Форум русскоязычного сообщества Ubuntu


За новостями русскоязычного сообщества и Ubuntu в целом можно следить на нашей страничке в Google+

Автор Тема: Помогите настроить iptables  (Прочитано 1113 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн g_ladak

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Помогите настроить iptables
« : 06 Май 2010, 10:21:44 »
Здраствуйте приобрел недавно VPS и все что мне нужно на нем настроил вот только с iptables у меня проблемы, как не кручу описания ни как в голову не идет, как настроить, если не очень трудно, подскажите какие правила нужно прописать для iptables, что бы
выполнить определенные задачи:
1. Закрыть все порты для доступа из нета, кроме определенных для входа с любых IP;
2. Открыть определенные порты для доступа из нета с определенного IP.
Заранее благодарен.

Оффлайн Mam(O)n

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: Помогите настроить iptables
« Ответ #1 : 06 Май 2010, 10:31:36 »
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m conntrack --ctstate NEW -m multiport --dports 80,8080 -j ACCEPT
iptables -A INPUT -m conntrack --ctstate NEW -m multiport --dports 22,3128 -s 192.0.2.2 -j ACCEPT
iptables -A INPUT -P DROP

Оффлайн g_ladak

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Помогите настроить iptables
« Ответ #2 : 06 Май 2010, 10:43:49 »
Большое спасибо.
Если я правильно понял то во второй строке ответ на первый вопрос, а строка 3 - это ответ на второй вопрос, правильно я понял?
И еще можно глупый вопрос?
После ввода команд если я перегружу сервер  эти настройки сохраняться или нет?
Если можно прокомментировать первую строку и последнюю.
Спасибо.
« Последнее редактирование: 06 Май 2010, 10:45:24 от g_ladak »

Оффлайн Mam(O)n

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: Помогите настроить iptables
« Ответ #3 : 06 Май 2010, 10:57:10 »
Если я правильно понял то во второй строке ответ на первый вопрос, а строка 3 - это ответ на второй вопрос, правильно я понял?
Да

После ввода команд если я перегружу сервер  эти настройки сохраняться или нет?
Нет. Команды нужно будет заскриптовать или, что лучше при статической настройке, сделать дамп iptables-save и восстанавливать правила с помощью iptables-restore при загрузке.

Если можно прокомментировать первую строку и последнюю.

# Пускаем уже установленные соединения
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# Разрешаем новые соединения по портам назначения 80 и 8080
iptables -A INPUT -m conntrack --ctstate NEW -m multiport --dports 80,8080 -j ACCEPT
# Разрешаем новые соединения по портам назначения 22 и 3128 с адресом источника 192.0.2.2
iptables -A INPUT -m conntrack --ctstate NEW -m multiport --dports 22,3128 -s 192.0.2.2 -j ACCEPT
# Устанавливаем политику по умолчанию для цепочки INPUT в действие DROP
iptables -A INPUT -P DROP

Оффлайн g_ladak

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Помогите настроить iptables
« Ответ #4 : 06 Май 2010, 11:03:55 »
Спасибо, буду пробовать.

Пользователь решил продолжить мысль 06 Май 2010, 09:08:23:
После ввода в командной строке:
FATAL: Could not load /lib/modules/2.6.18-164.15.1.el5.028stab068.9/modules.dep: No such file or directory
FATAL: Could not load /lib/modules/2.6.18-164.15.1.el5.028stab068.9/modules.dep: No such file or directory
iptables: No chain/target/match by that name

что бы это могло значить?
ver. iptables 1.4.1.1
« Последнее редактирование: 06 Май 2010, 11:11:09 от g_ladak »

Оффлайн Mam(O)n

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: Помогите настроить iptables
« Ответ #5 : 06 Май 2010, 11:16:07 »
Похоже, что хостер урезал функциональность iptables, выпилив conntrack и/или multiport. Если выпилен conntrack, тогда возможно только фильтровать на вход:

iptables -A INPUT --dport 80 -j ACCEPT
iptables -A INPUT --dport 8080 -j ACCEPT
iptables -A INPUT --dport 22 -s 192.0.2.2 -j ACCEPT
iptables -A INPUT --dport 3128 -s 192.0.2.2 -j ACCEPT
iptables -A INPUT -P DROP

при этом исходящие соединения с сервера устанавливаться не смогут.

Пользователь решил продолжить мысль 06 Май 2010, 11:17:00:
В общем вопросы следует задать хостеру.

 

Страница сгенерирована за 0.057 секунд. Запросов: 22.