The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"ipfw vs iptables"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"ipfw vs iptables"  
Сообщение от fa email(??) on 02-Фев-06, 22:23 
Народ, помогите. Начал изучать линукс. Сразу куча вопросов про фаервол:
1. В ipfw можно дивертить в натд в любом по счету правилу. В iptables нат вообще в отдельной таблице. Если я хочу натить после/до/в середине фильтрации - как такое сделать в iptables.
2. Не могу найти аналог fwd для iptables.
3. Посоветуйте какую-нибудь статью "Настройка шлюза под линукс". Для фри такие статьи появляются тут регулярно раз в месяц. Про линукс пока не видел.
Зараннее спасибо за ответы.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

  • ipfw vs iptables, Skif, 23:33 , 02-Фев-06, (1)  
    • ipfw vs iptables, dimus, 10:47 , 03-Фев-06, (2)  
      • ipfw vs iptables, fitter, 11:22 , 03-Фев-06, (3)  
        • ipfw vs iptables, fa, 13:23 , 03-Фев-06, (4)  
  • ipfw vs iptables, fa, 13:29 , 03-Фев-06, (5)  

Сообщения по теме [Сортировка по времени, UBB]


1. "ipfw vs iptables"  
Сообщение от Skif (ok) on 02-Фев-06, 23:33 
http://www.opennet.me/base/net/iptables_howto.txt.html
http://www.opennet.me/base/net/iptables_nat.txt.html
http://www.opennet.me/base/net/ipfw_iptables.txt.html

На opennet.ru есть все:
http://www.opennet.me/cgi-bin/opennet/ks.cgi?mask=iptables&sys=0&dir=0

А чего нет здесь, можно легко найти в Яндексе или в набившем оскомину Google

http://iptables-tutorial.frozentux.net/iptables-tutorial.html
http://www.posix.ru/network/iptables/
http://wosb.ru/readarticle.php?article_id=15

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "ipfw vs iptables"  
Сообщение от dimus (??) on 03-Фев-06, 10:47 
От себя еще добавлю - обратите ОСОБОЕ внимание на порядок прохождения пакетов по таблицам. У iptables принцип построения правил ДРУГОЙ, поэтому пользователи iptables и пользователи ipfw/pf смотрят на правила друг у друга и недоумевают, как же все работает.

В iptables если правило ACCEPT, то оно переходит в следующую таблицу, а если  DROP, то это финиш обработки, правила после него не будут рассматриваться. Это позволяет избежать прохождения пакетов по ненужным уже правилам. И можно для ряда цепочек выставить политику по умолчанию - это то действие, которое будет выполнено, если не подошло ни одно из правил. (Лучше ставить DROP)

Примерно эквивалентные наборы правил. Поправьте меня, если я в чем-то не прав, так как во ФриБСД разбираюсь не очень сильно, могу дать неверную инфу.
// Сбросить все правила
# ipfw -q -f flush
// Проверять состояние
# ipfw -q add check-state
// Запретить все фрагментированные пакеты
# ipfw -q add deny all from any to any frag
// Запретить все установившиеся соединения
# ipfw -q add deny tcp from any to any established
// Но при этом сделать исключение для 80 порта через tun0, при этом отслеживая состояние соединения
# ipfw -q add allow tcp from any to any 80 out via tun0 setup keep-state
// То же самое для ДНС
# ipfw -q add allow udp from any to any 53 out via tun0 keep-state

// Для линукс
// Сбросить все правила
iptables -F
// Политика по умолчанию -дроп
iptables -P FORWARD DROP
// Добавим правило для пакетов установившихся соединений
// Дальше этого правила пройдут только пакеты от новых соединений
iptables -A FORWARD -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT
// Будем пропускать дальше только новые tcp пакеты с установленным битом SYN
// Все остальные новые tcp пакеты умрут на этом правиле
iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
// Будут пропущены пакеты на 80 порт по TCP
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
// Будут пропущены пакеты на 80 порт назначения
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
// А тут сработает политика по умолчанию, и умрут все пакеты, которые не попали под два предыдущих правила

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "ipfw vs iptables"  
Сообщение от fitter email(ok) on 03-Фев-06, 11:22 
У меня есть хорошая статья по iptables
Могу прислать, если есть желание.
Дай только адрес.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "ipfw vs iptables"  
Сообщение от fa email(??) on 03-Фев-06, 13:23 
>У меня есть хорошая статья по iptables
>Могу прислать, если есть желание.
>Дай только адрес.


facha2002(at)mail.ru

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "ipfw vs iptables"  
Сообщение от fa email(??) on 03-Фев-06, 13:29 
Спасибо, что отозвались :-)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру