Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
Firewall iptables http://forum.freesco.pl/viewtopic.php?f=28&t=13310 |
Strona 1 z 3 |
Autor: | hx [ środa, 23 sierpnia 2006, 13:24 ] |
Tytuł: | Firewall iptables |
Wiem że bardzo popularne są firewalle adiego i czerwa ale może dlatego ze ludzie mają problemy z regułkami. Proponuje temat z przydatnymi regułkami iptables czyli : blokada p2p w danych godzina dla sieci dla usera,blokada macków ,squid ,limit połączeń itd.(taki mały opisik) może zaczniemy od blokady p2p dla całej sieci w godzinach od 17 do 22 iptables -t mangle -A PREROUTING -m time --timestart 17:00 --timestop 22:00 -m ipp2p --ipp2p -j DROP blokada p2p dla konkretnego ip w godzinach 17 do 22 iptables -I FORWARD -s 192.168.0.11 -m time --timestart 17:00 --timestop 22:00 -m ipp2p --ipp2p -j DROP blokada całkowita p2p dla konkretnego ip proxy dla całej sieci na porcie 3128 iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 przekierowanie portu 4657 dla ip 192.168.0.11 (np dla p2p) iptables -I FORWARD -p tcp -d 192.168.0.11 --dport 4657 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 4657 -j DNAT --to 192.168.0.11 blokada adresu mac iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01 -j DROP iptables -A FORWARD -m mac --mac-source 00:00:00:00:00:01 -j DROP ograniczenie ilości połączeń do 70 echo "7200" >/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established iptables -A FORWARD -s 192.168.0.0/24 -p tcp --tcp-flags SYN,RST,ACK SYN -m connlimit --connlimit-above 70 --connlimit-mask 32 -j DROP lub iptables -A FORWARD -p tcp -m connlimit --connlimt-above 70 --connlimit-mask 32 -j DROP blokada okreslonych portow (przykładowo od 600 do 800) dla okreslonego ip 192.168.0.11 iptables -I FORWARD -s 192.168.0.11 -p tcp --dport 600:800 -j DROP iptables -I FORWARD -s 192.168.0.11 -p udp --dport 600:800 -j DROP blokada adresu ip dla przykładu 192.168.0.11 iptables -A INPUT -s 192.168.0.11 -j DROP iptables -A FORWARD -s 192.168.0.11 -j DROP iptables -A INPUT -d 192.168.0.11 -j DROP iptables -A FORWARD -d 192.168.0.11 -j DROP blokada "podudostępniania" internetu (TTL) dla konkretnego ip 192.168.0.11 i drugie dla całej sieci iptables -t mangle -A POSTROUTING -d 192.168.0.11 -j TTL --ttl-set 1 iptables -t mangle -A POSTROUTING -o eth1 -j TTL --ttl-set 1 |
Autor: | Luc3k [ środa, 23 sierpnia 2006, 13:33 ] |
Tytuł: | |
Dobry topic, czasami nie wiem jak cos dodac, popatrze na przyklad pokombinuje i raz zadziala, raz nie - ale ogolnie sprzyda sie taka sciaga. |
Autor: | adi [ środa, 23 sierpnia 2006, 18:09 ] |
Tytuł: | Re: Firewall iptables |
hx pisze: blokada adresu mac iptables -D INPUT -m mac --mac-source 00:00:00:00:00:01 -j DROP iptables -D FORWARD -m mac --mac-source 00:00:00:00:00:01 -j DROP Jesteś pewien tych regułek ?? Ja raczej dałbym tak: (nie zagłębiając się w szczegóły) iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01 -j DROP iptables -A FORWARD -m mac --mac-source 00:00:00:00:00:01 -j DROP |
Autor: | hx [ środa, 23 sierpnia 2006, 18:14 ] |
Tytuł: | |
juz poprawiam |
Autor: | erni [ środa, 23 sierpnia 2006, 19:34 ] |
Tytuł: | |
proponuje dodac wszystkie mozliwosci ograniczania ilosci polaczen... a i wlasnie... blokada okreslonych portow, lub przedzialu portow. Przed chwila, zauwazylem u goscia jakies dziwne nawiazane polaczenia na portach 6345:6349 Jak sie okazalo to gnutella, z ktora najwyrazniej najnowsze ipp2p sobie nie poradzilo... |
Autor: | hx [ środa, 23 sierpnia 2006, 19:44 ] |
Tytuł: | |
dawajcie wszystko co macie bede wklejał do pierwszego topica i bedzie ładne vademecum |
Autor: | erni [ środa, 23 sierpnia 2006, 20:01 ] |
Tytuł: | |
inny sposób ograniczenia ilosci polaczen (przyklad dla calej sieci) iptables -A FORWARD -p tcp -m connlimit --connlimt-above 70 --connlimit-mask 32 -j DROP |
Autor: | erni [ środa, 23 sierpnia 2006, 20:08 ] |
Tytuł: | |
blokada okreslonych portow (w przedziale x do y) dla okreslonego ip iptables -I FORWARD -s ip -p tcp --dport x:y -j DROP iptables -I FORWARD -s ip -p udp --dport x:y -j DROP |
Autor: | hx [ środa, 23 sierpnia 2006, 20:08 ] |
Tytuł: | |
tu bardzo prosze Zciecha CZerwa Adiego (kolejność przypadkowa) i innych strażako-murarzy o komentowanie regułek i ewentualne poprawki |
Autor: | czerwo [ środa, 23 sierpnia 2006, 21:43 ] |
Tytuł: | |
Blokada adresu ip iptables -A INPUT -s IP -j DROP iptables -A FORWARD -s IP -j DROP iptables -A INPUT -d IP -j DROP iptables -A FORWARD -d IP -j DROP |
Autor: | czerwo [ środa, 23 sierpnia 2006, 21:44 ] |
Tytuł: | |
otwarcie portu 123 na interfejsie eth0 (zewnetrzny interfejs) iptables -A INPUT -p tcp -i eth0 --dport 123 -j ACCEPT |
Autor: | czerwo [ środa, 23 sierpnia 2006, 21:46 ] |
Tytuł: | |
ttl: dla calego interfejsu iptables -t mangle -A POSTROUTING -o eth1 -j TTL --ttl-set 1 dla usera: iptables -t mangle -A POSTROUTING -d IP -j TTL --ttl-set 1 |
Autor: | zciech [ środa, 23 sierpnia 2006, 21:50 ] |
Tytuł: | |
iptables [-t table] -[AD] chain rule-specification [options] iptables [-t table] -I chain [rulenum] rule-specification [options] iptables [-t table] -R chain rulenum rule-specification [options] iptables [-t table] -D chain rulenum [options] iptables [-t table] -[LFZ] [chain] [options] iptables [-t table] -N chain iptables [-t table] -X [chain] iptables [-t table] -P chain target [options] iptables [-t table] -E old-chain-name new-chain-name |
Autor: | czerwo [ środa, 23 sierpnia 2006, 21:52 ] |
Tytuł: | |
trzeba bylo napisac man iptables... . Jak ktosz szuka gotowych rozwiazan to to jest bardzo dobre i uwazam ze nalezy do do faq dorzucic |
Autor: | Mis' [ środa, 23 sierpnia 2006, 21:59 ] |
Tytuł: | |
a co to wszystko ma wspólnego z instalacją NND??? Spadać z tym wątkiem na wiki, albo do Hyde Parku. Ale chyba lepiej na wiki. |
Autor: | tasiorek [ środa, 23 sierpnia 2006, 22:05 ] |
Tytuł: | |
Misiu troche konsekwencji. Skoro spadac, to spadac |
Autor: | Mis' [ środa, 23 sierpnia 2006, 22:10 ] |
Tytuł: | |
Dwóch moderatorów się wypowiadało... i żaden z nich to ja. P.S. Ja bym do wiki przeniósł, ale juz ledwie monitor widzę... nie mówiąc już o tym co wyświetla. |
Autor: | erni [ środa, 23 sierpnia 2006, 22:26 ] |
Tytuł: | |
pierwsze trzeba utworzyc jakas wieksza baze i na wiki bedzie w sam raz |
Autor: | hx [ środa, 23 sierpnia 2006, 22:38 ] |
Tytuł: | |
hmm co jeszcze ? -blokada komunikatorów dla konkretnego ip -restart mrtg po restart iptables -blokada udp dla konkretnego ip -otwarcie portu na zewnątrz -???????????? PS. chwile człowiek na film popatrzy i już go do hydeparku wyniosą |
Autor: | anonimus [ środa, 23 sierpnia 2006, 22:45 ] |
Tytuł: | |
Może jeszcze jak zablokować pingi do serwera z neta i lanu? |
Strona 1 z 3 | Strefa czasowa UTC+2godz. |
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |