https://www.opennet.dev/openforum/vsluhforumID3/12524.html На разных машинах в моей локальной сети накопилась куча программ,<br>которым нужен был выход в интернет напрямую. У каждой свой набор портов.<br>Захотелось на входе иметь минимальную конфигурацию, описывающую<br>ресурсы, а на выходе набор разрешающих правил для iptables.<br>В основном были клиент-банки - поэтому и такая терминология в программе.<br>А так вместо банка можно указывать любой ресурс в формате определенном в<br>man iptables.<br><br>Ограничения, недостатки:<br><br>1. использование количества портов для одного ресурса менее 16<br>2. нельзя указать диапазон портов через двоеточие как в iptables<br>Оба легко устаняются: первое - есть пример в самом скрипте, <br>второе через использование другого разделителя для записей на входе, <br>проверку наличия ":" - использование другого формата вызова iptables. Мне это не нужно и код не хотел раздувать.<br><br><br>#!/bin/bash<br>#bkv 2005.10<br>#Дано: <br># Два списка:<br># Первый список из записей вида - банк:порты(через запятую)<br># Второй список из записей вида - клиент:банки(через запятую)<br>#Най https://www.opennet.dev/openforum/vsluhforumID3/12524.html#3 Tue, 24 Oct 2006 13:05:29 GMT а как можно ip-шники лежащие в столюик в файле подключить к фаерволу что-б забанить? https://www.opennet.dev/openforum/vsluhforumID3/12524.html#2 Tue, 25 Oct 2005 06:49:23 GMT Ссылка хорошая, но бывает проще самому побыстрому написать скрипт. Если, например, сеть небольшая и требуются простые настройки. У меня начиналось с такого простого скрипта:<br><br>#!/bin/bash<br>#bkv 2005.10<br>our_net="192.168.9.0/24"<br>mail_hosts="yandex mail ngs nsk rambler"<br>itls="/sbin/iptables"<br><br>echo Разрешаем 25 и 110 порт для \( $mail_hosts \)<br><br>$itls -D FORWARD -p tcp -m multiport --ports 25,110 -j MAIL<br>$itls -F MAIL<br>$itls -X MAIL<br>$itls -N MAIL<br>$itls -I FORWARD -p tcp -m multiport --ports 25,110 -j MAIL<br><br>$itls -A MAIL -p tcp -m state --state ESTABLISHED -j ACCEPT;<br><br>for i in $mail_hosts;do<br> for j in `(dig +short smtp.$i.ru;dig +short pop3.$i.ru)&#124;grep -v [[:alpha:]]&#124;sort&#124;uniq`;<br> do<br> $itls -A MAIL -s $our_net -d $j -j ACCEPT;<br> done<br>done<br> https://www.opennet.dev/openforum/vsluhforumID3/12524.html#1 Thu, 20 Oct 2005 05:19:55 GMT cat &lt;&lt;EOF &gt;/etc/firehol/firehol.conf<br># "bkv 2005.10" for firehol<br>version 5<br><br>LAN="192.168.9.0/16"<br>CLI1="192.168.9.6"<br>CLI2="192.168.9.8"<br><br>server_bank4_ports="tcp/9999 tcp/888"; client_bank4_ports="any"<br>server_bank5_ports="tcp/1:15"; client_bank5_ports="any"<br>server_bank6_ports="tcp/21:29 tcp/210:215"; client_bank6_ports="any"<br><br>router bkv_lan src "$LAN"<br> client "ssh telnet" accept dst "10.24.70.0/26"<br> client "pop" accept dst "pop.mail.ru"<br> client "smtp" accept dst "smtp.mail.ru"<br><br>router bkv_cli12 src "$CLI1 $CLI2"<br> client bank4 accept dst "bank4.ru"<br> client bank6 accept dst "bank6.ru"<br> client bank5 accept src "$CLI2" dst "bank5.ru"<br>EOF<br><br>http://firehol.sourceforge.net/<br>http://packages.debian.org/src:firehol<br>http://wiki.atmsk.ru/index.html/Ip/Netfilter#firehol<br>(жалко debian.lrn.ru "лежит" -- я там в форуме ешё писал...)