Блокировка внешнего трафика в Linux, Киньте инструкцию :) Опции

[wMw]

Знаю тема или темы создавались, но там нен было ответа

Нужно внешний трафик блокировать iptables'ом или как посоветуете

Киньте пожалуйста сюда или ссылку на how-to или еще что
И со свежим диапазоном ВолгаТелеком

P.S: Я к ВолгаТелеком подключен, дистр Mandriva Linux 2007 Spring

Я думаю что не только я страдаю с утечкой трафом Это тема спасет нас

Сообщение отредактировал wMw - Sep 23 2007, 16:29

[sad_but_true]

man iptables

[Ayoni]

iptables -P INPUT DENY
iptables -A INPUT -p tcp --tcp-flags SYN.ACK ACK -j ACCEPT
iptables -A INPUT -j intnets

а в intnets - проверка на соответствие бесплатным адресам
iptables -A intnets -s $subnet1/mask1 -j ACCEPT
...

для ADSL

iptables -N intranet
iptables -A intranet -s 192.168.иличтотамутебя -j ACCEPT
iptables -A intranet -s 213.24.220.0/22 -j ACCEPT
iptables -A intranet -s 213.24.104.0/21 -j ACCEPT
iptables -A intranet -s 10.0.0.0/8 -j ACCEPT
iptables -A intranet -s 192.168.0.0/16 -j ACCEPT
iptables -A intranet -s 172.16.0.0/16 -j ACCEPT
iptables -A intranet -s 217.106.164.0/22 -j ACCEPT
iptables -A intranet -s 217.107.172.0/23 -j ACCEPT
iptables -A intranet -s 213.59.78.0/23 -j ACCEPT
iptables -A intranet -s 89.151.128.0/18 -j ACCEPT
iptables -P INPUT DENY
iptables -A INPUT -p tcp --tcp-flags SYN.ACK ACK -j ACCEPT
iptables -A INPUT -j intranet
(L)

Сообщение отредактировал Ayoni - Sep 25 2007, 22:54

[SiMM]

iptables -A intranet -s 172.16.0.0/16 -j ACCEPT

Только не 16, а 12.
http://tools.ietf.org/html/rfc1918
Ну и при таком раскладе "иличтотамутебя" автоматом будет разрешено, так что в отдельном правиле не нуждается.

[wMw]

iptables -P INPUT DENY
iptables -A INPUT -p tcp --tcp-flags SYN.ACK ACK -j ACCEPT
iptables -A INPUT -j intnets

а в intnets - проверка на соответствие бесплатным адресам
iptables -A intnets -s $subnet1/mask1 -j ACCEPT
...

для ADSL

iptables -N intranet
iptables -A intranet -s 192.168.иличтотамутебя -j ACCEPT
iptables -A intranet -s 213.24.220.0/22 -j ACCEPT
iptables -A intranet -s 213.24.104.0/21 -j ACCEPT
iptables -A intranet -s 10.0.0.0/8 -j ACCEPT
iptables -A intranet -s 192.168.0.0/16 -j ACCEPT
iptables -A intranet -s 172.16.0.0/16 -j ACCEPT
iptables -A intranet -s 217.106.164.0/22 -j ACCEPT
iptables -A intranet -s 217.107.172.0/23 -j ACCEPT
iptables -A intranet -s 213.59.78.0/23 -j ACCEPT
iptables -A intranet -s 89.151.128.0/18 -j ACCEPT
iptables -P INPUT DENY
iptables -A INPUT -p tcp --tcp-flags SYN.ACK ACK -j ACCEPT
iptables -A INPUT -j intranet

В iptables -P INPUT DENY пишет Bad policy name

Мдя уж совсем непонимаю что все эти команды делают с ИП эт лан исключения как вроде Может у кого русский how-to будет

А можно сразу такой списочек чтобы все блочило и ВТ разрешало.Думаю всем такое надо

Сообщение отредактировал wMw - Sep 23 2007, 20:03

[vituuha]

В iptables -P INPUT DENY пишет Bad policy name

Мдя уж совсем непонимаю что все эти команды делают с ИП эт лан исключения как вроде Может у кого русский how-to будет

opennet.ru тебе в руки, по iptables на русском там много инфы и тд

[fajro]

iptables -P INPUT DENY
iptables -A INPUT -p tcp --tcp-flags SYN.ACK ACK -j ACCEPT
iptables -A INPUT -j intnets

а в intnets - проверка на соответствие бесплатным адресам
iptables -A intnets -s $subnet1/mask1 -j ACCEPT
...

для ADSL

iptables -N intranet
iptables -A intranet -s 192.168.иличтотамутебя -j ACCEPT
iptables -A intranet -s 213.24.220.0/22 -j ACCEPT
iptables -A intranet -s 213.24.104.0/21 -j ACCEPT
iptables -A intranet -s 10.0.0.0/8 -j ACCEPT
iptables -A intranet -s 192.168.0.0/16 -j ACCEPT
iptables -A intranet -s 172.16.0.0/16 -j ACCEPT
iptables -A intranet -s 217.106.164.0/22 -j ACCEPT
iptables -A intranet -s 217.107.172.0/23 -j ACCEPT
iptables -A intranet -s 213.59.78.0/23 -j ACCEPT
iptables -A intranet -s 89.151.128.0/18 -j ACCEPT
iptables -P INPUT DENY
iptables -A INPUT -p tcp --tcp-flags SYN.ACK ACK -j ACCEPT
iptables -A INPUT -j intranet
(L)

уууу Айончег скока буков))) и вопрос по существу это все лочит внешнит траф полностью? т.е. буит ли у меня доступ на внешку или только на разрешенные диапазоны? и если таки доступа НЕ будет то нафиг так делать?
opennet.ru это конечно хорошо но оно внешка и читать я полаю нада будет дофигищу... помоему проще сделать один шаблон на всех ленивых линуксойдов ВТщников и прекратить уже посылать курить маны...

