Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Firewall *nix: iptables, ipfw, pf etc...

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

Открыть новую тему     Написать ответ в эту тему

Alukardd



Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
iptables
   
Linux

 
  • настройка iptables (крупные статьи переехали на wikibooks)
  • настройка iptables (opennet)
  • Easy Firewall Generator for IPTables Online
  • l7-filter - дополнения для netfilter, позволяющее создавать правила основываясь на данных прикладного уровня.
  • ipset - модуль для ядра Linux к фаерволу netfilter для создания и управления наборами адресов, портов, связок ip+mac.
     
  • схема прохождения пакета через netfilter (или более сложно и подробно)
     
    Так же может быть интересным
  • Перевод руководства по iproute2 и управлению трафиком в Linux (оригинал LARTC) -- внимательно читать оглавление - тема содержит уйму всего!!!
  • Введение в управление трафиком, дисциплины обработки очередей (теория) (opennet) - aka Повесть о Linux и управлении трафиком.
  • QoS в Linux - iproute2 и u32 селектор (хабр)
  • QoS в Linux - iproute2, издеваемся над трафиком (хабр)
     

    ipfw
       
    FreeBSD

  • русский MAN (opennet)
  • настройка ipfw (opennet)
  • настройка ipfw (lissyara)
     
    Достаточно частый вопрос
  • Балансировка и резервирование канала (samag.ru)
     

    pf
       
    OpenBSD

  • начальная настройка pf (lissyara)
  • настройка pf как шлюза (lissyara)
    • Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 23:50 19-08-2010 | Исправлено: Alukardd, 11:42 20-05-2022
    nivuravesta

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    А проблема в том, что данное правило не хочет работать.
    Всего записей: 5 | Зарегистр. 24-07-2014 | Отправлено: 08:39 28-07-2014
    Alukardd



    Gold Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    nivuravesta
    А должно бы работать...
    1. iptables -z
    2. iptables -t nat -z
    3. Пробуем подключить по RDP снаружи что бы сработало по Вашему мнению Ваше правило DNAT
    4. Показываем сюда вывод iptable -t nat -vnL и iptables -vnL

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.
    Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 09:42 28-07-2014
    nivuravesta

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Сорри, все действительно работает, тупизм был во мне))))
    Всего записей: 5 | Зарегистр. 24-07-2014 | Отправлено: 10:07 28-07-2014
    REVVV

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подробнее... [/more]
    Всего записей: 5 | Зарегистр. 17-12-2014 | Отправлено: 15:59 19-12-2014
    Alukardd



    Gold Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    REVVV
    Ух, ну Вы там и нагородили...
    Скажите, а то что "НЕ ОК", физически они как соединены? Через Шлюз, коммутатор или ещё как?

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.
    Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 16:34 19-12-2014
    REVVV

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Спасибо за ответ.)
    Физически данный веб-сервер воткнут в Л3 штуку, и интерфейс локалки (Eth1) шлюза тоже туда же в нее заходит. Одна опечатка, что интерфейс Eth0 выходит на свитч уровнем выше в иерархии, и там берет себе интернет.
     
    И то, что "НЕ ОК" - оно через шлюз соотв. входит в Л3 железку по тому же Eth1.
    Если и так не понятно пояснил, напишите, пожалуйста...случай тяжелый (для меня), я лучше перефразирую.
    Всего записей: 5 | Зарегистр. 17-12-2014 | Отправлено: 17:16 19-12-2014
    Alukardd



    Gold Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    REVVV
    Ну вроде как я осознал суть происходящего.
    На шлюзе:
    # ip r a 9х.320.123.2 dev eth0
     
    Вроде так, если я всё правильно понял.

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.
    Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 17:51 19-12-2014
    REVVV

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Тра-та-та...это я получается присвою маршрут к интерфесу? Все верно я понял?
    ip route add ... ?
     
    Добавлено:
    Добавил маршрут, но не вышло(
    Может его просто попробую подключить в общую сеть реальных адресов, чт она картинке как 92.xxx.xxx.xx, и выдать ему тот же адрес?)
    Всего записей: 5 | Зарегистр. 17-12-2014 | Отправлено: 16:34 22-12-2014
    karavan



    Advanced Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    что-то изменилось в centos 6.x со времен 5.x?
    ранее меня устраивало правило  

    Код:
    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

    теперь оно, и любое другое содержащее "-m state" возвращает вот такую дрянь:

    Код:
    iptables: No chain/target/match by that name.

     
    Нагуглил, что state это атавизм, и надо пользовать conntrack.
    Заменил, но ошибка таже.
     
    Правила прикручиваю на VPS на базе Virtuozzo (хостерский, не мой)
    В lsmod ни одного модуля не обнаружено
     
     
    пошел хостера пинать, пусть модули грузит
    Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 06:29 19-01-2015 | Исправлено: karavan, 06:42 19-01-2015
    Rabelard

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Всем доброго здоровья уважаемые форумчане!
    Меня уже давно беспокоит одна проблема, я не могу открыть порты у себя на компе, мой комп подключен таким образом:
     
    телефонная линия->модем(в режиме роутера)->маршрутизатор->сетевой кабель->мой комп.
    Что я только не делал, ничего не помогает. Модель модема: Zyxel P660RT2 EE. Модель маршрутизатора: TP Link TL-WR741ND.Ip адрес моего компа 192.168.0.100.
    Вот скрины
     
    http://s14.radikal.ru/i187/1502/79/bdc747078835.jpg
     
    http://i008.radikal.ru/1502/f4/a14e9efb66af.jpg
     
    Вся надежда на вас уважаемые форумчане =((
    Всего записей: 4 | Зарегистр. 03-02-2015 | Отправлено: 22:55 03-02-2015
    karavan



    Advanced Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Rabelard

    Цитата:
    модем(в режиме роутера)

    перевести в режим бриджа

    Цитата:
    Модель маршрутизатора: TP Link TL-WR741ND

    оставить роутером и возложить на него роль по поднятию соединения,
    далее использовать инструкцию к TP Link TL-WR741ND по пробросу портов
    Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 23:07 03-02-2015 | Исправлено: karavan, 23:08 03-02-2015
    urodliv



    Gold Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Rabelard
    Ваша ошибка в том, что у вас Вася пытается отдать долг Серёже. А помните что я вам до этого сказал? Главное последовательность. Вы этого не услышали.
    У "тополя" на wan-порте какой адрес? Вот на него в "зайце" и надо пробрасывать порты.

    ----------
    Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.
    Всего записей: 6714 | Зарегистр. 29-04-2009 | Отправлено: 23:17 03-02-2015
    Rabelard

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    karavan
    Модем переводить в бридж пробовал уже, но роутер почему-то не мог с ним работать, видимо делал что-то не то.
     
    urodliv извините конечно..но что такое "тополя" и "зайцы" ?
    А свой пост, просто скопировал суда, как в более подобающую тему.
     
    Вообще я конечно хотел бы просто научится открывать порты при моей текущей конфигурации.
     
    Вот скрин с тополя wan вкладки
    http://s017.radikal.ru/i410/1502/b1/97e190f60751.jpg
     
    Менял там я всё, и у тополя менял и у зайца менял - не помогает.
    А вообще должно показываться на сайтах по проверке порта что он открыт, если открывать его таким образом?
    Всего записей: 4 | Зарегистр. 03-02-2015 | Отправлено: 23:30 03-02-2015 | Исправлено: Rabelard, 23:53 03-02-2015
    urodliv



    Gold Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Rabelard
    "Тополь" - это TP-Link, а "заяц" - zyxel.
     
    Добавлено:
    Ну вот, в самой первой вашей картинке 192.168.0.100 поменяйте на 192.168.1.33. Но учтите, что это лишь часть решения.

    ----------
    Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.
    Всего записей: 6714 | Зарегистр. 29-04-2009 | Отправлено: 23:41 03-02-2015
    Rabelard

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Настроил всё как говорил karavan, всё работает =) всем огромное спасибо за помощь!
    Всего записей: 4 | Зарегистр. 03-02-2015 | Отправлено: 08:38 04-02-2015 | Исправлено: Rabelard, 10:40 04-02-2015
    OsennijLis

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброго дня. Никак не могу разобраться как настроить файрволл для того, чтобы у меня в локальной сети, для клиентов с gentoo, работал rsync.
    Cейчас при попытке запустить в на клиентах emerge --sync, в ответ получаю:
    timed out
    rsync error: received SIGINT, SIGTERM, or SIGHUP (code 20) at rsync.c(632) [Receiver=3.1.1]
    >>> Retrying...
    !!! Exhausted addresses for rsync2.ru.gentoo.org
     
    на сервере с Windows 2003 стоят squid и ipfw. Пока только знакомлюсь с инфраструктурой организации и в частности со сквидой и ipfw, поэтому не очень хорошо представляю как это сделать.
    Пытался по шаблонам найденным в интернете прописать правило в ipfw.conf
    add 2000 allow tcp from rsync2.ru.gentoo.org to me 873 keep-state
    но не заработало. Подскажите, плиз, как надо?
    Всего записей: 23 | Зарегистр. 27-03-2015 | Отправлено: 11:09 22-04-2015
    Alukardd



    Gold Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    OsennijLis
    Правило Вы составили верно, как я вижу. Покажите вообще все правила.
    Они работаю по порядку!

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.
    Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 14:58 22-04-2015
    ipmanyak



    Platinum Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    OsennijLis А шлюз в инет у вас кто?  Этот виндовый сервер?


    ----------
    В сортире лучше быть юзером, чем админом...
    Всего записей: 11957 | Зарегистр. 10-12-2003 | Отправлено: 15:13 22-04-2015
    OsennijLis

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Да, он же и есть шлюз.  
     
    Вот небольшая вырезка из ipfw.conf
    Подробнее...
    Всего записей: 23 | Зарегистр. 27-03-2015 | Отправлено: 16:06 22-04-2015
    Alukardd



    Gold Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    OsennijLis
    В том-то и дело, что Ваша вырезка нам ни чем не поможет. Ну показали Вы ещё правила разрешаю, что толку. Либо всё, либо ни чего.

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.
    Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 22:14 22-04-2015
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Firewall *nix: iptables, ipfw, pf etc...


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru