The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Конфигурирование iptables"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Конфигурирование iptables"  
Сообщение от Az (??) on 09-Апр-07, 16:35 
Насколько опасно такое правило.

iptables -t filter -A INPUT -i $iface_world -j ACCEPT
iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT

iface_world смотрит в интернет, насколько я понимаю этим я разрешаю доступ с интернета к любым службам сервера, или я ошибаюсь. Подскажите пожалуйста как правильно отконфигурировать. Если не ставить такие правила, squid не работает

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Конфигурирование iptables"  
Сообщение от ncp email(??) on 09-Апр-07, 17:04 
>Насколько опасно такое правило.
>
> iptables -t filter -A INPUT -i $iface_world -j ACCEPT
> iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT
>
>iface_world смотрит в интернет, насколько я понимаю этим я разрешаю доступ с
>интернета к любым службам сервера, или я ошибаюсь. Подскажите пожалуйста как
>правильно отконфигурировать. Если не ставить такие правила, squid не работает


Эти правила разрешают исходящий и входящий трафик из Интернета для сервера по всем портам. Какие еще сервера крутятся на этой машине, которым нужен выход в Инет?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Конфигурирование iptables"  
Сообщение от Az (??) on 09-Апр-07, 17:17 
>Какие еще сервера крутятся на этой машине, которым нужен
>выход в Инет?

Локальные которые я знаю squid named может ещё какие, необходимые серверу для работы.
Что будет идти по форварду сказать сложно. Наверняка почта аська веб.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Конфигурирование iptables"  
Сообщение от rmf on 09-Апр-07, 17:05 
а) пользуйся дистрами у которых есть свои мастера настройки netfilter (Fedora,SUSE,Mandriva)
б) прочти документацию ( море, есть на русском языке )


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Конфигурирование iptables"  
Сообщение от ncp email(??) on 09-Апр-07, 17:29 
>а) пользуйся дистрами у которых есть свои мастера настройки netfilter (Fedora,SUSE,Mandriva)
>б) прочти документацию ( море, есть на русском языке )


Присоединяюсь.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Конфигурирование iptables"  
Сообщение от Az (??) on 10-Апр-07, 09:22 
>>а) пользуйся дистрами у которых есть свои мастера настройки netfilter (Fedora,SUSE,Mandriva)
>>б) прочти документацию ( море, есть на русском языке )
>
>
>Присоединяюсь.

Да есть в дистрибутиве автоматический конфигуратор, только он слишком приметивный, и получить от него нужную конфигурацию не реально, вот и приходится разбираться самому.


ВОПРОС как правильно переписать правила:
iptables -t filter -A INPUT -i $iface_world -j ACCEPT
iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT
чтобы комп принимал только ответы на свои запросы, а внешние запросы к своим сервисам игнорировал

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Конфигурирование iptables"  
Сообщение от ncp email(??) on 10-Апр-07, 10:57 
>>>а) пользуйся дистрами у которых есть свои мастера настройки netfilter (Fedora,SUSE,Mandriva)
>>>б) прочти документацию ( море, есть на русском языке )
>>
>>
>>Присоединяюсь.
>
>Да есть в дистрибутиве автоматический конфигуратор, только он слишком приметивный, и получить
>от него нужную конфигурацию не реально, вот и приходится разбираться самому.
>
>
>
>ВОПРОС как правильно переписать правила:
> iptables -t filter -A INPUT -i $iface_world -j ACCEPT
> iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT
>чтобы комп принимал только ответы на свои запросы, а внешние запросы к
>своим сервисам игнорировал


Вот тут все хорошо сказано http://www.opennet.dev/docs/RUS/iptables/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Конфигурирование iptables"  
Сообщение от Az (??) on 10-Апр-07, 11:57 
>Вот тут все хорошо сказано http://www.opennet.dev/docs/RUS/iptables/


Допусстим здесь тоже ничего http://sys-admin.org/ru/node/58

Но это примерно как если Вы спрашиваете как пройти в библиотеку, а вам в ответ всю историю города с момента его основания и до наших дней с подробнейшим историческим описанием улиц.
Большая просьба писать по теме вопроса, а не в общем.

