| View previous topic :: View next topic |
| Author |
Message |
ZmiyGorinich
Guru
Joined: 27 Feb 2004
Posts: 369
Location: Zaporizhzhe, Ukraine
|
 Posted: Fri Jun 02, 2006 11:19 am Post subject: Вопрос о iptables |
 |
|
Привет всем. Есть вопрос о iptables.
Есть сетка и сервер который работает шлюзом. И Клиенты качают всякий хлам и не дают работать. Хотелбы некоторым клиентам ограничивать работу в интернете.
Может кто-то написать примеры:
1. закрыть порт 82 для всех в локальной сети
2. выключить инет клиенту с IP 192.168.1.3
3. закрыть порт 67 для клиента с IP 192.168.1.4
Вот мои текущие правила:
| Code: | # First we flush our current rules
iptables -F
iptables -t nat -F
# Setup default policies to handle unmatched traffic
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
# Copy and paste these examples ...
export LAN=eth1
export WAN=ppp0
# Then we lock our services so they only work from the LAN
iptables -I INPUT 1 -i ${LAN} -j ACCEPT
iptables -I INPUT 1 -i lo -j ACCEPT
iptables -A INPUT -p UDP --dport bootps -i ! ${LAN} -j REJECT
iptables -A INPUT -p UDP --dport domain -i ! ${LAN} -j REJECT
# Drop TCP / UDP packets to privileged ports
iptables -A INPUT -p TCP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP
iptables -A INPUT -p UDP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP
# Finally we add the rules for NAT
iptables -I FORWARD -i ${LAN} -d 192.168.1.0/255.255.255.0 -j DROP
iptables -A FORWARD -i ${LAN} -s 192.168.1.0/255.255.255.0 -j ACCEPT
iptables -A FORWARD -i ${WAN} -d 192.168.1.0/255.255.255.0 -j ACCEPT
iptables -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE
# Tell the kernel that ip forwarding is OK
echo 1 > /proc/sys/net/ipv4/ip_forward
for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $f ; done
|
_________________
Home: Athlon XP 2000+, ATI Radeon 9200 64Mb, 512Mb, hda:40Gb, hdb:120Gb, DVD-RW
Work : Duron 1.4, S3 ProSavage8 32Mb, 512Mb, hda:40Gb, CD-RW
Design, programming, hosting |
|
| Back to top |
|
 |
serg_sk
Guru
Joined: 10 Jul 2004
Posts: 315
Location: Ukraine
|
| Posted: Sat Jun 03, 2006 6:24 am Post subject: Re: Вопрос о iptables |
|
|
| ZmiyGorinich wrote: | Привет всем. Есть вопрос о iptables.
Есть сетка и сервер который работает шлюзом. И Клиенты качают всякий хлам и не дают работать. Хотелбы некоторым клиентам ограничивать работу в интернете.
Может кто-то написать примеры:
1. закрыть порт 82 для всех в локальной сети
2. выключить инет клиенту с IP 192.168.1.3
3. закрыть порт 67 для клиента с IP 192.168.1.4
Вот мои текущие правила:
| Code: | # First we flush our current rules
iptables -F
iptables -t nat -F
# Setup default policies to handle unmatched traffic
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
# Copy and paste these examples ...
export LAN=eth1
export WAN=ppp0
# Then we lock our services so they only work from the LAN
iptables -I INPUT 1 -i ${LAN} -j ACCEPT
iptables -I INPUT 1 -i lo -j ACCEPT
iptables -A INPUT -p UDP --dport bootps -i ! ${LAN} -j REJECT
iptables -A INPUT -p UDP --dport domain -i ! ${LAN} -j REJECT
# Drop TCP / UDP packets to privileged ports
iptables -A INPUT -p TCP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP
iptables -A INPUT -p UDP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP
# Finally we add the rules for NAT
iptables -I FORWARD -i ${LAN} -d 192.168.1.0/255.255.255.0 -j DROP
iptables -A FORWARD -i ${LAN} -s 192.168.1.0/255.255.255.0 -j ACCEPT
iptables -A FORWARD -i ${WAN} -d 192.168.1.0/255.255.255.0 -j ACCEPT
iptables -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE
# Tell the kernel that ip forwarding is OK
echo 1 > /proc/sys/net/ipv4/ip_forward
for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $f ; done
|
|
| Code: |
iptables -A INPUT -p tcp -i ${LAN} -s 192.168.1.0/24 --dport 82 -j DROP -- это если 82ой порт слушает по tcp протоколу.
