|
Автор |
Сообщение |
ruslan89
Завсегдатай
Зарегистрирован: 09.01.2010 Сообщения: 799
|
|
|
|
итак... файрвол в линукс (неважно в каком дистрибутиве, у дистров отличается только GUI для редактирования правил фильтрации) базируется на правилах фильтрации пакетов! из этих правил формируются таблицы (подробнее - читаем фикипедию) которые находятся в ядре. причём при каждой перезагрузке эти правила безвозвратно теряются - именно поэтому необходимо составлять стартовые скрипты, которые(который) при каждой загрузке будут восстанавливать эти правила. а сами правила устанавливаются (удаляются и редактируются) програмой iptables. интересно? - подробнее читаем:
Код: |
ruslan@ruslan-linux:~> man iptables
|
Внимание большенство комманд необходимо вводить от суперпользователя (хотя в жизни нужно чтобы их было как можно меньше)! Как понять что от с.п.? - легко приглашение системы должно оканчиваться "#".
1) проверяем установлены ли какие либо правила:
Код: |
ruslan-linux:/ # iptables -vL
Chain INPUT (policy DROP 150 packets, 20856 bytes)
pkts bytes target prot opt in out source destination
108 7024 ACCEPT all -- lo any anywhere anywhere
389K 34M ACCEPT tcp -- any any 192.168.0.0/24 anywhere tcp dpt:microsoft-ds
32309 6445K ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 425K packets, 358M bytes)
pkts bytes target prot opt in out source destination
108 7024 ACCEPT all -- any lo anywhere anywhere
ruslan-linux:/ #
|
у меня они уже есть. у вас их быть не должно! если они есть вы должны знать откуда они взялись! (сразу после установки они могут быть в: ASP, SuSe, Mandriva, Fedora_Core; в Ubuntu,Slackware,Debian - их быть не должно!).
должно быть так:
Код: |
Chain INPUT (policy ACCEPT 1886 packets, 2633K bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 1686 packets, 75714 bytes)
pkts bytes target prot opt in out source destination
|
!циферы у вас будут другие!
2) Все мои действия будут описаны для дистрибов, базирующихся на SysV (практически все, кроме Slackware!).
-- 2.1) создаём файлик (будующий скрипт):
Код: |
ruslan-linux:/ # touch /etc/init.d/fw
|
-- 2.2) открываем его
Код: |
ruslan-linux:/ # mcedit /etc/init.d/fw
|
(я использую миднайткоммандер (mc) - ну очень он мне нравиться, и редактор "при нем" очень удобный). но вы можете использовать и nano, и vi(vim) - разберётесь.
и заполняем его следующим содержимим:
Код: |
#путь к программе iptables
IPT="/usr/sbin/iptables"
start_fw()
{
#очистка всех правил в цепочках и сброс цепочек к дефолтным
$IPT -F
$IPT -X
#выставляем политики поумолчанию
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
#разрешаем любые пересылки для локально петли
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
#место для вставки ваших правил
#разрешаем только установленные соединения
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
}
case "$1" in
start|restart)
start_fw
;;
*)
echo -n "Use only start or restart parametre"
exit 1
;;
esac
exit 0
|
я реккомендую свои правила вставлять именно в указанное мной место! почему? - потомучто потом пыполнив команду "iptables -vL", мы сможем проконтролировать траффик, прошедший через данное правило цепочки.
сохраняем-закрываем и ставим права:
Код: |
ruslan-linux:/home/ruslan # chmod 700 /etc/init.d/fw
|
делаем симлинк для автоматической загрузки скрипта:
Код: |
ruslan-linux:/home/ruslan # ln -s /etc/init.d/fw /etc/init.d/rc5.d/S01fw
|
для SuSe необходимо дополнительно подредактировать кое-чего:
Код: |
ruslan-linux:/home/ruslan # mcedit /etc/init.d/.depend.start
|
и добавить в строку TARGETS = halt fbset dbu... имя нашего скрипта:
Код: |
ruslan-linux:/home/ruslan # cat /etc/init.d/.depend.start | grep fw
TARGETS = halt fbset dbus earlysyslog acpid random fw ...
|
3) перезагружаемся и проверяем прописались ли правила. есди нет, то пишем сюда название дистра.
