Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
помогите с iptables
View unanswered posts
View posts from last 24 hours

 
Reply to topic    Gentoo Forums Forum Index Russian
View previous topic :: View next topic  
Author Message
Torgovec
n00b
n00b


Joined: 23 Jun 2004
Posts: 15
Location: Moscow

PostPosted: Wed Sep 29, 2004 5:43 am    Post subject: помогите с iptables Reply with quote

Мне надо дать доступ по ssh, ftp, и что-б был ping моей тачки
вот мой конфиг:

#####################################################
#Устанавливаем политику по умолчанию
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#Разрешаем icmp-request\reply сообщения
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT

#Разрешаем ssh по сети 192.168.0.0/24
iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.0.0/24 --sport 22 -j ACCEPT

#Пускаем всех из сети 192.168.0.0/24 на FTP
iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport ftp -j ACCEPT
iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport ftp -j ACCEPT

#Без открытого порта ftp-data Interner-Exporer отказывается соединяться, зато Mozilla и Firefox бегают на ура
iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport ftp-data -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport ftp-data -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp -d 192.168.0.0/24 --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
#############################################################################
# iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
# Закоментировал потому-что соединение на FTP происходит с 10-15 секундной задержкой пришлось убрать -m state --state
# ESTABLISHED,RELATED - вместо этого использую строку ниже, как сделать правильно не знаю
#############################################################################
iptables -A OUTPUT -p tcp -d 192.168.0.0/24 --sport 1024: -j ACCEPT

#####################################################
Всё вроде нормально за исключением последней строчки - получается что я
оставляю потенциальную дыру для троянов не проверяя состояние исходящих соединений выше 1024 порта. Подскажите
пожайлуста как написать лучше ?
_________________
Сколько волка не корми, а у слона всё-равно больше !
Back to top
View user's profile Send private message
Taoub
Apprentice
Apprentice


Joined: 12 Jan 2004
Posts: 173

PostPosted: Wed Sep 29, 2004 1:03 pm    Post subject: Reply with quote

пара советов :)
1)Вообще механизм iptables в генто сделан просто замечательно.
запускаешь его из /etc/init.d/iptables start (если он не в default)
Устанавливаешь правила ручками
проверяешь все ли нормально, настроено и
Code:
/etc/init.d/iptables save

Он автоматически записывает полученный конфиг + загружает его при следующем старте iptables .
(Сразу оговорюсь, что это удобно для маленького файрвола, в смысле workstation)
2) не понимаю зачем workstation вообще POLICY на OUTPUT делать DENY...
Back to top
View user's profile Send private message
Torgovec
n00b
n00b


Joined: 23 Jun 2004
Posts: 15
Location: Moscow

PostPosted: Wed Sep 29, 2004 1:53 pm    Post subject: Reply with quote

"не понимаю зачем workstation вообще POLICY на OUTPUT делать DENY..."

- тренируюсь :D

"пара советов
1)Вообще механизм iptables в генто сделан просто замечательно.
запускаешь его из /etc/init.d/iptables start (если он не в default)
Устанавливаешь правила ручками
проверяешь все ли нормально, настроено и
Код:
/etc/init.d/iptables save

Он автоматически записывает полученный конфиг + загружает его при следующем старте iptables .
(Сразу оговорюсь, что это удобно для маленького файрвола, в смысле workstation)"
- эхх если бы в этом было дело, а не в иницированных соединениях....

Тема закрыта, во всём разобрался.
_________________
Сколько волка не корми, а у слона всё-равно больше !
Back to top
View user's profile Send private message
d_n_k
Tux's lil' helper
Tux's lil' helper


Joined: 15 Jul 2004
Posts: 138
Location: Russia

PostPosted: Wed Sep 29, 2004 8:08 pm    Post subject: Reply with quote

я так понял маскирование адресов происходит в цепочки POSTROUTING, а демаскирование в PREROUTING'е?


и еще, если стоит прозрачный прокси, то ip-адрес назначение будет адрес машины, где стоит прокси или того кто пользователя?
т.е. трафик пойдет через цепочку OUTPUT или FORWARD?


Last edited by d_n_k on Wed Sep 29, 2004 8:09 pm; edited 1 time in total
Back to top
View user's profile Send private message
d_n_k
Tux's lil' helper
Tux's lil' helper


Joined: 15 Jul 2004
Posts: 138
Location: Russia

PostPosted: Wed Sep 29, 2004 8:08 pm    Post subject: Reply with quote

я так понял маскирование адресов происходит в цепочки POSTROUTING, а демаскирование в PREROUTING'е?


и еще, если стоит прозрачный прокси, то ip-адрес назначение будет адрес машины, где стоит прокси или того кто пользователя?
т.е. трафик пойдет через цепочку OUTPUT или FORWARD?
Back to top
View user's profile Send private message
devil_ua
Tux's lil' helper
Tux's lil' helper


Joined: 23 Jun 2004
Posts: 128
Location: Kiev, Ukraine

PostPosted: Thu Sep 30, 2004 5:30 am    Post subject: Reply with quote

d_n_k wrote:
я так понял маскирование адресов происходит в цепочки POSTROUTING, а демаскирование в PREROUTING'е?


и еще, если стоит прозрачный прокси, то ip-адрес назначение будет адрес машины, где стоит прокси или того кто пользователя?
т.е. трафик пойдет через цепочку OUTPUT или FORWARD?

Погугли на тему Iptables Tutorial найдешь документик где это все очень подробно описано
Есть даже русский перевод
_________________
Web developer & High-load application deployer
Web Site: http://simonov.me
E-Mail: alex@simonov.me
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Russian All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum