форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[ Отслеживать ]

"защита с iptables"

Сообщение от Игорь (??) on 29-Май-08, 23:43

Я попробывал посторить защиту от"интернет". Всё логирую и блокирую. Со стороны интернета (по входу) всё заблокировано. FORWARD по выходу с eth0 заперт. вот какие команды попробывал смонтировать с разных источников: //Задаем политику, все пакеты сбрасываем: sudo iptables –P INPUT DROP sudo iptables –P FORWARD DROP sudo iptables –P OUTPUT DROP //Разрешаем прохождение любого трафика по интерфейсу обратной петли: sudo iptables -A INPUT –I lo -j ACCEPT sudo iptables -A OUTPUT -o lo -j ACCEPT //Разрешение прохождения пакетов IPSec: sudo iptables -A FORWARD -p 50 -j ACCEPT sudo iptables -A FORWARD -p 51 -j ACCEPT //Разрешение пакетов из локальной сети: sudo iptables -A FORWARD -s 192.168.4.0/24 -j ACCEPT //Pазрешение пакетов из головного офиса: sudo iptables -A FORWARD -s 33.33.33.33 -j ACCEPT //«Поднятие» NAT: sudo iptables -t nat -A POSTROUTING -o eth1 MASQUERADE sudo iptables -A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j LOG --log-level 7 --log-tcp-options sudo iptables -A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable sudo iptables -A FORWARD -o eth0 -p tcp -j DROP //Запрещаем любые новые подключения с любых интерфейсов, кроме lo к компьютеру sudo iptables -A INPUT -m state ! -i lo --state NEW -j DROPT //Если интерфейс не lo, то запрещаем входить в список его адресов sudo iptables -A INPUT -s 127.0.0.1/255.0.0.0 ! -i lo -j DROPT //Открываем со  стороны локальной сети пользователей в интернет (по всем портам) sudo iptables -A POSTROUTING -o eth0 -j SNAT --to-source 33.33.33.33 sudo iptables -A POSTROUTING -o eth0 -j SNAT --to-source 33.33.33.33 но здесь что-то не то, правильно ли это? получается я два раза блокирую FORWARD!!!! Подскажите кто сможет!!!! И что значит строчки FIN,SYN,ACK SYN????

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "защита с iptables"

Сообщение от angra (ok) on 30-Май-08, 01:03

Про таких говорят: "обезьяна с гранатой". Никогда не приходило в голову, что в начале нужно читать руководство?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "защита с iptables"
	Сообщение от Игорь (??) on 30-Май-08, 07:22
	>Про таких говорят: "обезьяна с гранатой". Никогда не приходило в голову, что >в начале нужно читать руководство? ИМХО, для того и форум что б обсудить нормально, а такое мнения типа "обезьяна с гранатой" прошу при себе держать!!!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "защита с iptables"
	Сообщение от hate on 30-Май-08, 08:33
	>>Про таких говорят: "обезьяна с гранатой". Никогда не приходило в голову, что >>в начале нужно читать руководство? > >ИМХО, для того и форум что б обсудить нормально, а такое мнения >типа "обезьяна с гранатой" прошу при себе держать!!!   Уйди в туман... И возьми с собой хендбук.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "защита с iptables"
	Сообщение от reader (ok) on 30-Май-08, 10:42
	без обид , но вам нужно сначало почитать http://www.opennet.me/docs/RUS/iptables там есть примеры. Потом найти генераторы правил и посмотреть как они их составляют. Иначе нужно либо за вас все написать , либо долго все разжевывать для вас. Когда начнете понимать принципы и останутся нюансы, вам ответят, но не сделают за вас.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "защита с iptables"
	Сообщение от Игорь (??) on 30-Май-08, 17:32
	да  я уже разобрался и подправил, просто завтра сдавтаь мне надо, думал кто подскажет если есть ошибки, а тут такие же как и я сидят, только умеют аскорбялть или писать ссылки на другие источники, будто я от трубы взял и написал, само собой я не просто так это взял !!!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "iptables? защита?"
	Сообщение от Andrey Mitrofanov on 30-Май-08, 17:48
	>>Про таких говорят: "обезьяна с гранатой". Никогда не приходило в голову, что >>в начале нужно читать руководство? >ИМХО, для того и форум что б обсудить нормально, а такое мнения >типа "обезьяна с гранатой" прошу при себе держать!!! Ещё раз: то, что заявлялось "изустно", и то, что написано в скрипте для iptables, отличается столь же разительно, как граната и апельсин. Давай пригласим скучающую публику прокомментировать твой несколько %) пере-упорядоченный "пример"? :)) 1.> -P OUTPUT DROP 2.> -A OUTPUT -o lo -j ACCEPT 3.> -P FORWARD DROP 4.> -A FORWARD -p 50 -j ACCEPT 5.> -A FORWARD -p 51 -j ACCEPT 6.> -A FORWARD -s 192.168.4.0/24 -j ACCEPT 7.> -A FORWARD -s 33.33.33.33 -j ACCEPT 8.> -A FORWARD -o eth0 -p tcp -j DROP 9.> -P INPUT DROP 10.> -A INPUT -I lo -j ACCEPT 11.> -A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j LOG --log-level 7 --log-tcp-options 12.> -A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable 13.> -A INPUT -m state ! -i lo --state NEW -j DROPT 14.> -A INPUT -s 127.0.0.1/255.0.0.0 ! -i lo -j DROPT 15.> -t nat -A POSTROUTING -o eth1 MASQUERADE 16.> -A POSTROUTING -o eth0 -j SNAT --to-source 33.33.33.33 17.> -A POSTROUTING -o eth0 -j SNAT --to-source 33.33.33.33
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "бесплатные образцы: firehol"
	Сообщение от Andrey Mitrofanov on 30-Май-08, 18:26
	>Давай пригласим скучающую публику прокомментировать твой несколько %) пере-упорядоченный "пример"? :)) Воспользуемся самым %) конструктивным советом - "найти генераторы правил и посмотреть как они их составляют" - и перепишем следующую часть исходных айпи-таблиц %) -- > 3.> -P FORWARD DROP > 4.> -A FORWARD -p 50 -j ACCEPT > 5.> -A FORWARD -p 51 -j ACCEPT > 6.> -A FORWARD -s 192.168.4.0/24 -j ACCEPT > 9.> -P INPUT DROP >15.> -t nat -A POSTROUTING -o eth1 MASQUERADE -- на язык генератора правил firehol: version 5     NET="192.168.4.0/24" router users inface "eth0" outface "eth1" src "$NET"     masquerade     client "AH ESP" accept И сравним (пере-упорядоченные руками) сгенерённые им правила с исходными: -A FORWARD -i eth0 -o eth1 -s 192.168.4.0/24 -j in_users -A FORWARD -i eth1 -o eth0 -d 192.168.4.0/24 -j out_users -N in_users -A in_users -j in_users_AH_c1 -A in_users -j in_users_ESP_c2 -N in_users_AH_c1 -A in_users_AH_c1 -p 51 -m state --state ESTABLISHED -j ACCEPT -N in_users_ESP_c2 -A in_users_ESP_c2 -p 50 -m state --state ESTABLISHED -j ACCEPT -N out_users -A out_users -j out_users_AH_c1 -A out_users -j out_users_ESP_c2 -N out_users_AH_c1 -A out_users_AH_c1 -p 51 -m state --state NEW\,ESTABLISHED -j ACCEPT -N out_users_ESP_c2 -A out_users_ESP_c2 -p 50 -m state --state NEW\,ESTABLISHED -j ACCEPT -t nat -A POSTROUTING -o eth1 -j MASQUERADE
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]