Блокировка внешнего трафика в Linux, Киньте инструкцию :) |
Здравствуйте, гость ( Вход | Регистрация )
В данном форуме можно обсуждать только легальные, то есть законные действия с операционными системами и всем, что с ними связано.
Обсуждение, упоминание, ссылки, просьбы вареза в данном форуме категорически запрещены !!! Нарушители будут строго наказываться.
Блокировка внешнего трафика в Linux, Киньте инструкцию :) |
Sep 23 2007, 16:28
Сообщение
#1
|
|
Продвинутый пользователь Группа: Posters Сообщений: 254 Регистрация: 12.7.2006 Из: Mw Пользователь №: 928 |
Знаю тема или темы создавались, но там нен было ответа
Нужно внешний трафик блокировать iptables'ом или как посоветуете Киньте пожалуйста сюда или ссылку на how-to или еще что И со свежим диапазоном ВолгаТелеком P.S: Я к ВолгаТелеком подключен, дистр Mandriva Linux 2007 Spring Я думаю что не только я страдаю с утечкой трафом Это тема спасет нас Сообщение отредактировал wMw - Sep 23 2007, 16:29 -------------------- 0 1 0
0 0 1 1 1 1 |
|
|
Sep 23 2007, 19:10
Сообщение
#2
|
|
Пользователь Группа: Posters Сообщений: 148 Регистрация: 2.7.2006 Из: Чебоксары, ЮЗР. Пользователь №: 823 |
man iptables
-------------------- With best regards, Interstellar_Overdriver.
|
|
|
Sep 23 2007, 19:16
Сообщение
#3
|
|
Супер постер Группа: Local moder Сообщений: 585 Регистрация: 26.6.2007 Из: 4е6ы Пользователь №: 7,342 |
iptables -P INPUT DENY
iptables -A INPUT -p tcp --tcp-flags SYN.ACK ACK -j ACCEPT iptables -A INPUT -j intnets а в intnets - проверка на соответствие бесплатным адресам iptables -A intnets -s $subnet1/mask1 -j ACCEPT ... для ADSL iptables -N intranet iptables -A intranet -s 192.168.иличтотамутебя -j ACCEPT iptables -A intranet -s 213.24.220.0/22 -j ACCEPT iptables -A intranet -s 213.24.104.0/21 -j ACCEPT iptables -A intranet -s 10.0.0.0/8 -j ACCEPT iptables -A intranet -s 192.168.0.0/16 -j ACCEPT iptables -A intranet -s 172.16.0.0/16 -j ACCEPT iptables -A intranet -s 217.106.164.0/22 -j ACCEPT iptables -A intranet -s 217.107.172.0/23 -j ACCEPT iptables -A intranet -s 213.59.78.0/23 -j ACCEPT iptables -A intranet -s 89.151.128.0/18 -j ACCEPT iptables -P INPUT DENY iptables -A INPUT -p tcp --tcp-flags SYN.ACK ACK -j ACCEPT iptables -A INPUT -j intranet (L) Сообщение отредактировал Ayoni - Sep 25 2007, 22:54 -------------------- Многие вещи нам непонятны не потому, что наши понятия слабы, а потому что эти вещи не входят в круг наших понятий
Мой блог здесь = > http://portal.gorod428.ru/blogs/айони |
|
|
Sep 23 2007, 19:32
Сообщение
#4
|
|
PAUK-NET.RU TEAM Группа: Admin Сообщений: 4,715 Регистрация: 11.7.2005 Из: ЮЗР Пользователь №: 3 |
iptables -A intranet -s 172.16.0.0/16 -j ACCEPT Только не 16, а 12.http://tools.ietf.org/html/rfc1918 Ну и при таком раскладе "иличтотамутебя" автоматом будет разрешено, так что в отдельном правиле не нуждается. |
|
|
Sep 23 2007, 20:00
Сообщение
#5
|
|
Продвинутый пользователь Группа: Posters Сообщений: 254 Регистрация: 12.7.2006 Из: Mw Пользователь №: 928 |
iptables -P INPUT DENY iptables -A INPUT -p tcp --tcp-flags SYN.ACK ACK -j ACCEPT iptables -A INPUT -j intnets а в intnets - проверка на соответствие бесплатным адресам iptables -A intnets -s $subnet1/mask1 -j ACCEPT ... для ADSL iptables -N intranet iptables -A intranet -s 192.168.иличтотамутебя -j ACCEPT iptables -A intranet -s 213.24.220.0/22 -j ACCEPT iptables -A intranet -s 213.24.104.0/21 -j ACCEPT iptables -A intranet -s 10.0.0.0/8 -j ACCEPT iptables -A intranet -s 192.168.0.0/16 -j ACCEPT iptables -A intranet -s 172.16.0.0/16 -j ACCEPT iptables -A intranet -s 217.106.164.0/22 -j ACCEPT iptables -A intranet -s 217.107.172.0/23 -j ACCEPT iptables -A intranet -s 213.59.78.0/23 -j ACCEPT iptables -A intranet -s 89.151.128.0/18 -j ACCEPT iptables -P INPUT DENY iptables -A INPUT -p tcp --tcp-flags SYN.ACK ACK -j ACCEPT iptables -A INPUT -j intranet В iptables -P INPUT DENY пишет Bad policy name Мдя уж совсем непонимаю что все эти команды делают с ИП эт лан исключения как вроде Может у кого русский how-to будет А можно сразу такой списочек чтобы все блочило и ВТ разрешало.Думаю всем такое надо Сообщение отредактировал wMw - Sep 23 2007, 20:03 -------------------- 0 1 0
0 0 1 1 1 1 |
|
|
Oct 2 2007, 19:36
Сообщение
#6
|
|
Новичок Группа: Members Сообщений: 9 Регистрация: 23.12.2005 Пользователь №: 217 |
|
|
|
Oct 3 2007, 21:57
Сообщение
#7
|
|
Продвинутый пользователь Группа: Posters Сообщений: 212 Регистрация: 4.6.2007 Пользователь №: 6,932 |
iptables -P INPUT DENY iptables -A INPUT -p tcp --tcp-flags SYN.ACK ACK -j ACCEPT iptables -A INPUT -j intnets а в intnets - проверка на соответствие бесплатным адресам iptables -A intnets -s $subnet1/mask1 -j ACCEPT ... для ADSL iptables -N intranet iptables -A intranet -s 192.168.иличтотамутебя -j ACCEPT iptables -A intranet -s 213.24.220.0/22 -j ACCEPT iptables -A intranet -s 213.24.104.0/21 -j ACCEPT iptables -A intranet -s 10.0.0.0/8 -j ACCEPT iptables -A intranet -s 192.168.0.0/16 -j ACCEPT iptables -A intranet -s 172.16.0.0/16 -j ACCEPT iptables -A intranet -s 217.106.164.0/22 -j ACCEPT iptables -A intranet -s 217.107.172.0/23 -j ACCEPT iptables -A intranet -s 213.59.78.0/23 -j ACCEPT iptables -A intranet -s 89.151.128.0/18 -j ACCEPT iptables -P INPUT DENY iptables -A INPUT -p tcp --tcp-flags SYN.ACK ACK -j ACCEPT iptables -A INPUT -j intranet (L) уууу Айончег скока буков))) и вопрос по существу это все лочит внешнит траф полностью? т.е. буит ли у меня доступ на внешку или только на разрешенные диапазоны? и если таки доступа НЕ будет то нафиг так делать? opennet.ru это конечно хорошо но оно внешка и читать я полаю нада будет дофигищу... помоему проще сделать один шаблон на всех ленивых линуксойдов ВТщников и прекратить уже посылать курить маны... Сообщение отредактировал fajro - Oct 3 2007, 21:59 -------------------- * Geh nach Biberstadt! * |
|
|
Oct 3 2007, 22:13
Сообщение
#8
|
|
Мега постер Группа: Local moder Сообщений: 1,712 Регистрация: 21.8.2006 Пользователь №: 1,269 |
Не у всех ленивых линуксоидов "трафикофобия".
-------------------- |
|
|
Oct 3 2007, 22:47
Сообщение
#9
|
|
PAUK-NET.RU TEAM Группа: Admin Сообщений: 4,715 Регистрация: 11.7.2005 Из: ЮЗР Пользователь №: 3 |
|
|
|
Oct 4 2007, 06:44
Сообщение
#10
|
|
Продвинутый пользователь Группа: Posters Сообщений: 254 Регистрация: 12.7.2006 Из: Mw Пользователь №: 928 |
Млин глупо велосипед создавать будет каждый мучиться, вот я додумаюсь и выложу на Wiki .
Следую хакерской культуре На то моя подпись -------------------- 0 1 0
0 0 1 1 1 1 |
|
|
Oct 7 2007, 13:20
Сообщение
#11
|
|
Продвинутый пользователь Группа: Posters Сообщений: 212 Регистрация: 4.6.2007 Пользователь №: 6,932 |
ха
ну вот... почитал man, понял что тут что значит... и тока потом понял что первые три строчки в Айонькином сообщении вообще не нужны т.к. они идут в конце... т.е. достаточно ввести вот это все: iptables -N intranet iptables -A intranet -s 213.24.220.0/22 -j ACCEPT iptables -A intranet -s 213.24.104.0/21 -j ACCEPT iptables -A intranet -s 10.0.0.0/8 -j ACCEPT iptables -A intranet -s 192.168.0.0/16 -j ACCEPT iptables -A intranet -s 172.16.0.0/12 -j ACCEPT iptables -A intranet -s 217.106.164.0/22 -j ACCEPT iptables -A intranet -s 217.107.172.0/23 -j ACCEPT iptables -A intranet -s 213.59.78.0/23 -j ACCEPT iptables -A intranet -s 89.151.128.0/18 -j ACCEPT iptables -P INPUT DROP iptables -A INPUT -p tcp --tcp-flags SYN,ACK ACK -j ACCEPT iptables -A INPUT -j intranet и буит те щастье... все проверено на себе))) ггг wMw могешь создавать тему в Wiki... теперь другой вопрос как получить доступ на внешку))))??? (к примеру разрешить kopete, kmail и firefox дотсуп) Сообщение отредактировал fajro - Oct 7 2007, 15:21 -------------------- * Geh nach Biberstadt! * |
|
|
Oct 7 2007, 17:04
Сообщение
#12
|
|
Супер постер Группа: Posters Сообщений: 692 Регистрация: 25.12.2006 Из: Чебы, центр Пользователь №: 4,238 |
Да поможет вам selinux
-------------------- Городской портал - Портал @ Город 428 |
|
|
Oct 7 2007, 17:32
Сообщение
#13
|
|
Продвинутый пользователь Группа: Posters Сообщений: 212 Регистрация: 4.6.2007 Пользователь №: 6,932 |
кстати есть еще предложение вместо фильтрации входящих сделать фильтрацию исходящих
типа так iptables -A OUTPUT -m owner --uid-owner 1000 -j ACCEPT типа такому то юзеру разрешено... Сообщение отредактировал fajro - Oct 7 2007, 17:33 -------------------- * Geh nach Biberstadt! * |
|
|
Гость_karpen_* |
Oct 7 2007, 19:31
Сообщение
#14
|
Guests |
кстати есть еще предложение вместо фильтрации входящих сделать фильтрацию исходящих типа так iptables -A OUTPUT -m owner --uid-owner 1000 -j ACCEPT типа такому то юзеру разрешено... Зачем тебе, ты же на своем компе рута имеешь, если иптаблес настраиваешь . Приличные мальчики добавляют еще фильтрацию на "плохость" пакетов. Код iptables -A INPUT -m state --state INVALID -j DROP iptables -A FORWARD -m state --state INVALID -j DROP и т.д. И держим соединение которое уже установлено. Код iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT PS Нет общего конфига, у каждого он индивидуален. PPS А selinux ваще идет лесом, не к делу он |
|
|
Oct 8 2007, 00:36
Сообщение
#15
|
|
Продвинутый пользователь Группа: Posters Сообщений: 212 Регистрация: 4.6.2007 Пользователь №: 6,932 |
Зачем тебе, ты же на своем компе рута имеешь, если иптаблес настраиваешь . Приличные мальчики добавляют еще фильтрацию на "плохость" пакетов. Код iptables -A INPUT -m state --state INVALID -j DROP iptables -A FORWARD -m state --state INVALID -j DROP и т.д. И держим соединение которое уже установлено. Код iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT PS Нет общего конфига, у каждого он индивидуален. PPS А selinux ваще идет лесом, не к делу он так я то не рутом сижу... какой нафиг рут в кубунте... а за очтальное пасиб... добавим... -------------------- * Geh nach Biberstadt! * |
|
|
Oct 8 2007, 11:07
Сообщение
#16
|
|
Продвинутый пользователь Группа: Posters Сообщений: 254 Регистрация: 12.7.2006 Из: Mw Пользователь №: 928 |
СПАСИБО +ПЯДЪЪ ВСИИЕЕЕММ
Гы терь у карпена 4 звезды Сообщение отредактировал wMw - Oct 8 2007, 11:08 -------------------- 0 1 0
0 0 1 1 1 1 |
|
|
Oct 13 2007, 16:43
Сообщение
#17
|
|
Продвинутый пользователь Группа: Posters Сообщений: 254 Регистрация: 12.7.2006 Из: Mw Пользователь №: 928 |
Я выполнил все эти команды, но на www.ya.ru все равно могу выйти.Думаю может iptables не запущен.Вожу команду service iptables start и говорит нет такой службы iptables.Что делать теперь?
Так-то iptables у меня установлен. Явно надо еще что сделать после ввода команды, обьясните пожалуйста ЗЫ: openSuSE 10.3 Сообщение отредактировал wMw - Oct 13 2007, 16:44 -------------------- 0 1 0
0 0 1 1 1 1 |
|
|
Oct 14 2007, 16:26
Сообщение
#18
|
|
Продвинутый пользователь Группа: Posters Сообщений: 254 Регистрация: 12.7.2006 Из: Mw Пользователь №: 928 |
UP !
-------------------- 0 1 0
0 0 1 1 1 1 |
|
|
Гость_karpen_* |
Oct 15 2007, 12:00
Сообщение
#19
|
Guests |
Сделай, плз,
Код iptables -L -v , если что-то покажет, да еще размер в байтах даст, то иптаблес и так работает. Про сервайсы рано разговаривать, сначало с иптаблес разберись . А на ya.ru ты не можешь выйти по причине неправильно настроенных правил или вес у правил в цепочке не равноценен. Так что иптаблес наверняка работает.
Сообщение отредактировал karpen - Oct 15 2007, 12:03 |
|
|
Oct 15 2007, 17:43
Сообщение
#20
|
|
Продвинутый пользователь Группа: Posters Сообщений: 254 Регистрация: 12.7.2006 Из: Mw Пользователь №: 928 |
Не так прочитал, я МОГУ вйти на ya.ru, в этом и проблема
Сделал я iptables -L -v есть статистика и пакеты переданые Вообщем блин достало меня это, откапал старый Спец Хакер, приступаю к чтению статьи "Выжми из фаервола все" -------------------- 0 1 0
0 0 1 1 1 1 |
|
|
Текстовая версия | Сейчас: 13th May 2024 - 10:54 |