Форум русскоязычного сообщества Ubuntu


Автор Тема: Вопросы по iptables  (Прочитано 900 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн crp.518

  • Автор темы
  • Участник
  • *
  • Сообщений: 136
    • Просмотр профиля
Вопросы по iptables
« : 29 Декабрь 2013, 19:32:22 »
Решил более усилить защиту сервера посредством iptables
Проблема с составлением след правил.
1. Закрыть все порты,открыть нужные и поставить на них ограничение по подключениям (limit).
2. Закрыть досуп ко определенным странам. И input и OUTPUT

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13744
    • Просмотр профиля
Re: Вопросы по iptables
« Ответ #1 : 29 Декабрь 2013, 21:14:53 »
Хе.. Вы не правильно озвучиваете проблему.
Вы просто никак не можете осилить правила.
Первая и вторая часть первого пункта - азы iptables, последняя часть - обсуждается в ветке "Сети и интернет" в закреплённой теме.
Второй пункт - параноя по-китайски ))) Но решения есть, где-то тема пролетала. Гуглинг поможет.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн crp.518

  • Автор темы
  • Участник
  • *
  • Сообщений: 136
    • Просмотр профиля
Re: Вопросы по iptables
« Ответ #2 : 29 Декабрь 2013, 22:27:12 »
возможно вы и правы, на такой уровень настройки файрвола я не тяну.
думаю что напрасно создал тему. гораздо лучше додумываться самому :)

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13744
    • Просмотр профиля
Re: Вопросы по iptables
« Ответ #3 : 29 Декабрь 2013, 22:43:48 »
Не надо додумываться. Надо просто начать изучать работу netfilter и постараться понять как оно работает. Без понимания процесса все правила для Вас будут "чёрным ящиком" и в случае появления проблемы Вы просто не будете знать что делать.
У меня, в своё время, пришло просветление после прочтения статьи из Wikipedia. Но в какой-то момент там её жестоко порезали. Хотя в архиве изменений и можно найти её до "кастрации", но в точно таком же виде я её обнаружил в викиучебнике. Попробуйте. Может и Вас торкнет )))

Идея защиты там не описаны, только инструменты с примерами. потому вкратце напишу:
есть два основных варианта защиты
1. Запретить всё, а потом разрешить только нужное
2. Разрешить всё, запретить ненужное.
Мы здесь обычно рекомендуем первый способ со снижением уровня параноидальности. То есть запретить всё входящее и проходящее и разрешить только ожидаемое (собственно первая часть первого пункта Вашей задачи). Это именно азы iptables.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн crp.518

  • Автор темы
  • Участник
  • *
  • Сообщений: 136
    • Просмотр профиля
Re: Вопросы по iptables
« Ответ #4 : 29 Декабрь 2013, 22:45:56 »
будем читать...
Спасибо

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13744
    • Просмотр профиля
Re: Вопросы по iptables
« Ответ #5 : 29 Декабрь 2013, 22:49:58 »
и дабы меня не обвиняли в чернокнижии, даю ссылку на перевод библии главного описания iptables
Iptables Tutorial
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн crp.518

  • Автор темы
  • Участник
  • *
  • Сообщений: 136
    • Просмотр профиля
Re: Вопросы по iptables
« Ответ #6 : 08 Январь 2014, 19:24:51 »
на досуге почитал ваш материал и вот что получил. Скрипт, хотел узнать правильно ли меня поймет iptables?
#!/bin/bash

IPT="/sbin/iptables"

$IPT -F
$IPT -X

$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP

TCP_PORTS="22,80,443"
UDP_PORTS="22,80,443"

$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT

$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPT -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

$IPT -A INPUT -p tcp -m multiport --dport $TCP_PORTS -j ACCEPT
$IPT -A INPUT -p udp -m multiport --dport $UDP_PORTS -j ACCEPT

Скрипт удаляет все цепочки и правила, блокирует все входящие изходящие и транзитные пакеты, ну и открывает те порты которые указаны в переменной $TCP PORTS=""
При загрузке скрипта вышло iptables v1.4.18: invalid port/service `-j' specified
Try `iptables -h' or 'iptables --help' for more information.
Но тем не менее правила применились. Вот содержимое iptables -L -v
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    2   202 ACCEPT     all  --  lo     any     anywhere             anywhere           
    8  1754 ACCEPT     all  --  any    any     anywhere             anywhere             state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             multiport dports ssh,http,https

