Считаете, что Ubuntu недостаточно дружелюбна к новичкам? Помогите создать новое Руководство для новичков!
0 Пользователей и 1 Гость просматривают эту тему.
iptables -A INPUT -i eth1 -s 10.х.х.х/8 -p tcp --dport ssh -j ACCEPTiptables -A INPUT -i eth1 -s 10.х.х.х/8 -p tcp --dport http -j ACCEPTiptables -A INPUT -i eth1 -s 172.х.х.х/11 -p tcp --dport ssh -j ACCEPTiptables -A INPUT -i eth1 -s 172.х.х.х/11 -p tcp --dport http -j ACCEPTiptables -A INPUT -i eth1 -p ICMP -j ACCEPTiptables -I INPUT -i eth1 -j DROP
Вобщем iptables такой:Код: [Выделить]iptables -A INPUT -i eth1 -s 10.х.х.х/8 -p tcp --dport ssh -j ACCEPTiptables -A INPUT -i eth1 -s 10.х.х.х/8 -p tcp --dport http -j ACCEPTiptables -A INPUT -i eth1 -s 172.х.х.х/11 -p tcp --dport ssh -j ACCEPTiptables -A INPUT -i eth1 -s 172.х.х.х/11 -p tcp --dport http -j ACCEPTiptables -A INPUT -i eth1 -p ICMP -j ACCEPTiptables -I INPUT -i eth1 -j DROPпри этих параметрах отрубается интранет и интернет. Подключен через DHCP, шлюз на инет и локалку 77.232.128.63
скажите, а последнюю строку вы тоже по ссылке выше вычитали?
Цитата: zeus от 02 Февраля 2008, 17:48:07скажите, а последнюю строку вы тоже по ссылке выше вычитали?Согласен, в последней строчке ошибка: запретил всё... Но как в таком случае запретить доступ на мой компьютер из интернета?
# !bin/sh############################################################################ 1. Конфигурационные настройки.### 1.1 Конфигурация интернет.#INET_IFACE="eth1"## 1.1.1 DHCP### 1.1.2 PPPoE### 1.2 Конфигурация локальной сети.#ALLOWED_IP_RANGE_1="10.x.x.x/8"ALLOWED_IP_RANGE_2="172.x.x.x/11"## 1.3 DMZ.### 1.4 Конфигурация обратной петли Loopback.#LO_IFACE="lo"LO_IP="127.0.0.1"LO_IP_RANGE="127.0.0.0/8"## 1.5 Настройка IPTables.#IPTABLES="/sbin/iptables"## 1.6 Друзья### 1.6 Порты#HTTP_PORT="80"SSH_PORT="22"############################################################################# 2. Module loading.### Needed to initially load modules##/sbin/depmod -a## 2.1 Required modules##/sbin/modprobe ip_tables#/sbin/modprobe ip_conntrack#/sbin/modprobe iptable_filter#/sbin/modprobe iptable_mangle#/sbin/modprobe iptable_nat#/sbin/modprobe ipt_LOG#/sbin/modprobe ipt_limit#/sbin/modprobe ipt_state## 2.2 Non-Required modules##/sbin/modprobe ipt_owner#/sbin/modprobe ipt_REJECT#/sbin/modprobe ipt_MASQUERADE#/sbin/modprobe ip_conntrack_ftp#/sbin/modprobe ip_conntrack_irc#/sbin/modprobe ip_nat_ftp#/sbin/modprobe ip_nat_irc############################################################################# 3. /proc set up.### 3.1 Required proc configuration##echo "1" > /proc/sys/net/ipv4/ip_forward## 3.2 Non-Required proc configuration##echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter#echo "1" > /proc/sys/net/ipv4/conf/all/proxy_arp#echo "1" > /proc/sys/net/ipv4/ip_dynaddr############################################################################# 4. Установка правил.######## 4.1 Таблица filter### 4.1.1 Установка политик по умолчанию#$IPTABLES -P INPUT DROP$IPTABLES -P OUTPUT ACCEPT$IPTABLES -P FORWARD DROP## 4.1.2 Создание пользовательских цепочек### Создание цепочки для некорректных TCP пакетов#$IPTABLES -N bad_tcp_packets## Создание раздельных цепочек для ICMP, TCP и UDP пакетов#$IPTABLES -N allowed$IPTABLES -N tcp_packets$IPTABLES -N udp_packets$IPTABLES -N icmp_packets## 4.1.3 Заполнение пользовательских цепочек### bad_tcp_packets цепочка#$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset $IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP## Допускающая цепочка#$IPTABLES -A allowed -p TCP --syn -j ACCEPT$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT$IPTABLES -A allowed -p TCP -j DROP## TCP правила##$IPTABLES -A tcp_packets -p TCP --dport 21 -j allowed#$IPTABLES -A tcp_packets -p TCP --dport 6881 -j allowed$IPTABLES -A tcp_packets -p TCP -s $ALLOWED_IP_RANGE_1 --dport $HTTP_PORT -j allowed$IPTABLES -A tcp_packets -p TCP -s $ALLOWED_IP_RANGE_1 --dport $SSH_PORT -j allowed$IPTABLES -A tcp_packets -p TCP -s $ALLOWED_IP_RANGE_2 --dport $HTTP_PORT -j allowed$IPTABLES -A tcp_packets -p TCP -s $ALLOWED_IP_RANGE_2 --dport $SSH_PORT -j allowed## UDP правила#$IPTABLES -A udp_packets -p UDP --destination-port 123 -j ACCEPT # Точное время (NTP)## In Microsoft Networks you will be swamped by broadcasts. These lines # will prevent them from showing up in the logs.