Форум русскоязычного сообщества Ubuntu


Автор Тема: Настройка сети и сетевого экрана  (Прочитано 592 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Odemwingie

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Настройка сети и сетевого экрана
« : 09 Декабря 2012, 21:15:07 »
Имеется сервер с 3 сетевыми интерфейсами. По первому (eth0) приходит интернет, два других (eth1,eth2) смотрят в две локальные сети.
Настройки следующие (/etc/network/interfaces):
auto eth0
iface eth0 inet dhcp
auto eth1
iface eth1 inet static
address 20.0.0.1
netmask 255.255.255.192
broadcast 20.0.0.34
auto eth2
iface eth2 inet static
address 30.0.0.1
netmask 255.255.255.128
broadcast 30.0.0.66


Ну и далее необходимо разрешить пропускать во внутренние сети только трафик по http и https. Изнутри (то есть с компьютеров сетей) необходимо запретить ICMP, а также подключения к серверу кроме как по протоколам http, https, ftp и ssh.
С ICMP разобрался:
iptables –A INPUT –s 20.0.0.0/30 –p icmp –j DROP
iptables –A INPUT –s 30.0.0.0/28 –p icmp –j DROP

С остальными подключениями нет возможности проверить, но сделал следующее:
iptables –A INPUT –s 20.0.0.0/30 –p tcp –m multiport ! –dport 20,21,22,80,443,8080 –j DROP
iptables –A INPUT –s 30.0.0.0/28 –p tcp –m multiport ! –dport 20,21,22,80,443,8080 –j DROP
iptables –A INPUT –s 20.0.0.0/30 –p udp –m multiport ! –dport 20,21,22,80,443,8080 –j DROP
iptables –A INPUT –s 30.0.0.0/28 –p udp –m multiport ! –dport 20,21,22,80,443,8080 –j DROP

Насколько это верно?

А вот как разрешить пропускать во внутренние сети только трафик по http и https не знаю. Помогите пожалуйста!
Сделал так:
iptables –A FORWARD –p tcp –m multiport ! –dport 80,443,8080 –j DROP
iptables –A FORWARD –p udp –m multiport ! –dport 80,443,8080 –j DROP

и у меня вообще пропал интернет внутри сетей...

« Последнее редактирование: 09 Декабря 2012, 23:55:20 от Odemwingie »

Оффлайн koshev

  • Старожил
  • *
  • Сообщений: 1709
  • חתול המדען
    • Просмотр профиля
Re: Настройка сети и сетевого экрана
« Ответ #1 : 10 Декабря 2012, 01:48:55 »
Так всё же покрасивше будет.
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT ! -i eth0 -p tcp -m multiport --dports 20,21,22,80,443,8080 -j ACCEPT
iptables -A FORWARD -i lo -o lo -j ACCEPT
iptables -A FORWARD -i eth1 -o eth2 -j ACCEPT
iptables -A FORWARD -o eth1 -i eth2 -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp -m multiport --dports 20,21,22,53,80,443,8080 -j ACCEPT
iptables -A FORWARD ! -i eth0 -p udp -m udp --dport 53 -j ACCEPT

Старовата конечно, но основной функционал описан
OpenWrt 19.07

Оффлайн Odemwingie

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Настройка сети и сетевого экрана
« Ответ #2 : 10 Декабря 2012, 09:41:54 »
Так всё же покрасивше будет.
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT ! -i eth0 -p tcp -m multiport --dports 20,21,22,80,443,8080 -j ACCEPT
iptables -A FORWARD -i lo -o lo -j ACCEPT
iptables -A FORWARD -i eth1 -o eth2 -j ACCEPT
iptables -A FORWARD -o eth1 -i eth2 -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp -m multiport --dports 20,21,22,53,80,443,8080 -j ACCEPT
iptables -A FORWARD ! -i eth0 -p udp -m udp --dport 53 -j ACCEPT

Старовата конечно, но основной функционал описан
KT315,
Спасибо!

 

Страница сгенерирована за 0.036 секунд. Запросов: 25.