Если я применю такую конфигирацию то плучится ли
>чтобы комп принимал только ответы на свои запросы, а внешние запросы к
>своим сервисам игнорировал
или будут ещё лазейки

[0:0] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A FORWARD -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
[0:0] -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Конфигурирование iptables"  
Сообщение от Az (??) on 11-Апр-07, 09:23 
Странно что никто таким вопросом не заморачивается?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Конфигурирование iptables"  
Сообщение от Az (??) on 13-Апр-07, 11:12 
Может кто подскажет конфигурации приведённой в посту 7 достаточно или надо ещё что-то добавить
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Конфигурирование iptables"  
Сообщение от DarkAnge1 (??) on 13-Апр-07, 11:29 
Если коментарии к посту 1, то мне кажется неплохо было бы добавить состояния (-m state) и по портам прошерстить, т.е. не всем портам давать доступ, а определенным...

по поводу 7 поста... 1 и 7 они вообще связаны? :)

если я чет не понял, поставь задачу еще раз и конкретно, чего ты хочешь сделать?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Конфигурирование iptables"  
Сообщение от Az (??) on 13-Апр-07, 11:47 
Я хочу безопасно сконфигурировать фаирвол, что бы внутренняя сеть имела интернет, а со стороны интернета небыло доступа к серверу, и желательно пользователям, но при этом работали все службы необходимые для нормального функционирования интернета, там DNS например.

В конфигурации по умолчанию было правило приведённое в начальном посте, оно меня насторожило, как видно из поста 1 не напрасно, в примерах Руководство по iptables (Iptables Tutorial 1.1.19)есть запись приведённая в посте 7, насколько я понимаю она разрешант создание соединения  -m state --state NEW -j ACCEPT только изнутри сети, в цепочках OUTPUT и FORWARD -i eth1 при условии что соединение установлено с клиентской части сети. eth0 - интернет  eth1 - локалка. Интересует этих правил достаточно, или надо ещё какие-то добавить. Для DNS 53 порт открыт по TCP и UDP

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Конфигурирование iptables"  
Сообщение от DarkAnge1 (??) on 13-Апр-07, 12:45 
оки, открой 53 порт для DNS (iptables -A INPUT -i <внешний интерфейс> -p UDP --dport 53 -j ACCEPT)

можешь явно запретить входящие соединения на сервер и локалу
iptables -A INPUT -i <внешний интерфейс> -m state --state NEW -j DROP
iptables -A FORWARD -i <внешний интерфейс> -m state --state NEW -j DROP
(будет дропать все пакеті с флагом SYN идущие извне)

или разрешить только RELATED и ESTABLISHED
iptables -A FORWARD -i <внешний интерфейс> -m state --state RELATED,ESTABLISHED -j ACCEPT
а все остальные дропать :)
т.о. извне на сервак никто не достучтся
потом разрешаешь доступ из локалы к нужным сервисам
устанавливаешь политики по умолчанию - DROP

а дальш сидишь и смотришь что не работает :) принимаешь разгневаные звонки юзверей и разрешаешь все, что забыл :))))))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Конфигурирование iptables"  
Сообщение от DarkAnge1 (??) on 13-Апр-07, 12:49 
правда это так, наброски... над вопросом нужно хорошо подумать... :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Конфигурирование iptables"  
Сообщение от Oyyo on 14-Апр-07, 02:23 
>Насколько опасно такое правило.
>
>iptables -t filter -A INPUT -i $iface_world -j ACCEPT
>iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT
>
>iface_world смотрит в интернет, насколько я понимаю этим я разрешаю доступ с интернета к >любым службам сервера, или я ошибаюсь. Подскажите пожалуйста как правильно >отконфигурировать. Если не ставить такие правила, squid не работает

все советы хороши, но .....
что-б ответить правильно нужен вывод команды
# iptables -L -v -n

какие политики по умолчанию?
ncp - дал ссылку http://www.opennet.dev/docs/RUS/iptables/ внимательно изучи начиная с главы 3
всё исходящее можно разрешить, что-б не заморачиватся и не нагружать лишними правилами iptables
iptables -A OUTPUT -o $iface_world -j ACCEPT - можно применять если политика ДРОП

для входящих пакетов политику ДРОП и
iptables -A INPUT -i $iface_world -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i $iface_lan -j ACCEPT

все процессы локальные будут нормально работать к тебе ни один пакет не зайдёт, даже на пинг сервер не ответит кроме как из локалки
если твои сетяне ходят в инет только через сквиду, то ими занимается сквида, если тебе нужно профорвардить кого-то без сквиды начни читать главу 3 по ссылке

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Конфигурирование iptables"  
Сообщение от exn (ok) on 14-Апр-07, 04:26 
Вот тут вроде неплохой пример
http://www.kalamazoolinux.org/presentations/20010417/jamesiptables.html
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру