Jump to content
Sign in to follow this  
avaddon66

Прошу помощи в создании iptables

Recommended Posts

Господа!

Попытаюсь описать более детально ситуацию:

Имеется некий сервер на основе Slackware (достался в наследство), который работает только в локальной сети с интерфейсом eth0:10.60.15.175 и соответственно lo:127.0.0.1, доступ в интернет отсутствует.

К серверу должны иметь полный доступ (входящий и исходящий трафик) некоторые локальные сети: 192.168.115.0-192.168.221.0, 10.60.15.0 и 1 внешний IP к примеру 88.88.88.88 который периодически подключается к eth0:10.60.15.175.

Нужно чтобы сети не входящие в диапазон 192.168.115.0-192.168.221.0, 10.60.15.0-255 были закрыты, а доступ с внешнего IP 88.88.88.88 можно было открывать/закрывать по мере необходимости.

На http://connie.slackware.com/~alien/efg/index.php сгенерировал скрипт и вот что вышло см.вложение

Вот что там лишнее и чего не хватает я знаю.

В этом деле я полный 0, поэтому прошу объяснять как для идиота, статьи читал, примеры смотрел, но иероглифы моему сознанию не поддаются.

Share this post


Link to post
Share on other sites

Что-то наподобе

iptables -A INPUT -p ALL -s 88.88.88.88 -j ACCEPT

iptables -A INPUT -p ALL -m iprange --src-range 192.168.115.1-192.168.221.254 -j ACCEPT

iptables -A INPUT -p ALL -j DROP

Похоже, у Вас большая сеть. Может, имеет смысл заняться расшифровкой иероглифоф?

Существуют и графические конфигураторы iptables. Только по функциональности они не далеко ушли от продвинутых фареволов венды.

Share this post


Link to post
Share on other sites

Так начал расшифровывать, но все равно это для меня тяжело

мир не без добрых людей, и у меня кое-что получилось

#!/bin/bash# IPTables LocationIPT="/usr/sbin/iptables"IPTS="/usr/sbin/iptables-save"IPTR="/usr/sbin/iptables-restore"# Save and Restore arguments handled hereif [ "$1" = "save" ]then    echo -n "Saving firewall to /etc/rc.d/init.d/iptables ... "    $IPTS > /etc/rc.d/init.d/iptables    echo "done"    exit 0elif [ "$1" = "restore" ]then    echo -n "Restoring firewall from /etc/rc.d/init.d/iptables ... "    $IPTR < /etc/rc.d/init.d/iptables    echo "done"    exit 0fi#flush policy$IPT  -F$IPT  -X#default policy$IPT  -P  FORWARD ACCEPT$IPT  -P  OUTPUT ACCEPT$IPT  -P  INPUT DROP#create custom chain$IPT  -N  POLICY# INPUT policy$IPT  -A INPUT -i lo -j ACCEPT$IPT  -A OUTPUT -o lo -j ACCEPT$IPT  -A  INPUT -s  127.0.0.1 -j  ACCEPT$IPT  -A  INPUT -d  127.0.0.1 -j  ACCEPT$IPT  -A  INPUT -m  state --state  RELATED,ESTABLISHED -j  ACCEPT$IPT  -A  INPUT -p  icmp -j  ACCEPT#jump to chain$IPT  -A  INPUT -j  POLICY#chain policy##$IPT  -A  POLICY -p  tcp -m  tcp --dport  53  -j  ACCEPT##$IPT  -A  POLICY -p  udp -m  udp --dport  53  -j  ACCEPT##$IPT  -A  POLICY -p  tcp -m  tcp --dport  22  -j  ACCEPT##$IPT  -A  POLICY -p  tcp -m  tcp --dport  80  -j  ACCEPT##$IPT  -A  POLICY -p  tcp -m  tcp --dport  443 -j  ACCEPT#dobavit kogo nuzhno, kakie seti ili ip ne ukazani sdes dostupa ne imeut#deaggregated 192.168.115.0 - 192.168.221.255$IPT  -A  POLICY  -s 10.116.15.192/30 -j  ACCEPT$IPT  -A  POLICY  -s 10.116.15.196/31 -j  ACCEPT$IPT  -A  POLICY  -s 10.60.15.155/32 -j  ACCEPTNET_OK="192.168.115.0/24 192.168.116.0/22 192.168.120.0/21 192.168.128.0/18 192.168.192.0/20 192.168.208.0/21 192.168.216.0/22 192.168.220.0/23 192.168.221.0/32"for N in $NET_OK ; do  $IPT -A POLICY -p ALL -s $N -j ACCEPT  done

подскажите как добавить правило защиты SYN flood и логи о всех соединениях фаерволла?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
Sign in to follow this  

×
×
  • Create New...