При таких настройках комьютер становиться "невидимым" для других компьютеров в сети (он даже непингуем).
по мере надобности статья будет правиться! удачи =) |
|
Вернуться к началу |
|
|
олег алексеевич
Тысячник
Зарегистрирован: 18.01.2009 Сообщения: 1365 Откуда: ua Кропивницкий
|
|
|
|
ruslan89,
lamp в localhost будет работать? _________________ помощь в личку платно.Удалю вирус,шелл с сайта Джумла, Битрикс .
Создам плагин , модуль под заказ для VirtueMart , JoomShopping |
|
Вернуться к началу |
|
|
ruslan89
Завсегдатай
Зарегистрирован: 09.01.2010 Сообщения: 799
|
|
|
|
в локалхост будет работать всё. т.к. оно не будет выходить на пределы lo (обратной петли).
что вы подразумеваете под lamp? |
|
Вернуться к началу |
|
|
олег алексеевич
Тысячник
Зарегистрирован: 18.01.2009 Сообщения: 1365 Откуда: ua Кропивницкий
|
|
|
|
мне к вам на Вы.или ко мне на Ты.
lamp-хамр-сервер. _________________ помощь в личку платно.Удалю вирус,шелл с сайта Джумла, Битрикс .
Создам плагин , модуль под заказ для VirtueMart , JoomShopping |
|
Вернуться к началу |
|
|
ruslan89
Завсегдатай
Зарегистрирован: 09.01.2010 Сообщения: 799
|
|
|
|
если LAMP-server, то единственное что должно светиться наружу - это аппач! т.е http (80-ый порт).
для этого добавляем:
Код: |
...
#место для вставки ваших правил
# Открываем веб-сервер
$IPT -A INPUT -p tcp --dport 80 -j ACCEPT
...
|
|
|
Вернуться к началу |
|
|
ruslan89
Завсегдатай
Зарегистрирован: 09.01.2010 Сообщения: 799
|
|
|
|
для ознакомленья:
http://www.citforum.ru/operating_systems/linux/iptables/1.shtml
в сатье описывается работа утилит iptables-save(restore).
основная прелесть утилиты iptables-save в том, что она показывает все правила всех цепочек!
Код: |
ruslan-linux:/home/ruslan # iptables-save
# Generated by iptables-save v1.4.4 on Tue Jan 19 01:11:25 2010
*filter
:INPUT DROP [1016:202301]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [3087834:2484774143]
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 445 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT
# Completed on Tue Jan 19 01:11:25 2010
|
|
|
Вернуться к началу |
|
|
олег алексеевич
Тысячник
Зарегистрирован: 18.01.2009 Сообщения: 1365 Откуда: ua Кропивницкий
|
|
Вернуться к началу |
|
|
ruslan89
Завсегдатай
Зарегистрирован: 09.01.2010 Сообщения: 799
|
|
|
|
дааа......большенство тем стары, но требуют ответа!
читаем на вике про аёпитаблес и если остаются вопросы - милости просим! можно намерное новые темы не клипать а все вопросы сыпать сюда.
2 den, если будут новые темы связанные с айпитаблес, прошу перемещать сюда. |
|
Вернуться к началу |
|
|
den
Старожил
Зарегистрирован: 31.01.2006 Сообщения: 13870 Откуда: Кировоград, Украина
|
|
|
|
Цитата: |
2 den, если будут новые темы связанные с айпитаблес, прошу перемещать сюда.
|
так и сделаем |
|
Вернуться к началу |
dhsilabs@jabber.ru |
|
|
|
|