[voler]

Вопрос, а почему так. Не проще забить настройки в /etc/sysconfig/iptables

сделать рестарт серввиса и все. # service iptables restart

PHP код:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#Блокируем все icmp запросы.
-A INPUT -p icmp --icmp-type any -j DROP
#-A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
#-A INPUT -p icmp --icmp-type 8 -j ACCEPT
#разрешает web серфинг.
-A INPUT --protocol tcp --dport 80 -j ACCEPT
#разрешает ssh подключения. 
-A INPUT --protocol tcp --dport 22 -j ACCEPT
#разрешает получение почты.
-A INPUT --protocol tcp --dport 110 -j ACCEPT
#разрешает отправку почты.
-A INPUT --protocol tcp --dport 25 -j ACCEPT
#разрешает вхдящие покеты аськи.
-A INPUT --protocol tcp --dport 5190 -j ACCEPT

COMMIT 

Вот только добится работы пингов я не смог.
Если с нему коментарии с этих строк

PHP код:

#-A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
#-A INPUT -p icmp --icmp-type 8 -j ACCEPT 

пинги не идут, лучше делать дроп на icmp отдельно, а открыть нужные. То много писать.

[BuGfiX]

Цитата voler:

Вопрос, а почему так. Не проще забить настройки в /etc/sysconfig/iptables сделать рестарт серввиса и все. # service iptables restart

Метод добавления правил в таблицы роли не играет, делайте как именно Вам удобно, хотя некоторые дистрибутивы (например Suse) содержат свои "оболочки".
Для того чтобы заработал ping наружу, нужно разрешить на выход icmp пакеты типа echo-request, и на вход echo-reply. Для пинга снаружи соответственно наоборот.

[voler]

Посоветуйте, может что не так.
0/0 - ip адрес

PHP код:

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*nat
:PREROUTING ACCEPT [15:1440]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth0 -j SNAT --to-source ip вашей ситивухи
COMMIT

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#Разрешаем пинги.
-A INPUT -i eth0 -p icmp --icmp-type echo-reply -j ACCEPT
-A OUTPUT -o eth0 -p icmp --icmp-type echo-request -j ACCEPT

#3априщаем пинговать себя остальным, оставляем только свой IP.
-A OUTPUT -s ! 0/0 -o eth0 -p icmp --icmp-type echo-reply -d 0/0 -j DROP
-A INPUT -s ! 0/0 -i eth0 -p icmp --icmp-type echo-request -d 0/0 -j DROP

#Сообщение, предназначенное для управления потоком между двумя маршрутизаторами
#или маршрутизатором и обычным узлом.
-A INPUT -i eth0 -p icmp --icmp-type source-quench -j ACCEPT
-A OUTPUT -o eth0 -p icmp --icmp-type source-quench -j ACCEPT

#Некорректный параметр.
-A INPUT -i eth0 -p icmp --icmp-type parameter-problem -j ACCEPT
-A OUTPUT -o eth0 -p icmp --icmp-type parameter-problem -j ACCEPT

#Узел назначения не доступен.
-A INPUT -i eth0 -p icmp --icmp-type destination-unreachable -j ACCEPT
-A OUTPUT -o eth0 -p icmp --icmp-type destination-unreachable -j ACCEPT
-A INPUT -p icmp --icmp-type fragmentation-needed -j ACCEPT

#Необходимо для правильной работы трасировки маршрута.
-A INPUT -p icmp --icmp-type port-unreachable -j ACCEPT
-A OUTPUT -p icmp --icmp-type port-unreachable -j ACCEPT
-A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT

#Блокировка нежелатеьных запросов icmp. 
#Противодействие smurf - атаке.
-A INPUT -i eth0 -p icmp -d 255.255.255.255 -j DROP
-A OUTPUT -o eth0 -p icmp -d 255.255.255.255 -j REJECT

#Разрешаем взаимодествие между клиентом и сервером для работы DNS.
-A INPUT --protocol udp --dport 53 -j ACCEPT
-A OUTPUT --protocol udp --dport 53 -j ACCEPT
-A INPUT --protocol tcp --dport 53 -j ACCEPT
-A OUTPUT --protocol tcp --dport 53 -j ACCEPT

#разрешает web серфинг.
-A INPUT -d 0/0 --protocol tcp --dport 80 -j ACCEPT
-A OUTPUT -s 0/0 --protocol tcp --dport 80 -j ACCEPT

#разрешает ssh подключения. 
-A INPUT -s 0/0 -i eth0 --protocol tcp --dport 22 -d 0/0 -j ACCEPT
-A INPUT -i eth0 --protocol tcp --dport 22 -d 0/0 -j DROP

#Разрешаем работу почты.
#разрешает получение почты.
-A INPUT -d 0/0 -i eth0 --protocol tcp --dport 110 -j ACCEPT
-A OUTPUT -o eth0 --protocol tcp --dport 110 -j ACCEPT
#разрешает отправку почты.
-A INPUT -d 0/0 -i eth0 --protocol tcp --dport 25 -j ACCEPT
-A OUTPUT -s 0/0 -o eth0 --protocol tcp --dport 25 -j ACCEPT

#разрешает вхдящие покеты аськи.
-A INPUT -d 0/0 -i eth0 --protocol tcp --dport 5190 -j ACCEPT
-A OUTPUT -s 0/0 -o eth0 --protocol tcp --dport 5190 -j ACCEPT

#Разрешаем доступ к WEBMIN, только с IP адреса.
-A INPUT -s 0/0 -i eth0 --protocol tcp --dport 10000 -d 0/0 -j ACCEPT 

Вот часть моего файла настроек файрвола. Прошу высказать свои комментарии.

И еще возник вопрос по iptables и его родоначальнику ipchains. В ipchains было следующие:
EXTERNAL_INTERFACE в iptables это параметр -i
Internal_ INTERFACE -
LAN_1
LAN_IPADDR_1
LOOPBACK_INTERFACE
IPADDR - адрес компа
ANYWHERE
MY_ISP
LOOPBACK
BROADCAST_DEST
BROADCAST_SRC
NAMESERVER
SMTP_GATEWAY
POP_SERVER
NEWS_SERVER
IMAP_SERVER
PRIVPPORTS
UNPRIVPORTS
SSH_PORTS

Если соответствия данным параметрам в iptables. Man читал.

[BuGfiX]

Что сразу бросилось в глаза - зачем вот это?

Цитата voler:

*filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0]

И потом еще много правил с действием -j ACCEPT в INPUT и OUTPUT?

Воттут еще:

Цитата voler:

-A INPUT -d 0/0 --protocol tcp --dport 80 -j ACCEPT -A OUTPUT -s 0/0 --protocol tcp --dport 80 -j ACCEPT

Имеется в виду что разрешается заход по HTTP на веб-сервер данной машины? Или серфинг с нее?
В первом случае нужно исправить на
-A OUTPUT -s 0/0 --protocol tcp --sport 80 -j ACCEPT
а во втором
-A INPUT -d 0/0 --protocol tcp --sport 80 -j ACCEPT
Аналогично касательно почти и аськи.
Еще мне не понятно зачем нужно второе правило для разрешения ssh, ну и если сервер стоит в инете с открытым ssh, я бы добавил защиту от bruteforce.

Цитата voler:

Если соответствия данным параметрам в iptables

Что-то мне подсказывает, что это просто переменные, объявленные в скрипте фаервола, и икакого прямого отношения к ipchains и iptables они не имеют.

[voler]

Возможно ты прав, скорее всего, я прочел об этом "Линукс-сервер в виндовс окружении" Алексея Стаханова.
я бы добавил защиту от bruteforce. - по подробней если можно?\

За остальное спасибо.

Цитата BuGfiX:

И потом еще много правил с действием -j ACCEPT в INPUT и OUTPUT?

- Ты считаешь они не нужны?

Цитата BuGfiX:

*filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0]

Это было в стандартном файле.

[BuGfiX]

Цитата voler:

Ты считаешь они не нужны?

Если политика по-умолчанию ACCEPT, не вижу никакого смысла разрешать какие-либо пакеты по определенным критериям, разве что может пригодиться для подсчета статистики. Я обычно делаю такие политики:
INPUT = DROP
OUTPUT = ACCEPT
FORWARD = DROP
а дальше разрешаю только то что нужно. Хотя можно поступить и противоположным образом - дело вкуса.

Защиту SSH от брутфорса можно сдлать например вот так:

Код:

iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --name SSH --set
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --name SSH --update --seconds 60 --hitcount 2 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -j ACCEPT

При условии, что iptables -P INPUT DROP.

[voler]

Цитата BuGfiX:

INPUT = DROP OUTPUT = ACCEPT FORWARD = DROP

Есть тогда вопрос резонный. На сколько мне известно, что iptables читает правило сверху вниз. Т.е. если, я что забыл добавить в правила, то это будит рубиться.

Тогда скажи как быть с ftp, его я собираюсь организовать в ближайшее время. Запрос и дет по одному порту, а работа дальнейшая по большому диапазону портов.

Цитата BuGfiX:

Если политика по-умолчанию ACCEPT, не вижу никакого смысла разрешать какие-либо пакеты по определенным критериям, разве что может пригодиться для подсчета статистики. Я обычно делаю такие политики: INPUT = DROP OUTPUT = ACCEPT FORWARD = DROP

Послушаюсь твоего совета и добавлю данное правило, в начало и погляжу что да как.

[BuGfiX]

Цитата voler:

Т.е. если, я что забыл добавить в правила, то это будит рубиться.

не совсем так. Будет оно рубиться, или нет, зависит как раз от заданной политики по-умолчанию. Например, если политика цепочки INPUT = DROP, и пакет, попавший туда не подошел ни под одно правило, то он отбрасывается.

Цитата voler:

как быть с ftp

FTP может работать либо в активном, либо в пассивном режиме. В зависимости от этого, по разному настраивается фаервол. А с диапазоном портов можно поступить очень просто - нужно всего-лишь использовать модуль -m multiport.
Его описание так же есть по ссылке, которую я давал ранее.

[voler]

Цитата BuGfiX:

Защиту SSH от брутфорса можно сдлать например вот так: Код: -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --name SSH --set -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --name SSH --update --seconds 60 --hitcount 2 -j DROP -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -j ACCEPT

-m state --state NEW - новое состояние
-m recent - это что за модуль?
-- NAME SSH Задание имени для recent ?
--set добавляет новый адрес.
--update --seconds 60 --hitcount 2 -j DROP - это блокирует адреса, которые обращаются с интервалом меньше 60 сек?

Я все правильно понял?

[BuGfiX]

-m state --state NEW

Цитата:

Признак NEW сообщает о том, что пакет является первым для данного соединения. Это означает, что это первый пакет в данном соединении, который увидел модуль трассировщика. Например если получен SYN пакет являющийся первым пакетом для данного соединения, то он получит статус NEW.

Суть правил с -m recent сводится к тому, что на 22-й порт будет приниматься всего одна попытка подключения в минуту. Если в течении минуты будет предпринята еще одна попытка - пакет будет отброшен.