1 reply; 36+ messages in thread
From: Motsyo Gennadi aka Drool @ 2007-10-03 14:19 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Valery V. Rusnak пишет:
>
> Timur Batyrshin пишет:
>> Valery V. Rusnak (Wed, 03 Oct 2007 17:05:01 +0300):
>>
>>
>>> iptables -t filter -A INPUT -i $iface_world -j ACCEPT
>>> iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT
>>>
>> Вот эти строчки уберите, они разрешают весь трафик по интерфейсу
>> $iface_world. Потом уже можно будет дальше смотреть.
>>
> Убрал. Доступ пропал откуда либо.
Может проще сформулировать конечную задачу - что и как должно быть?
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] iptables
2007-10-03 14:19 ` Motsyo Gennadi aka Drool
@ 2007-10-03 14:21 ` Andrii Dobrovol`s`kii
0 siblings, 0 replies; 36+ messages in thread
From: Andrii Dobrovol`s`kii @ 2007-10-03 14:21 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 1103 bytes --]
Motsyo Gennadi aka Drool пишет:
> Valery V. Rusnak пишет:
>> Timur Batyrshin пишет:
>>> Valery V. Rusnak (Wed, 03 Oct 2007 17:05:01 +0300):
>>>
>>>
>>>> iptables -t filter -A INPUT -i $iface_world -j ACCEPT
>>>> iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT
>>>>
>>> Вот эти строчки уберите, они разрешают весь трафик по интерфейсу
>>> $iface_world. Потом уже можно будет дальше смотреть.
>>>
>> Убрал. Доступ пропал откуда либо.
>
> Может проще сформулировать конечную задачу - что и как должно быть?
Ну в первом письме человек как мог её сформулировал... :)
А что этот человек понимает под "не видел" сервер -- я не знаю. Если
чтоб пинг не ходил, то нужно писать запрещающее правило именно для icmp.
--
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua Kyiv, Ukraine
Phone: (380-44) 525-7824 Department of Gas Electronics
Fax: (380-44) 525-2329 Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] iptables
2007-10-03 14:17 ` Valery V. Rusnak
2007-10-03 14:19 ` Motsyo Gennadi aka Drool
@ 2007-10-03 14:34 ` Peter V. Saveliev
2007-10-03 14:36 ` Peter V. Saveliev
2007-10-03 15:30 ` Valery V. Rusnak
1 sibling, 2 replies; 36+ messages in thread
From: Peter V. Saveliev @ 2007-10-03 14:34 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Wednesday 03 October 2007, Valery V. Rusnak wrote:
> Timur Batyrshin пишет:
> > Valery V. Rusnak (Wed, 03 Oct 2007 17:05:01 +0300):
> >> iptables -t filter -A INPUT -i $iface_world -j ACCEPT
> >> iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT
> >
> > Вот эти строчки уберите, они разрешают весь трафик по интерфейсу
> > $iface_world. Потом уже можно будет дальше смотреть.
> >
> > Убрал. Доступ пропал откуда либо.
Правила в iptables, если не указать иного, просматриваются в порядке
добавления. Те. если сначала доавить доступ отовсюду, а потом закрыть доступ
откуда-то, то до запрета дело простой не дойдёт.
Т.о. ли прописывайте -j ACCEPT -s !192.что-то-там.51 (т.е. пускать всех, кто
не 192...51), либо сначала -j DROP для одной машины, а потом -j ACCEPT для
всех.
--
Peter V. Saveliev
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] iptables
2007-10-03 14:34 ` Peter V. Saveliev
@ 2007-10-03 14:36 ` Peter V. Saveliev
2007-10-03 15:30 ` Valery V. Rusnak
1 sibling, 0 replies; 36+ messages in thread
From: Peter V. Saveliev @ 2007-10-03 14:36 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
...
Сорри за очепятки, пальцы уже заплетаюцо.
--
Peter V. Saveliev
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] iptables
2007-10-03 14:34 ` Peter V. Saveliev
2007-10-03 14:36 ` Peter V. Saveliev
@ 2007-10-03 15:30 ` Valery V. Rusnak
2007-10-03 15:43 ` Vyatcheslav Perevalov
1 sibling, 1 reply; 36+ messages in thread
From: Valery V. Rusnak @ 2007-10-03 15:30 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Peter V. Saveliev пишет:
> On Wednesday 03 October 2007, Valery V. Rusnak wrote:
>
>> Timur Batyrshin пишет:
>>
>>> Valery V. Rusnak (Wed, 03 Oct 2007 17:05:01 +0300):
>>>
>>>> iptables -t filter -A INPUT -i $iface_world -j ACCEPT
>>>> iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT
>>>>
>>> Вот эти строчки уберите, они разрешают весь трафик по интерфейсу
>>> $iface_world. Потом уже можно будет дальше смотреть.
>>>
>>> Убрал. Доступ пропал откуда либо.
>>>
>
> Правила в iptables, если не указать иного, просматриваются в порядке
> добавления. Те. если сначала доавить доступ отовсюду, а потом закрыть доступ
> откуда-то, то до запрета дело простой не дойдёт.
>
> Т.о. ли прописывайте -j ACCEPT -s !192.что-то-там.51 (т.е. пускать всех, кто
> не 192...51), либо сначала -j DROP для одной машины, а потом -j ACCEPT для
> всех.
>
Спасибо. Второй вариант подошел :) Закрылся от него :) Я так понимаю
если от него закрылся, то и сам к нему не достучусь?
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] iptables
2007-10-03 15:30 ` Valery V. Rusnak
@ 2007-10-03 15:43 ` Vyatcheslav Perevalov
2007-10-04 3:55 ` [Sysadmins] [JT] iptables Alex Karpov
0 siblings, 1 reply; 36+ messages in thread
From: Vyatcheslav Perevalov @ 2007-10-03 15:43 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от 3 октября 2007 Valery V. Rusnak написал(a):
> Я так понимаю
> если от него закрылся, то и сам к нему не достучусь?
Кроме того, надобно покурить iptables tutorial на предмет -m state
NEW,ESTABLISHED,RELATED
--
Всего хорошего
/vip
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] [JT] iptables
2007-10-03 15:43 ` Vyatcheslav Perevalov
@ 2007-10-04 3:55 ` Alex Karpov
0 siblings, 0 replies; 36+ messages in thread
From: Alex Karpov @ 2007-10-04 3:55 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 671 bytes --]
В сообщении от Wednesday 03 October 2007 21:43:41 Vyatcheslav Perevalov
написал(а):
> В сообщении от 3 октября 2007 Valery V. Rusnak написал(a):
> > Я так понимаю
> > если от него закрылся, то и сам к нему не достучусь?
