Блокировка внешнего трафика в Linux, Киньте инструкцию :) Опции

[wMw]

Знаю тема или темы создавались, но там нен было ответа

Нужно внешний трафик блокировать iptables'ом или как посоветуете

Киньте пожалуйста сюда или ссылку на how-to или еще что
И со свежим диапазоном ВолгаТелеком

P.S: Я к ВолгаТелеком подключен, дистр Mandriva Linux 2007 Spring

Я думаю что не только я страдаю с утечкой трафом Это тема спасет нас

Сообщение отредактировал wMw - Sep 23 2007, 16:29

[sad_but_true]

man iptables

[Ayoni]

iptables -P INPUT DENY
iptables -A INPUT -p tcp --tcp-flags SYN.ACK ACK -j ACCEPT
iptables -A INPUT -j intnets

а в intnets - проверка на соответствие бесплатным адресам
iptables -A intnets -s $subnet1/mask1 -j ACCEPT
...

для ADSL

iptables -N intranet
iptables -A intranet -s 192.168.иличтотамутебя -j ACCEPT
iptables -A intranet -s 213.24.220.0/22 -j ACCEPT
iptables -A intranet -s 213.24.104.0/21 -j ACCEPT
iptables -A intranet -s 10.0.0.0/8 -j ACCEPT
iptables -A intranet -s 192.168.0.0/16 -j ACCEPT
iptables -A intranet -s 172.16.0.0/16 -j ACCEPT
iptables -A intranet -s 217.106.164.0/22 -j ACCEPT
iptables -A intranet -s 217.107.172.0/23 -j ACCEPT
iptables -A intranet -s 213.59.78.0/23 -j ACCEPT
iptables -A intranet -s 89.151.128.0/18 -j ACCEPT
iptables -P INPUT DENY
iptables -A INPUT -p tcp --tcp-flags SYN.ACK ACK -j ACCEPT
iptables -A INPUT -j intranet
(L)

Сообщение отредактировал Ayoni - Sep 25 2007, 22:54

[SiMM]

iptables -A intranet -s 172.16.0.0/16 -j ACCEPT

Только не 16, а 12.
http://tools.ietf.org/html/rfc1918
Ну и при таком раскладе "иличтотамутебя" автоматом будет разрешено, так что в отдельном правиле не нуждается.

[wMw]

iptables -P INPUT DENY
iptables -A INPUT -p tcp --tcp-flags SYN.ACK ACK -j ACCEPT
iptables -A INPUT -j intnets

а в intnets - проверка на соответствие бесплатным адресам
iptables -A intnets -s $subnet1/mask1 -j ACCEPT
...

для ADSL

iptables -N intranet
iptables -A intranet -s 192.168.иличтотамутебя -j ACCEPT
iptables -A intranet -s 213.24.220.0/22 -j ACCEPT
iptables -A intranet -s 213.24.104.0/21 -j ACCEPT
iptables -A intranet -s 10.0.0.0/8 -j ACCEPT
iptables -A intranet -s 192.168.0.0/16 -j ACCEPT
iptables -A intranet -s 172.16.0.0/16 -j ACCEPT
iptables -A intranet -s 217.106.164.0/22 -j ACCEPT
iptables -A intranet -s 217.107.172.0/23 -j ACCEPT
iptables -A intranet -s 213.59.78.0/23 -j ACCEPT
iptables -A intranet -s 89.151.128.0/18 -j ACCEPT
iptables -P INPUT DENY
iptables -A INPUT -p tcp --tcp-flags SYN.ACK ACK -j ACCEPT
iptables -A INPUT -j intranet

В iptables -P INPUT DENY пишет Bad policy name

Мдя уж совсем непонимаю что все эти команды делают с ИП эт лан исключения как вроде Может у кого русский how-to будет

А можно сразу такой списочек чтобы все блочило и ВТ разрешало.Думаю всем такое надо

Сообщение отредактировал wMw - Sep 23 2007, 20:03

[vituuha]

В iptables -P INPUT DENY пишет Bad policy name

Мдя уж совсем непонимаю что все эти команды делают с ИП эт лан исключения как вроде Может у кого русский how-to будет

opennet.ru тебе в руки, по iptables на русском там много инфы и тд

[fajro]

iptables -P INPUT DENY
iptables -A INPUT -p tcp --tcp-flags SYN.ACK ACK -j ACCEPT
iptables -A INPUT -j intnets

а в intnets - проверка на соответствие бесплатным адресам
iptables -A intnets -s $subnet1/mask1 -j ACCEPT
...

для ADSL

iptables -N intranet
iptables -A intranet -s 192.168.иличтотамутебя -j ACCEPT
iptables -A intranet -s 213.24.220.0/22 -j ACCEPT
iptables -A intranet -s 213.24.104.0/21 -j ACCEPT
iptables -A intranet -s 10.0.0.0/8 -j ACCEPT
iptables -A intranet -s 192.168.0.0/16 -j ACCEPT
iptables -A intranet -s 172.16.0.0/16 -j ACCEPT
iptables -A intranet -s 217.106.164.0/22 -j ACCEPT
iptables -A intranet -s 217.107.172.0/23 -j ACCEPT
iptables -A intranet -s 213.59.78.0/23 -j ACCEPT
iptables -A intranet -s 89.151.128.0/18 -j ACCEPT
iptables -P INPUT DENY
iptables -A INPUT -p tcp --tcp-flags SYN.ACK ACK -j ACCEPT
iptables -A INPUT -j intranet
(L)

уууу Айончег скока буков))) и вопрос по существу это все лочит внешнит траф полностью? т.е. буит ли у меня доступ на внешку или только на разрешенные диапазоны? и если таки доступа НЕ будет то нафиг так делать?
opennet.ru это конечно хорошо но оно внешка и читать я полаю нада будет дофигищу... помоему проще сделать один шаблон на всех ленивых линуксойдов ВТщников и прекратить уже посылать курить маны...

Сообщение отредактировал fajro - Oct 3 2007, 21:59

[Amp]

Не у всех ленивых линуксоидов "трафикофобия".

[SiMM]

помоему проще сделать один шаблон на всех ленивых линуксойдов ВТщников и прекратить уже посылать курить маны...

Проще - это послать нафиг лентяев

[wMw]

Млин глупо велосипед создавать будет каждый мучиться, вот я додумаюсь и выложу на Wiki .
Следую хакерской культуре
На то моя подпись

[fajro]

ха
ну вот... почитал man, понял что тут что значит... и тока потом понял что первые три строчки в Айонькином сообщении вообще не нужны т.к. они идут в конце... т.е. достаточно ввести вот это все:

iptables -N intranet
iptables -A intranet -s 213.24.220.0/22 -j ACCEPT
iptables -A intranet -s 213.24.104.0/21 -j ACCEPT
iptables -A intranet -s 10.0.0.0/8 -j ACCEPT
iptables -A intranet -s 192.168.0.0/16 -j ACCEPT
iptables -A intranet -s 172.16.0.0/12 -j ACCEPT
iptables -A intranet -s 217.106.164.0/22 -j ACCEPT
iptables -A intranet -s 217.107.172.0/23 -j ACCEPT
iptables -A intranet -s 213.59.78.0/23 -j ACCEPT
iptables -A intranet -s 89.151.128.0/18 -j ACCEPT
iptables -P INPUT DROP
iptables -A INPUT -p tcp --tcp-flags SYN,ACK ACK -j ACCEPT
iptables -A INPUT -j intranet

и буит те щастье... все проверено на себе))) ггг
wMw могешь создавать тему в Wiki...
теперь другой вопрос как получить доступ на внешку))))???
(к примеру разрешить kopete, kmail и firefox дотсуп)

Сообщение отредактировал fajro - Oct 7 2007, 15:21

[ChapaySergey]

Да поможет вам selinux

[fajro]

кстати есть еще предложение вместо фильтрации входящих сделать фильтрацию исходящих
типа так
iptables -A OUTPUT -m owner --uid-owner 1000 -j ACCEPT
типа такому то юзеру разрешено...

Сообщение отредактировал fajro - Oct 7 2007, 17:33

[Гость_karpen_*]

кстати есть еще предложение вместо фильтрации входящих сделать фильтрацию исходящих
типа так
iptables -A OUTPUT -m owner --uid-owner 1000 -j ACCEPT
типа такому то юзеру разрешено...

Зачем тебе, ты же на своем компе рута имеешь, если иптаблес настраиваешь . Приличные мальчики добавляют еще фильтрацию на "плохость" пакетов.

Код

iptables -A INPUT   -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP

и т.д.
И держим соединение которое уже установлено.

Код

iptables -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

PS Нет общего конфига, у каждого он индивидуален.
PPS А selinux ваще идет лесом, не к делу он

[fajro]

Зачем тебе, ты же на своем компе рута имеешь, если иптаблес настраиваешь . Приличные мальчики добавляют еще фильтрацию на "плохость" пакетов.

Код

iptables -A INPUT   -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP

и т.д.
И держим соединение которое уже установлено.

Код

iptables -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

PS Нет общего конфига, у каждого он индивидуален.
PPS А selinux ваще идет лесом, не к делу он

так я то не рутом сижу... какой нафиг рут в кубунте... а за очтальное пасиб... добавим...

[wMw]

СПАСИБО +ПЯДЪЪ ВСИИЕЕЕММ

Гы терь у карпена 4 звезды

Сообщение отредактировал wMw - Oct 8 2007, 11:08

[wMw]

Я выполнил все эти команды, но на www.ya.ru все равно могу выйти.Думаю может iptables не запущен.Вожу команду service iptables start и говорит нет такой службы iptables.Что делать теперь?
Так-то iptables у меня установлен.

Явно надо еще что сделать после ввода команды, обьясните пожалуйста

ЗЫ: openSuSE 10.3

Сообщение отредактировал wMw - Oct 13 2007, 16:44

[wMw]

UP !

[Гость_karpen_*]

Сделай, плз,

Код

iptables -L -v

, если что-то покажет, да еще размер в байтах даст, то иптаблес и так работает. Про сервайсы рано разговаривать, сначало с иптаблес разберись . А на ya.ru ты не можешь выйти по причине неправильно настроенных правил или вес у правил в цепочке не равноценен. Так что иптаблес наверняка работает.

Сообщение отредактировал karpen - Oct 15 2007, 12:03

[wMw]

Не так прочитал, я МОГУ вйти на ya.ru, в этом и проблема
Сделал я iptables -L -v есть статистика и пакеты переданые

Вообщем блин достало меня это, откапал старый Спец Хакер, приступаю к чтению статьи "Выжми из фаервола все"

[Гость_karpen_*]

У тебя неправильно стоит политика по умолчанию.
Сделай

Код

iptables -P INPUT DROP

Должно помочь.

[wMw]

Муахх конечно сделал, вылетаю ишо как
Я удалил вооще все правила iptables -F

Затем добавил iptables -P INPUT DROP все блокировать, по*уй ветер, дальше лазию

[wMw]

Я все сделал просто этот самый SuSEfirewall сервис при подключении заносит свои правила в iptables, я отключил SuSEfirewall
теперь все в порядке блочит внешний трафик и прописал в /etc/init.d/boot.local "iptables-restore < path-to-rules" все востонавливается

Но вот проблема появилась правила восстанавливаются , а Gnome запускаться не хочет, он запускается когда стрелка появляется (перед окошком с типа загрузка аплетов, панелей, значков) зависает на этом месте

Вот это я прописал в boot.local

Код

iptables-restore < /etc/sysconfig/iptables.rules

И все гладко, правила восстанавливаются, но при такой команде виснет на загрузке Gnome'ик.

Прикол если я другу команду добавлю ("mkdir /home/me/wazzzup") то все в порядке

Что делать, кто-нибудь сталкивался с этим ?
Может быть в другое место прописать ?

[fajro]

вообще то список вот тут есть - http://pauk.net.ru/wiki/Linux_netfilter

[fajro]

в связи с последними изменениями:

iptables -N intranet
iptables -A intranet -s 10.0.0.0/8 -j ACCEPT
iptables -A intranet -s 89.151.128.0/18 -j ACCEPT
iptables -A intranet -s 192.168.0.0/16 -j ACCEPT
iptables -A intranet -s 172.16.0.0/16 -j ACCEPT
iptables -P INPUT DROP
iptables -A OUTPUT -m owner --uid-owner 0 -j ACCEPT
iptables -A OUTPUT -m owner --uid-owner 1000 -j ACCEPT
iptables -A INPUT -p tcp --tcp-flags SYN,ACK ACK -j ACCEPT
iptables -A INPUT -j intranet

[JOKESTER]

с новыми адресами нет?

[Amp]

с новыми адресами нет?

