Есть вопрос?
Зайди на форум

Поиск на сайте: Advanced

Denix - новый дистрибутив Linux. Русификация Ubuntu и установка кодеков

dkws.org.ua
Форум сайта dkws.org.ua
 
Главная    ТемыТемы    АльбомАльбом    РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 

файрвол в линукс

 
Начать новую тему Ответить на тему    Список форумов dkws.org.ua -> Система
 
Автор Сообщение
ruslan89

Завсегдатай


Зарегистрирован: 09.01.2010
Сообщения: 799

СообщениеДобавлено: Пн Янв 18, 2010 5:57 pm    Заголовок сообщения: файрвол в линукс
Ответить с цитатой

итак... файрвол в линукс (неважно в каком дистрибутиве, у дистров отличается только GUI для редактирования правил фильтрации) базируется на правилах фильтрации пакетов! из этих правил формируются таблицы (подробнее - читаем фикипедию) которые находятся в ядре. причём при каждой перезагрузке эти правила безвозвратно теряются - именно поэтому необходимо составлять стартовые скрипты, которые(который) при каждой загрузке будут восстанавливать эти правила. а сами правила устанавливаются (удаляются и редактируются) програмой iptables. интересно? - подробнее читаем:
Код:

ruslan@ruslan-linux:~> man iptables

Внимание большенство комманд необходимо вводить от суперпользователя (хотя в жизни нужно чтобы их было как можно меньше)! Как понять что от с.п.? - легко приглашение системы должно оканчиваться "#".
1) проверяем установлены ли какие либо правила:
Код:

ruslan-linux:/ # iptables -vL
Chain INPUT (policy DROP 150 packets, 20856 bytes)
 pkts bytes target     prot opt in     out     source               destination
  108  7024 ACCEPT     all  --  lo     any     anywhere             anywhere
 389K   34M ACCEPT     tcp  --  any    any     192.168.0.0/24       anywhere            tcp dpt:microsoft-ds
32309 6445K ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 425K packets, 358M bytes)
 pkts bytes target     prot opt in     out     source               destination
  108  7024 ACCEPT     all  --  any    lo      anywhere             anywhere
ruslan-linux:/ #

у меня они уже есть. у вас их быть не должно! если они есть вы должны знать откуда они взялись! (сразу после установки они могут быть в: ASP, SuSe, Mandriva, Fedora_Core; в Ubuntu,Slackware,Debian - их быть не должно!).
должно быть так:
Код:

Chain INPUT (policy ACCEPT 1886 packets, 2633K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 1686 packets, 75714 bytes)
 pkts bytes target     prot opt in     out     source               destination   

!циферы у вас будут другие!
2) Все мои действия будут описаны для дистрибов, базирующихся на SysV (практически все, кроме Slackware!).
-- 2.1) создаём файлик (будующий скрипт):
Код:

ruslan-linux:/ # touch /etc/init.d/fw

-- 2.2) открываем его
Код:

ruslan-linux:/ # mcedit /etc/init.d/fw

(я использую миднайткоммандер (mc) - ну очень он мне нравиться, и редактор "при нем" очень удобный). но вы можете использовать и nano, и vi(vim) - разберётесь.
и заполняем его следующим содержимим:
Код:

#путь к программе iptables
IPT="/usr/sbin/iptables"

start_fw()


   #очистка всех правил в цепочках и сброс цепочек к дефолтным
    $IPT -F
    $IPT -X

    #выставляем политики поумолчанию
    $IPT -P INPUT DROP
    $IPT -P FORWARD DROP
    $IPT -P OUTPUT ACCEPT

    #разрешаем любые пересылки для локально петли
    $IPT -A INPUT -i lo -j ACCEPT
    $IPT -A OUTPUT -o lo -j ACCEPT

    #место для вставки ваших правил


    #разрешаем только установленные соединения
    $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

}

case "$1" in

start|restart)
    start_fw
    ;;

*)
    echo -n "Use only start or restart parametre"
    exit 1
    ;;

esac

exit 0

я реккомендую свои правила вставлять именно в указанное мной место! почему? - потомучто потом пыполнив команду "iptables -vL", мы сможем проконтролировать траффик, прошедший через данное правило цепочки.

сохраняем-закрываем и ставим права:
Код:

ruslan-linux:/home/ruslan # chmod 700 /etc/init.d/fw

делаем симлинк для автоматической загрузки скрипта:
Код:

ruslan-linux:/home/ruslan # ln -s /etc/init.d/fw /etc/init.d/rc5.d/S01fw

для SuSe необходимо дополнительно подредактировать кое-чего:
Код:

ruslan-linux:/home/ruslan # mcedit /etc/init.d/.depend.start

и добавить в строку TARGETS = halt fbset dbu... имя нашего скрипта:
Код:

ruslan-linux:/home/ruslan # cat /etc/init.d/.depend.start | grep fw
TARGETS = halt fbset dbus earlysyslog acpid random fw ...

