Настройка Iptables firewall ! |
Здравствуйте, гость ( Вход | Регистрация )
Настройка Iptables firewall ! |
Гость_sashik_* |
May 25 2007, 09:05
Сообщение
#1
|
Guests |
Поделитесь советами линуксоиды! Где находятся все его .conf файлы и вообще давайте настроим его чисто на внутриние IP адреса ВолгаТелекома!
|
|
|
May 25 2007, 13:02
Сообщение
#2
|
|
Мега постер Группа: Local moder Сообщений: 1,712 Регистрация: 21.8.2006 Пользователь №: 1,269 |
Я полагаю, что мало кому из линуксоидов сдалась эта самая настройка на "чисто внутренние" адреса ВТ.
На опеннете лежит объемный док по настройке - www.opennet.ru/docs/RUS/iptables/ -------------------- |
|
|
Гость_sashik_* |
May 25 2007, 15:38
Сообщение
#3
|
Guests |
Я полагаю, что мало кому из линуксоидов сдалась эта самая настройка на "чисто внутренние" адреса ВТ. На опеннете лежит объемный док по настройке - www.opennet.ru/docs/RUS/iptables/ Обсуждать это на форуме с людьми интересней, чем читать это в доках! Здесь можно спросить о многом что не написано там. Люди советуйте, пишите что знаете! |
|
|
Гость_axiz_* |
May 25 2007, 16:09
Сообщение
#4
|
Guests |
|
|
|
May 28 2007, 16:59
Сообщение
#5
|
|
Мега постер Группа: Local moder Сообщений: 1,712 Регистрация: 21.8.2006 Пользователь №: 1,269 |
Fwbuilder не катит?
Цитата Firewall Builder состоит из графического интерфейса и набора компиляторов политик для различных файерволов. Программа помогает пользователю редактировать правила с помощью операций drag'n'drop. Текущая версия поддерживает iptables, ipfilter, ipfw, pf от OpenBSD и Cisco PIX.
-------------------- |
|
|
Гость_Daid21_* |
Jun 21 2007, 11:02
Сообщение
#6
|
Guests |
Могу только обьяснить как настроить маскардинг .... -т.е. у локали будет выход только на те IP, которые ты пропишешь.
|
|
|
Гость_sashik_* |
Jun 21 2007, 14:03
Сообщение
#7
|
Guests |
Да конечно обьясни
|
|
|
Гость_karpen_* |
Jun 21 2007, 14:06
Сообщение
#8
|
Guests |
Могу только обьяснить как настроить маскардинг .... -т.е. у локали будет выход только на те IP, которые ты пропишешь. Что за трафку вы употребляете? http://www.p-stone.ru/libr/os/linux/data/p...x.shtml?minimal Цитата 4. NAT в IPTables
Маскарадинг (masquerading) и трансляция ip-адресов (NAT) в Linux. Что это такое, что можно и что нельзя. Если у Вас есть локальная сеть, подключенная к сети Интернет через linux сервер, и в этой локальной сети используются «серые» ip адреса, то одним из способов выхода в Интернет может стать использование NAT. Или наоборот, с помощью NAT можно осуществить доступ из Интернет например к web серверу расположенному в локальной сети и не имеющему реального ip-адреса. Этот документ содержит несколько терминов, которые следует пояснить прежде, чем вы столкнетесь с ними. 1. «Серый» IP адрес (он же приватный, он же фейковый он же частный) - IP адрес из специально выделенных подсетей, которые не используются в сети Интернет, и зарезервированы для использования в локальных сетях (intranet). В каждом классе (A B С) зарезервировано по одной подсети: Класс А 10.0.0.0 - 10.255.255.255 Класс B 172.16.0.0 - 172.31.255.255 Класс C 192.168.0.0 - 192.168.255.255 2. «Белый» IP адрес (он же реальный, он же публичный) – IP адрес, не входящий в «серые» подсети и использующийся в сети Интернет. 