» Software Routers&Firewalls (Программные маршрутизаторы)

Цитата:

Еще хотел бы узнать может ли брандмауэр по средствам iptables помещать назойливые ip в банлист автоматически? ну например некий "доброжелатель" забрасывает порт запросами на соединения а сам соединения не устанавливает ну или например кто-то пытается подобрать пароль ssh и после 5 неверных попыток эго банить...

Конечно может, но средствами system-config-securitylevel-tui это настроить нельзя, это простая примитивная утилитка для элементарной настройки фаервола.

ЗЫ
Кстати сразу хочу предупредить если потом будешь настраивать/добавлять правила iptables вручную, то после этого этой утилиткой больше не пользоваться (просто снести её на всякий случай), т.к. она сбрасывает все настройки iptables и оставляет только свои правила.

на самом деле нихрена страшного там нет, даже просветляет
советую для начала читать не man, а tutorial в переводе Киселева, уже потом можно более свежий оригинал покурить и man'ы

Почитал немного легкой литературки) вообщем вопрос такой) можно например так:
-A INPUT -p all --sport 0:65535 -j DROP //закрыть всё что можно
-A INPUT -p tcp --sport 80 -j ACCEPT //apache
-A INPUT -p tcp --sport 27016 -j ACCEPT //игровой порт CSS

Хочу закрыть всё а потом открывать только нужные порты! то что вверху в приоритете же? или нужно менять местами чтоб работало?

напомню что в моем случае актуальны только правила INPUT т.к. сервер подключен напрямки к внешниму ip и игровой серв находится на нем...

Цитата:

-A INPUT -p all --sport 0:65535 -j DROP //закрыть всё что можно

Убрать нафиг! Для этого есть политика по-умолчанию:

Код: sudo iptables -P INPUT DROP

ок меняю первое правило на -P INPUT DROP
будет так работать? или закрывающее все правило нужно последним ставить? и можно закрыть всё на eth1 а чтоб eth0 шоб не трогало?

В линуксе логика работы пакетного фильтра такова:
1. Проверяем соответствие пакетов сверху вниз.
2. Если соответствие найдено, то выполняется действие описанное правилом и дальнейшая проверка прекращается.
3. Если соответствие не найдено, то применяется политика по-умолчанию.
Соответственно в вашем случае порядок описания правил важен, а то, где вы напишите правило политики - несущественно. Однако его стараются писать в самом начале, чтобы сразу закрыть комп от несанкционированного доступа.

-P INPUT DROP можно повесить только на какой-то определённый интерфейс?

Политики применяется не к интерфейсу, а к цепочке правил, причём только встроенных (INPUT, OUTPUT, FORWARD).
Здесь доступно с картинками рассказано, как двигаются пакеты через машину с линуксом.

DJs3000

Цитата:

-P INPUT DROP можно повесить только на какой-то определённый интерфейс?

Можно, но как бы лучше тут: http://forum.ru-board.com/topic.cgi?forum=8&topic=38463#1

Рябятки, будьте добры, подскажите, на каком из представленных в этой ветке free-дистрибутивов можно поднять сервер PPTP для подключения клиентов c Windows... Варианты с установкой на Windows OpenVPN отпадают однозначно, так как клиентам придётся по телефону объяснять, как создавать подключение (домохозяйки) Сам из представленного попробовал Endian, SmoothWall (только OpenVPN) и Astaro, на котором, кстати, PPTP работает на ура, но слишком уж он громоздский...

ferganets
pfsense

Спасибо.... Как раз курю доки по нему... А lightsquid к нему прикрутить получится для локальных пользователей?

Цитата:

А lightsquid к нему прикрутить получится для локальных пользователей?

Чего не делал, того не знаю.

Чтож, поставил пока на VMware. И даже VPN проверил Теперь буду пробовать прикручивать приблуды.

P.S. Как раз то, что искал... В репозитарии PFSense есть всё необходимое: http://wiki.lissyara.su/wiki/Packages_PFSense
Правда на VMWare пока ничего сделать не удалось, так как доступно это ТОЛЬКО при установке на жёсткий диск...

А что мешает поставить на виртуальный hdd

Читай выше...

По pfsense рекомендую почитать http://iboxjo.livejournal.com/ (перевод некоторых глав pfSense:The Definitive Guide)

gr0mW: Спасибо!

Engrade Linux с 2008 года необновляется
Endian тоже не радует обновлением, а жалко ибо не плохой.
Активно развивается pfSense 2(добавили очень много чего интересного, жаль что нет Mail Gateway) и ClearOS6(зимой выйдет чудо).

Templar3d

Цитата:

ClearOS

А где там красивые графики?

m0nty2k5
Ну не все же ради красивых графиков устанавливают "все в одном". Преимущества ClearOS в быстром развертывании нужных служб. Таковых в 6-ой версии будет больше. Обещают еще и Samba 4 вставить. Посмотрим...что получится.

Templar3d
я бы не стал спрашивать, если не вот этот скриншот.

Добавлено:
а так да, сердито ...

Товарищи, нужен совет.

Мне нужен дистр для старой машинки (celeron 700 mhz, 128 оперативной), который помимо стандартных возможностей (наличие веб-интерфейса, возможности управлять приоритетом пользователей ["пользователи" это мак/IP адреса, без дополнительных логинов, паролей, проксей и прочего на клиентских компах] (кому больше интернета, кому меньше, а кому вообще перекрыть), а также статистики по пользователям), также обладал:

1. Возможностью принимать интернет с Ethernet 100 мбит или Wi-Fi (вай-фай это резервный канал) и расшаривать его на другой эзернет с другим вай-фаем, так чтобы и проводные и беспроводные клиенты были в одной сети. Настройки и принимаются и раздаются по DHCP.

2. Наличие принт-сервера для расшаривания принтера HP 1020.

3. Легкость установки и настройки, а также эксплуатация вышеперечисленного исключительно через веб-интерфейс.

По описанию из шапки приглянулся Zentyal, однако непонятно, умеет ли он всё, что мне надо.
Да, я знаю, что он на убунте со всем её богатством поддерживаемого оборудования и кучей софта, но мне бы хотелось чтобы также соблюдался пункт 3. Т.е. чтобы и принтер и вай-фай можно было сконфигурить через веб-интерфейс безотносительно возможности сделать это через консоль.

У себя поставил Zentyal потому, что только там получилось задействовать балансировку нагрузки между двумя каналами интернет. Настраивается очень легко.
Не хватает только биллинга. Может он конечно там и есть, но я не увидел.
Просто раздаю интернет в офис без пароля через два канала по 2мбит.

pfSense 2 уже релиз.
С помощью пакетов Postfix Forwarder+spamd можно построить лучшую антиспам защиту чем у Astaro Security Gateway. ИМХО.

Цитата:

Мне нужен дистр для старой машинки (celeron 700 mhz, 128 оперативной)

Zentyal, даже если встанет, что не факт, будет очень медленно ворочаться.

DoctorLans
pfSense ваше все, или его собраться...
ClearOS, хотя слабовата тачка.

Подскажите. Есть штука на подобии Ideco Internet Control Server для домашнего использования с функциями медиапроигрывателя и торенткачалки?

gaterkik
я бы на вашем месте поднял Ubuntu
а вообще здесь много хотят от Software Routers&Firewalls
вы уж извините но какое отношение имеет медиапроигрыватель к Software Routers&Firewalls???
на форуме ubuntu куча интрукций превращения ubuntu в роутер

Вопрос такого плана...
Есть небольшая локалка.
Чем из всего представленного можно на каждый IP ограничить скорость инета?