3) перезагружаемся и проверяем прописались ли правила. есди нет, то пишем сюда название дистра.

При таких настройках комьютер становиться "невидимым" для других компьютеров в сети (он даже непингуем).

по мере надобности статья будет правиться! удачи =)
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
олег алексеевич

Тысячник


Зарегистрирован: 18.01.2009
Сообщения: 1350
Откуда: ua кировоград

СообщениеДобавлено: Пн Янв 18, 2010 6:28 pm    Заголовок сообщения:
Ответить с цитатой

ruslan89,
lamp в localhost будет работать?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Моб. телефон ICQ Number
ruslan89

Завсегдатай


Зарегистрирован: 09.01.2010
Сообщения: 799

СообщениеДобавлено: Пн Янв 18, 2010 6:39 pm    Заголовок сообщения:
Ответить с цитатой

в локалхост будет работать всё. т.к. оно не будет выходить на пределы lo (обратной петли).
что вы подразумеваете под lamp?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
олег алексеевич

Тысячник


Зарегистрирован: 18.01.2009
Сообщения: 1350
Откуда: ua кировоград

СообщениеДобавлено: Пн Янв 18, 2010 6:46 pm    Заголовок сообщения:
Ответить с цитатой

мне к вам на Вы.или ко мне на Ты.
lamp-хамр-сервер.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Моб. телефон ICQ Number
ruslan89

Завсегдатай


Зарегистрирован: 09.01.2010
Сообщения: 799

СообщениеДобавлено: Пн Янв 18, 2010 6:55 pm    Заголовок сообщения:
Ответить с цитатой

если LAMP-server, то единственное что должно светиться наружу - это аппач! т.е http (80-ый порт).
для этого добавляем:

Код:

...
#место для вставки ваших правил

# Открываем веб-сервер
$IPT -A INPUT -p tcp --dport 80 -j ACCEPT
...
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
ruslan89

Завсегдатай


Зарегистрирован: 09.01.2010
Сообщения: 799

СообщениеДобавлено: Пн Янв 18, 2010 7:13 pm    Заголовок сообщения:
Ответить с цитатой

для ознакомленья:
http://www.citforum.ru/operating_systems/linux/iptables/1.shtml
в сатье описывается работа утилит iptables-save(restore).
основная прелесть утилиты iptables-save в том, что она показывает все правила всех цепочек!
Код:

ruslan-linux:/home/ruslan # iptables-save
# Generated by iptables-save v1.4.4 on Tue Jan 19 01:11:25 2010
*filter
:INPUT DROP [1016:202301]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [3087834:2484774143]
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 445 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT
# Completed on Tue Jan 19 01:11:25 2010
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
олег алексеевич

Тысячник


Зарегистрирован: 18.01.2009
Сообщения: 1350
Откуда: ua кировоград

СообщениеДобавлено: Пн Янв 18, 2010 7:53 pm    Заголовок сообщения:
Ответить с цитатой

ruslan89,
да и Дэна на сайте есть про iptables http://www.google.com/search?as_sitesearch=www.dkws.org.ua&q=iptables
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Моб. телефон ICQ Number
ruslan89

Завсегдатай


Зарегистрирован: 09.01.2010
Сообщения: 799

СообщениеДобавлено: Пн Янв 18, 2010 8:13 pm    Заголовок сообщения:
Ответить с цитатой

дааа......большенство тем стары, но требуют ответа!
читаем на вике про аёпитаблес и если остаются вопросы - милости просим! можно намерное новые темы не клипать а все вопросы сыпать сюда.

2 den, если будут новые темы связанные с айпитаблес, прошу перемещать сюда.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
den

Старожил


Зарегистрирован: 31.01.2006
Сообщения: 13701
Откуда: Кировоград, Украина

СообщениеДобавлено: Вт Янв 19, 2010 7:17 am    Заголовок сообщения:
Ответить с цитатой

Цитата:

2 den, если будут новые темы связанные с айпитаблес, прошу перемещать сюда.

так и сделаем
Вернуться к началу
Посмотреть профиль Отправить личное сообщение dhsilabs@jabber.ru
Показать сообщения:   
Начать новую тему Ответить на тему    Список форумов dkws.org.ua -> Система Часовой пояс: GMT
Страница 1 из 1
 Главная страница сайта
 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
© Колисниченко Денис