#$IPTABLES -A udp_packets -p UDP -i $INET_IFACE -d 255.255.255.255 --dport 135:139 -j DROP## If we get DHCP requests from the Outside of our network, our logs will # be swamped as well. This rule will block them from getting logged.#$IPTABLES -A udp_packets -p UDP -i $INET_IFACE -d 255.255.255.255 --destination-port 67:68 -j DROP## ICMP правила##$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT$IPTABLES -A icmp_packets -p icmp -m icmp --icmp-type 8 -m limit --limit 30/min --limit-burst 1 -j DROP$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT## 4.1.4 INPUT цепочка### Некорректные и допустимые пакеты не ждут#$IPTABLES -A INPUT -p tcp -j bad_tcp_packets## Правила для безопасных маршрутов#$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP_RANGE -j ACCEPT## Специальные правила для DHCP запросов из LAN, which are not caught properly# otherwise.##$IPTABLES -A INPUT -p UDP -i $LAN_IFACE --dport 67 --sport 68 -j ACCEPT## Правила для входящих пакетив из локальной сети.### Правила для входящих пакетив из интернета.### If you have a Microsoft Network on the outside of your firewall, you may # also get flooded by Multicasts. We drop them so we do not get flooded by # logs##$IPTABLES -A INPUT -i $INET_IFACE -d 224.0.0.0/8 -j DROP## Журналируются сброшенные пакеты для отладки.##$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT INPUT packet died: "## 4.1.5 FORWARD цепочка### Некорректные TCP пакеты не ждут##$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets## Пропускаются актуальные пакеты.### Журналируются сброшенные пакеты для отладки.##$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packet died: "## 4.1.6 OUTPUT цепочка### Некорректные TCP пакеты не ждут.#$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets## Специальные OUTPUT правила разрешающие который IP's разрешены.#$IPTABLES -A OUTPUT -p ALL -s $LO_IP_RANGE -j ACCEPT## Журналируются сброшенные пакеты для отладки.#$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT OUTPUT packet died: "####### 4.2 nat table### 4.2.1 Установка политик### 4.2.2 Создание пользовательских цепочек### 4.2.3 Заполнение пользовательских цепочек### 4.2.4 PREROUTING chain### 4.2.5 POSTROUTING chain### Enable simple IP Forwarding and Network Address Translation### 4.2.6 OUTPUT chain######## 4.3 mangle table### 4.3.1 Установка политик### 4.3.2 Создание пользовательских цепочек### 4.3.3 Заполнение пользовательских цепочек### 4.3.4 PREROUTING chain### 4.3.5 INPUT chain### 4.3.6 FORWARD chain### 4.3.7 OUTPUT chain### 4.3.8 POSTROUTING chain#
Настроим простейший шлюз для раздачи интернета для дома или малого офиса (SOHO). Допустим, что внутрь сети смотрит интерфейс eth1 с ip адресом 192.168.1.1, а в интернет интерфейс eth0:Разрешим пропуск трафика через шлюз (в противном случае трафик не проходит цепочку FORWARDING):Код: [Выделить]sysctl -w net.ipv4.ip_forward="1"Добавим правило, для маскировки ip в цепочку POSTROUTING таблицы natКод: [Выделить]iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADEТеперь клиенты внутренней сети могут получить возможность доступа в интернет установив в качестве шлюза адрес 192.168.1.1
sysctl -w net.ipv4.ip_forward="1"
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sysctl -w net.ipv4.ip_forward="1" - это /proc/sys/net/ipv4/ip_forward
а вводить все в терминал надо блин. от рута.
Страница сгенерирована за 0.037 секунд. Запросов: 22.