Сообщение отредактировал fajro - Oct 3 2007, 21:59

[Amp]

Не у всех ленивых линуксоидов "трафикофобия".

[SiMM]

помоему проще сделать один шаблон на всех ленивых линуксойдов ВТщников и прекратить уже посылать курить маны...

Проще - это послать нафиг лентяев

[wMw]

Млин глупо велосипед создавать будет каждый мучиться, вот я додумаюсь и выложу на Wiki .
Следую хакерской культуре
На то моя подпись

[fajro]

ха
ну вот... почитал man, понял что тут что значит... и тока потом понял что первые три строчки в Айонькином сообщении вообще не нужны т.к. они идут в конце... т.е. достаточно ввести вот это все:

iptables -N intranet
iptables -A intranet -s 213.24.220.0/22 -j ACCEPT
iptables -A intranet -s 213.24.104.0/21 -j ACCEPT
iptables -A intranet -s 10.0.0.0/8 -j ACCEPT
iptables -A intranet -s 192.168.0.0/16 -j ACCEPT
iptables -A intranet -s 172.16.0.0/12 -j ACCEPT
iptables -A intranet -s 217.106.164.0/22 -j ACCEPT
iptables -A intranet -s 217.107.172.0/23 -j ACCEPT
iptables -A intranet -s 213.59.78.0/23 -j ACCEPT
iptables -A intranet -s 89.151.128.0/18 -j ACCEPT
iptables -P INPUT DROP
iptables -A INPUT -p tcp --tcp-flags SYN,ACK ACK -j ACCEPT
iptables -A INPUT -j intranet

и буит те щастье... все проверено на себе))) ггг
wMw могешь создавать тему в Wiki...
теперь другой вопрос как получить доступ на внешку))))???
(к примеру разрешить kopete, kmail и firefox дотсуп)

Сообщение отредактировал fajro - Oct 7 2007, 15:21

[ChapaySergey]

Да поможет вам selinux

[fajro]

кстати есть еще предложение вместо фильтрации входящих сделать фильтрацию исходящих
типа так
iptables -A OUTPUT -m owner --uid-owner 1000 -j ACCEPT
типа такому то юзеру разрешено...

Сообщение отредактировал fajro - Oct 7 2007, 17:33

[Гость_karpen_*]

кстати есть еще предложение вместо фильтрации входящих сделать фильтрацию исходящих
типа так
iptables -A OUTPUT -m owner --uid-owner 1000 -j ACCEPT
типа такому то юзеру разрешено...

Зачем тебе, ты же на своем компе рута имеешь, если иптаблес настраиваешь . Приличные мальчики добавляют еще фильтрацию на "плохость" пакетов.

Код

iptables -A INPUT   -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP

и т.д.
И держим соединение которое уже установлено.

Код

iptables -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

PS Нет общего конфига, у каждого он индивидуален.
PPS А selinux ваще идет лесом, не к делу он

[fajro]

Зачем тебе, ты же на своем компе рута имеешь, если иптаблес настраиваешь . Приличные мальчики добавляют еще фильтрацию на "плохость" пакетов.

Код

iptables -A INPUT   -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP

и т.д.
И держим соединение которое уже установлено.

Код

iptables -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

PS Нет общего конфига, у каждого он индивидуален.
PPS А selinux ваще идет лесом, не к делу он

так я то не рутом сижу... какой нафиг рут в кубунте... а за очтальное пасиб... добавим...

[wMw]

СПАСИБО +ПЯДЪЪ ВСИИЕЕЕММ

Гы терь у карпена 4 звезды

Сообщение отредактировал wMw - Oct 8 2007, 11:08

[wMw]

Я выполнил все эти команды, но на www.ya.ru все равно могу выйти.Думаю может iptables не запущен.Вожу команду service iptables start и говорит нет такой службы iptables.Что делать теперь?
Так-то iptables у меня установлен.

Явно надо еще что сделать после ввода команды, обьясните пожалуйста

ЗЫ: openSuSE 10.3

Сообщение отредактировал wMw - Oct 13 2007, 16:44

[wMw]

UP !

[Гость_karpen_*]

Сделай, плз,

Код

iptables -L -v

, если что-то покажет, да еще размер в байтах даст, то иптаблес и так работает. Про сервайсы рано разговаривать, сначало с иптаблес разберись . А на ya.ru ты не можешь выйти по причине неправильно настроенных правил или вес у правил в цепочке не равноценен. Так что иптаблес наверняка работает.

Сообщение отредактировал karpen - Oct 15 2007, 12:03

[wMw]

Не так прочитал, я МОГУ вйти на ya.ru, в этом и проблема
Сделал я iptables -L -v есть статистика и пакеты переданые

Вообщем блин достало меня это, откапал старый Спец Хакер, приступаю к чтению статьи "Выжми из фаервола все"