>
> Кроме того, надобно покурить iptables tutorial на предмет -m state
> NEW,ESTABLISHED,RELATED
%
<Pilot> Hiddenman: use tcpdump, Luke
<Hiddenman> Pilot: угу....этож надо сложный фильтр
писать, там еще куча барахла с сервером связана
<Pilot> фильтр с наличием не только src host, а ещё и
tcp port или dst host автоматически считается сложным. дополнительные
опреаторы возводят его в ранг непостижимого, а использование tcp-флагов
обожествляет.
%
[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] iptables
2007-10-03 14:05 ` Valery V. Rusnak
2007-10-03 14:12 ` Timur Batyrshin
@ 2007-10-04 9:25 ` Alexey Shabalin
2007-10-04 12:37 ` Valery V. Rusnak
1 sibling, 1 reply; 36+ messages in thread
From: Alexey Shabalin @ 2007-10-04 9:25 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
03.10.07, Valery V. Rusnak<xacan1@ukr.net> написал(а):
> ЗЫ. Не судите строго, только сегодня узнал что такое iptables
Когда разберётесь с iptables (но не раньше) и сделаете пяток своих
скриптов для него, посмотрите в стророну уже готовых скриптовых
обвязок, типа shorewall, fiaif.
Ещё есть графические утилиты для создания скриптов - fwcreator,
fwbuilder-ipt, guarddog.
(что такое dwall - не знаю)
--
Alexey Shabalin
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] iptables
2007-10-04 9:25 ` [Sysadmins] iptables Alexey Shabalin
@ 2007-10-04 12:37 ` Valery V. Rusnak
2007-10-04 12:43 ` Serge Polkovnikov
0 siblings, 1 reply; 36+ messages in thread
From: Valery V. Rusnak @ 2007-10-04 12:37 UTC (permalink / raw)
To: shaba, ALT Linux sysadmin discuss
Alexey Shabalin пишет:
> 03.10.07, Valery V. Rusnak<xacan1@ukr.net> написал(а):
>
>> ЗЫ. Не судите строго, только сегодня узнал что такое iptables
>>
>
> Когда разберётесь с iptables (но не раньше) и сделаете пяток своих
> скриптов для него, посмотрите в стророну уже готовых скриптовых
> обвязок, типа shorewall, fiaif.
> Ещё есть графические утилиты для создания скриптов - fwcreator,
> fwbuilder-ipt, guarddog.
> (что такое dwall - не знаю)
>
>
Спасибо. Ну, графическими точно пользоваться не буду, я через putty привык.
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] iptables
2007-10-04 12:37 ` Valery V. Rusnak
@ 2007-10-04 12:43 ` Serge Polkovnikov
2007-10-04 12:53 ` Andrii Dobrovol`s`kii
0 siblings, 1 reply; 36+ messages in thread
From: Serge Polkovnikov @ 2007-10-04 12:43 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Thursday 04 October 2007 15:37:45 Valery V. Rusnak написав:
> > Ещё есть графические утилиты для создания скриптов - fwcreator,
fwcreator - консольная
> > fwbuilder-ipt, guarddog.
> > (что такое dwall - не знаю)
> >
> >
>
> Спасибо. Ну, графическими точно пользоваться не буду, я через putty привык.
--
Сергей Полковников
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] iptables
2007-10-04 12:43 ` Serge Polkovnikov
@ 2007-10-04 12:53 ` Andrii Dobrovol`s`kii
2007-10-04 13:32 ` Valery V. Rusnak
2007-10-04 17:46 ` Mikhail A. Pokidko
0 siblings, 2 replies; 36+ messages in thread
From: Andrii Dobrovol`s`kii @ 2007-10-04 12:53 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 837 bytes --]
Serge Polkovnikov пишет:
> Thursday 04 October 2007 15:37:45 Valery V. Rusnak написав:
>>> Ещё есть графические утилиты для создания скриптов - fwcreator,
>
> fwcreator - консольная
>
>>> fwbuilder-ipt, guarddog.
>>> (что такое dwall - не знаю)
>>>
>>>
>> Спасибо. Ну, графическими точно пользоваться не буду, я через putty привык.
Любыми генераторами правил можно пользоваться только когда Вы
способны осознанно проэкзаменовать результат их работы, ИМХО.
--
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua Kyiv, Ukraine
Phone: (380-44) 525-7824 Department of Gas Electronics
Fax: (380-44) 525-2329 Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] iptables
2007-10-04 12:53 ` Andrii Dobrovol`s`kii
@ 2007-10-04 13:32 ` Valery V. Rusnak
2007-10-04 14:21 ` Valery V. Rusnak
2007-10-04 17:46 ` Mikhail A. Pokidko
1 sibling, 1 reply; 36+ messages in thread
From: Valery V. Rusnak @ 2007-10-04 13:32 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Andrii Dobrovol`s`kii пишет:
> Serge Polkovnikov пишет:
>
>> Thursday 04 October 2007 15:37:45 Valery V. Rusnak написав:
>>
>>>> Ещё есть графические утилиты для создания скриптов - fwcreator,
>>>>
>> fwcreator - консольная
>>
>>
>>>> fwbuilder-ipt, guarddog.
>>>> (что такое dwall - не знаю)
>>>>
>>>>
>>>>
>>> Спасибо. Ну, графическими точно пользоваться не буду, я через putty привык.
>>>
> Любыми генераторами правил можно пользоваться только когда Вы
> способны осознанно проэкзаменовать результат их работы, ИМХО.
>
>
Вот во вложении, то что у меня получилось, переделав один конфиг.
Там есть строка доступ по SSH закрывает 192.168.0.0/16. А как перекрыть
отовсюду? Это и 80го порта касается.
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] iptables
2007-10-04 13:32 ` Valery V. Rusnak
@ 2007-10-04 14:21 ` Valery V. Rusnak
2007-10-04 15:07 ` Andrii Dobrovol`s`kii
2007-10-04 16:37 ` LIO
0 siblings, 2 replies; 36+ messages in thread
From: Valery V. Rusnak @ 2007-10-04 14:21 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 920 bytes --]
Valery V. Rusnak пишет:
> Andrii Dobrovol`s`kii пишет:
>
>> Serge Polkovnikov пишет:
>>
>>
>>> Thursday 04 October 2007 15:37:45 Valery V. Rusnak написав:
>>>
>>>
>>>>> Ещё есть графические утилиты для создания скриптов - fwcreator,
>>>>>
>>>>>
>>> fwcreator - консольная
>>>
>>>
>>>
>>>>> fwbuilder-ipt, guarddog.
>>>>> (что такое dwall - не знаю)
>>>>>
>>>>>
>>>>>
>>>>>
>>>> Спасибо. Ну, графическими точно пользоваться не буду, я через putty привык.
>>>>
>>>>
>> Любыми генераторами правил можно пользоваться только когда Вы
>> способны осознанно проэкзаменовать результат их работы, ИМХО.
>>
>>
>>
> Вот во вложении, то что у меня получилось, переделав один конфиг.
> Там есть строка доступ по SSH закрывает 192.168.0.0/16. А как перекрыть
> отовсюду? Это и 80го порта касается.
>
>
Сорри. забыл вложить.
[-- Attachment #2: rc.firewall --]
[-- Type: text/plain, Size: 4801 bytes --]
#!/bin/bash
#ÐаÑина в оÑиÑе
# office=192.168.1.111
#ÐаÑина админиÑÑÑаÑоÑа
admin=192.168.1.51
#ÐдÑеÑа ÑоÑÑеÑа
server0=192.168.2.5
# server1=10.15.1.2
# ÐдÑÐµÑ Ñайлового аÑÑ
ива Ñ mp3 и video
#video_serv=172.18.1.2
# ÐнÑеÑÑÐµÐ¹Ñ ÑмоÑÑÑÑий на клиенÑов
# iface_cli=eth1
# ÐнÑеÑÑÐµÐ¹Ñ ÑмоÑÑÑÑий во внеÑний миÑ
iface_world=eth0
# ÐнÑеÑÑÐµÐ¹Ñ ÑмоÑÑÑÑий на аÑÑ
ив
#iface_int=etheth2
#ÐоÑÑÑ, на коÑоÑÑÑ
ÑабоÑÐ°ÐµÑ ÐºÐ¾Ð½ÑигÑÑаÑÐ¾Ñ Ð¸ авÑоÑизаÑоÑ
# conf_port=5555
# user_port1=5555
# user_port2=5555
# РазÑеÑаем ÑоÑваÑдинг пакеÑов Ð¼ÐµÐ¶Ð´Ñ Ð¸Ð½ÑеÑÑейÑами
# ÐÑа ÑÑÑка необÑзаÑелÑна, пÑоÑÑо в некоÑоÑÑÑ
диÑÑÑибÑÑиваÑ
# по ÑмолÑÐ°Ð½Ð¸Ñ ÑоÑваÑдинг ÑазÑеÑен, а в некоÑоÑÑÑ
- запÑеÑен
# ÐÑли Ð¼Ñ Ð¿Ð¾Ð´ÑÑÑаÑ
ÑемÑÑ, Ñ
Ñже не бкдеÑ
echo "1" > /proc/sys/net/ipv4/ip_forward
# ÐÑиÑаем пÑавила ÑайÑвола
iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X
# ÐолиÑика по ÑмолÑÐ°Ð½Ð¸Ñ DROP: вÑем вÑÑ Ð·Ð°Ð¿ÑеÑено
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
# РазÑеÑаем пингам Ñ
одиÑÑ Ð²ÑÑÐ´Ñ Ð¸ вÑегда
#iptables -t filter -A INPUT -p icmp -j ACCEPT
#iptables -t filter -A FORWARD -p icmp -j ACCEPT
#iptables -t filter -A OUTPUT -p icmp -j ACCEPT
# РазÑеÑаем вÑÑ Ð½Ð° локалÑном инÑеÑÑейÑе
iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT
iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT
# ÐÐÐÐÐ ÐÐÐÐ ÐÐÐÐ
# iptables -t filter -A INPUT -s 192.168.1.111 -j DROP
# ÑазÑеÑиÑÑ Ð´Ð¾ÑÑÑп мне по 80 поÑÑÑ, ÑледÑÑÑее запÑеÑÐ¸Ñ Ð²Ñем.
iptables -t filter -A INPUT -s 192.168.1.51 -p tcp --dport 80 -j ACCEPT
#запÑеÑиÑÑ Ð²Ñем доÑÑÑп по 80 поÑÑÑ
iptables -t filter -A INPUT -s 192.168.0.0/16 -p tcp --dport 80 -j DROP
# iptables -t filter -A INPUT -s 192.168.1.111 -p tcp --dport 22 -j ACCEPT
iptables -t filter -A INPUT -s 192.168.1.51 -p tcp --dport 22 -j ACCEPT
# закÑÑÑÑ Ð¿Ð¾ SSH
iptables -t filter -A INPUT -s 192.168.0.0/16 -p tcp --dport 22 -j DROP
# РазÑеÑиÑÑ ÑеÑвеÑÑ Ð¾Ð±ÑаÑÑÑÑ Ñ Ð²Ð½ÐµÑним миÑом
iptables -t filter -A INPUT -i $iface_world -j ACCEPT
iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT
#iptables -t filter -A INPUT -s $admin -d $server0 -j REJECT
#iptables -t filter -A OUTPUT -d $admin -s $server0 -j REJECT
# РазÑеÑиÑÑ Ð²Ð¸Ð´ÐµÐ¾-ÑеÑвеÑÑ Ð¾Ð±ÑаÑаÑÑÑÑ Ð²Ð¾ внеÑним миÑом и ÑоÑÑеÑом
# iptables -t filter -A INPUT -s $video_serv -j ACCEPT
# iptables -t filter -A FORWARD -s $video_serv -j ACCEPT
# iptables -t filter -A FORWARD -d $video_serv -j ACCEPT
# iptables -t filter -A OUTPUT -d $video_serv -j ACCEPT
# DNS. ÐамеÑÑ, ÐÐС ÑабоÑÐ°ÐµÑ Ð¸ по TCP и по UDP
iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
# SSH
#iptables -t filter -A INPUT -p tcp -s $office -d $server0 --dport 22 -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp -d $office -s $server0 --sport 22 -j ACCEPT
#iptables -t filter -A INPUT -p tcp -s $admin -d $server0 --dport 22 -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport 22 -j ACCEPT
# Stargazer configurator
#iptables -t filter -A INPUT -p tcp -s 192.168.0.0/24 -d $server0 --dport $conf_port -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp -d 192.168.0.0/24 -s $server0 --sport $conf_port -j ACCEPT
# UDP stargazer InetAccess
#iptables -t filter -A INPUT -p udp -s 192.168.0.0/24 --sport $user_port2 -d $server0 --dport $user_port1 -j ACCEPT
#iptables -t filter -A OUTPUT -p udp -d 192.168.0.0/24 --dport $user_port1 -s $server0 -j ACCEPT
#All local
# iptables -t filter -A INPUT -p tcp -s 192.168.0.0/24 -d $server0 -j ACCEPT
# iptables -t filter -A OUTPUT -p tcp -d 192.168.0.0/24 -s $server0 -j ACCEPT
#ÐаÑкаÑад
#iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE
#iptables -t nat -A POSTROUTING -s 0.0.0.0/0 -o eth0 -j MASQUERADE
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] iptables
2007-10-04 14:21 ` Valery V. Rusnak
@ 2007-10-04 15:07 ` Andrii Dobrovol`s`kii
2007-10-04 16:35 ` Valery V. Rusnak
2007-10-04 16:37 ` LIO
1 sibling, 1 reply; 36+ messages in thread
From: Andrii Dobrovol`s`kii @ 2007-10-04 15:07 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 1124 bytes --]
Valery V. Rusnak пишет:
>
>
> Valery V. Rusnak пишет:
>>>
>> Вот во вложении, то что у меня получилось, переделав один конфиг.
>> Там есть строка доступ по SSH закрывает 192.168.0.0/16. А как
>> перекрыть отовсюду? Это и 80го порта касается.
>>
>>
> Сорри. забыл вложить.
>
Самый простой вариант, не указывать адрес источника. :)
Или указать 0/0. Кроме того, если посмотреть на стандартные порты
конкретной службы:
grep ssh /etc/services
ssh 22/tcp # SSH Remote Login Protocol
ssh 22/udp # SSH Remote Login Protocol
x11-ssh-offset 6010/tcp # SSH X11 forwarding offset
то можно увидеть, что многие службы используют ещё и UDP протокол
или имеют по нескольку портов.
--
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua Kyiv, Ukraine
Phone: (380-44) 525-7824 Department of Gas Electronics
Fax: (380-44) 525-2329 Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] iptables
2007-10-04 15:07 ` Andrii Dobrovol`s`kii
@ 2007-10-04 16:35 ` Valery V. Rusnak
2007-10-04 16:44 ` LIO
0 siblings, 1 reply; 36+ messages in thread
From: Valery V. Rusnak @ 2007-10-04 16:35 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Andrii Dobrovol`s`kii пишет:
> Valery V. Rusnak пишет:
>
>> Valery V. Rusnak пишет:
>>
>>>>
>>>>
>>> Вот во вложении, то что у меня получилось, переделав один конфиг.
>>> Там есть строка доступ по SSH закрывает 192.168.0.0/16. А как
>>> перекрыть отовсюду? Это и 80го порта касается.
>>>
>>>
>>>
>> Сорри. забыл вложить.
>>
>>
> Самый простой вариант, не указывать адрес источника. :)
> Или указать 0/0. Кроме того, если посмотреть на стандартные порты
> конкретной службы:
> grep ssh /etc/services
> ssh 22/tcp # SSH Remote Login Protocol
> ssh 22/udp # SSH Remote Login Protocol
> x11-ssh-offset 6010/tcp # SSH X11 forwarding offset
> то можно увидеть, что многие службы используют ещё и UDP протокол
> или имеют по нескольку портов.
>
Понял, сделал так.
iptables -t filter -A INPUT -p tcp --dport 80 -j DROP
iptables -t filter -A INPUT -p tcp --dport 22 -j DROP
а как прирезать не указывая протокол? Указать допустим только порт, или
только службу.
Или так нельзя? Убираю -p tcp отправляет читать хелп, а я там нифига
разобрать не могу :(
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] iptables
2007-10-04 14:21 ` Valery V. Rusnak
2007-10-04 15:07 ` Andrii Dobrovol`s`kii
@ 2007-10-04 16:37 ` LIO
2007-10-04 17:18 ` Valery V. Rusnak
1 sibling, 1 reply; 36+ messages in thread
From: LIO @ 2007-10-04 16:37 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Здравствуйте.
4.10.2007 18:21 Valery wrote:
>>> Любыми генераторами правил можно пользоваться только когда Вы
>>> способны осознанно проэкзаменовать результат их работы, ИМХО.
ИМХО тоже. Абсолютно согласен.
>> Вот во вложении, то что у меня получилось, переделав один конфиг.
>> Там есть строка доступ по SSH закрывает 192.168.0.0/16. А как перекрыть
>> отовсюду? Это и 80го порта касается.
там есть много строчек, и для http:
# С─азС─Р╣С┬РёС┌С▄ Р╢Р╬С│С┌С┐Р© Р╪Р╫Р╣ Р©Р╬ 80 Р©Р╬С─С┌С┐, С│Р╩Р╣Р╢С┐С▌С┴Р╣Р╣ заЩС─Р╣С┌РёС┌ Р╡С│Р╣Р╪.
iptables -t filter -A INPUT -s 192.168.1.51 -p tcp --dport 80 -j ACCEPT
#заЩС─Р╣С┌РёС┌С▄ Р╡С│Р╣Р╪ Р╢Р╬С│С┌С┐Р© Р©Р╬ 80 Р©Р╬С─С┌С┐
iptables -t filter -A INPUT -s 192.168.0.0/16 -p tcp --dport 80 -j DROP
и для SSH тоже
# iptables -t filter -A INPUT -s 192.168.1.111 -p tcp --dport 22 -j ACCEPT
iptables -t filter -A INPUT -s 192.168.1.51 -p tcp --dport 22 -j ACCEPT
# Р·Р°Р╨С─С▀С┌С▄ Р©Р╬ SSH
iptables -t filter -A INPUT -s 192.168.0.0/16 -p tcp --dport 22 -j DROP
напиши вместо этого (на худой конец до этого)
