Версия для печати темы

Автор: wMw Sep 23 2007, 16:28

Знаю тема или темы создавались, но там нен было ответа

Нужно внешний трафик блокировать iptables'ом или как посоветуете

Киньте пожалуйста сюда или ссылку на how-to или еще что
И со свежим диапазоном ВолгаТелеком

P.S: Я к ВолгаТелеком подключен, дистр Mandriva Linux 2007 Spring

Я думаю что не только я страдаю с утечкой трафом Это тема спасет нас

Автор: sad_but_true Sep 23 2007, 19:10

man iptables

Автор: Ayoni Sep 23 2007, 19:16

iptables -P INPUT DENY
iptables -A INPUT -p tcp --tcp-flags SYN.ACK ACK -j ACCEPT
iptables -A INPUT -j intnets

а в intnets - проверка на соответствие бесплатным адресам
iptables -A intnets -s $subnet1/mask1 -j ACCEPT
...

для ADSL

iptables -N intranet
iptables -A intranet -s 192.168.иличтотамутебя -j ACCEPT
iptables -A intranet -s 213.24.220.0/22 -j ACCEPT
iptables -A intranet -s 213.24.104.0/21 -j ACCEPT
iptables -A intranet -s 10.0.0.0/8 -j ACCEPT
iptables -A intranet -s 192.168.0.0/16 -j ACCEPT
iptables -A intranet -s 172.16.0.0/16 -j ACCEPT
iptables -A intranet -s 217.106.164.0/22 -j ACCEPT
iptables -A intranet -s 217.107.172.0/23 -j ACCEPT
iptables -A intranet -s 213.59.78.0/23 -j ACCEPT
iptables -A intranet -s 89.151.128.0/18 -j ACCEPT
iptables -P INPUT DENY
iptables -A INPUT -p tcp --tcp-flags SYN.ACK ACK -j ACCEPT
iptables -A INPUT -j intranet
(L)

Автор: SiMM Sep 23 2007, 19:32

Цитата(Ayoni @ Sep 23 2007, 20:16)

Автор: wMw Sep 23 2007, 20:00

Цитата(Ayoni @ Sep 23 2007, 20:16)

Автор: vituuha Oct 2 2007, 19:36

Цитата(wMw @ Sep 23 2007, 21:00)

В iptables -P INPUT DENY пишет Bad policy name

Мдя уж совсем непонимаю что все эти команды делают с ИП эт лан исключения как вроде Может у кого русский how-to будет

Автор: fajro Oct 3 2007, 21:57

Цитата(Ayoni @ Sep 23 2007, 20:16)

Автор: Amp Oct 3 2007, 22:13

Не у всех ленивых линуксоидов "трафикофобия".

Автор: SiMM Oct 3 2007, 22:47

Цитата(fajro @ Oct 3 2007, 22:57)

Автор: wMw Oct 4 2007, 06:44

Млин глупо велосипед создавать будет каждый мучиться, вот я додумаюсь и выложу на Wiki .
Следую хакерской культуре
На то моя подпись

Автор: fajro Oct 7 2007, 13:20

ха
ну вот... почитал man, понял что тут что значит... и тока потом понял что первые три строчки в Айонькином сообщении вообще не нужны т.к. они идут в конце... т.е. достаточно ввести вот это все:

iptables -N intranet
iptables -A intranet -s 213.24.220.0/22 -j ACCEPT
iptables -A intranet -s 213.24.104.0/21 -j ACCEPT
iptables -A intranet -s 10.0.0.0/8 -j ACCEPT
iptables -A intranet -s 192.168.0.0/16 -j ACCEPT
iptables -A intranet -s 172.16.0.0/12 -j ACCEPT
iptables -A intranet -s 217.106.164.0/22 -j ACCEPT
iptables -A intranet -s 217.107.172.0/23 -j ACCEPT
iptables -A intranet -s 213.59.78.0/23 -j ACCEPT
iptables -A intranet -s 89.151.128.0/18 -j ACCEPT
iptables -P INPUT DROP
iptables -A INPUT -p tcp --tcp-flags SYN,ACK ACK -j ACCEPT
iptables -A INPUT -j intranet

