Я - пользователь Denix. Пожалуйста перейдите по этой ссылке, если вы скачали текущую или одну из предыдущих версий Denix. Это просто счетчик для подстчета количества пользователей.
итак... файрвол в линукс (неважно в каком дистрибутиве, у дистров отличается только GUI для редактирования правил фильтрации) базируется на правилах фильтрации пакетов! из этих правил формируются таблицы (подробнее - читаем фикипедию) которые находятся в ядре. причём при каждой перезагрузке эти правила безвозвратно теряются - именно поэтому необходимо составлять стартовые скрипты, которые(который) при каждой загрузке будут восстанавливать эти правила. а сами правила устанавливаются (удаляются и редактируются) програмой iptables. интересно? - подробнее читаем:
Код:
ruslan@ruslan-linux:~> man iptables
Внимание большенство комманд необходимо вводить от суперпользователя (хотя в жизни нужно чтобы их было как можно меньше)! Как понять что от с.п.? - легко приглашение системы должно оканчиваться "#".
1) проверяем установлены ли какие либо правила:
Код:
ruslan-linux:/ # iptables -vL
Chain INPUT (policy DROP 150 packets, 20856 bytes)
pkts bytes target prot opt in out source destination
108 7024 ACCEPT all -- lo any anywhere anywhere
389K 34M ACCEPT tcp -- any any 192.168.0.0/24 anywhere tcp dpt:microsoft-ds
32309 6445K ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 425K packets, 358M bytes)
pkts bytes target prot opt in out source destination
108 7024 ACCEPT all -- any lo anywhere anywhere
ruslan-linux:/ #
у меня они уже есть. у вас их быть не должно! если они есть вы должны знать откуда они взялись! (сразу после установки они могут быть в: ASP, SuSe, Mandriva, Fedora_Core; в Ubuntu,Slackware,Debian - их быть не должно!).
должно быть так:
Код:
Chain INPUT (policy ACCEPT 1886 packets, 2633K bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 1686 packets, 75714 bytes)
pkts bytes target prot opt in out source destination
!циферы у вас будут другие!
2) Все мои действия будут описаны для дистрибов, базирующихся на SysV (практически все, кроме Slackware!).
-- 2.1) создаём файлик (будующий скрипт):
Код:
ruslan-linux:/ # touch /etc/init.d/fw
-- 2.2) открываем его
Код:
ruslan-linux:/ # mcedit /etc/init.d/fw
(я использую миднайткоммандер (mc) - ну очень он мне нравиться, и редактор "при нем" очень удобный). но вы можете использовать и nano, и vi(vim) - разберётесь.
и заполняем его следующим содержимим:
Код:
#путь к программе iptables
IPT="/usr/sbin/iptables"
start_fw()
{
#очистка всех правил в цепочках и сброс цепочек к дефолтным
$IPT -F
$IPT -X
#выставляем политики поумолчанию
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
#разрешаем любые пересылки для локально петли
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
#место для вставки ваших правил
#разрешаем только установленные соединения
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
}
case "$1" in
start|restart)
start_fw
;;
*)
echo -n "Use only start or restart parametre"
exit 1
;;
esac
exit 0
я реккомендую свои правила вставлять именно в указанное мной место! почему? - потомучто потом пыполнив команду "iptables -vL", мы сможем проконтролировать траффик, прошедший через данное правило цепочки.
в локалхост будет работать всё. т.к. оно не будет выходить на пределы lo (обратной петли).
что вы подразумеваете под lamp? _________________ Я ИожикЪ-СусеводЪ
ruslan-linux:/home/ruslan # iptables-save
# Generated by iptables-save v1.4.4 on Tue Jan 19 01:11:25 2010
*filter
:INPUT DROP [1016:202301]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [3087834:2484774143]
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 445 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT
# Completed on Tue Jan 19 01:11:25 2010
дааа......большенство тем стары, но требуют ответа!
читаем на вике про аёпитаблес и если остаются вопросы - милости просим! можно намерное новые темы не клипать а все вопросы сыпать сюда.
2 den, если будут новые темы связанные с айпитаблес, прошу перемещать сюда. _________________ Я ИожикЪ-СусеводЪ
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах
Темы
Альбом
Регистрация
Профиль
Войти и проверить личные сообщения
Вход
