forum.opennet.ru - "Проверка правил iptables" (1)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Проверка правил iptables"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Проверка правил iptables"
Сообщение от lux.place (ok) on 23-Янв-07, 07:57
Есть не очень большая, но уже нетривиальная сеть. Горсть vpn, snat/dnat и прочих радостей. Собственно задача - тестить firewall'ы на серверах. Где-то так: Сеть: Клиент - сервер1 - сервер2 - сервер3. Надо: 1) на сервере1 с командной строки убедиться, что пакеты от клиента до сервера3 будут через фаервол пропущены. При выключенной в этот момент машине клиента. 2) на сервере1 при тех же условиях убедиться, что пакеты будут завёрнуты на сервер2. 3) на нём же при тех же условиях убедиться, что пакеты будут пропущены через конкретное правило -j SNAT В идеале получается система тестов на всех серверах, которая при внесении изменений в конфигурацию сети будет меня громко материть на предмет отвалившихся хвостов. А в полном идеале она врисовывается в nagios. Ну да систему нарисовать не трудно, знать бы чем правила iptables/route проверять. Куда гуглить?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Проверка правил iptables, solaris, 23:46 , 29-Янв-07, (1)

Сообщения по теме [Сортировка по времени, UBB]

1. "Проверка правил iptables"

Сообщение от solaris (??) on 29-Янв-07, 23:46

>Есть не очень большая, но уже нетривиальная сеть. Горсть vpn, snat/dnat и
>прочих радостей. Собственно задача - тестить firewall'ы на серверах. Где-то так:
>
>Сеть: Клиент - сервер1 - сервер2 - сервер3.
>Надо:
>1) на сервере1 с командной строки убедиться, что пакеты от клиента до
>сервера3 будут через фаервол пропущены. При выключенной в этот момент машине
>клиента.
>2) на сервере1 при тех же условиях убедиться, что пакеты будут завёрнуты
>на сервер2.
>3) на нём же при тех же условиях убедиться, что пакеты будут
>пропущены через конкретное правило -j SNAT
>
>В идеале получается система тестов на всех серверах, которая при внесении изменений
>в конфигурацию сети будет меня громко материть на предмет отвалившихся хвостов.
>А в полном идеале она врисовывается в nagios. Ну да систему
>нарисовать не трудно, знать бы чем правила iptables/route проверять.
>
>Куда гуглить?
Если дело только в отвалившихся хостах - то нет ничего эффективнее, нежели смотреть arp. arpwatch и arping к вашим услугам. Что касаемо nagios - не изобретайте велосипеда. Напишите, что конкретно надо, а мы придумаем реализацию. При выключенном клиенте, запускаете алиас на маршрутизаторе из подсети клиента с его ip и тестируете с маршрутизатора.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Проверка правил iptables"
Сообщение от solaris (??) on 29-Янв-07, 23:46
>Есть не очень большая, но уже нетривиальная сеть. Горсть vpn, snat/dnat и >прочих радостей. Собственно задача - тестить firewall'ы на серверах. Где-то так: > >Сеть: Клиент - сервер1 - сервер2 - сервер3. >Надо: >1) на сервере1 с командной строки убедиться, что пакеты от клиента до >сервера3 будут через фаервол пропущены. При выключенной в этот момент машине >клиента. >2) на сервере1 при тех же условиях убедиться, что пакеты будут завёрнуты >на сервер2. >3) на нём же при тех же условиях убедиться, что пакеты будут >пропущены через конкретное правило -j SNAT > >В идеале получается система тестов на всех серверах, которая при внесении изменений >в конфигурацию сети будет меня громко материть на предмет отвалившихся хвостов. >А в полном идеале она врисовывается в nagios. Ну да систему >нарисовать не трудно, знать бы чем правила iptables/route проверять. > >Куда гуглить? Если дело только в отвалившихся хостах - то нет ничего эффективнее, нежели смотреть arp. arpwatch и arping к вашим услугам. Что касаемо nagios - не изобретайте велосипеда. Напишите, что конкретно надо, а мы придумаем реализацию. При выключенном клиенте, запускаете алиас на маршрутизаторе из подсети клиента с его ip и тестируете с маршрутизатора.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]