альтернатива или надстройка над iptable

baddan · 31 Июл 2009

подскажите SABJ.
не силен в правилах iptables, полюбому же есть порты которые работают надстройкой надо iptables. подскажите.

Oleg17 · 1 Авг 2009

Есть такая прогамма -

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

StrangeCat · 4 Авг 2009

Вот отличная штука Для просмотра ссылки Войди или Зарегистрируйся

brain-m · 6 Авг 2009

baddan написал(а):
подскажите SABJ.
не силен в правилах iptables, полюбому же есть порты которые работают надстройкой надо iptables. подскажите.

Всё же из своего опыта могу порекомендовать освоить именно iptables в оригинале.
Да и сложного тут ничего нет, сам сначала был в шоке от такого количества аргументов, но всё оказалось просто. Главное, что тут надо понять - это то, что правила по всем направлениям - это цепочки. При срабатывании первого же правила в цепочке все последующие игнорируются, исходя из этого надо запомнить:
1. на первом месте то, что разрешено и только потом запрет.
2. для описания исключения к уже имеющимся правилам его надо вставлять (-I) до запрета.
Например: надо чтобы доступ к 80 порту был только у одной машины. Исходя из принципов, которые я описал выше надо сначала разрешить доступ конкретной машине к порту:

Код:

iptables -A INPUT -p tcp --dport 80 -s 192.168.1.10 -j ACCEPT

потом запретить всем доступ к 80 порту:

Код:

iptables -A INPUT -p tcp --dport 80 -j DROP

Таким образом политика у нас будет выглядеть так (iptables -L)

Код:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  192.168.1.10          anywhere            tcp dpt:www 
DROP       tcp  --  anywhere             anywhere            tcp dpt:www

Как только придёт пользователь с обозначенным ip - он получит разрешение (-j ACCEPT), исполнение цепочки не будет продолжено. Если пришёл кто-то не с этого ip, то под первое правило он не подходит, дело идёт ко второму, которая разворачивает "пациента".
Примечание:
Посмотреть таблицу правил iptables -L
Удалить правило iptables -D <направление> <номер по счёту с 1>
Надо помнить, что при вставке (-I) и удалении (-D) происходит сдвиг номера правила в соответствующую сторону
Чтобы правила сохранились и работали после перезагрузки необходимо выполнить iptables-save
PS: Надстройки дело хорошее, но iptables надо обязательно знать! Хорошо, когда полноценный линукс, а если это урезанный интерфейс роутера?

drive800 · 7 Авг 2009

Какая ОС ? если ред Хат то там system-config-securitylevel или как-то так

baddan · 7 Авг 2009

drive800 написал(а):
Какая ОС ? если ред Хат то там system-config-securitylevel или как-то так

debian lenny, серверный вариант, тоесть без X.
Добавлено через 1 минуту

brain-m написал(а):
Всё же из своего опыта могу порекомендовать освоить именно iptables в оригинале.
Да и сложного тут ничего нет, сам сначала был в шоке от такого количества аргументов, но всё оказалось просто. Главное, что тут
...
...
PS: Надстройки дело хорошее, но iptables надо обязательно знать! Хорошо, когда полноценный линукс, а если это урезанный интерфейс роутера?

после перезагрузки правила пропали руками постояно прописывать или есть варианты? :nezn:

brain-m · 7 Авг 2009

baddan написал(а):
после перезагрузки правила пропали руками постояно прописывать или есть варианты?

Чтобы правила сохранились и работали после перезагрузки необходимо выполнить iptables-save

альтернатива или надстройка над iptable

baddan

Профессор

Oleg17

Постоялец

StrangeCat

Создатель

brain-m

Постоялец

drive800

Постоялец

baddan

Профессор

brain-m

Постоялец