Закрыть порты извне

[tarya]

Извиняюсь за избитую тему, но решений в сети столько что пугает, а некоторые которые попробовал кажется не работают.

Есть сервер, с eth0 в мир и eth1 в офис. Хочется все из мира закрыть, оставив только возможность подключения по SSH, FTP, VPN.

Помогите решить.

У меня есть файлик iptables.up.rules который дергается в /etc/network/interfaces

Читал разные инструкции, и понять если чесно не просто. Некоторые правила применял, но после через nmap из другого сервера из вне сканировал и как то все так же и осталось кажется.

Спасибо за ваше время.

[fisher74]

и как то все так же и осталось кажется.

А что Вы ждёте?

[tarya]

Совета жду. Как быть не знаю.

[fisher74]

Совет? Изучите работу модуля netfilter, для чего придётся понять работу ip-протокола. После этого достанете свой iptables.up.rules, поржёте над ним и сделаете так как считаете нужным.

[tarya]

:-) Понял! Буду учиться!

[fisher74]

На самом деле помочь больше нечем. Здесь помогаем найти путь и корректируем вектор движения. Пинка давать не собираемся.
В тех рамках, что Вы попросили - ответил в полной мере
Попросили показать солнце - я нарисовал его на бумаге карандашом правой ногой (лень руку поднять). Покажете свой рисунок - попробуем помочь сделать его более правильным и ярким... Только в первую очередь ВАМ нужно знать, какое именно солнце хотите увидеть - ведь это всего лишь одна из звёзд...

[tarya]

Не я понимаю что пинка никто не дает. Просто везде есть советы как просто закрывать порты, но неплохо бы чтоб изнутри они работали, но не снаружи.

Я постараюсь чтото поискать, и покажу тут, если у меня будет неправильно работать.

Спасибо вам!

[fisher74]

Я для Вас не открою тайну, что можно не закрывать неоткрытые порты? Так как можно не закрывать дверь которой нет?

[tarya]

У меня на ружу торчит вот такое

Host is up (0.00064s latency).
Not shown: 991 closed ports
PORT     STATE    SERVICE
21/tcp   open     ftp
22/tcp   open     ssh
25/tcp   filtered smtp
53/tcp   open     domain
80/tcp   open     http
139/tcp  filtered netbios-ssn
445/tcp  open     microsoft-ds
3128/tcp open     squid-http
8080/tcp open     http-proxy

[fisher74]

как минимум прокси можно закрыть на уровне самого прокси, как и самбу

[tarya]

Подскажите уважаемій Фишер. Как правильно оформлять єти правила? Некоторіе пишут их как файл:

Код: [Выделить]

#eth0 локалка
#eth1 внешняя
#192.168.1.100 адрес машины в сети
#192.168.1.222/255.255.0.0 внутренний адрес сервера

#!/bin/sh

#утановка маршрутизации
echo 1 > /proc/sys/net/ipv4/ip_forward

#очистка правил
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F -t nat

#установка правил по умолчанию
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
iptables -A POSTROUTING -t nat -s 192.168.0.0/255.255.0.0 -o eth1 -j MASQUERADE

или как я прочитал на сайте Ubuntu.com - где делают iptables-save в файлик и потом его дергают, но там в файле такое оно все не очень до конца понятное.

Как правильнее делать, по первому случаю, или по второму.

Спасибо.

[fisher74]

Оба варианта рабочие и являются стандартными решениями, потому как делать - решать администратору железки.
На данном форуме (в других практически не плаваю) приоритетным является iptables-save. Почему?
В выхлопе iptables-save , на самом деле, всё ясно и понятно: разбито по таблицам, цепочкам и в том порядке, в каком правила загружены в netfilter. Поэтому отследить соответствие алгоритму - достаточно легко.
В скриптах, можно прокомментировать что именно предполагал админ,применяя то или иное правило. НО!!! На сколько он корректно ввёл их порядок? Кроме того, ещё не факт, что кроме админского скрипта более никто не шаманит с правилами (есть некоторые системные службы, которые это делают).
А iptables-save - показывает ВСЕ правила, не зависимо откуда и кем они были загружены ядру.

[tarya]

Спасибо!

[fisher74]

#утановка маршрутизации
echo 1 > /proc/sys/net/ipv4/ip_forward

маленькое уточнение по Вашим камментам: forward в переводе с английского - переслать. Это не есть маршрутизация (routing), так что параметр ip_forward выставляет пересылку ip-пакетов между интерфейсами, а не их маршрутизацию.
Пользователь решил продолжить мысль [time]09 Декабрь 2014, 14:19:52[/time]:Это как бы вдогонку моим словам: что там имел ввиду создатель скрипта может не совсем или, ещё хуже, совсем не соответствовать производимому действию. А "больные" комментарии могут сбить с правильного толкования этого самого правила, а то и целого блока правил.