Форум русскоязычного сообщества Ubuntu


Автор Тема: Дополнительные правила iptables  (Прочитано 1126 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Усики

  • Автор темы
  • Участник
  • *
  • Сообщений: 228
    • Просмотр профиля
Дополнительные правила iptables
« : 09 Апрель 2014, 14:29:54 »
Дополнительные правила
Ниже приведены некоторые сравнительно часто используемые правила. Цепочки INPUT/OUTPUT применяются для фильтрации локального трафика. Для транзитного трафика необходимо использовать цепочку FORWARD.
Удалённый доступ
# remote.ssh
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 22 -j ACCEPT
# remote.rdp
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 3389 -j ACCEPT
# remote.vnc
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 5900 -j ACCEPT
Веб и файловые сервисы
# web.http, web.https
-A INPUT -p tcp -m conntrack --ctstate NEW -m multiport --dports 80,443 -j ACCEPT
# web.ftp + необходима загрузка модуля nf_conntrack_ftp
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 21 -j ACCEPT
Почта и мгновенные сообщения
# mail.pop3, mail.pop3s
-A INPUT -p tcp -m conntrack --ctstate NEW -m multiport --dports 110,995 -j ACCEPT
# mail.imap, mail.imaps
-A INPUT -p tcp -m conntrack --ctstate NEW -m multiport --dports 143,993 -j ACCEPT
# mail.smtp, mail.smtps
-A INPUT -p tcp -m conntrack --ctstate NEW -m multiport --dports 25,465 -j ACCEPT
# im.xmpp
-A INPUT -p tcp -m conntrack --ctstate NEW -m multiport --dports 5222,5223  -j ACCEPT
# im.icq.oscar
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 5190 -j ACCEPT
Сетевые службы
# network.openvpn.vpn
-A INPUT -p udp -m conntrack --ctstate NEW -m udp --dport 1194 -j ACCEPT
# network.squid.proxy
-A INPUT -p udp -m conntrack --ctstate NEW -m udp --dport 3128 -j ACCEPT
# network.dns
-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m conntrack --ctstate NEW -m udp --dport 53 -j ACCEPT
# network.ntp
-A INPUT -p udp -m conntrack --ctstate NEW -m udp --dport 123 -j ACCEPT
# network.tftp + необходима загрузка модуля nf_conntrack_tftp
-A INPUT -p udp -m conntrack --ctstate NEW -m udp --dport 69 -j ACCEPT
# network.dhserver.dhcp.discover-request
-A INPUT -p udp -m conntrack --ctstate NEW -m udp --sport 68 --dport 67 -j ACCEPT
# network.dhclient.dhcp.discover-request
#-A OUTPUT -p udp -m conntrack --ctstate NEW -m udp --sport 68 --dport 67 -j ACCEPT
# network.dhserver.dhcp.offer-ack
#-A OUTPUT -p udp -m conntrack --ctstate NEW -m udp --sport 67 --dport 68 -j ACCEPT


Так все красиво расписано но нихрена не понятно. Давайте прогуляемся по всем правилам и обьясним простым смертным типа меня чтоже они конкретно делают! Разжуйте пожалуйста!

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Дополнительные правила iptables
« Ответ #1 : 09 Апрель 2014, 18:48:16 »
Для этого нужно было немного почитать Iptables Tutorial и, хотя бы в общих чертах, структуру пакета.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

alexxnight

  • Гость
Re: Дополнительные правила iptables
« Ответ #2 : 10 Апрель 2014, 23:04:53 »
А что Вам конкретно не понятно? (Также можно написать, что Вы хотите).

 

Страница сгенерирована за 0.081 секунд. Запросов: 25.