From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.3 (2007-08-08) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-0.7 required=5.0 tests=AWL,BAYES_00 autolearn=ham version=3.2.3 Date: Mon, 28 Jan 2008 13:11:21 +0300 From: "Nikolay A. Fetisov" To: sysadmins@lists.altlinux.org Message-ID: <20080128131121.7a19e479@v3405.naf.net.ru> In-Reply-To: References: X-Mailer: Claws Mail 2.10.0cvs158 (GTK+ 2.10.14; x86_64-alt-linux-gnu) Mime-Version: 1.0 Content-Type: text/plain; charset=KOI8-R Content-Transfer-Encoding: 8bit Subject: Re: [Sysadmins] =?koi8-r?b?Iu3By9LP0drZyyIgxMzRIGZpcmV3YWxs?= X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.9 Precedence: list Reply-To: ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 28 Jan 2008 10:12:43 -0000 Archived-At: List-Archive: On Mon, 28 Jan 2008 09:34:30 +0300 Eugene Prokopiev wrote: > А есть ли у нас или может кто использует самопальные средства (набор > скриптов, а не GUI) для упрощения написания правил iptables? ... FIAIF - в дистрибутиве есть. Для обсуждаемой в community@ темы простого шлюза >комп с двумя сетевушками > eth0 192.168.x.51(городская сеть и VPN) > eth2 192.168.0.1 > шлюз 192.168.x.1 (http://lists.altlinux.org/pipermail/community/2008-January/403115.html) конфигурация выглядела бы так: /etc/fiaif/fiaif.conf ------8<--------------- ... DONT_START=0 ZONES="EXT INT" CONF_INT=zone.int CONF_EXT=zone.ext ... DEBUG=0 ... ------8<--------------- /etc/fiaif/zone.int: ------8<--------------- NAME=INT DEV=eth2 DYNAMIC=1 GLOBAL=0 IP_EXTRA="" NET_EXTRA="224.0.0.0/4" DHCP_SERVER=0 INPUT[0]="ACCEPT ALL 0.0.0.0/0=>0.0.0.0/0" OUTPUT[0]="ACCEPT ALL 0.0.0.0/0=>0.0.0.0/0" FORWARD[0]="ALL DROP ALL 0.0.0.0/0=>0.0.0.0/0" REDIRECT_PROXY="tcp 80 0.0.0.0/0=>0.0.0.0/0 127.0.0.1 3128" SNAT[0]="EXT ALL 0.0.0.0/0=>0.0.0.0/0" TC_ENABLE=0 ------8<--------------- /etc/fiaif/zone.ext: ------8<--------------- NAME=EXT DEV=eth0 DYNAMIC=1 GLOBAL=1 IP_EXTRA="" NET_EXTRA="192.168.x.0/255.255.255.0" DHCP_SERVER=0 INPUT[0]="ACCEPT tcp ssh 0.0.0.0/0=>0.0.0.0/0" INPUT[1]="ACCEPT icmp echo-request 0.0.0.0/0=>0.0.0.0/0" INPUT[2]="DROP_NOLOG udp 67,135,137,138,139,445,520 0.0.0.0/0=>0.0.0.0/0" INPUT[3]="DROP_NOLOG tcp 135,137,138,139,445,520 0.0.0.0/0=>0.0.0.0/0" INPUT[4]="REJECT udp ALL 0.0.0.0/0=>0.0.0.0/0" INPUT[5]="DROP ALL 0.0.0.0/0=>0.0.0.0/0" OUTPUT[0]="ACCEPT ALL 0.0.0.0/0=>0.0.0.0/0" FORWARD[0]="ALL ACCEPT ALL 0.0.0.0/0=>0.0.0.0/0" REPLY_AUTH="EXT tcp-reset tcp auth 0.0.0.0/0=>0.0.0.0/0" REPLY_TRACEROUTE="EXT icmp-port-unreachable udp 33434:33464 0.0.0.0/0=>0.0.0.0/0" LIMIT_PING="EXT DROP 1/second 3 ICMP echo-request 0.0.0.0/0=>0.0.0.0/0" TC_ENABLE=0 ------8<--------------- В итоговой конфигурации были бы заблокированы обращения извне с частных подсетей (кроме явно разрешённой 192.168.x.0/24), с ещё не распределённых IANA диапазонов адресов, включено логирование отброшенных пакетов (кроме CIFS), ну и т.п. - в общей сложности порядка 400 правил. Примеры конфигурации в пакете, разумеется, присутствуют. -- С уважением, Николай Фетисов