альтернатива или надстройка над iptable

Тема в разделе "Десктопный Linux", создана пользователем baddan, 31 июл 2009.

Статус темы:
Закрыта.
Модераторы: Цукер
  1. baddan

    baddan

    Регистр.:
    14 мар 2008
    Сообщения:
    354
    Симпатии:
    42
    подскажите SABJ.
    не силен в правилах iptables, полюбому же есть порты которые работают надстройкой надо iptables. подскажите.
     
  2. Oleg17

    Oleg17 Постоялец

    Регистр.:
    11 янв 2009
    Сообщения:
    116
    Симпатии:
    14
    Есть такая прогамма - FirewallBuilder
     
    baddan нравится это.
  3. StrangeCat

    StrangeCat Создатель

    Регистр.:
    15 июл 2009
    Сообщения:
    43
    Симпатии:
    2
    baddan нравится это.
  4. brain-m

    brain-m Создатель

    Регистр.:
    28 фев 2008
    Сообщения:
    35
    Симпатии:
    7
    Всё же из своего опыта могу порекомендовать освоить именно iptables в оригинале.
    Да и сложного тут ничего нет, сам сначала был в шоке от такого количества аргументов, но всё оказалось просто. Главное, что тут надо понять - это то, что правила по всем направлениям - это цепочки. При срабатывании первого же правила в цепочке все последующие игнорируются, исходя из этого надо запомнить:
    1. на первом месте то, что разрешено и только потом запрет.
    2. для описания исключения к уже имеющимся правилам его надо вставлять (-I) до запрета.
    Например: надо чтобы доступ к 80 порту был только у одной машины. Исходя из принципов, которые я описал выше надо сначала разрешить доступ конкретной машине к порту:
    Код:
    iptables -A INPUT -p tcp --dport 80 -s 192.168.1.10 -j ACCEPT
    потом запретить всем доступ к 80 порту:
    Код:
    iptables -A INPUT -p tcp --dport 80 -j DROP
    Таким образом политика у нас будет выглядеть так (iptables -L)
    Код:
    Chain INPUT (policy ACCEPT)
    target     prot opt source               destination         
    ACCEPT     tcp  --  192.168.1.10          anywhere            tcp dpt:www 
    DROP       tcp  --  anywhere             anywhere            tcp dpt:www 
    Как только придёт пользователь с обозначенным ip - он получит разрешение (-j ACCEPT), исполнение цепочки не будет продолжено. Если пришёл кто-то не с этого ip, то под первое правило он не подходит, дело идёт ко второму, которая разворачивает "пациента".
    Примечание:
    Посмотреть таблицу правил iptables -L
    Удалить правило iptables -D <направление> <номер по счёту с 1>
    Надо помнить, что при вставке (-I) и удалении (-D) происходит сдвиг номера правила в соответствующую сторону
    Чтобы правила сохранились и работали после перезагрузки необходимо выполнить iptables-save
    PS: Надстройки дело хорошее, но iptables надо обязательно знать! Хорошо, когда полноценный линукс, а если это урезанный интерфейс роутера?
     
    baddan нравится это.
  5. drive800

    drive800 Постоялец

    Регистр.:
    4 июл 2009
    Сообщения:
    67
    Симпатии:
    6
    Какая ОС ? если ред Хат то там system-config-securitylevel или как-то так
     
  6. baddan

    baddan

    Регистр.:
    14 мар 2008
    Сообщения:
    354
    Симпатии:
    42
    debian lenny, серверный вариант, тоесть без X.
    Добавлено через 1 минуту
    после перезагрузки правила пропали руками постояно прописывать или есть варианты? :nezn:
     
  7. brain-m

    brain-m Создатель

    Регистр.:
    28 фев 2008
    Сообщения:
    35
    Симпатии:
    7
    Чтобы правила сохранились и работали после перезагрузки необходимо выполнить iptables-save
     
    baddan нравится это.
Статус темы:
Закрыта.