Перейти к содержанию

Прошу помощи в создании iptables


Рекомендуемые сообщения

Господа!

Попытаюсь описать более детально ситуацию:

Имеется некий сервер на основе Slackware (достался в наследство), который работает только в локальной сети с интерфейсом eth0:10.60.15.175 и соответственно lo:127.0.0.1, доступ в интернет отсутствует.

К серверу должны иметь полный доступ (входящий и исходящий трафик) некоторые локальные сети: 192.168.115.0-192.168.221.0, 10.60.15.0 и 1 внешний IP к примеру 88.88.88.88 который периодически подключается к eth0:10.60.15.175.

Нужно чтобы сети не входящие в диапазон 192.168.115.0-192.168.221.0, 10.60.15.0-255 были закрыты, а доступ с внешнего IP 88.88.88.88 можно было открывать/закрывать по мере необходимости.

На http://connie.slackware.com/~alien/efg/index.php сгенерировал скрипт и вот что вышло см.вложение

Вот что там лишнее и чего не хватает я знаю.

В этом деле я полный 0, поэтому прошу объяснять как для идиота, статьи читал, примеры смотрел, но иероглифы моему сознанию не поддаются.

Ссылка на комментарий
Поделиться на другие сайты

Что-то наподобе

iptables -A INPUT -p ALL -s 88.88.88.88 -j ACCEPT

iptables -A INPUT -p ALL -m iprange --src-range 192.168.115.1-192.168.221.254 -j ACCEPT

iptables -A INPUT -p ALL -j DROP

Похоже, у Вас большая сеть. Может, имеет смысл заняться расшифровкой иероглифоф?

Существуют и графические конфигураторы iptables. Только по функциональности они не далеко ушли от продвинутых фареволов венды.

Ссылка на комментарий
Поделиться на другие сайты

Так начал расшифровывать, но все равно это для меня тяжело

мир не без добрых людей, и у меня кое-что получилось

#!/bin/bash# IPTables LocationIPT="/usr/sbin/iptables"IPTS="/usr/sbin/iptables-save"IPTR="/usr/sbin/iptables-restore"# Save and Restore arguments handled hereif [ "$1" = "save" ]then    echo -n "Saving firewall to /etc/rc.d/init.d/iptables ... "    $IPTS > /etc/rc.d/init.d/iptables    echo "done"    exit 0elif [ "$1" = "restore" ]then    echo -n "Restoring firewall from /etc/rc.d/init.d/iptables ... "    $IPTR < /etc/rc.d/init.d/iptables    echo "done"    exit 0fi#flush policy$IPT  -F$IPT  -X#default policy$IPT  -P  FORWARD ACCEPT$IPT  -P  OUTPUT ACCEPT$IPT  -P  INPUT DROP#create custom chain$IPT  -N  POLICY# INPUT policy$IPT  -A INPUT -i lo -j ACCEPT$IPT  -A OUTPUT -o lo -j ACCEPT$IPT  -A  INPUT -s  127.0.0.1 -j  ACCEPT$IPT  -A  INPUT -d  127.0.0.1 -j  ACCEPT$IPT  -A  INPUT -m  state --state  RELATED,ESTABLISHED -j  ACCEPT$IPT  -A  INPUT -p  icmp -j  ACCEPT#jump to chain$IPT  -A  INPUT -j  POLICY#chain policy##$IPT  -A  POLICY -p  tcp -m  tcp --dport  53  -j  ACCEPT##$IPT  -A  POLICY -p  udp -m  udp --dport  53  -j  ACCEPT##$IPT  -A  POLICY -p  tcp -m  tcp --dport  22  -j  ACCEPT##$IPT  -A  POLICY -p  tcp -m  tcp --dport  80  -j  ACCEPT##$IPT  -A  POLICY -p  tcp -m  tcp --dport  443 -j  ACCEPT#dobavit kogo nuzhno, kakie seti ili ip ne ukazani sdes dostupa ne imeut#deaggregated 192.168.115.0 - 192.168.221.255$IPT  -A  POLICY  -s 10.116.15.192/30 -j  ACCEPT$IPT  -A  POLICY  -s 10.116.15.196/31 -j  ACCEPT$IPT  -A  POLICY  -s 10.60.15.155/32 -j  ACCEPTNET_OK="192.168.115.0/24 192.168.116.0/22 192.168.120.0/21 192.168.128.0/18 192.168.192.0/20 192.168.208.0/21 192.168.216.0/22 192.168.220.0/23 192.168.221.0/32"for N in $NET_OK ; do  $IPT -A POLICY -p ALL -s $N -j ACCEPT  done

подскажите как добавить правило защиты SYN flood и логи о всех соединениях фаерволла?

Ссылка на комментарий
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Загрузка...
×
×
  • Создать...