|
|
|
|
| Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » IPTABLES!!! RULES, Разгавор о iptables |
|
|
IPTABLES!!! RULES, Разгавор о iptables
|
|
Новый участник Сообщения: 13 |
Доброе время суток. Хотелбы поднять вопрос по iptable. Я новичёк и мануал читал, но не савсем понял. Есть шлюз Fedora Core4, eth1-смотрит в инет ip=194.44.x.x, eth0=локалка ip=192.168.0.1. На шлюзе как-же стоит squid, apache(их с трудом сам настроил), Нада помоч мне с написанием правил по защите шлюза.
|
|
|
Отправлено: 12:59, 20-02-2006 |
Старожил Сообщения: 178
|
Профиль | Отправить PM | Цитировать Код:
 #------------------------------------------------------------ # ICMP Control and Status Messages # Log and drop initial ICMP fragments -A INPUT -i eth1 --fragment -p icmp -j LOG --log-prefix "Fragmented incoming ICMP: " -A INPUT -i eth1 --fragment -p icmp -j DROP -A OUTPUT -o eth1 --fragment -p icmp -j LOG --log-prefix "Fragmented outgoing ICMP: " -A OUTPUT -o eth1 --fragment -p icmp -j DROP -A FORWARD -o eth1 --fragment -p icmp -j LOG --log-prefix "Fragmented forwarded ICMP: " -A FORWARD -o eth1 --fragment -p icmp -j DROP -A INPUT -i eth1 -p icmp --icmp-type source-quench -d x.x.x.x -j ACCEPT -A OUTPUT -o eth1 -p icmp --icmp-type source-quench -j ACCEPT -A FORWARD -o eth1 -p icmp --icmp-type source-quench -j ACCEPT -A INPUT -i eth1 -p icmp --icmp-type parameter-problem -d x.x.x.x -j ACCEPT -A OUTPUT -o eth1 -p icmp --icmp-type parameter-problem -j ACCEPT -A FORWARD -o eth1 -p icmp --icmp-type parameter-problem -j ACCEPT -A INPUT -i eth1 -p icmp --icmp-type destination-unreachable -j ACCEPT #Use $LAN_INTERFACE = eth0 $LAN_ADDRESSES = 10.10.10.0/25 -A OUTPUT -o eth0 -p icmp --icmp-type destination-unreachable -d 10.10.10.0/25 -j ACCEPT -A FORWARD -o eth0 -p icmp --icmp-type destination-unreachable -d 10.10.10.0/25 -j ACCEPT -A OUTPUT -o eth1 -p icmp --icmp-type fragmentation-needed -j ACCEPT -A FORWARD -o eth1 -p icmp --icmp-type fragmentation-needed -j ACCEPT # Dont log dropped outgoing ICMP error messages -A OUTPUT -o eth1 -p icmp --icmp-type destination-unreachable -j DROP -A FORWARD -o eth1 -p icmp --icmp-type destination-unreachable -j DROP # Intermediate traceroute responses -A INPUT -i eth1 -p icmp --icmp-type time-exceeded -d x.x.x.x -j ACCEPT #Use $LAN_INTERFACE = eth0 $LAN_ADDRESSES = 10.10.10.0/25 -A OUTPUT -o eth0 -p icmp --icmp-type time-exceeded -d 10.10.10.0/25 -j ACCEPT -A FORWARD -o eth0 -p icmp --icmp-type time-exceeded -d 10.10.10.0/25 -j ACCEPT # allow outgoing pings to anywhere -A OUTPUT -o eth1 -p icmp --icmp-type echo-request -j ACCEPT -A INPUT -i eth1 -p icmp --icmp-type echo-reply -j ACCEPT #-A FORWARD -o $DMZ_INTERFACE -p icmp --icmp-type echo-request -s $LAN_ADDRESSES -j ACCEPT # allow incoming pings from trusted hosts # Use $MY_ISP = any/0 -A INPUT -i eth1 -p icmp -s any/0 --icmp-type echo-request -d x.x.x.x -j ACCEPT -A OUTPUT -o eth1 -p icmp -s x.x.x.x --icmp-type echo-reply -d any/0 -j ACCEPT #-A INPUT -i $LAN_INTERFACE -p icmp -s $LAN_ADDRESSES --icmp-type echo-request -d $LAN_IPADDR -j ACCEPT #------------------------------------------------------------ # Logging Dropped Packets # Don't log dropped incoming echo-requests -A INPUT -i eth1 -p icmp --icmp-type ! 8 -d x.x.x.x -j LOG # -A INPUT -i eth1 -p tcp -d x.x.x.x -j LOG # -A OUTPUT -o eth1 -j LOG |
