Версия для печати темы
PAUK-NET.RU - Бесплатный ADSL портал Чувашии _ Операционные системы _ Блокировка внешнего трафика в Linux
Автор: sad_but_true Sep 23 2007, 19:10
man iptables
Автор: Ayoni Sep 23 2007, 19:16
iptables -P INPUT DENY
iptables -A INPUT -p tcp --tcp-flags SYN.ACK ACK -j ACCEPT
iptables -A INPUT -j intnets
а в intnets - проверка на соответствие бесплатным адресам
iptables -A intnets -s $subnet1/mask1 -j ACCEPT
...
для ADSL
iptables -N intranet
iptables -A intranet -s 192.168.иличтотамутебя -j ACCEPT
iptables -A intranet -s 213.24.220.0/22 -j ACCEPT
iptables -A intranet -s 213.24.104.0/21 -j ACCEPT
iptables -A intranet -s 10.0.0.0/8 -j ACCEPT
iptables -A intranet -s 192.168.0.0/16 -j ACCEPT
iptables -A intranet -s 172.16.0.0/16 -j ACCEPT
iptables -A intranet -s 217.106.164.0/22 -j ACCEPT
iptables -A intranet -s 217.107.172.0/23 -j ACCEPT
iptables -A intranet -s 213.59.78.0/23 -j ACCEPT
iptables -A intranet -s 89.151.128.0/18 -j ACCEPT
iptables -P INPUT DENY
iptables -A INPUT -p tcp --tcp-flags SYN.ACK ACK -j ACCEPT
iptables -A INPUT -j intranet
(L)
Автор: SiMM Sep 23 2007, 19:32
Цитата(Ayoni @ Sep 23 2007, 20:16)
iptables -A intranet -s 172.16.0.0/16 -j ACCEPT
Только не 16, а 12.
http://tools.ietf.org/html/rfc1918
Ну и при таком раскладе "иличтотамутебя" автоматом будет разрешено, так что в отдельном правиле не нуждается.
Автор: wMw Sep 23 2007, 20:00
Цитата(Ayoni @ Sep 23 2007, 20:16)
iptables -P INPUT DENY
iptables -A INPUT -p tcp --tcp-flags SYN.ACK ACK -j ACCEPT
iptables -A INPUT -j intnets
а в intnets - проверка на соответствие бесплатным адресам
iptables -A intnets -s $subnet1/mask1 -j ACCEPT
...
для ADSL
iptables -N intranet
iptables -A intranet -s 192.168.иличтотамутебя -j ACCEPT
iptables -A intranet -s 213.24.220.0/22 -j ACCEPT
iptables -A intranet -s 213.24.104.0/21 -j ACCEPT
iptables -A intranet -s 10.0.0.0/8 -j ACCEPT
iptables -A intranet -s 192.168.0.0/16 -j ACCEPT
iptables -A intranet -s 172.16.0.0/16 -j ACCEPT
iptables -A intranet -s 217.106.164.0/22 -j ACCEPT
iptables -A intranet -s 217.107.172.0/23 -j ACCEPT
iptables -A intranet -s 213.59.78.0/23 -j ACCEPT
iptables -A intranet -s 89.151.128.0/18 -j ACCEPT
iptables -P INPUT DENY
iptables -A INPUT -p tcp --tcp-flags SYN.ACK ACK -j ACCEPT
iptables -A INPUT -j intranet
В iptables -P INPUT DENY пишет Bad policy name
Мдя уж совсем непонимаю что все эти команды делают с ИП эт лан исключения как вроде
Может у кого русский how-to будет
А можно сразу такой списочек чтобы все блочило и ВТ разрешало.Думаю всем такое надо
Автор: vituuha Oct 2 2007, 19:36
Цитата(wMw @ Sep 23 2007, 21:00)
В iptables -P INPUT DENY пишет Bad policy name
Мдя уж совсем непонимаю что все эти команды делают с ИП эт лан исключения как вроде
Может у кого русский how-to будет
opennet.ru тебе в руки, по iptables на русском там много инфы и тд
Автор: fajro Oct 3 2007, 21:57
Цитата(Ayoni @ Sep 23 2007, 20:16)
iptables -P INPUT DENY
iptables -A INPUT -p tcp --tcp-flags SYN.ACK ACK -j ACCEPT
iptables -A INPUT -j intnets
а в intnets - проверка на соответствие бесплатным адресам
iptables -A intnets -s $subnet1/mask1 -j ACCEPT
...