# С─азС─Р╣С┬РёС┌С▄ Р╢Р╬С│С┌С┐Р© Р╪Р╫Р╣ Р©Р╬ 80 Р©Р╬С─С┌С┐, С│Р╩Р╣Р╢С┐С▌С┴Р╣Р╣ заЩС─Р╣С┌РёС┌ Р╡С│Р╣Р╪.
iptables -t filter -A INPUT -s 192.168.1.51 -j ACCEPT
iptables -t filter -A INPUT -s 192.168.0.0/16 -j DROP
чтобы запретить доступ всем из подсети 192.168.0.0/16 кроме
192.168.1.51. Вот только пролистав ниже можно увидеть что
# РазС─Р╣С┬РёС┌С▄ С│Р╣С─Р╡Р╣С─С┐ Р╬Р╠С┴Р°С┌С▄С│С▐ С│ Р╡Р╫Р╣С┬Р╫РёР╪ Р╪РёС─Р╬Р╪
iptables -t filter -A INPUT -i $iface_world -j ACCEPT
iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT
для "внешнего мира" (eth0) входной то и двери нет (дыра размером с
пару окон). Поэтому это стоит подправить на следующее
iptables -t filter -A INPUT -s 192.168.1.51 -j ACCEPT
iptables -t filter -A INPUT -j DROP
Тогда доступ будет закрыт вообще всем кроме 192.168.1.15
А если вспомнить первое Ваше письмо где вы говорили что доступ надо
закрыть только 192.168.1.15 (сделать с точностью до наоборот), то
iptables -t filter -A INPUT -s !192.168.1.51 -j ACCEPT
Надеюсь, данные "примеры" помогут Вам.
ЗЫЖ Чего-то с кодировочкой намудрили...
--
Binary yours,
LIO
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] iptables
2007-10-04 16:35 ` Valery V. Rusnak
@ 2007-10-04 16:44 ` LIO
0 siblings, 0 replies; 36+ messages in thread
From: LIO @ 2007-10-04 16:44 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Здравствуйте.
4.10.2007 20:35 Valery wrote:
VVR> а как прирезать не указывая протокол? Указать допустим только порт, или
VVR> только службу.
VVR> Или так нельзя? Убираю -p tcp отправляет читать хелп, а я там нифига
VVR> разобрать не могу :(
http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html
--
Binary yours,
LIO
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] iptables
2007-10-04 16:37 ` LIO
@ 2007-10-04 17:18 ` Valery V. Rusnak
2007-10-05 12:08 ` Andrii Dobrovol`s`kii
2007-10-06 12:00 ` Valery V. Rusnak
0 siblings, 2 replies; 36+ messages in thread
From: Valery V. Rusnak @ 2007-10-04 17:18 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
LIO пишет:
> Здравствуйте.
>
> 4.10.2007 18:21 Valery wrote:
>
>
>>>> Любыми генераторами правил можно пользоваться только когда Вы
>>>> способны осознанно проэкзаменовать результат их работы, ИМХО.
>>>>
> ИМХО тоже. Абсолютно согласен.
>
>
>>> Вот во вложении, то что у меня получилось, переделав один конфиг.
>>> Там есть строка доступ по SSH закрывает 192.168.0.0/16. А как перекрыть
>>> отовсюду? Это и 80го порта касается.
>>>
>
> там есть много строчек, и для http:
> # С─азС─Р╣С┬РёС┌С▄ Р╢Р╬С│С┌С┐Р© Р╪Р╫Р╣ Р©Р╬ 80 Р©Р╬С─С┌С┐, С│Р╩Р╣Р╢С┐С▌С┴Р╣Р╣ заЩС─Р╣С┌РёС┌ Р╡С│Р╣Р╪.
> iptables -t filter -A INPUT -s 192.168.1.51 -p tcp --dport 80 -j ACCEPT
> #заЩС─Р╣С┌РёС┌С▄ Р╡С│Р╣Р╪ Р╢Р╬С│С┌С┐Р© Р©Р╬ 80 Р©Р╬С─С┌С┐
> iptables -t filter -A INPUT -s 192.168.0.0/16 -p tcp --dport 80 -j DROP
>
> и для SSH тоже
> # iptables -t filter -A INPUT -s 192.168.1.111 -p tcp --dport 22 -j ACCEPT
> iptables -t filter -A INPUT -s 192.168.1.51 -p tcp --dport 22 -j ACCEPT
> # Р·Р°Р╨С─С▀С┌С▄ Р©Р╬ SSH
> iptables -t filter -A INPUT -s 192.168.0.0/16 -p tcp --dport 22 -j DROP
>
> напиши вместо этого (на худой конец до этого)
> # С─азС─Р╣С┬РёС┌С▄ Р╢Р╬С│С┌С┐Р© Р╪Р╫Р╣ Р©Р╬ 80 Р©Р╬С─С┌С┐, С│Р╩Р╣Р╢С┐С▌С┴Р╣Р╣ заЩС─Р╣С┌РёС┌ Р╡С│Р╣Р╪.
> iptables -t filter -A INPUT -s 192.168.1.51 -j ACCEPT
> iptables -t filter -A INPUT -s 192.168.0.0/16 -j DROP
> чтобы запретить доступ всем из подсети 192.168.0.0/16 кроме
> 192.168.1.51. Вот только пролистав ниже можно увидеть что
> # РазС─Р╣С┬РёС┌С▄ С│Р╣С─Р╡Р╣С─С┐ Р╬Р╠С┴Р°С┌С▄С│С▐ С│ Р╡Р╫Р╣С┬Р╫РёР╪ Р╪РёС─Р╬Р╪
> iptables -t filter -A INPUT -i $iface_world -j ACCEPT
> iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT
> для "внешнего мира" (eth0) входной то и двери нет (дыра размером с
> пару окон). Поэтому это стоит подправить на следующее
> iptables -t filter -A INPUT -s 192.168.1.51 -j ACCEPT
> iptables -t filter -A INPUT -j DROP
> Тогда доступ будет закрыт вообще всем кроме 192.168.1.15
>
> А если вспомнить первое Ваше письмо где вы говорили что доступ надо
> закрыть только 192.168.1.15 (сделать с точностью до наоборот), то
> iptables -t filter -A INPUT -s !192.168.1.51 -j ACCEPT
>
> Надеюсь, данные "примеры" помогут Вам.
>
>
Спасибо!! Буду тестить и эксперементировать :)
> ЗЫЖ Чего-то с кодировочкой намудрили...
>
то вложенный файл, в putty читаю корректно.
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] iptables
2007-10-04 12:53 ` Andrii Dobrovol`s`kii
2007-10-04 13:32 ` Valery V. Rusnak
@ 2007-10-04 17:46 ` Mikhail A. Pokidko
2007-10-04 19:12 ` [Sysadmins] iptables - тестилки файрволов LIO
1 sibling, 1 reply; 36+ messages in thread
From: Mikhail A. Pokidko @ 2007-10-04 17:46 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
2007/10/4, Andrii Dobrovol`s`kii:
> Serge Polkovnikov пишет:
> > Thursday 04 October 2007 15:37:45 Valery V. Rusnak написав:
> >>> Ещё есть графические утилиты для создания скриптов - fwcreator,
> >
> > fwcreator - консольная
> >
> >>> fwbuilder-ipt, guarddog.