|
------- Отправлено: 11:56, 24-02-2006 | #11 |
|
Старожил Сообщения: 178
|
Профиль | Отправить PM | Цитировать Код:
#------------------------------------------------------------------ # Workstation: # # admin -A admin-in -s 10.10.10.2 -i eth0 -j ACCEPT -A admin-in -s 10.10.10.3 -i eth0 -j ACCEPT -A admin-in -s 10.10.10.4 -i eth0 -j ACCEPT -A admin-in -s 10.10.10.5 -i eth0 -j ACCEPT -A admin-in -s 10.10.10.6 -i eth0 -j ACCEPT # departments -A dep-in -s 10.10.10.7 -i eth0 -j DROP -A dep-in -s 10.10.10.8 -i eth0 -j DROP -A dep-in -s 10.10.10.9 -i eth0 -j DROP -A dep-in -s 10.10.10.10 -i eth0 -j DROP -A dep-in -s 10.10.10.11 -i eth0 -j DROP # wifi -A wifi-in -s 10.10.10.12 -i eth0 -j DROP -A wifi-in -s 10.10.10.13 -i eth0 -j DROP -A wifi-in -s 10.10.10.14 -i eth0 -j DROP -A wifi-in -s 10.10.10.15 -i eth0 -j DROP -A wifi-in -s 10.10.10.16 -i eth0 -j DROP -A wifi-in -s 10.10.10.17 -i eth0 -j DROP #other # end ip adress list #------------------------------------------------------------------ # Traffic within the local network: # admin -A INPUT -i eth0 -p ALL -d any/0 -j admin-in -A OUTPUT -o eth0 -p ALL -d any/0 -j admin-in -A FORWARD -i eth0 -p ALL -d any/0 -j admin-in # dep -A INPUT -i eth0 -p ALL -d any/0 -j dep-in -A OUTPUT -o eth0 -p ALL -d any/0 -j dep-in -A FORWARD -i eth0 -p ALL -d any/0 -j dep-in # wifi workstation -A INPUT -i eth0 -p ALL -d any/0 -j wifi-in -A OUTPUT -o eth0 -p ALL -d any/0 -j wifi-in -A FORWARD -i eth0 -p ALL -d any/0 -j wifi-in COMMIT |
|
------- Последний раз редактировалось sergleo, 24-02-2006 в 12:11. Отправлено: 11:58, 24-02-2006 | #12 |
|
Старожил Сообщения: 178
|
Профиль | Отправить PM | Цитировать Код:
#------------------------------------------------------------------ # NAT *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] #------------------------------------------------------------------ # Forward all trafic www to Squid. # Port 80 -A PREROUTING -i eth0 -p tcp -s 10.10.10.0/25 --dport 80 -j REDIRECT --to-port 8080 -A PREROUTING -i eth0 -p udp -s 10.10.10.0/25 --dport 80 -j REDIRECT --to-port 8080 -A PREROUTING -i eth0 -p tcp -s 10.10.10.0/25 --dport 3128 -j REDIRECT --to-port 8080 -A PREROUTING -i eth0 -p udp -s 10.10.10.0/25 --dport 3128 -j REDIRECT --to-port 8080 #------------------------------------------------------------------ # Masquerade internal traffic. -A POSTROUTING -o eth1 -j MASQUERADE COMMIT |
|
------- Отправлено: 12:03, 24-02-2006 | #13 |
|
Старожил Сообщения: 178
|
Профиль | Отправить PM | Цитировать Маленькое пояснение
Код:
#------------------------------------------------------------------ # Forward all trafic www to Squid. # Port 80 -A PREROUTING -i eth0 -p tcp -s 10.10.10.0/25 --dport 80 -j REDIRECT --to-port 8080 -A PREROUTING -i eth0 -p udp -s 10.10.10.0/25 --dport 80 -j REDIRECT --to-port 8080 -A PREROUTING -i eth0 -p tcp -s 10.10.10.0/25 --dport 3128 -j REDIRECT --to-port 8080 -A PREROUTING -i eth0 -p udp -s 10.10.10.0/25 --dport 3128 -j REDIRECT --to-port 8080 |
|
------- Отправлено: 12:07, 24-02-2006 | #14 |
|
Старожил Сообщения: 178
|
Профиль | Отправить PM | Цитировать Теперь по моим цепочкам
Код:
:admin-in - [0:0] :dep-in - [0:0] :wifi-in - [0:0] Код:
# Work Station # Accept scripts 52 8 * * * root /opt/script/ip-a-dep.sh 54 8 * * * root /opt/script/ip-a-wf.sh # Deny scripts 52 20 * * * root /opt/script/ip-d-dep.sh 54 20 * * * root /opt/script/ip-d-wf.sh Код:
#!/bin/sh echo "Starting firewalling... Accept Departmets..." /sbin/iptables -R dep-in 1 -s 10.10.10.7 -i eth0 -j ACCEPT /sbin/iptables -R dep-in 2 -s 10.10.10.8 -i eth0 -j ACCEPT /sbin/iptables -R dep-in 3 -s 10.10.10.9 -i eth0 -j ACCEPT /sbin/iptables -R dep-in 4 -s 10.10.10.10 -i eth0 -j ACCEPT /sbin/iptables -R dep-in 5 -s 10.10.10.11 -i eth0 -j ACCEPT echo "Done........" Код:
#!/bin/sh echo "Starting firewalling... Accept Wifi Clients..." /sbin/iptables -R wifi-in 1 -s 10.10.10.12 -i eth0 -j ACCEPT /sbin/iptables -R wifi-in 2 -s 10.10.10.13 -i eth0 -j ACCEPT /sbin/iptables -R wifi-in 3 -s 10.10.10.14 -i eth0 -j ACCEPT /sbin/iptables -R wifi-in 4 -s 10.10.10.15 -i eth0 -j ACCEPT /sbin/iptables -R wifi-in 5 -s 10.10.10.16 -i eth0 -j ACCEPT /sbin/iptables -R wifi-in 6 -s 10.10.10.17 -i eth0 -j ACCEPT echo "Done........" Код:
#!/bin/sh echo "Starting firewalling... DROP Departmets..." /sbin/iptables -R dep-in 1 -s 10.10.10.7 -i eth0 -j DROP /sbin/iptables -R dep-in 2 -s 10.10.10.8 -i eth0 -j DROP /sbin/iptables -R dep-in 3 -s 10.10.10.9 -i eth0 -j DROP /sbin/iptables -R dep-in 4 -s 10.10.10.10 -i eth0 -j DROP /sbin/iptables -R dep-in 5 -s 10.10.10.11 -i eth0 -j DROP echo "Done........" Код:
#!/bin/sh echo "Starting firewalling... DROP Wifi Clients..." /sbin/iptables -R wifi-in 1 -s 10.10.10.12 -i eth0 -j DROP /sbin/iptables -R wifi-in 2 -s 10.10.10.13 -i eth0 -j DROP /sbin/iptables -R wifi-in 3 -s 10.10.10.14 -i eth0 -j DROP /sbin/iptables -R wifi-in 4 -s 10.10.10.15 -i eth0 -j DROP /sbin/iptables -R wifi-in 5 -s 10.10.10.16 -i eth0 -j DROP /sbin/iptables -R wifi-in 6 -s 10.10.10.17 -i eth0 -j DROP echo "Done........" |
|
------- Отправлено: 12:23, 24-02-2006 | #15 |
|
Старожил Сообщения: 178
|
Профиль | Отправить PM | Цитировать СМ. пост 12 и 15 пояснения
Это сделано чтоб был минимаальный контроль(например ночью не качали.) Т.Е админы(руководство) постоянный доступ в нет а вот для остальных только по рассписанию с 8-50 до 20-50. Ну вот и все удачи. Напишите кто нить статью..., до скорого SergLeo. |
|
------- Отправлено: 12:39, 24-02-2006 | #16 |
|
Новый участник Сообщения: 13
|
Профиль | Отправить PM | Цитировать А если расмотреть политику поумолчанию которая все запрещяет, просто надо прикрутить еще старгазера.
|
|
Отправлено: 12:06, 03-03-2006 | #17 |
|
Старожил Сообщения: 178
|
Профиль | Отправить PM | Цитировать Цитата:
Цитата:
|
||
|
------- Отправлено: 16:00, 03-03-2006 | #18 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| [решено] Iptables и DC++ | Strange_V | Программное обеспечение Linux и FreeBSD | 6 | 29-02-2008 08:04 | |
| Iptables + Redirect | linuxn00b | Общий по Linux | 4 | 28-05-2007 10:59 | |
| iptables | xamelion | Общий по Linux | 9 | 14-05-2004 18:42 | |
| iptables | The Antihero | Общий по Linux | 21 | 03-11-2002 18:22 | |
|
|
Время: 01:41. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. |