для ADSL
iptables -N intranet
iptables -A intranet -s 192.168.иличтотамутебя -j ACCEPT
iptables -A intranet -s 213.24.220.0/22 -j ACCEPT
iptables -A intranet -s 213.24.104.0/21 -j ACCEPT
iptables -A intranet -s 10.0.0.0/8 -j ACCEPT
iptables -A intranet -s 192.168.0.0/16 -j ACCEPT
iptables -A intranet -s 172.16.0.0/16 -j ACCEPT
iptables -A intranet -s 217.106.164.0/22 -j ACCEPT
iptables -A intranet -s 217.107.172.0/23 -j ACCEPT
iptables -A intranet -s 213.59.78.0/23 -j ACCEPT
iptables -A intranet -s 89.151.128.0/18 -j ACCEPT
iptables -P INPUT DENY
iptables -A INPUT -p tcp --tcp-flags SYN.ACK ACK -j ACCEPT
iptables -A INPUT -j intranet
(L)
уууу Айончег скока буков))) и вопрос по существу это все лочит внешнит траф полностью? т.е. буит ли у меня доступ на внешку или только на разрешенные диапазоны? и если таки доступа НЕ будет то нафиг так делать?
opennet.ru это конечно хорошо но оно внешка и читать я полаю нада будет дофигищу... помоему проще сделать один шаблон на всех ленивых линуксойдов ВТщников и прекратить уже посылать курить маны...
Автор: Amp Oct 3 2007, 22:13
Не у всех ленивых линуксоидов "трафикофобия".
Автор: SiMM Oct 3 2007, 22:47
Цитата(fajro @ Oct 3 2007, 22:57)
помоему проще сделать один шаблон на всех ленивых линуксойдов ВТщников и прекратить уже посылать курить маны...
Проще - это послать нафиг лентяев
Автор: fajro Oct 7 2007, 13:20
ха
ну вот... почитал man, понял что тут что значит... и тока потом понял что первые три строчки в Айонькином сообщении вообще не нужны т.к. они идут в конце... т.е. достаточно ввести вот это все:
iptables -N intranet
iptables -A intranet -s 213.24.220.0/22 -j ACCEPT
iptables -A intranet -s 213.24.104.0/21 -j ACCEPT
iptables -A intranet -s 10.0.0.0/8 -j ACCEPT
iptables -A intranet -s 192.168.0.0/16 -j ACCEPT
iptables -A intranet -s 172.16.0.0/12 -j ACCEPT
iptables -A intranet -s 217.106.164.0/22 -j ACCEPT
iptables -A intranet -s 217.107.172.0/23 -j ACCEPT
iptables -A intranet -s 213.59.78.0/23 -j ACCEPT
iptables -A intranet -s 89.151.128.0/18 -j ACCEPT
iptables -P INPUT DROP
iptables -A INPUT -p tcp --tcp-flags SYN,ACK ACK -j ACCEPT
iptables -A INPUT -j intranet
и буит те щастье... все проверено на себе))) ггг
wMw могешь создавать тему в Wiki...
теперь другой вопрос как получить доступ на внешку))))???
(к примеру разрешить kopete, kmail и firefox дотсуп)
Автор: ChapaySergey Oct 7 2007, 17:04
Да поможет вам selinux
Автор: fajro Oct 7 2007, 17:32
кстати есть еще предложение вместо фильтрации входящих сделать фильтрацию исходящих
типа так
iptables -A OUTPUT -m owner --uid-owner 1000 -j ACCEPT
типа такому то юзеру разрешено...
Автор: karpen Oct 7 2007, 19:31
Цитата(fajro @ Oct 7 2007, 18:32)
кстати есть еще предложение вместо фильтрации входящих сделать фильтрацию исходящих
типа так
iptables -A OUTPUT -m owner --uid-owner 1000 -j ACCEPT
типа такому то юзеру разрешено...
Зачем тебе, ты же на своем компе рута имеешь, если иптаблес настраиваешь
. Приличные мальчики добавляют еще фильтрацию на "плохость" пакетов.
Код
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP
и т.д.
И держим соединение которое уже установлено.
Код
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
PS Нет общего конфига, у каждого он индивидуален.