> >>> (что такое dwall - не знаю)
> >>>
> >>>
> >> Спасибо. Ну, графическими точно пользоваться не буду, я через putty привык.
> Любыми генераторами правил можно пользоваться только когда Вы
> способны осознанно проэкзаменовать результат их работы, ИМХО.
Кстати говоря, на днях залью 2 тестилки для фаервола.
Завтра либо в понедельник уже.
--
ALTLinux Team
xmpp: solar AT solar.net.ru
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] iptables - тестилки файрволов
2007-10-04 17:46 ` Mikhail A. Pokidko
@ 2007-10-04 19:12 ` LIO
0 siblings, 0 replies; 36+ messages in thread
From: LIO @ 2007-10-04 19:12 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Здравствуйте.
4.10.2007 21:46 Mikhail wrote:
>> >> Спасибо. Ну, графическими точно пользоваться не буду, я через putty привык.
>> Любыми генераторами правил можно пользоваться только когда Вы
>> способны осознанно проэкзаменовать результат их работы, ИМХО.
MAP> Кстати говоря, на днях залью 2 тестилки для фаервола.
MAP> Завтра либо в понедельник уже.
Хммммм.. Тестилки для файрвола?? ping и nmap хочешь залить? ;))
(открываю новую тему)
--
Binary yours,
LIO
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] iptables
2007-10-04 17:18 ` Valery V. Rusnak
@ 2007-10-05 12:08 ` Andrii Dobrovol`s`kii
2007-10-06 12:00 ` Valery V. Rusnak
1 sibling, 0 replies; 36+ messages in thread
From: Andrii Dobrovol`s`kii @ 2007-10-05 12:08 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 543 bytes --]
Valery V. Rusnak пишет:
>
> то вложенный файл, в putty читаю корректно.
Кодировка файла utf8, кодировка письма кои. Вот и "имеем то, что
имеем"... :) Впредь так не делайте.
--
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua Kyiv, Ukraine
Phone: (380-44) 525-7824 Department of Gas Electronics
Fax: (380-44) 525-2329 Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] iptables
2007-10-04 17:18 ` Valery V. Rusnak
2007-10-05 12:08 ` Andrii Dobrovol`s`kii
@ 2007-10-06 12:00 ` Valery V. Rusnak
2007-10-06 14:47 ` Timur Batyrshin
1 sibling, 1 reply; 36+ messages in thread
From: Valery V. Rusnak @ 2007-10-06 12:00 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Valery V. Rusnak пишет:
> LIO пишет:
>
>> Здравствуйте.
>>
>> 4.10.2007 18:21 Valery wrote:
>>
>>
>>
>>>>> Любыми генераторами правил можно пользоваться только когда Вы
>>>>> способны осознанно проэкзаменовать результат их работы, ИМХО.
>>>>>
>>>>>
>> ИМХО тоже. Абсолютно согласен.
>>
>>
>>
>>>> Вот во вложении, то что у меня получилось, переделав один конфиг.
>>>> Там есть строка доступ по SSH закрывает 192.168.0.0/16. А как перекрыть
>>>> отовсюду? Это и 80го порта касается.
>>>>
>>>>
>> там есть много строчек, и для http:
>> # С─азС─Р╣С┬РёС┌С▄ Р╢Р╬С│С┌С┐Р© Р╪Р╫Р╣ Р©Р╬ 80 Р©Р╬С─С┌С┐, С│Р╩Р╣Р╢С┐С▌С┴Р╣Р╣ заЩС─Р╣С┌РёС┌ Р╡С│Р╣Р╪.
>> iptables -t filter -A INPUT -s 192.168.1.51 -p tcp --dport 80 -j ACCEPT
>> #заЩС─Р╣С┌РёС┌С▄ Р╡С│Р╣Р╪ Р╢Р╬С│С┌С┐Р© Р©Р╬ 80 Р©Р╬С─С┌С┐
>> iptables -t filter -A INPUT -s 192.168.0.0/16 -p tcp --dport 80 -j DROP
>>
>> и для SSH тоже
>> # iptables -t filter -A INPUT -s 192.168.1.111 -p tcp --dport 22 -j ACCEPT
>> iptables -t filter -A INPUT -s 192.168.1.51 -p tcp --dport 22 -j ACCEPT
>> # Р·Р°Р╨С─С▀С┌С▄ Р©Р╬ SSH
>> iptables -t filter -A INPUT -s 192.168.0.0/16 -p tcp --dport 22 -j DROP
>>
>> напиши вместо этого (на худой конец до этого)
>> # С─азС─Р╣С┬РёС┌С▄ Р╢Р╬С│С┌С┐Р© Р╪Р╫Р╣ Р©Р╬ 80 Р©Р╬С─С┌С┐, С│Р╩Р╣Р╢С┐С▌С┴Р╣Р╣ заЩС─Р╣С┌РёС┌ Р╡С│Р╣Р╪.
>> iptables -t filter -A INPUT -s 192.168.1.51 -j ACCEPT
>> iptables -t filter -A INPUT -s 192.168.0.0/16 -j DROP
>> чтобы запретить доступ всем из подсети 192.168.0.0/16 кроме
>> 192.168.1.51. Вот только пролистав ниже можно увидеть что
>> # РазС─Р╣С┬РёС┌С▄ С│Р╣С─Р╡Р╣С─С┐ Р╬Р╠С┴Р°С┌С▄С│С▐ С│ Р╡Р╫Р╣С┬Р╫РёР╪ Р╪РёС─Р╬Р╪
>> iptables -t filter -A INPUT -i $iface_world -j ACCEPT
>> iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT
>> для "внешнего мира" (eth0) входной то и двери нет (дыра размером с
>> пару окон). Поэтому это стоит подправить на следующее
>> iptables -t filter -A INPUT -s 192.168.1.51 -j ACCEPT
>> iptables -t filter -A INPUT -j DROP
>> Тогда доступ будет закрыт вообще всем кроме 192.168.1.15
>>
>> А если вспомнить первое Ваше письмо где вы говорили что доступ надо
>> закрыть только 192.168.1.15 (сделать с точностью до наоборот), то
>> iptables -t filter -A INPUT -s !192.168.1.51 -j ACCEPT
>>
>> Надеюсь, данные "примеры" помогут Вам.