и буит те щастье... все проверено на себе))) ггг
wMw могешь создавать тему в Wiki...
теперь другой вопрос как получить доступ на внешку))))???
(к примеру разрешить kopete, kmail и firefox дотсуп)

Автор: ChapaySergey Oct 7 2007, 17:04

Да поможет вам selinux

Автор: fajro Oct 7 2007, 17:32

кстати есть еще предложение вместо фильтрации входящих сделать фильтрацию исходящих
типа так
iptables -A OUTPUT -m owner --uid-owner 1000 -j ACCEPT
типа такому то юзеру разрешено...

Автор: karpen Oct 7 2007, 19:31

Цитата(fajro @ Oct 7 2007, 18:32)

Автор: fajro Oct 8 2007, 00:36

Цитата(karpen @ Oct 7 2007, 20:31)

Зачем тебе, ты же на своем компе рута имеешь, если иптаблес настраиваешь . Приличные мальчики добавляют еще фильтрацию на "плохость" пакетов.

Код

iptables -A INPUT   -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP

и т.д.
И держим соединение которое уже установлено.

Код

iptables -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

PS Нет общего конфига, у каждого он индивидуален.
PPS А selinux ваще идет лесом, не к делу он

Автор: wMw Oct 8 2007, 11:07

СПАСИБО +ПЯДЪЪ ВСИИЕЕЕММ

Гы терь у карпена 4 звезды

Автор: wMw Oct 13 2007, 16:43

Я выполнил все эти команды, но на www.ya.ru все равно могу выйти.Думаю может iptables не запущен.Вожу команду service iptables start и говорит нет такой службы iptables.Что делать теперь?
Так-то iptables у меня установлен.

Явно надо еще что сделать после ввода команды, обьясните пожалуйста

ЗЫ: openSuSE 10.3

Автор: wMw Oct 14 2007, 16:26

UP !

Автор: karpen Oct 15 2007, 12:00

Сделай, плз,

Автор: wMw Oct 15 2007, 17:43

Не так прочитал, я МОГУ вйти на ya.ru, в этом и проблема
Сделал я iptables -L -v есть статистика и пакеты переданые

Вообщем блин достало меня это, откапал старый Спец Хакер, приступаю к чтению статьи "Выжми из фаервола все"

Автор: karpen Oct 16 2007, 00:18

У тебя неправильно стоит политика по умолчанию.
Сделай

Автор: wMw Oct 16 2007, 13:33

Муахх конечно сделал, вылетаю ишо как
Я удалил вооще все правила iptables -F

Затем добавил iptables -P INPUT DROP все блокировать, по*уй ветер, дальше лазию

Автор: wMw Oct 28 2007, 18:27

Я все сделал просто этот самый SuSEfirewall сервис при подключении заносит свои правила в iptables, я отключил SuSEfirewall
теперь все в порядке блочит внешний трафик и прописал в /etc/init.d/boot.local "iptables-restore < path-to-rules" все востонавливается

Но вот проблема появилась правила восстанавливаются , а Gnome запускаться не хочет, он запускается когда стрелка появляется (перед окошком с типа загрузка аплетов, панелей, значков) зависает на этом месте

Вот это я прописал в boot.local

Автор: fajro Nov 10 2007, 18:41

вообще то список вот тут есть - http://pauk.net.ru/wiki/Linux_netfilter

Автор: fajro Mar 26 2008, 16:38

в связи с последними изменениями:

Автор: JOKESTER Jul 16 2008, 16:01

с новыми адресами нет?

Автор: Amp Jul 16 2008, 18:26

Цитата(JOKESTER @ Jul 16 2008, 17:01)

Автор: JOKESTER Jul 16 2008, 18:54

Цитата(Amp @ Jul 16 2008, 19:26)

Автор: JOKESTER Aug 5 2008, 12:05