Ru-Board.club
← Вернуться в раздел «UNIX»

» Нужна помощь по Iptables

Автор: icedv
Дата сообщения: 20.07.2006 16:56
Ребят, срочно нужна помощь.
Нужно прекрыть сервер не для клиентов моего провайдера.
Иными словами нужно закрыть его для всех и открыть для отпределенного диапозона ip.
допустим для: 123.012.*.*
Помогите плиз правилом ...
Автор: kozandr
Дата сообщения: 20.07.2006 17:06
iptables -A INPUT -t filter -s 123.12.0.0/16 -j allow
iptables -P INPUT DROP
Автор: icedv
Дата сообщения: 20.07.2006 17:53
Благодарю.

Добавлено:
Правда меня пугает значение: "/16"
Не могли бы вы мне непонятлевому растолковать какую подсеть нужно указать для каждого айпи:

81.2.0.0
82.162.0.0
86.102.0.0
212.91.192.0
212.107.192.0
212.122.0.0
Автор: tankistua
Дата сообщения: 21.07.2006 00:29
icedv

Цитата:
81.2.0.0

если в конце не написано ничего , значит подразумевается /24. iptables именно так и считает.


Цитата:
Правда меня пугает значение: "/16"

ну это ж для примера, можно и 8 написать.
Автор: kozandr
Дата сообщения: 21.07.2006 12:32
icedv
ты указываешь ИП не хоста, а подсети. при этом для правильной характеристики подсети нужна еще и маска подсети. маска, соответственно, используется из твоих потребностей и правил (сети класса А итп).

http://www.ispreview.ru/ipcalc.html
поиграйся с этим онлайн калькулятором


и 16 я написал не для примера, а потому что ты указал 123.12.*.* . как я понял, вместо * - любое допустимое значение %) а это именно подсеть 123.12.0.0 и маска 255.255.0.0

Адрес :     123.12.0.0     01111011.00001100. 00000000.00000000    
Маска :     255.255.0.0 (16)     11111111.11111111. 00000000.00000000    
Wildcard:     0.0.255.255     00000000.00000000. 11111111.11111111    
Сеть :     123.12.0.0/16     01111011.00001100. 00000000.00000000    
Хост(min):     123.12.0.1     01111011.00001100. 00000000.00000001    
Хост(max):     123.12.255.254     01111011.00001100. 11111111.11111110    
Broadcast:     123.12.255.255     01111011.00001100. 11111111.11111111    
Хостов в сети:     65534     класс A

Автор: icedv
Дата сообщения: 29.07.2006 18:11
Все понял но есть одно НО.
Меня пускают везде кроме как на самбу. т.е на шару пока стоит -P INPUT DROP меня не пускают категорически, хотя сервер пингуется, да и все остальные сервесы доступны.

Возник еще вопрос: Как закрыть для всех ВСЕ. Кроме 80 порта. и привести список для кого открыто все.
Автор: Andrey0102
Дата сообщения: 30.07.2006 10:34
iptables -A INPUT -p tcp --syn -s 0/0 --dports !80 -j DROP

Помоему так....
Автор: icedv
Дата сообщения: 31.07.2006 08:39
iptables v1.2.10: Unknown arg `--dports'


Добавлено:
сделал так:
...
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -P INPUT DROP

не знаю поможет ли )
Автор: keyhell
Дата сообщения: 31.07.2006 09:59
банальное чтение документации решит все ваши вопросы.
пока вы задаете вопросы, ответы на которые находятся в документации прямых текстом.

поймите, не бывает нормального firewall, если вы настраиваете его по советам с форума.
Автор: Alexandr_dzuba
Дата сообщения: 31.07.2006 12:38
icedv
Почитай учебник по iptables. Там достаточно понятным языком написано.
Автор: Andrey0102
Дата сообщения: 31.07.2006 17:07

Цитата:
сделал так:
...
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -P INPUT DROP

Почитай про восклицательный знак....он помогает сократить записи.


Автор: greenfox
Дата сообщения: 19.01.2007 16:10

Цитата:
Почитай учебник по iptables

почитал данный мануалчик... вобщем возник вот банальный вопрос пока про цепочки и таблицы - не совсем врубился в идеологию их - каждая цепочка может содержать одну или несколько таблиц или какждая таблица содержит несколько цепочек? или я что-то вобще не вкурил? подскажите плиз...
Автор: greenfox
Дата сообщения: 22.01.2007 09:36
подскажите плиз ещё доку по iptables!!?
Автор: tankistua
Дата сообщения: 22.01.2007 10:43
забей на таблицы - грубо говоря , это если у тебя куча одиаковых правил, тогда их стоит использовать.
Я их вообще-никогда не использовал, только примерно знаю как использовать.

Первое: правила выполняются по порядку.
2. Используются действия в основном DENY & ACCEPT.
3. для того , чтобы что-то фильтровать, надо хотя бы знать по каким портам служба работает и какими протоколами.


$IPTABLES -A INPUT -p ALL -i eth1 -d 192.168.1.1 -s 192.168.1.10 -dport 80 -j ACCEPT

-A INPUT ( на входе, можно еще фильтровать на выходе)
-p ALL (протокол, в данном случае любые)
-i eth1 ( интерфейс , на который пришел пакет)
-d 192.168.1.1 (айпишник, на который пришел пакет)
-s 192.168.1.10 (от какого айпишника)
-dport 80 - порт назначения
-j ACCEPT - действие.
В данном случае я разрешил доступ к веб-серверу от компа с айпишником 192.168.1.10 и с адресом вебсервера 192.168.1.1, при условии что пакет от 192.168.1.10 пришел через интерфейс eth1

В самом конце любого фаервола должно стоять правило
$IPTABLES -A INPUT -p ALL -j DENY

Это будет означать , что все , что не разрешено - запрещено.


Напиши правило, которое будет давать доступ к твоему pop3-серверу с айпишником
192.168.1.0 , айпишник прибит на интерйесе eth3 маска 255.255.255.0 из сети , которая на висит на этом интерфейсе.

Добавлено:
greenfox

Цитата:
подскажите плиз ещё доку по iptables!!?

это реально самая классная дока
Автор: greenfox
Дата сообщения: 22.01.2007 12:08
tankistua

Цитата:
$IPTABLES -A INPUT -p ALL -i eth1 -d 192.168.1.1 -s 192.168.1.10 -dport 80 -j ACCEPT

Цитата:
В данном случае я разрешил доступ к веб-серверу от компа с айпишником 192.168.1.10 и с адресом вебсервера 192.168.1.1, при условии что пакет от 192.168.1.10 пришел через интерфейс eth1
хм... дано но ведь пакеты плывутвсё же по одной из 3-х цепочек - в данном случаем цепочка инпут судя по дока предназначена для входа и передачи на лок. приложение - т.е. получается ты дал доступ не просто от компа с ip таким-то на такой то - ты дал доступ на ip 192.168.1.1 который по сути должен быть Ip этого самого файервола (т.е. это случай когда вэб-сервер стоит на маршрутирезаторе). Я правильно понял? Собственно для этого и пытаюсь разобраться с цепочками... ибо пакеты то идут через разные цепи - а там свои таблицы, что вобщем то логично.
Цитата:
Напиши правило, которое будет давать доступ к твоему pop3-серверу с айпишником
192.168.1.0 , айпишник прибит на интерйесе eth3 маска 255.255.255.0 из сети , которая висит на этом интерфейсе.
вроде так:
$IPTABLES -t filter -A FORWARD -p tcp -i eth3 -d 192.168.1.0 -dport 110 -j ACCEPT
это при условии что "прикручен" значит находится за этим файером во внутренней сети. (или ты имел ввиду что он висит на роутере самом и слушает eth3?)
хотя странно что клиент не идёт напрямую к серваку (раз они на одном интерфейсе внутреннем) + ip внутренний странный - вроде это адрес подсети а не хоста, нет?

Добавлено:
В случае если pop3-сервер на самом маршрутирезаторе:
$IPTABLES -t filter -A INPUT -p tcp -i eth3 -dport 110 -j ACCEPT
что по идее равнозначно
$IPTABLES -t filter -A INPUT -p tcp -i eth3 -d 192.168.1.0 -dport 110 -s any -sport any -j ACCEPT
ибо в цепочку INPUT попадут только пакеты идущие только на 192.168.1.0
Автор: greenfox
Дата сообщения: 18.02.2007 15:21
а можно как-н заставить систему перечитать конфиг файл с таблицами для iptables не ребутя машину!?
Автор: tankistua
Дата сообщения: 19.02.2007 01:53
greenfox
конечно можно - это только в винде надо каждому чиху ребутаться.
Автор: greenfox
Дата сообщения: 19.02.2007 15:34
tankistua
насколько я понимаю надо просто перезапустить скрипт где прописаны соот-е $iptables -A ... etc ?? Или есть какая то системная команда?

Кстати, вот такой ещё вопросик, у меня в файле идут переменные с указаниме ip в начале - ну что бы удобнее было. Вопрос: можно на одну var повесить несколько ip?
(ну т.е. что бы при подстановке в правило потом попадали сразу несколько ip адресов-сетов? И если да то формат какой?
Автор: tankistua
Дата сообщения: 19.02.2007 20:54

Цитата:
(ну т.е. что бы при подстановке в правило потом попадали сразу несколько ip адресов-сетов? И если да то формат какой?

