форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"составить правила ipchains"
Сообщение от Vint on 03-Ноя-00, 17:09  (MSK)
Братцы! Не дайте погибнуть! Помогите, plz, настроить правила ipchains. Сколько не бьюсь не могу настроить. Напишите, если не влом, буду очень признателен. Имеется RH 6.2, ipchains 1.3.9, динамический IP. Пожалуйста...
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: составить правила ipchains"
Сообщение от UMKA on 03-Ноя-00, 19:43  (MSK)
МУЖИК!!! а что именно тебе нужно?? что за цель???
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: составить правила ipchains"
	Сообщение от Vint on 04-Ноя-00, 08:33  (MSK)
	Что надо? Надо чтобы был доступ по www, ftp и почта по pop-3, smtp. Остальное все закрыть.  Помогите...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: составить правила ipchains"
	Сообщение от UMKA on 04-Ноя-00, 19:02  (MSK)
	ipchains -F ipchains -Z ipchains -P input DENY ipchains -P output DENY ipchains -P forward DENY ipchains -A input -s $UserHost/32 -d 0/0 80:80 -p tcp -j ACCEPT ipchains -A input -s $UserHost/32 -d 0/0 80:80 -p tcp -j ACCEPT ipchains -A output -d $UserHost/32 -s 0/0 80:80 -p tcp -j ACCEPT ipchains -A output -d $UserHost/32 -s 0/0 80:80 -p tcp -j ACCEPT тоже для портов 20:21, 25, 53, 110...... затем ipchains -A forward -s $UserHost/32 -d 0/0 -p all -j MASQ попробуй , но зачем такой теракт над юзерями :(
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: составить правила ipchains"
	Сообщение от Vint on 08-Ноя-00, 11:30  (MSK)
	Pleaseee!!! У меня динамический IP, как указать его в правилах. У меня один комп, сети нет, что написать в $UserHost/32... Не оставьте без внимания БРАТЦЫ...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "RE: составить правила ipchains"
	Сообщение от UMKA on 09-Ноя-00, 00:04  (MSK)
	Мужик! с тобой всё понятно! :) $UserHost/32 - вданном примере для каждого юзера ВНИМАТЕЛЬНО ПРОЧТИ СКРИПТЫ И ПРОАНАЛИЗИРУЙ ИХ, ЗАТЕМ ЗАДАВАЙ ВОПРОСЫ... у меня 2 скрипты.. в первой я указываю общие правила, а во второй работаю с каждым клиентом отдельно те-же настройки у меня на домашнем сервере, тока другие айпишники :)) и это работает между подсетями.... :) вот первая   я её назвал rc.ipchains #!/bin/bash # Some variables HomePath=/etc/rc.d/ MyInetIface=ppp0 # flushing all rules ipchains -F ipchains -Z # closing MASQUERADE automatically ipchains -P input ACCEPT ipchains -P forward ACCEPT ipchains -P output ACCEPT # enable loopback #ipchains -A input  -s 0/0 -d 127.0.0.1/8 -i lo0 -p all -j ACCEPT #ipchains -A output -s 127.0.0.1/8 -d 0/0 -i lo0 -p all -j ACCEPT # #ipchains -A input  -s 192.168.5.0/24 -d 192.168.5.1 3128 -i eth0 -p tcp -j DENY #ipchains -A input  -s 192.168.5.0/24 -d 192.168.5.1 3128 -i eth0 -p udp -j DENY #ipchains -A output  -d 192.168.5.0/24 -s 192.168.5.1 3128 -i eth0 -p tcp -j DENY #ipchains -A output  -d 192.168.5.0/24 -s 192.168.5.1 3128 -i eth0 -p udp -j DENY # closing NETBIOS services ipchains -A input -s 0/0  135:139 -i $MyInetIface -p tcp -j DENY ipchains -A input -s 0/0  135:139 -i $MyInetIface -p udp -j DENY ipchains -A output -d 0/0 135:139 -i $MyInetIface -p tcp -j DENY ipchains -A output -d 0/0 135:139 -i $MyInetIface -p udp -j DENY ipchains -A input  -s 0/0 20001:29999 -d 0/0 -i $MyInetIface -p tcp -j DENY ipchains -A output -s 0/0 20001:29999 -d 0/0 -i $MyInetIface -p udp -j DENY ipchains -A input  -d 0/0 20001:29999 -s 0/0 -i $MyInetIface -p tcp -j DENY ipchains -A output -d 0/0 20001:29999 -s 0/0 -i $MyInetIface -p udp -j DENY # closing other services # telnet from internet ipchains -A input -s 0/0 -i $MyInetIface 1:1 -p tcp -j DENY # chains for TOTAL INTERNET TRAFFIC ipchains -A input  -s 0/0 -i $MyInetIface -p all -j ACCEPT ipchains -A output -d 0/0 -i $MyInetIface -p all -j ACCEPT # chains for users $HomePath/userchains 192.168.0.1 192.168.0.1 $HomePath/userchains 192.168.0.2 192.168.0.1 $HomePath/userchains 192.168.0.5 192.168.0.1 $HomePath/userchains 192.168.0.8 192.168.0.1 $HomePath/userchains 192.168.1.2 192.168.1.1 $HomePath/userchains 192.168.1.5 192.168.1.1 $HomePath/userchains 192.168.1.8 192.168.1.1 $HomePath/userchains 192.168.1.9 192.168.1.1 $HomePath/userchains 192.168.1.10 192.168.1.1 $HomePath/userchains 192.168.1.20 192.168.1.1 вот вторая и её имя userchains.... #!/bin/bash SourceIP=$1 DestIP=$2 echo "open chains for src ip -> $SourceIP  dst ip -> $DestIP" SourceIP=$SourceIP/32 DestIP=$DestIP/32 MyInetIface=ppp0 # if a directly connectiions to internet #------------------------------------------------------------------------# #                               input chains                             # #------------------------------------------------------------------------# # # # ipchains -A input -s $SourceIP -d $DestIP 3128:3128    -p tcp -j ACCEPT ipchains -A input -s $SourceIP -d $DestIP 3128:3128    -p udp -j ACCEPT ipchains -A input -s $SourceIP -d $DestIP 25:53        -p tcp -j ACCEPT ipchains -A input -s $SourceIP -d $DestIP 25:53        -p udp -j ACCEPT ipchains -A input -s $SourceIP -d $DestIP 81:130       -p tcp -j ACCEPT ipchains -A input -s $SourceIP -d $DestIP 81:130       -p udp -j ACCEPT # # # ipchains -A input -s $SourceIP -d 0/0 21:130    -p tcp -j ACCEPT ipchains -A input -s $SourceIP -d 0/0 21:130    -p udp -j ACCEPT ipchains -A input -s $SourceIP -d 0/0 140:65535  -p tcp -j ACCEPT ipchains -A input -s $SourceIP -d 0/0 140:65535  -p udp -j ACCEPT ipchains -A  input -d $SourceIP -s 0/0 -i $MyInetIface -p all -j ACCEPT #------------------------------------------------------------------------# #                               output chains                            # #------------------------------------------------------------------------# # if thought server # ================= # ipchains -A output -d $SourceIP -s $DestIP 3128:3128   -p tcp -j ACCEPT ipchains -A output -d $SourceIP -s $DestIP 3128:3128   -p udp -j ACCEPT ipchains -A output -d $SourceIP -s $DestIP 25:53       -p tcp -j ACCEPT ipchains -A output -d $SourceIP -s $DestIP 25:53       -p udp -j ACCEPT ipchains -A output -d $SourceIP -s $DestIP 81:130      -p tcp -j ACCEPT ipchains -A output -d $SourceIP -s $DestIP 81:130      -p udp -j ACCEPT # # ====== # ipchains -A output -d $SourceIP -s 0/0 21:130    -p tcp -j ACCEPT ipchains -A output -d $SourceIP -s 0/0 21:130    -p udp -j ACCEPT ipchains -A output -d $SourceIP -s 0/0 140:65535  -p tcp -j ACCEPT ipchains -A output -d $SourceIP -s 0/0 140:65535  -p udp -j ACCEPT ipchains -A output -s $SourceIP -d 0/0 -i $MyInetIface -p all -j ACCEPT # Masquerade ipchains -A forward -s $SourceIP -d 0/0 -p all -i $MyInetIface -j MASQ обе они лежат в /etc/rc.d/ настройки содраны прямо из линуха....
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "RE: составить правила ipchains"
	Сообщение от Vint on 09-Ноя-00, 11:48  (MSK)
	Привет!!! Спасибо UMKA, что не оставляешь в беде начинающих linuxoidov, помощь твоя безмерна. Спасибо! Прочитал внимательно, проанализировал... Есть несколько вопросов. 1. Скрипты кинул в /etc/rc.d. Как их запустить после установления соединения, чтобы указать $SourceIP (у меня ведь динамический адрес). 2. Я так понял, что открывается доступ ко всему, а затем прикрываются ненужные. Нужна ли строка >ipchains -P input DENY если да, то где ее пустить. Заранее спасибо...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "RE: составить правила ipchains"
	Сообщение от UMKA on 10-Ноя-00, 02:31  (MSK)
	Эти скрипты я писал для сбора статистики через свою программу, но кое-что из неё выкинул... значит я запускаю их сразу-же после инициализации сетевых карт(в слаке, а я работаю тока на ней, это в скрипте rc.inet1 по поводу ipchains -P input DENY: эта строчка запретит тебе прием пакетов вообще, за исключением тех, которые ты указал в явном виде т.е. ipchains -A input -s 192.168.0.2/32 .... разрешит только пользователю 192.168.0.2 лезть через сервер или на сервер, а остальные отдыхают.... в общем достаточно запустить маскарадинг, чтобы юзеры полезли в инет, да прописать днс у юзерей на провайдера, если свой днс не стоит... остальные цепочки нужны тока для сбора статистики... и вообще...www.linux.org.ru...там в доке лежит классная документация по ipchains
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "RE: составить правила ipchains"
	Сообщение от UMKA on 10-Ноя-00, 02:32  (MSK)
	Эти скрипты я писал для сбора статистики через свою программу, но кое-что выкинул из скриптов... значит я запускаю их сразу-же после инициализации сетевых карт(в слаке, а я работаю тока на ней,да ещё во фрибсд, это в скрипте rc.inet1) по поводу ipchains -P input DENY: эта строчка запретит тебе прием пакетов вообще, за исключением тех, которые ты указал в явном виде т.е. ipchains -A input -s 192.168.0.2/32 .... разрешит только пользователю 192.168.0.2 лезть через сервер или на сервер, а остальные отдыхают.... в общем достаточно запустить маскарадинг, чтобы юзеры полезли в инет, да прописать днс у юзерей на провайдера, если свой днс не стоит... остальные цепочки нужны тока для сбора статистики... и вообще...www.linux.org.ru...там в доке лежит классная документация по ipchains
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.