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    2   202 ACCEPT     all  --  any    lo      anywhere             anywhere           
    9  2052 ACCEPT     all  --  any    any     anywhere             anywhere             state NEW,RELATED,ESTABLISHED

Только вот не могу понять, правилен ли скрипт? не очень читабелен вывод iptables -L -v

Оффлайн koshev

  • Старожил
  • *
  • Сообщений: 1671
  • חתול המדען
    • Просмотр профиля
Re: Вопросы по iptables
« Ответ #7 : 09 Январь 2014, 03:01:09 »
Пользуйтесь скриптами iptables-save/iptables-restore
Подробнее в man'е.

Пользователь решил продолжить мысль 09 Январь 2014, 08:50:57:
А еще есть пакет iptables-persistent.
« Последнее редактирование: 09 Январь 2014, 08:50:57 от KT315 »
Debian GNU\Linux 7.11; ICH7; r8169; Linux 4.14.32-atomd525mv-imq-ja1 (i686)
Ubuntu GNU\Linux 18.04; MCP61; forcedeth; 4.15.0-20-generic (x86_64)

Оффлайн crp.518

  • Автор темы
  • Участник
  • *
  • Сообщений: 136
    • Просмотр профиля
Re: Вопросы по iptables
« Ответ #8 : 09 Январь 2014, 16:18:23 »
Пользуйтесь скриптами iptables-save/iptables-restore
Насколько мне известно это сохранить настройки iptables.

Оффлайн koshev

  • Старожил
  • *
  • Сообщений: 1671
  • חתול המדען
    • Просмотр профиля
Re: Вопросы по iptables
« Ответ #9 : 09 Январь 2014, 16:19:58 »
В man принципиально не заглядывали? ;)
Debian GNU\Linux 7.11; ICH7; r8169; Linux 4.14.32-atomd525mv-imq-ja1 (i686)
Ubuntu GNU\Linux 18.04; MCP61; forcedeth; 4.15.0-20-generic (x86_64)

Оффлайн crp.518

  • Автор темы
  • Участник
  • *
  • Сообщений: 136
    • Просмотр профиля
Re: Вопросы по iptables
« Ответ #10 : 09 Январь 2014, 18:52:56 »
он не для меня. там к тому же все на англ.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13744
    • Просмотр профиля
Re: Вопросы по iptables
« Ответ #11 : 09 Январь 2014, 23:48:54 »
он не для меня.
Зато честно.

там к тому же все на англ.
А вот это не аргумент.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн crp.518

  • Автор темы
  • Участник
  • *
  • Сообщений: 136
    • Просмотр профиля
Re: Вопросы по iptables
« Ответ #12 : 10 Январь 2014, 21:35:35 »
он не для меня.
Зато честно.

там к тому же все на англ.
А вот это не аргумент.

Может поможете со скриптом?

Оффлайн Spect

  • Старожил
  • *
  • Сообщений: 1173
    • Просмотр профиля
Re: Вопросы по iptables
« Ответ #13 : 11 Январь 2014, 01:29:41 »
Можно начать отсюда http://tuxnotes.ru/articles.php?a_id=14
Описаны простейшие правила.
Ubuntu 16.04 LTS [x86-64]/i3-2100T/2*4G/1T HDD/Intel HD 2000
Hatsan Escort Aimguard Combo 12/76, 7+1

Оффлайн crp.518

  • Автор темы
  • Участник
  • *
  • Сообщений: 136
    • Просмотр профиля
Re: Вопросы по iptables
« Ответ #14 : 11 Январь 2014, 17:04:53 »
а что с моим скриптом, все правильно? или есть ошибки...

Пользователь решил продолжить мысль 11 Январь 2014, 17:06:47:
Можно начать отсюда http://tuxnotes.ru/articles.php?a_id=14
Описаны простейшие правила.
Очень полезная статья, коротко и ясно. Спасибо)
« Последнее редактирование: 11 Январь 2014, 17:06:47 от crp.518 »

 

Страница сгенерирована за 0.06 секунд. Запросов: 24.