там надо рисовать скриптец. Ну или это как раз тот случай, когда можно применить таблицы.

greenfox
дочитай до конца туториал :)
Обрати внимание на rc.flush-iptables.


P.S. Прежде чем загружать правила, надо удалить старые. Иначе новые просто допишутся в конце.
Автор: greenfox
Дата сообщения: 22.02.2007 09:09
tankistua

Цитата:
Прежде чем загружать правила, надо удалить старые. Иначе новые просто допишутся в конце
спасибо понял, просто иногда пишут что iptables это типа "служба" (в том же ред хате chkconfig рисует её как службу наск. я понимаю), поэтому подумалось что там что-н перезапускать надо. Практика показала что правила сразу вступают в силу, как только добавляются

Вот вопросик ещё, по модулям. В мануале сказано что они ил подгружаются вначале командой "modprobe" или статически слинкованы в ядро. Собственно как проверить, слинкован ли соот-й модуль для работы iptables (например тот что state передаёт)?
Автор: greenfox
Дата сообщения: 02.03.2007 12:37
Не подскажет кто, вбиваю команду
iptables --list
в итоге таблицы выводятся нескоклько медленно что ли.... иногда вывод минут 5 может занимать в зависимости от навароченности таблицы. Так и должно быть?
Автор: KUSA
Дата сообщения: 01.05.2007 11:58
greenfox
Это у тебя. iptables -L все мгновенно.

Вопросец.
Насколько имеет смысл делать iptables -P OUTPUT DROP ?
Автор: greenfox
Дата сообщения: 01.05.2007 22:23
KUSA

Цитата:
Это у тебя. iptables -L
нет, мне "--list -n" помог
Автор: ZaqwrKos
Дата сообщения: 02.05.2007 09:03
iptables -L будет запрашивать DNS о указанных в списке узлах, и при найденных соответствиях выдавать к примеру обратную зону *.*.in-addr.arpa
iptables -L -n (network) не будет отправлять запросы DNS
вроде так )
Автор: KUSA
Дата сообщения: 03.05.2007 12:57
Вопросы остались и добавились
1. Насколько имеет смысл делать iptables -P OUTPUT DROP
2. Какие номера портов не должны быть открыты на сетевых интерфейсах, но нужны для системы. Мне удалось найти 630,640,783,3310,10000 Еще есть какие-нибудь?
Автор: sda00
Дата сообщения: 03.05.2007 14:53
KUSA
1. смысл в зависимости от системы
2. http://sda00.mylivepage.ru/file/?fileid=1204
http://sda00.mylivepage.ru/file/index
тут мои правила (для загрузки - iptables-restore)
смотри (разрешён протокол GRE для туннелирования по vpn)
Автор: FreeLSD_md
Дата сообщения: 20.06.2008 23:57
Подскажите пжалуйста, есть ли существенная разница между http://iptables-tutorial.frozentux.net/iptables-tutorial.htm и http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html для случая:
Slackaware Linux 12
задача: CBQ + HTB + firewall
и ещё - необходимо ли пересобирать ядро для подготовки ?
Автор: KUSA
Дата сообщения: 22.06.2008 10:09
FreeLSD_md
Iptables Tutorial 1.2.2 - к сожалению от 2006 года
Под Mandriva ничего не пересобирал - там была сложность с запуском при старте и ...
На сегодняшний день почти нет готовых решений, поэтому придется почти с нуля


зы

sda00

Цитата:
-A input_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 3 -j ACCEPT


Цитата:
-A input_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 3/2 -j ACCEPT
Ты первым правилом разрешил все по 3 типу - второе не нужно ?

Очень длинный синтаксис - хотя я тоже до сих пор еще не все понял
Я пока отказался от FTP но вместе с этим и от
Цитата:
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Пробую разобраться
Автор: SIlnur
Дата сообщения: 26.06.2008 07:52
Закрываю 25 порт с локалки на всё кроме mail.anrb.ru.
iptables -I FORWARD 1 -p tcp -s 192.168.0.0/255.255.255.0 -d ! mail.anrb.ru --dport 25 -j DROP
Возник вопрос как добавить еще одно исключение в это правило. Допустим smtp.mail.ru
Просто приписать через запятую не работает . Помогите плиз. Прошу сильно не пинать. Я новичок.
Автор: NightSpamer
Дата сообщения: 26.06.2008 08:32
SIlnur
Вписать разрешающее правило перед запретом:
iptables -I FORWARD 1 -p tcp -s 192.168.0.0/255.255.255.0 -d smtp.mail.ru --dport 25 -j ACCEPT
Кстати, почему цепочка FORWARD, а не OUTPUT? Маршрутизатор делаете?

Страницы: 12

Предыдущая тема: Настройка Webmin под FreeBSD


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.