Добрый день! В общем есть удаленный (достаточно удаленный) Linux server обслуживающий локальную сеть небольшого офиса, админ уволился, так как я их знакомый попросили меня просто за ним последить, мол чтоб работало)) а мы тебе по почте на сигареты пересылать будем...)) На серве поднят squid, apache - для lightsquida , samba ну и по мелочи... Всё б оно ничего, пока они не задумали юзать почту которую им хостинг предоставил... вот с етого момента ломаю себе голову как мне удаленно iptables прикрутить, стартануть его и нет занатить и при етом всём чтоб меня не дропнуло с 22 порта??? Помогите начинающему плз!
>Добрый день! В общем есть удаленный (достаточно удаленный) Linux server обслуживающий локальную
>сеть небольшого офиса, админ уволился, так как я их знакомый попросили
>меня просто за ним последить, мол чтоб работало)) а мы тебе
>по почте на сигареты пересылать будем...)) На серве поднят squid, apache
>- для lightsquida , samba ну и по мелочи... Всё б
>оно ничего, пока они не задумали юзать почту которую им хостинг
>предоставил... вот с етого момента ломаю себе голову как мне удаленно
>iptables прикрутить, стартануть его и нет занатить и при етом всём
>чтоб меня не дропнуло с 22 порта??? Помогите начинающему плз!не обижайся - man и google на эту тему. серьезно. просто не возможно тебе помочь на данном этапе (время не будет стоить затрат). разбирайся хоть чуть-чуть для начала. если у тебя есть хоть какое-то понимание в том "как этот интернет работает", то у тебя все получится.
а вот тебе старая добротная ссылка на доку по iptables:
http://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi?quote...
>[оверквотинг удален]
>>чтоб меня не дропнуло с 22 порта??? Помогите начинающему плз!
>
>не обижайся - man и google на эту тему. серьезно. просто не
>возможно тебе помочь на данном этапе (время не будет стоить затрат).
>разбирайся хоть чуть-чуть для начала. если у тебя есть хоть какое-то
>понимание в том "как этот интернет работает", то у тебя все
>получится.
>
>а вот тебе старая добротная ссылка на доку по iptables:
>http://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi?quote...
>Добрый день! В общем есть удаленный (достаточно удаленный) Linux server обслуживающий локальную
>сеть небольшого офиса, админ уволился, так как я их знакомый попросили
>меня просто за ним последить, мол чтоб работало)) а мы тебе
>по почте на сигареты пересылать будем...)) На серве поднят squid, apache
>- для lightsquida , samba ну и по мелочи... Всё б
>оно ничего, пока они не задумали юзать почту которую им хостинг
>предоставил... вот с етого момента ломаю себе голову как мне удаленно
>iptables прикрутить, стартануть его и нет занатить и при етом всём
>чтоб меня не дропнуло с 22 порта??? Помогите начинающему плз!Читать читать и еще раз читать.
Ну а на первое что посоветую, при просветлении и прихода понимания паервым делом прописать в правилах вот такое правило.iptables -A INPUT -i $internet_iface -p tcp --dport 22 -j ACCEPT
надеюсь будет понятно для чего.Ох, не раз я наступал на эти грабли.
>[оверквотинг удален]
>>чтоб меня не дропнуло с 22 порта??? Помогите начинающему плз!
>
>Читать читать и еще раз читать.
>Ну а на первое что посоветую, при просветлении и прихода понимания паервым
>делом прописать в правилах вот такое правило.
>
>iptables -A INPUT -i $internet_iface -p tcp --dport 22 -j ACCEPT
>надеюсь будет понятно для чего.
>
>Ох, не раз я наступал на эти грабли.не "первым делом", а "первым правилом" ))) первым по номеру в цепочке INPUT
>[оверквотинг удален]
>>Ну а на первое что посоветую, при просветлении и прихода понимания паервым
>>делом прописать в правилах вот такое правило.
>>
>>iptables -A INPUT -i $internet_iface -p tcp --dport 22 -j ACCEPT
>>надеюсь будет понятно для чего.
>>
>>Ох, не раз я наступал на эти грабли.
>
>не "первым делом", а "первым правилом" ))) первым по номеру в цепочке
>INPUTдля таких целей (экспериментов) я, первым делом, в самом конце скрипта, формирующего парвила iptables, делаю:
$IPTABLES -I FORWARD 1 -s <мой IP> -j ACCEPT
$IPTABLES -I INPUT 1 -s <мой IP> -j ACCEPT
$IPTABLES -I OUTPUT 1 -d <мой IP> -j ACCEPT
$IPTABLES -I FORWARD 1 -d <мой IP> -j ACCEPTЭто 100% разрешит весь траффик между мной и удалённым сервером и ssh будет доступен.
iptables -A INPUT -i $internet_iface -p tcp --dport 22 -j ACCEPT
Этот вариант открывает ssh в мир, что делает его уязвимым для атак брутфорсом.Уверен что вы даже не искали инфу здесь же. Так вот тут:
http://www.opennet.me/docs/RUS/iptables/
всё очень подробно описано и есть примеры скиптов. Записал туда свои значения переменных и пользуйся на здоровье.Касательно NAT там тоже всё написано.
p.s. Читать, читать и ещё раз читать...
Аксиома: какими бы продуманными не были правила фаерволла всегда есть шанс, что в них допущена ошибка и удаленное соединение будет прервано.
Вывод 1: предыдущие советы идут лесом ибо попадают под аксиому.
Вывод 2: нужен механизм гарантирующий возврат старых правил в случае проблемы с новыми. Чаще всего это делается на основе записи(для iptables при помощи iptables-save) старых правил в файл и автоматическом восстановления из файла спустя время. Задержка осуществляется через использование cron/at или простого sleep.
>Аксиома: какими бы продуманными не были правила фаерволла всегда есть шанс, что
>в них допущена ошибка и удаленное соединение будет прервано.
>Вывод 1: предыдущие советы идут лесом ибо попадают под аксиому.
>Вывод 2: нужен механизм гарантирующий возврат старых правил в случае проблемы с
>новыми. Чаще всего это делается на основе записи(для iptables при помощи
>iptables-save) старых правил в файл и автоматическом восстановления из файла спустя
>время. Задержка осуществляется через использование cron/at или простого sleep.Хм... Очень толковый ответ! Погуглил почитал, начинает прояснятся... Спасибо тебе!
>Аксиома: какими бы продуманными не были правила фаерволла всегда есть шанс, что
>в них допущена ошибка и удаленное соединение будет прервано.
>Вывод 1: предыдущие советы идут лесом ибо попадают под аксиому.
>Вывод 2: нужен механизм гарантирующий возврат старых правил в случае проблемы с
>новыми. Чаще всего это делается на основе записи(для iptables при помощи
>iptables-save) старых правил в файл и автоматическом восстановления из файла спустя
>время. Задержка осуществляется через использование cron/at или простого sleep.объясни мне каким образом может iptables обрубить коннект если В КОНЦЕ скрипта настройки файрволла БУДЕТ
$IPTABLES -I FORWARD 1 -s <мой IP> -j ACCEPT
$IPTABLES -I INPUT 1 -s <мой IP> -j ACCEPT
$IPTABLES -I OUTPUT 1 -d <мой IP> -j ACCEPT
$IPTABLES -I FORWARD 1 -d <мой IP> -j ACCEPT
?И если твоя "аксиома" является аксиомой, то что запрещает её применить к настройкам крона? Да и вообще, ко всем конфигам? :)
Например попадание под правило с DNAT.
Всегда умиляюсь пионерам, упорно не желающим использовать опыт старших товарищей и жаждущих пройтись по всем граблям самостоятельно.
>[оверквотинг удален]
>>в них допущена ошибка и удаленное соединение будет прервано.
>>Вывод 1: предыдущие советы идут лесом ибо попадают под аксиому.
>>Вывод 2: нужен механизм гарантирующий возврат старых правил в случае проблемы с
>>новыми. Чаще всего это делается на основе записи(для iptables при помощи
>>iptables-save) старых правил в файл и автоматическом восстановления из файла спустя
>>время. Задержка осуществляется через использование cron/at или простого sleep.
>
>объясни мне каким образом может iptables обрубить коннект если В КОНЦЕ скрипта
>настройки файрволла БУДЕТ
>элеметрарно. и даже удивтельно если этого не произойдет. потому что "нормальный" скрипт перезапуска должен поставить перед очисткой правил цепочек политики всех цепочек в DROP.
думаю не надо пояснений для чего - тут и так все прозрачно.
а вот тут как раз и твой вопрос - как не наколоться, когда самого отшьет. и где гарантия что сможешь сам подключиться.
вот тебе АКСИОМА - если ты root, то сам за все отвечаешь. все остальные аксиомы - игрушки и словоблудие.>$IPTABLES -I FORWARD 1 -s <мой IP> -j ACCEPT
>$IPTABLES -I INPUT 1 -s <мой IP> -j ACCEPT
>$IPTABLES -I OUTPUT 1 -d <мой IP> -j ACCEPT
>$IPTABLES -I FORWARD 1 -d <мой IP> -j ACCEPT
>?
>
>И если твоя "аксиома" является аксиомой, то что запрещает её применить к
>настройкам крона? Да и вообще, ко всем конфигам? :)
>[оверквотинг удален]
>>iptables-save) старых правил в файл и автоматическом восстановления из файла спустя
>>время. Задержка осуществляется через использование cron/at или простого sleep.
>
>объясни мне каким образом может iptables обрубить коннект если В КОНЦЕ скрипта
>настройки файрволла БУДЕТ
>
>$IPTABLES -I FORWARD 1 -s <мой IP> -j ACCEPT
>$IPTABLES -I INPUT 1 -s <мой IP> -j ACCEPT
>$IPTABLES -I OUTPUT 1 -d <мой IP> -j ACCEPT
>$IPTABLES -I FORWARD 1 -d <мой IP> -j ACCEPTесли коннектикшся только к серверу. то FORWARD = дыра. в эту цепочку идут пакеты которые транзитом следуют через сервер, а не на него. OUTPUT таблицу вообще пока не тррогай. потом понимание придет. щас ее пустую и ACCEPT POLICY поставь.
я бы так сделал для начала:
-I INPUT 1 -s <мой IP> -p tcp --dport 22 --syn -m state NEW -j ACCEPT
-I INPUT 2 -m state --state ESTABLISHED -j ACCEPT
-I INPUT 3 -m state --state RELATED -j ACCEPTхотя нагнал - последнее правило не нужно для твоего подключения. но просто посмотри и попробуй понять что все это делает.
а потом почитай и пойми:
- для чего какая стандартная цепочка предназначена
- кроме цепочек есть таблицы, и они тоже предназначены для разных задач.
- изучай таблицы filter и nat для начала - на остальные просто внимание не обращай. они тебе скорее всего в ближайшем будущем не понадобятся. когда в голове уложится все предыдущее - за них возьмешься.>?
>
>И если твоя "аксиома" является аксиомой, то что запрещает её применить к
>настройкам крона? Да и вообще, ко всем конфигам? :)не переживай. все со временет будет. читай по мере задач ту ссылку что я дал и не напрягайся. советую про -j LOG почитать. очень способствует пониманию.
PS дистрибутив линукса какой там у тебя? глупо скрипты писать для iptables. там все уже как правило в системе есть.
>Аксиома: какими бы продуманными не были правила фаерволла всегда есть шанс, что
>в них допущена ошибка и удаленное соединение будет прервано.
>Вывод 1: предыдущие советы идут лесом ибо попадают под аксиому.
>Вывод 2: нужен механизм гарантирующий возврат старых правил в случае проблемы с
>новыми. Чаще всего это делается на основе записи(для iptables при помощи
>iptables-save) старых правил в файл и автоматическом восстановления из файла спустя
>время. Задержка осуществляется через использование cron/at или простого sleep.ну когда начал читать, хотел сказать про cron&at, а теперь хочется сказать - не грузи человека :::))))
>Аксиома: какими бы продуманными не были правила фаерволла всегда есть шанс, что
>в них допущена ошибка и удаленное соединение будет прервано.
>Вывод 1: предыдущие советы идут лесом ибо попадают под аксиому.
>Вывод 2: нужен механизм гарантирующий возврат старых правил в случае проблемы с
>новыми. Чаще всего это делается на основе записи(для iptables при помощи
>iptables-save) старых правил в файл и автоматическом восстановления из файла спустя
>время. Задержка осуществляется через использование cron/at или простого sleep.абажаю эту тему. тебе дырку сделали , ты ее чинишь , а твои скрипты ее опять на место ставят. не будь хитрее своей жопы. если ты ее УЖЕ подставил, то как не метайся - ничего не спасет. вот это аксиома. кстати с твоей аксиомой я тоже согласен. выводы на мой взгляд неправильные
>Аксиома: какими бы продуманными не были правила фаерволла всегда есть шанс, что
>в них допущена ошибка и удаленное соединение будет прервано.
>Вывод 1: предыдущие советы идут лесом ибо попадают под аксиому.один только вопрос: чем предыдущие советы от отличаются от последующих (разве они не попадают под аксиому? :))? по моему только автором. тогда цена выводов из этой аксиомы?
>Вывод 2: нужен механизм гарантирующий возврат старых правил в случае проблемы с
>новыми. Чаще всего это делается на основе записи(для iptables при помощи
>iptables-save) старых правил в файл и автоматическом восстановления из файла спустя
>время. Задержка осуществляется через использование cron/at или простого sleep.
Неужели так сложно увидеть разницу между "всегда есть шанс на ошибку" и "всегда есть шанс на ошибку в конкретном случае"? Попробую объяснить на доступной аналогии.
При перебегании дороги на красный свет в час пик всегда есть шанс, что тебя собьет машина. Для того, чтобы убрать влияние данного фактора я советую переходить дорогу на зеленый свет. Разумеется все еще есть шанс быть сбитым, но он значительно ниже. Другие же советуют как зорче осматриваться и как лучше отпрыгивать от машин, продолжая бежать на красный.
>Неужели так сложно увидеть разницу между "всегда есть шанс на ошибку" ион всегда есть - это аксиома (я твоими терминами оперирую)
>"всегда есть шанс на ошибку в конкретном случае"? Попробую объяснить на
случая не вижу. никакого. в упор - это не аксиома , но факт.
>доступной аналогии.
>При перебегании дороги на красный свет в час пик всегда есть шанс,
>что тебя собьет машина. Для того, чтобы убрать влияние данного фактора
>я советую переходить дорогу на зеленый свет. Разумеется все еще есть
>шанс быть сбитым, но он значительно ниже. Другие же советуют как
>зорче осматриваться и как лучше отпрыгивать от машин, продолжая бежать на
>красный.что такое дорога? о каких светах и пиках ты говоришь? что значит машина?
я про машину знаю. ты тоже. не надо тому кто не знает про все это говорить, что его по любому задавит - это на мой взгляд не правильно и глупо.
я кстати еще раз повторю - я только с выводами не согласен. а с аксиомой хрен поспоришь - там доказательств не надо )
PS у меня такое ощущение. что я тебя чем-то обидел. если это так. то искренне пошу прощения - не хотел и не намеревался.
>чтоб меня не дропнуло с 22 порта???можете поставить на систкмку Firehol (в пакетах или если не повезло firehol.sf.net)
в старой версии безопасный рестарт правил выглядил так - firehol try restart
сейчас - вот так firehol tryесли рестарт успешный, в диалоге ввели "commit" - и ура
если же дропнуло 22 порт, то через 30 секунд оно само вернёт правила на места - и вернёт вам 22 порт