>>
>>
Слишком сложно для меня оказалось, то что я удумал :)
Задача такая:
Есть комп (ALD4) на нем сетевушка eth0 (192.168.2.5 маска 255.255.0.0)
ходит в и-нет и в сеть через эту же сетевушку. (шлюз и днс 192.168.1.1)
Хотел чтобы на нем и-нет работал, чтобы к нему заходили через самбу на зашареные ресурсы все с сети,
кроме некоторые (т.е. закрывать некоторым доступ по необходимости) чтобы некоторые заходили к нему по 80
и смотрели график загрузки интерфейса.
Прописал для начала:
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT
iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT
iptables -t filter -A INPUT -s 192.168.1.51 -j ACCEPT
iptables -t filter -A OUTPUT -d 192.168.1.51 -j ACCEPT
iptables -t filter -A INPUT -j DROP
Чтобы просто разрешить с 192.168.1.51.
Перечитал мануал. http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html
Доступ к и-нету пропал. И пока не додумался как сделать чтобы и-нет был на 192.168.2.5(этот фаерволл на нем) и по сети ходил к кому угодно, но чтобы не все имели доступ к нему.
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] iptables
2007-10-06 12:00 ` Valery V. Rusnak
@ 2007-10-06 14:47 ` Timur Batyrshin
2007-10-06 14:50 ` Vyatcheslav Perevalov
0 siblings, 1 reply; 36+ messages in thread
From: Timur Batyrshin @ 2007-10-06 14:47 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В письме от Суб, 06 Окт 2007, 16:00 Valery V. Rusnak
пишет:
> Прописал для начала:
>
> iptables -t filter -P INPUT DROP
> iptables -t filter -P FORWARD DROP
> iptables -t filter -P OUTPUT DROP
> iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT
> iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT
> iptables -t filter -A INPUT -s 192.168.1.51 -j ACCEPT
> iptables -t filter -A OUTPUT -d 192.168.1.51 -j ACCEPT
>
> iptables -t filter -A INPUT -j DROP
>
> Чтобы просто разрешить с 192.168.1.51.
> Доступ к и-нету пропал.
Конечно пропал. Все исходящие пакеты
кроме как на 127.0.0.1 и 192.168.1.51 же дропаются.
> И пока не
> додумался как сделать чтобы и-нет был на
> 192.168.2.5(этот фаерволл на нем) и по сети
> ходил к кому угодно, но чтобы не все
> имели доступ к нему.
Мне кажется, нужно смотреть в сторону -m
state --state ESTABLISHED, RELATED -j ...
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] iptables
2007-10-06 14:47 ` Timur Batyrshin
@ 2007-10-06 14:50 ` Vyatcheslav Perevalov
2007-10-06 15:59 ` Valery V. Rusnak
0 siblings, 1 reply; 36+ messages in thread
From: Vyatcheslav Perevalov @ 2007-10-06 14:50 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от 6 октября 2007 Timur Batyrshin написал(a):
> Мне кажется, нужно смотреть в сторону -m
> state --state ESTABLISHED, RELATED -j ...
У меня это именно так и реализовано
--
Всего хорошего
/vip
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] iptables
2007-10-06 14:50 ` Vyatcheslav Perevalov
@ 2007-10-06 15:59 ` Valery V. Rusnak
2007-10-06 16:06 ` Vyatcheslav Perevalov
0 siblings, 1 reply; 36+ messages in thread
From: Valery V. Rusnak @ 2007-10-06 15:59 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Vyatcheslav Perevalov пишет:
> В сообщении от 6 октября 2007 Timur Batyrshin написал(a):
>
>> Мне кажется, нужно смотреть в сторону -m
>> state --state ESTABLISHED, RELATED -j ...
>>
>
> У меня это именно так и реализовано
>
А можно поподробнее? Чтобы подходило к моему случаю. т.е. был доступ
оттуда в и-нет, с сети туда тоже был доступ, но для некоторых
перекрывать. например чтобы для 192.168.1.51, 192.168.1.44,
192.168.2.33 не видели вообще меня.
Спасибо.
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] iptables
2007-10-06 15:59 ` Valery V. Rusnak
@ 2007-10-06 16:06 ` Vyatcheslav Perevalov
2007-10-06 19:13 ` Valery V. Rusnak
0 siblings, 1 reply; 36+ messages in thread
From: Vyatcheslav Perevalov @ 2007-10-06 16:06 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от 6 октября 2007 Valery V. Rusnak написал(a):
> Чтобы подходило к моему случаю. т.е. был доступ
> оттуда в и-нет, с сети туда тоже был доступ, но для некоторых
> перекрывать. например чтобы для 192.168.1.51, 192.168.1.44,
> 192.168.2.33 не видели вообще меня.
У Вас Инет и Сеть физически через один и-фейс ходят?
--
Всего хорошего
/vip
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] iptables
2007-10-06 16:06 ` Vyatcheslav Perevalov
@ 2007-10-06 19:13 ` Valery V. Rusnak
2007-10-08 11:54 ` Vyatcheslav Perevalov
0 siblings, 1 reply; 36+ messages in thread
From: Valery V. Rusnak @ 2007-10-06 19:13 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Vyatcheslav Perevalov пишет:
> В сообщении от 6 октября 2007 Valery V. Rusnak написал(a):
>
>> Чтобы подходило к моему случаю. т.е. был доступ
>> оттуда в и-нет, с сети туда тоже был доступ, но для некоторых
>> перекрывать. например чтобы для 192.168.1.51, 192.168.1.44,
>> 192.168.2.33 не видели вообще меня.
>>
>
> У Вас Инет и Сеть физически через один и-фейс ходят?
>
угу.
Я вот как то писал:
Есть комп (ALD4) на нем сетевушка eth0 (192.168.2.5 маска 255.255.0.0)
ходит в и-нет и в сеть через эту же сетевушку. (шлюз и днс 192.168.1.1)
Хотел чтобы на нем и-нет работал, чтобы к нему заходили через самбу на зашареные ресурсы все с сети,
кроме некоторые (т.е. закрывать некоторым доступ по необходимости) чтобы некоторые заходили к нему по 80
и смотрели график загрузки интерфейса.
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] iptables
2007-10-06 19:13 ` Valery V. Rusnak
@ 2007-10-08 11:54 ` Vyatcheslav Perevalov
2007-10-09 10:33 ` Valery V. Rusnak
0 siblings, 1 reply; 36+ messages in thread
From: Vyatcheslav Perevalov @ 2007-10-08 11:54 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от 7 октября 2007 Valery V. Rusnak написал(a):
> Есть комп (ALD4) на нем сетевушка eth0 (192.168.2.5 маска 255.255.0.0)
> ходит в и-нет и в сеть через эту же сетевушку. (шлюз и днс 192.168.1.1)
>
> Хотел чтобы на нем и-нет работал,
Наверно, всё-таки надо, чтобы IP-адрес был из подсети 192.168.1.0/24 ?
> чтобы к нему заходили через самбу на зашареные ресурсы все с сети,
а локальная сеть - 192.168.2.0/24? И при этом Вы являетесь администратором
сети?
> кроме некоторые (т.е. закрывать некоторым доступ по необходимости) чтобы
> некоторые заходили к нему по 80 и смотрели график загрузки интерфейса.
Остальные уточняющие вопросы - позже.
--
Всего хорошего
/vip
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] iptables
2007-10-08 11:54 ` Vyatcheslav Perevalov
@ 2007-10-09 10:33 ` Valery V. Rusnak
2007-10-09 11:55 ` Алексей Шенцев
0 siblings, 1 reply; 36+ messages in thread
From: Valery V. Rusnak @ 2007-10-09 10:33 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Vyatcheslav Perevalov пишет:
> В сообщении от 7 октября 2007 Valery V. Rusnak написал(a):
>
>> Есть комп (ALD4) на нем сетевушка eth0 (192.168.2.5 маска 255.255.0.0)
>> ходит в и-нет и в сеть через эту же сетевушку. (шлюз и днс 192.168.1.1)
>>
>> Хотел чтобы на нем и-нет работал,
>>
>
> Наверно, всё-таки надо, чтобы IP-адрес был из подсети 192.168.1.0/24 ?
>
>> чтобы к нему заходили через самбу на зашареные ресурсы все с сети,
>>
>
> а локальная сеть - 192.168.2.0/24? И при этом Вы являетесь администратором
> сети?
>
>
У нас в сети айпишники 192.168.1.* и 192.168.2.* маска 255.255.0.0.
Сервер инета 192.168.1.1. Все друг друга видят за счет маски.
Да, я администратор :) Около 300 компов сейчас. Всё работает. Я просто
не изучал UNIX системы.
Сервер и-нета настроил один чел. поставил три года назад и порядок.
обновляли только чуть и кое что переделывали.
Но я поставил на свой второй комп(192.168.2.5) ALD4 в познавательных
целях. И осталось только разобраться как работает фаерволл.
>> кроме некоторые (т.е. закрывать некоторым доступ по необходимости) чтобы
>> некоторые заходили к нему по 80 и смотрели график загрузки интерфейса.
>>
>
> Остальные уточняющие вопросы - позже.
>
>
^ permalink raw reply [flat|nested] 36+ messages in thread
* Re: [Sysadmins] iptables
2007-10-09 10:33 ` Valery V. Rusnak
@ 2007-10-09 11:55 ` Алексей Шенцев
0 siblings, 0 replies; 36+ messages in thread
From: Алексей Шенцев @ 2007-10-09 11:55 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от Tuesday 09 October 2007 14:33:47 Valery V. Rusnak написал(а):
> У нас в сети айпишники 192.168.1.* и 192.168.2.* маска 255.255.0.0.
> Сервер инета 192.168.1.1. Все друг друга видят за счет маски.
> Да, я администратор :) Около 300 компов сейчас. Всё работает. Я просто
> не изучал UNIX системы.
> Сервер и-нета настроил один чел. поставил три года назад и порядок.
> обновляли только чуть и кое что переделывали.
> Но я поставил на свой второй комп(192.168.2.5) ALD4 в познавательных
> целях. И осталось только разобраться как работает фаерволл.
Загляните для интереса на http://iptables.ru
--
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845
^ permalink raw reply [flat|nested] 36+ messages in thread
end of thread, other threads:[~2007-10-09 11:55 UTC | newest]
Thread overview: 36+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2007-10-03 13:55 [Sysadmins] iptables Valery V. Rusnak
2007-10-03 13:58 ` Serge
2007-10-03 14:01 ` Peter V. Saveliev
2007-10-03 14:05 ` Valery V. Rusnak
2007-10-03 14:12 ` Timur Batyrshin
2007-10-03 14:17 ` Valery V. Rusnak
2007-10-03 14:19 ` Motsyo Gennadi aka Drool
2007-10-03 14:21 ` Andrii Dobrovol`s`kii
2007-10-03 14:34 ` Peter V. Saveliev
2007-10-03 14:36 ` Peter V. Saveliev
2007-10-03 15:30 ` Valery V. Rusnak
2007-10-03 15:43 ` Vyatcheslav Perevalov
2007-10-04 3:55 ` [Sysadmins] [JT] iptables Alex Karpov
2007-10-04 9:25 ` [Sysadmins] iptables Alexey Shabalin
2007-10-04 12:37 ` Valery V. Rusnak
2007-10-04 12:43 ` Serge Polkovnikov
2007-10-04 12:53 ` Andrii Dobrovol`s`kii
2007-10-04 13:32 ` Valery V. Rusnak
2007-10-04 14:21 ` Valery V. Rusnak
2007-10-04 15:07 ` Andrii Dobrovol`s`kii
2007-10-04 16:35 ` Valery V. Rusnak
2007-10-04 16:44 ` LIO
2007-10-04 16:37 ` LIO
2007-10-04 17:18 ` Valery V. Rusnak
2007-10-05 12:08 ` Andrii Dobrovol`s`kii
2007-10-06 12:00 ` Valery V. Rusnak
2007-10-06 14:47 ` Timur Batyrshin
2007-10-06 14:50 ` Vyatcheslav Perevalov
2007-10-06 15:59 ` Valery V. Rusnak
2007-10-06 16:06 ` Vyatcheslav Perevalov
2007-10-06 19:13 ` Valery V. Rusnak
2007-10-08 11:54 ` Vyatcheslav Perevalov
2007-10-09 10:33 ` Valery V. Rusnak
2007-10-09 11:55 ` Алексей Шенцев
2007-10-04 17:46 ` Mikhail A. Pokidko
2007-10-04 19:12 ` [Sysadmins] iptables - тестилки файрволов LIO
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git