iptables -A INPUT -p udp -i ${LAN} -s 192.168.1.0/24 --dport 82 -j DROP -- это если 82ой порт слушает по udp протоколу.
iptables -I FORWARD 1 -i ${LAN} -s 192.168.1.3 -j DROP -- отключаем инет клиенту 192.168.1.3
iptables -I FORWARD 1 -i ${LAN} -d 192.168.1.3 -j DROP -- отключаем инет клиенту 192.168.1.3
iptables -A INPUT -p tcp -i ${LAN} -s 192.168.1.4 --dport 67 -j DROP -- клиенту с 192.168.1.4 отрубаем доступ на 67 порт, который слушает tcp
iptables -A INPUT -p udp -i ${LAN} -s 192.168.1.4 --dport 67 -j DROP -- клиенту с 192.168.1.4 отрубаем доступ на 67 порт, который слушает udp |
А зачем правило: iptables -I FORWARD -i ${LAN} -d 192.168.1.0/255.255.255.0 -j DROP ?
_________________
Sorry for my bad englilsh. 
irc.freenode.net #fluxbox-ru - Fluxbox russian speaking channel. |
|
| Back to top |
|
|
ZmiyGorinich
Guru
Joined: 27 Feb 2004
Posts: 369
Location: Zaporizhzhe, Ukraine
|
| Posted: Sat Jun 03, 2006 8:02 am Post subject: |
|
|
Есл честно то не знаю... я просто делал вот по этой документации: http://www.gentoo.org/doc/en/home-router-howto.xml
_________________
Home: Athlon XP 2000+, ATI Radeon 9200 64Mb, 512Mb, hda:40Gb, hdb:120Gb, DVD-RW
Work : Duron 1.4, S3 ProSavage8 32Mb, 512Mb, hda:40Gb, CD-RW
Design, programming, hosting |
|
| Back to top |
|
|
Azik
Apprentice
Joined: 03 Apr 2005
Posts: 151
Location: Russia, Ufa
|
| Posted: Sat Jun 03, 2006 8:14 am Post subject: |
|
|
Это правило гласит не обрабатывать трафик адресованный из локалки в локалку же. Типа это лишняя работа, напрямую связывайтесь.
Это правило говорит - не пробрасывать никогда из локалки в локалку, как бы глупо это не звучало |
|
| Back to top |
|
|
ZmiyGorinich
Guru
Joined: 27 Feb 2004
Posts: 369
Location: Zaporizhzhe, Ukraine
|
| Posted: Sat Jun 03, 2006 8:30 am Post subject: |
|
|
Спасибо serg_sk, все заработало
т.е. это правило можно просто убрать? Есть ли где-то информация по iptables именно вот с такими мелкими проблемами?
А то все что я читал там описывается все и очень подробно.
_________________
Home: Athlon XP 2000+, ATI Radeon 9200 64Mb, 512Mb, hda:40Gb, hdb:120Gb, DVD-RW
Work : Duron 1.4, S3 ProSavage8 32Mb, 512Mb, hda:40Gb, CD-RW
Design, programming, hosting |
|
| Back to top |
|
|
ZmiyGorinich
Guru
Joined: 27 Feb 2004
Posts: 369
Location: Zaporizhzhe, Ukraine
|
| Posted: Mon Jun 05, 2006 6:25 am Post subject: |
|
|
Может поможете написать правила так чтобы запретить все а потом открыть только нужнын порты для определенных сервисов? Например: веб, почта, ICQ, MSN
И как если что потом определить если софт не работает то на какие порты он пытается лезть?
_________________
Home: Athlon XP 2000+, ATI Radeon 9200 64Mb, 512Mb, hda:40Gb, hdb:120Gb, DVD-RW
Work : Duron 1.4, S3 ProSavage8 32Mb, 512Mb, hda:40Gb, CD-RW
Design, programming, hosting |
|
| Back to top |
|
|
Azik
Apprentice
Joined: 03 Apr 2005
Posts: 151
Location: Russia, Ufa
|
| Posted: Mon Jun 05, 2006 10:53 am Post subject: |
|
|
А что там писать-то.
В первых строках
| Code: | iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP |
Вот тебе и запрещающая политика по умолчанию. А дальше расписываешь ACCEPT на кадый порт/адрес/сеть/сетевуху.
Авторы нормальных программ декларируют в документации, к каким портам они стучатся (в смысле, не авторы ). Для ненормальных есть мониторы сетей. Тот же Outpost firewall сойдет для таких целей - сразу видно, в какие порты программа стучится. |
|
| Back to top |
|
|
ZmiyGorinich
Guru
Joined: 27 Feb 2004
Posts: 369
Location: Zaporizhzhe, Ukraine
|
| Posted: Mon Jun 05, 2006 10:59 am Post subject: |
|
|
| Azik wrote: | А что там писать-то.
В первых строках
| Code: | iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP |
Вот тебе и запрещающая политика по умолчанию. А дальше расписываешь ACCEPT на кадый порт/адрес/сеть/сетевуху.
Авторы нормальных программ декларируют в документации, к каким портам они стучатся (в смысле, не авторы ). Для ненормальных есть мониторы сетей. Тот же Outpost firewall сойдет для таких целей - сразу видно, в какие порты программа стучится. |
Можно для примера как мне теперь разрешить для все локальных IP ходить по сайтам в инете?
_________________
Home: Athlon XP 2000+, ATI Radeon 9200 64Mb, 512Mb, hda:40Gb, hdb:120Gb, DVD-RW
Work : Duron 1.4, S3 ProSavage8 32Mb, 512Mb, hda:40Gb, CD-RW
Design, programming, hosting |
|
| Back to top |
|
|
Azik
Apprentice
Joined: 03 Apr 2005
Posts: 151
Location: Russia, Ufa
|
| Posted: Mon Jun 05, 2006 11:13 am Post subject: |
|
|
iptabels -A FORWARD -i eth0 --dport 80 -p tcp -j ACCEPT
eth0 - сетевая карта, смотрящая в локалку.
Разрешаем всем запросам, пришедшим из интерфейса eth0 (aka из локалки) и пытающимся подключиться к порту 80 по протоколу tcp, вырываться наружу. |
|
| Back to top |
|
|
ZmiyGorinich
Guru
Joined: 27 Feb 2004
Posts: 369
Location: Zaporizhzhe, Ukraine
|
| Posted: Mon Jun 05, 2006 11:30 am Post subject: |
|
|
| Azik wrote: | iptabels -A FORWARD -i eth0 --dport 80 -p tcp -j ACCEPT
eth0 - сетевая карта, смотрящая в локалку.
Разрешаем всем запросам, пришедшим из интерфейса eth0 (aka из локалки) и пытающимся подключиться к порту 80 по протоколу tcp, вырываться наружу. |
Спасибо. А есть ли простаю документация по iptables? Где рассмотрены вот такие простые задачи без углубления в супер возможности?
_________________
Home: Athlon XP 2000+, ATI Radeon 9200 64Mb, 512Mb, hda:40Gb, hdb:120Gb, DVD-RW
Work : Duron 1.4, S3 ProSavage8 32Mb, 512Mb, hda:40Gb, CD-RW
Design, programming, hosting |
|
| Back to top |
|
|
hermes_jr
l33t
Joined: 26 Feb 2004
Posts: 701
Location: Moscow, Russia
|
|
| Back to top |
|
|
ZmiyGorinich
Guru
Joined: 27 Feb 2004
Posts: 369
Location: Zaporizhzhe, Ukraine
|
| Posted: Mon Jun 05, 2006 3:31 pm Post subject: |
|
|
| hermes_jr wrote: | | http://www.opennet.ru/docs/RUS/iptables/index.html |
А по проще нет?
_________________
Home: Athlon XP 2000+, ATI Radeon 9200 64Mb, 512Mb, hda:40Gb, hdb:120Gb, DVD-RW
Work : Duron 1.4, S3 ProSavage8 32Mb, 512Mb, hda:40Gb, CD-RW
Design, programming, hosting |
|
| Back to top |
|
|
fank
l33t
Joined: 16 Oct 2004
Posts: 794
Location: Minsk, Belarus
|
| Posted: Tue Jun 06, 2006 10:59 am Post subject: |
|
|
есть. Windows Firewall 
а если серьёзно, то я тоже очень не хотел читать вышеуказанный туториал
имхо, он должен использоваться как справочное пособие
достаточно прочитать первые несколько глав, где описывается порядок прохождения пакетов по цепочкам и состояния соединений
остальные тонкости - уже по ходу написания собственного файра |
|
| Back to top |
|
|
|
|
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
|
Russian