3. Маскарад (MASQUERADE) - замена сетевого адреса получателя в заголовке пакета на адрес, находящийся на исходящем интерфейсе машины, выполняющей маскарад, и соответственно обратная операция при получении ответного пакета. Маскарад применяется в тех же целях, что и SNAT, но в отличие от последней, MASQUERADE дает более сильную нагрузку на систему. Происходит это потому, что каждый раз, когда требуется выполнение этого действия - производится запрос IP адреса для указанного в действии сетевого интерфейса, в то время как для SNAT IP адрес указывается непосредственно. Однако, благодаря такому отличию, MASQUERADE может работать в случаях с динамическим IP адресом, т.е. когда вы подключаетесь к Интернет, скажем через PPP, SLIP или DHCP. 4. Трансляция адресов (NAT – network address translation) – замена сетевого адреса получателя в заголовке пакета на любой указанный, и соответственно обратная операция при получении ответного пакета. 5. DNAT - от англ. Destination Network Address Translation - изменение сетевого адреса получателя. DNAT - это изменение адреса назначения в заголовке пакета. Зачастую используется в паре с SNAT. Основное применение - предоставление дополнительных сетевых услуг внешним клиентам. 6. SNAT - от англ. Source Network Address Translation - изменение сетевого адреса отправителя. SNAT - это изменение исходного адреса в заголовке пакета. Основное применение - использование единственного реального IP-адреса несколькими компьютерами для выхода в Интернет. Общие положения Когда пакет приходит на наш брандмауэр, то он сперва попадает на сетевое устройство, перехватывается соответствующим драйвером и далее передается в ядро. Далее пакет проходит ряд таблиц iptables и затем передается либо локальному приложению, либо переправляется на другую машину. Сообщение отредактировал karpen - Jun 21 2007, 14:10 |
|
|
Гость_SPY_* |
Sep 1 2007, 21:45
Сообщение
#9
|
Guests |
Могу только обьяснить как настроить маскардинг .... -т.е. у локали будет выход только на те IP, которые ты пропишешь. Соглашусь с товарищем Karpen, у Вас немного не правильное понимание того что такое маскарадинг. Итак все по порядку: 1. Iptables не хранит свои настройки в конфигах, этих конфигов попросту нет. Правила для Iptables должны подгружаться при загрузке компьютера, например обычным bash-скриптом. 2. Цитата Маскарадинг подразумевает получение IP адреса от заданного сетевого интерфейса, вместо прямого его указания, как это делается с помощью ключа --to-source в действии SNAT. Действие MASQUERADE имеет хорошее свойство - "забывать" соединения при остановке сетевого интерфейса. В случае же SNAT, в этой ситуации, в таблице трассировщика остаются данные о потерянных соединениях, и эти данные могут сохраняться до суток, поглощая ценную память. Эффект "забывчивости" связан с тем, что при остановке сетевого интерфейса с динамическим IP адресом, есть вероятность на следующем запуске получить другой IP адрес, но в этом случае любые соединения все равно будут потеряны, и было бы глупо хранить трассировочную информацию. Тоесть если вы выходите в инет через роутер, то адреса отправителя в будут "маскарадиться" - подставляться Ip адрес роутера. 3. Самый простой способ ограничить прохождение пакетов к конкретному Ip это составить правило подобное: iptables -A INPUT -p tcp --dst 192.168.0.1 -j DROP В качестве параметра условию dst может быть передано несколько Ip либо подсеть. PS: Вышеупомянутое правило мужно набирать в консоли. |
|
|
Sep 23 2007, 13:06
Сообщение
#10
|
|
Продвинутый пользователь Группа: Posters Сообщений: 254 Регистрация: 12.7.2006 Из: Mw Пользователь №: 928 |
Выложите сюда иль куда-нибудь инструкцию =) как блокировать все кромe ВолгаТелекома
Я юзаю Mandriva Linux 2007 Spring -------------------- 0 1 0
0 0 1 1 1 1 |
|
|
Текстовая версия | Сейчас: 29th April 2024 - 00:19 |