Iptables для начинающих. Первые шаги.

Четверг, 29 сентября 2011 г.
Рубрика: *NIX_*BSD сиcтемы -> В помощь сисадмину
Метки:
Просмотров: 9445
Подписаться на комментарии по RSS

Все кто перешел на Linux рано или поздно услышат это волшебное слова - iptables.

Про iptables есть много литература на просторах интернета, и кому будет интересно может ее найти и ознакомиться. Вот отличная статья - Руководство по iptables (Iptables Tutorial 1.1.19).

Эту заметку пишу для себя, чтоб когда понадобиться, для быстрой настройки, тупо сделать copy/paste.

1. Ограничением доступ в нашу сеть извне.В принципе мы знаем какие приложения у нас работает на сервере (ssh,httpd,named и т.д.) и какие порты открыты, но для полной уверенности все же про сканируем сервер, а может что нового узнаем. Для примера наш внешний интерфейс ppp0 (211.11.11.11).

$ nmap -A -T4 211.11.11.11

Полный вывод nmap', 'Скрыть')"> Полный вывод nmap

Закрываем все порты за исключением 22 (ssh) и 80 (http), которые будем светить в интернет.

Но тут надо обратить внимания, что при добавлении правил iptables важно помнить о том, что их порядок имеет значение. Например, если одно правило отбрасывает все пакеты из локальной подсети 192.168.100.0/24, и добавляется (-A) ещё одно правило, пропускающее пакеты от узла 192.168.100.100 (расположенного в запрещённой локальной подсети),добавленное правило не будет работать. Сначала надо добавить правило, пропускающее 192.168.100.100,а затем правило, блокирующее подсеть!! Чтобы вставить правило в произвольное место существующей цепочки, укажите -I,затем название этой цепочки и позицию (1,2,3,...,n), в которой должно располагаться правило.

Например:

iptables -I INPUT 1 -i lo -p all -j ACCEPT

это правило, пропускающее трафик устройства замыкания на себя, оказывается в цепочке INPUT первым правилом.

Пишем наши правила:

$ iptables -A INPUT -i ppp0 -p tcp --dport 22 -j ACCEPT

$ iptables -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT

пишу ..

twitter.com facebook.com vkontakte.ru odnoklassniki.ru mail.ru myspace.com pikabu.ru blogger.com liveinternet.ru livejournal.ru memori.ru google.com bobrdobr.ru mister-wong.ru yahoo.com

Оставьте комментарий!

grin LOL cheese smile wink smirk rolleyes confused surprised big surprise tongue laugh tongue rolleye tongue wink raspberry blank stare long face ohh grrr gulp oh oh downer red face sick shut eye hmmm mad angry zipper kiss shock cool smile cool smirk cool grin cool hmm cool mad cool cheese vampire snake excaim question

Используйте нормальные имена. Ваш комментарий будет опубликован после проверки.

Имя и сайт используются только при регистрации

Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email. При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д., а также подписку на новые комментарии.

(обязательно)