PPS А selinux ваще идет лесом, не к делу он
Автор: fajro Oct 8 2007, 00:36
Цитата(karpen @ Oct 7 2007, 20:31)
Зачем тебе, ты же на своем компе рута имеешь, если иптаблес настраиваешь
. Приличные мальчики добавляют еще фильтрацию на "плохость" пакетов.
Код
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP
и т.д.
И держим соединение которое уже установлено.
Код
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
PS Нет общего конфига, у каждого он индивидуален.
PPS А selinux ваще идет лесом, не к делу он
так я то не рутом сижу... какой нафиг рут в кубунте... а за очтальное пасиб... добавим...
Автор: wMw Oct 13 2007, 16:43
Я выполнил все эти команды, но на www.ya.ru все равно могу выйти.Думаю может iptables не запущен.Вожу команду service iptables start и говорит нет такой службы iptables.Что делать теперь?
Так-то iptables у меня установлен.
Явно надо еще что сделать после ввода команды, обьясните пожалуйста
ЗЫ: openSuSE 10.3
Автор: wMw Oct 14 2007, 16:26
UP !
Автор: karpen Oct 15 2007, 12:00
Сделай, плз,
Код
iptables -L -v
, если что-то покажет, да еще размер в байтах даст, то иптаблес и так работает. Про сервайсы рано разговаривать, сначало с иптаблес разберись
. А на ya.ru ты не можешь выйти по причине неправильно настроенных правил или вес у правил в цепочке не равноценен. Так что иптаблес наверняка работает.
Автор: wMw Oct 15 2007, 17:43
Не так прочитал, я МОГУ вйти на ya.ru, в этом и проблема
Сделал я iptables -L -v есть статистика и пакеты переданые
Вообщем блин достало меня это, откапал старый Спец Хакер, приступаю к чтению статьи "Выжми из фаервола все"
Автор: karpen Oct 16 2007, 00:18
У тебя неправильно стоит политика по умолчанию.
Сделай
Код
iptables -P INPUT DROP
Должно помочь.
Автор: wMw Oct 16 2007, 13:33
Муахх конечно сделал, вылетаю ишо как
Я удалил вооще все правила iptables -F
Затем добавил iptables -P INPUT DROP все блокировать, по*уй ветер, дальше лазию
Автор: wMw Oct 28 2007, 18:27
Я все сделал просто этот самый SuSEfirewall сервис при подключении заносит свои правила в iptables, я отключил SuSEfirewall
теперь все в порядке блочит внешний трафик и прописал в /etc/init.d/boot.local "iptables-restore < path-to-rules" все востонавливается
Но вот проблема появилась правила восстанавливаются , а Gnome запускаться не хочет, он запускается когда стрелка появляется (перед окошком с типа загрузка аплетов, панелей, значков) зависает на этом месте
Вот это я прописал в boot.local
Код
iptables-restore < /etc/sysconfig/iptables.rules
И все гладко, правила восстанавливаются, но при такой команде виснет на загрузке Gnome'ик.
Прикол если я другу команду добавлю ("mkdir /home/me/wazzzup") то все в порядке
Что делать, кто-нибудь сталкивался с этим ?
Может быть в другое место прописать ?
Автор: fajro Nov 10 2007, 18:41
вообще то список вот тут есть - http://pauk.net.ru/wiki/Linux_netfilter
Автор: fajro Mar 26 2008, 16:38
в связи с последними изменениями:
Цитата
iptables -N intranet
iptables -A intranet -s 10.0.0.0/8 -j ACCEPT
iptables -A intranet -s 89.151.128.0/18 -j ACCEPT
iptables -A intranet -s 192.168.0.0/16 -j ACCEPT
iptables -A intranet -s 172.16.0.0/16 -j ACCEPT
iptables -P INPUT DROP
iptables -A OUTPUT -m owner --uid-owner 0 -j ACCEPT
iptables -A OUTPUT -m owner --uid-owner 1000 -j ACCEPT
iptables -A INPUT -p tcp --tcp-flags SYN,ACK ACK -j ACCEPT
iptables -A INPUT -j intranet
Автор: JOKESTER Jul 16 2008, 16:01
с новыми адресами нет?
Автор: Amp Jul 16 2008, 18:26
Цитата(JOKESTER @ Jul 16 2008, 17:01)
с новыми адресами нет?
Напиши
Автор: JOKESTER Jul 16 2008, 18:54
Цитата(Amp @ Jul 16 2008, 19:26)
Напиши
вместе c 79 и j ресурсами
Автор: JOKESTER Aug 5 2008, 12:05
Код
iptables -N intranet
iptables -A intranet -s 10.0.0.0/8 -j ACCEPT
iptables -A intranet -s 89.151.128.0/18 -j ACCEPT
iptables -A intranet -s 192.168.0.0/16 -j ACCEPT
iptables -A intranet -s 172.16.0.0/16 -j ACCEPT
iptables -A intranet -s 79.133.128.0/19 -j ACCEPT
iptables -A intranet -s 89.109.7.82 -j ACCEPT
iptables -A intranet -s 89.109.7.83 -j ACCEPT
iptables -A intranet -s 89.109.7.84 -j ACCEPT
iptables -A intranet -s 89.109.7.85 -j ACCEPT
iptables -A intranet -s 89.109.33.178 -j ACCEPT
iptables -A intranet -s 89.109.33.179 -j ACCEPT
iptables -A intranet -s 82.208.87.226 -j ACCEPT
iptables -A intranet -s 82.208.87.227 -j ACCEPT
iptables -A intranet -s 82.208.87.228 -j ACCEPT
iptables -A intranet -s 82.208.87.229 -j ACCEPT
iptables -A intranet -s 82.208.87.230 -j ACCEPT
iptables -A intranet -s 82.208.87.231 -j ACCEPT
iptables -A intranet -s 82.208.87.232 -j ACCEPT
iptables -A intranet -s 82.208.87.233 -j ACCEPT
iptables -A intranet -s 82.208.87.234 -j ACCEPT
iptables -A intranet -s 82.208.87.235 -j ACCEPT
iptables -A intranet -s 82.208.87.236 -j ACCEPT
iptables -A intranet -s 82.208.87.237 -j ACCEPT
iptables -A intranet -s 82.208.87.238 -j ACCEPT
iptables -A intranet -s 82.208.87.239 -j ACCEPT
iptables -A intranet -s 82.208.87.240 -j ACCEPT
iptables -A intranet -s 82.208.87.241 -j ACCEPT
iptables -A intranet -s 82.208.87.242 -j ACCEPT
iptables -A intranet -s 82.208.87.243 -j ACCEPT
iptables -A intranet -s 85.95.164.36 -j ACCEPT
iptables -A intranet -s 85.95.164.37 -j ACCEPT
iptables -A intranet -s 80.95.32.114 -j ACCEPT
iptables -A intranet -s 80.95.32.115 -j ACCEPT
iptables -A intranet -s 88.147.128.20 -j ACCEPT
iptables -A intranet -s 88.147.128.21 -j ACCEPT
iptables -A intranet -s 88.147.128.22 -j ACCEPT
iptables -A intranet -s 88.147.128.23 -j ACCEPT
iptables -A intranet -s 88.200.171.178 -j ACCEPT
iptables -A intranet -s 88.200.171.179 -j ACCEPT
iptables -A intranet -s 88.200.171.180 -j ACCEPT
iptables -A intranet -s 88.200.171.181 -j ACCEPT
iptables -A intranet -s 89.239.186.18 -j ACCEPT
iptables -A intranet -s 89.239.186.19 -j ACCEPT
iptables -A intranet -s 213.135.97.162 -j ACCEPT
iptables -A intranet -s 213.135.97.163 -j ACCEPT
iptables -A intranet -s 78.85.3.132 -j ACCEPT
iptables -A intranet -s 78.85.3.133 -j ACCEPT
iptables -A intranet -s 78.85.3.134 -j ACCEPT
iptables -A intranet -s 78.85.3.135 -j ACCEPT
iptables -A intranet -s 217.9.151.18 -j ACCEPT
iptables -A intranet -s 217.9.151.19 -j ACCEPT
iptables -A intranet -s 77.40.124.106 -j ACCEPT
iptables -A intranet -s 77.40.124.107 -j ACCEPT
iptables -P INPUT DROP
iptables -A OUTPUT -m owner --uid-owner 0 -j ACCEPT
iptables -A OUTPUT -m owner --uid-owner 1000 -j ACCEPT
iptables -A INPUT -p tcp --tcp-flags SYN,ACK ACK -j ACCEPT
iptables -A INPUT -j intranet
Форум Invision Power Board (http://nulled.cc)
© Invision Power Services (http://nulled.cc)