Напиши

[JOKESTER]

Напиши

вместе c 79 и j ресурсами

Сообщение отредактировал JOKESTER - Jul 16 2008, 21:14

[JOKESTER]

Код

iptables -N intranet
iptables -A intranet -s 10.0.0.0/8 -j ACCEPT
iptables -A intranet -s 89.151.128.0/18 -j ACCEPT
iptables -A intranet -s 192.168.0.0/16 -j ACCEPT
iptables -A intranet -s 172.16.0.0/16 -j ACCEPT
iptables -A intranet -s 79.133.128.0/19 -j ACCEPT
iptables -A intranet -s 89.109.7.82 -j ACCEPT
iptables -A intranet -s 89.109.7.83 -j ACCEPT
iptables -A intranet -s 89.109.7.84 -j ACCEPT
iptables -A intranet -s 89.109.7.85 -j ACCEPT
iptables -A intranet -s 89.109.33.178 -j ACCEPT
iptables -A intranet -s 89.109.33.179 -j ACCEPT
iptables -A intranet -s 82.208.87.226 -j ACCEPT
iptables -A intranet -s 82.208.87.227 -j ACCEPT
iptables -A intranet -s 82.208.87.228 -j ACCEPT
iptables -A intranet -s 82.208.87.229 -j ACCEPT
iptables -A intranet -s 82.208.87.230 -j ACCEPT
iptables -A intranet -s 82.208.87.231 -j ACCEPT
iptables -A intranet -s 82.208.87.232 -j ACCEPT
iptables -A intranet -s 82.208.87.233 -j ACCEPT
iptables -A intranet -s 82.208.87.234 -j ACCEPT
iptables -A intranet -s 82.208.87.235 -j ACCEPT
iptables -A intranet -s 82.208.87.236 -j ACCEPT
iptables -A intranet -s 82.208.87.237 -j ACCEPT
iptables -A intranet -s 82.208.87.238 -j ACCEPT
iptables -A intranet -s 82.208.87.239 -j ACCEPT
iptables -A intranet -s 82.208.87.240 -j ACCEPT
iptables -A intranet -s 82.208.87.241 -j ACCEPT
iptables -A intranet -s 82.208.87.242 -j ACCEPT
iptables -A intranet -s 82.208.87.243 -j ACCEPT
iptables -A intranet -s 85.95.164.36 -j ACCEPT
iptables -A intranet -s 85.95.164.37 -j ACCEPT
iptables -A intranet -s 80.95.32.114 -j ACCEPT
iptables -A intranet -s 80.95.32.115 -j ACCEPT
iptables -A intranet -s 88.147.128.20 -j ACCEPT
iptables -A intranet -s 88.147.128.21 -j ACCEPT
iptables -A intranet -s 88.147.128.22 -j ACCEPT
iptables -A intranet -s 88.147.128.23 -j ACCEPT
iptables -A intranet -s 88.200.171.178 -j ACCEPT
iptables -A intranet -s 88.200.171.179 -j ACCEPT
iptables -A intranet -s 88.200.171.180 -j ACCEPT
iptables -A intranet -s 88.200.171.181 -j ACCEPT
iptables -A intranet -s 89.239.186.18 -j ACCEPT
iptables -A intranet -s 89.239.186.19 -j ACCEPT
iptables -A intranet -s 213.135.97.162 -j ACCEPT
iptables -A intranet -s 213.135.97.163 -j ACCEPT  
iptables -A intranet -s 78.85.3.132 -j ACCEPT
iptables -A intranet -s 78.85.3.133 -j ACCEPT
iptables -A intranet -s 78.85.3.134 -j ACCEPT
iptables -A intranet -s 78.85.3.135 -j ACCEPT
iptables -A intranet -s 217.9.151.18 -j ACCEPT
iptables -A intranet -s 217.9.151.19 -j ACCEPT
iptables -A intranet -s 77.40.124.106 -j ACCEPT
iptables -A intranet -s 77.40.124.107  -j ACCEPT
iptables -P INPUT DROP
iptables -A OUTPUT -m owner --uid-owner 0 -j ACCEPT
iptables -A OUTPUT -m owner --uid-owner 1000 -j ACCEPT
iptables -A INPUT -p tcp --tcp-flags SYN,ACK ACK -j ACCEPT
iptables -A INPUT -j intranet