Настройка Iptables firewall ! Опции

[Гость_sashik_*]

Поделитесь советами линуксоиды! Где находятся все его .conf файлы и вообще давайте настроим его чисто на внутриние IP адреса ВолгаТелекома!

[Amp]

Я полагаю, что мало кому из линуксоидов сдалась эта самая настройка на "чисто внутренние" адреса ВТ.
На опеннете лежит объемный док по настройке - www.opennet.ru/docs/RUS/iptables/

[Гость_sashik_*]

Я полагаю, что мало кому из линуксоидов сдалась эта самая настройка на "чисто внутренние" адреса ВТ.
На опеннете лежит объемный док по настройке - www.opennet.ru/docs/RUS/iptables/

Обсуждать это на форуме с людьми интересней, чем читать это в доках! Здесь можно спросить о многом что не написано там.

Люди советуйте, пишите что знаете!

[Гость_axiz_*]

Обсуждать это на форуме с людьми интересней, чем читать это в доках! Здесь можно спросить о многом что не написано там.

Люди советуйте, пишите что знаете!

Имхо, лучше читать.

я могу выложить свои правила iptables, но они тебе не подойдут

[Amp]

Fwbuilder не катит?

Firewall Builder состоит из графического интерфейса и набора компиляторов политик для различных файерволов. Программа помогает пользователю редактировать правила с помощью операций drag'n'drop. Текущая версия поддерживает iptables, ipfilter, ipfw, pf от OpenBSD и Cisco PIX.

[Гость_Daid21_*]

Могу только обьяснить как настроить маскардинг .... -т.е. у локали будет выход только на те IP, которые ты пропишешь.

[Гость_sashik_*]

Да конечно обьясни

[Гость_karpen_*]

Могу только обьяснить как настроить маскардинг .... -т.е. у локали будет выход только на те IP, которые ты пропишешь.

Что за трафку вы употребляете?

http://www.p-stone.ru/libr/os/linux/data/p...x.shtml?minimal

4. NAT в IPTables

Маскарадинг (masquerading) и трансляция ip-адресов (NAT) в Linux. Что это такое, что можно и что нельзя.

Если у Вас есть локальная сеть, подключенная к сети Интернет через linux сервер, и в этой локальной сети используются «серые» ip адреса, то одним из способов выхода в Интернет может стать использование NAT. Или наоборот, с помощью NAT можно осуществить доступ из Интернет например к web серверу расположенному в локальной сети и не имеющему реального ip-адреса.

Этот документ содержит несколько терминов, которые следует пояснить прежде, чем вы столкнетесь с ними.

1. «Серый» IP адрес (он же приватный, он же фейковый он же частный) - IP адрес из специально выделенных подсетей, которые не используются в сети Интернет, и зарезервированы для использования в локальных сетях (intranet). В каждом классе (A B С) зарезервировано по одной подсети:

Класс А 10.0.0.0 - 10.255.255.255
Класс B 172.16.0.0 - 172.31.255.255
Класс C 192.168.0.0 - 192.168.255.255

2. «Белый» IP адрес (он же реальный, он же публичный) – IP адрес, не входящий в «серые» подсети и использующийся в сети Интернет.
3. Маскарад (MASQUERADE) - замена сетевого адреса получателя в заголовке пакета на адрес, находящийся на исходящем интерфейсе машины, выполняющей маскарад, и соответственно обратная операция при получении ответного пакета. Маскарад применяется в тех же целях, что и SNAT, но в отличие от последней, MASQUERADE дает более сильную нагрузку на систему. Происходит это потому, что каждый раз, когда требуется выполнение этого действия - производится запрос IP адреса для указанного в действии сетевого интерфейса, в то время как для SNAT IP адрес указывается непосредственно. Однако, благодаря такому отличию, MASQUERADE может работать в случаях с динамическим IP адресом, т.е. когда вы подключаетесь к Интернет, скажем через PPP, SLIP или DHCP.
4. Трансляция адресов (NAT – network address translation) – замена сетевого адреса получателя в заголовке пакета на любой указанный, и соответственно обратная операция при получении ответного пакета.
5. DNAT - от англ. Destination Network Address Translation - изменение сетевого адреса получателя. DNAT - это изменение адреса назначения в заголовке пакета. Зачастую используется в паре с SNAT. Основное применение - предоставление дополнительных сетевых услуг внешним клиентам.
6. SNAT - от англ. Source Network Address Translation - изменение сетевого адреса отправителя. SNAT - это изменение исходного адреса в заголовке пакета. Основное применение - использование единственного реального IP-адреса несколькими компьютерами для выхода в Интернет.

Общие положения

Когда пакет приходит на наш брандмауэр, то он сперва попадает на сетевое устройство, перехватывается соответствующим драйвером и далее передается в ядро. Далее пакет проходит ряд таблиц iptables и затем передается либо локальному приложению, либо переправляется на другую машину.

Сообщение отредактировал karpen - Jun 21 2007, 14:10

[Гость_SPY_*]

Могу только обьяснить как настроить маскардинг .... -т.е. у локали будет выход только на те IP, которые ты пропишешь.

Соглашусь с товарищем Karpen, у Вас немного не правильное понимание того что такое маскарадинг.

Итак все по порядку:
1. Iptables не хранит свои настройки в конфигах, этих конфигов попросту нет. Правила для Iptables должны подгружаться при загрузке компьютера, например обычным bash-скриптом.
2.

Маскарадинг подразумевает получение IP адреса от заданного сетевого интерфейса, вместо прямого его указания, как это делается с помощью ключа --to-source в действии SNAT. Действие MASQUERADE имеет хорошее свойство - "забывать" соединения при остановке сетевого интерфейса. В случае же SNAT, в этой ситуации, в таблице трассировщика остаются данные о потерянных соединениях, и эти данные могут сохраняться до суток, поглощая ценную память. Эффект "забывчивости" связан с тем, что при остановке сетевого интерфейса с динамическим IP адресом, есть вероятность на следующем запуске получить другой IP адрес, но в этом случае любые соединения все равно будут потеряны, и было бы глупо хранить трассировочную информацию.

Тоесть если вы выходите в инет через роутер, то адреса отправителя в будут "маскарадиться" - подставляться Ip адрес роутера.
3. Самый простой способ ограничить прохождение пакетов к конкретному Ip это составить правило подобное:
iptables -A INPUT -p tcp --dst 192.168.0.1 -j DROP
В качестве параметра условию dst может быть передано несколько Ip либо подсеть.

PS: Вышеупомянутое правило мужно набирать в консоли.

[wMw]

Выложите сюда иль куда-нибудь инструкцию =) как блокировать все кромe ВолгаТелекома
Я юзаю Mandriva Linux 2007 Spring