подскажите SABJ.
не силен в правилах iptables, полюбому же есть порты которые работают надстройкой надо iptables. подскажите.

Есть такая прогамма -




Для просмотра скрытого содержимого необходимо иметь 5 сообщений, у вас 0 сообщений.


Для просмотра скрытого содержимого необходимо иметь 5 сообщений, у вас 0 сообщений.

Вот отличная штука http://code.google.com/p/flex-fw/ (https://href.li/?http://code.google.com/p/flex-fw/)

baddan написал(а):

подскажите SABJ.
не силен в правилах iptables, полюбому же есть порты которые работают надстройкой надо iptables. подскажите.


Всё же из своего опыта могу порекомендовать освоить именно iptables в оригинале.
Да и сложного тут ничего нет, сам сначала был в шоке от такого количества аргументов, но всё оказалось просто. Главное, что тут надо понять - это то, что правила по всем направлениям - это цепочки. При срабатывании первого же правила в цепочке все последующие игнорируются, исходя из этого надо запомнить:
1. на первом месте то, что разрешено и только потом запрет.
2. для описания исключения к уже имеющимся правилам его надо вставлять (-I) до запрета.
Например: надо чтобы доступ к 80 порту был только у одной машины. Исходя из принципов, которые я описал выше надо сначала разрешить доступ конкретной машине к порту:

Код:



iptables -A INPUT -p tcp --dport 80 -s 192.168.1.10 -j ACCEPT


потом запретить всем доступ к 80 порту:

Код:



iptables -A INPUT -p tcp --dport 80 -j DROP


Таким образом политика у нас будет выглядеть так (iptables -L)

Код:



Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 192.168.1.10 anywhere tcp dpt:www
DROP tcp -- anywhere anywhere tcp dpt:www


Как только придёт пользователь с обозначенным ip - он получит разрешение (-j ACCEPT), исполнение цепочки не будет продолжено. Если пришёл кто-то не с этого ip, то под первое правило он не подходит, дело идёт ко второму, которая разворачивает "пациента".
Примечание:
Посмотреть таблицу правил iptables -L
Удалить правило iptables -D
Надо помнить, что при вставке (-I) и удалении (-D) происходит сдвиг номера правила в соответствующую сторону
Чтобы правила сохранились и работали после перезагрузки необходимо выполнить iptables-save
PS: Надстройки дело хорошее, но iptables надо обязательно знать! Хорошо, когда полноценный линукс, а если это урезанный интерфейс роутера?

Какая ОС ? если ред Хат то там system-config-securitylevel или как-то так

drive800 написал(а):

Какая ОС ? если ред Хат то там system-config-securitylevel или как-то так


debian lenny, серверный вариант, тоесть без X.
Добавлено через 1 минуту


brain-m написал(а):

Всё же из своего опыта могу порекомендовать освоить именно iptables в оригинале.
Да и сложного тут ничего нет, сам сначала был в шоке от такого количества аргументов, но всё оказалось просто. Главное, что тут
...
...
PS: Надстройки дело хорошее, но iptables надо обязательно знать! Хорошо, когда полноценный линукс, а если это урезанный интерфейс роутера?


после перезагрузки правила пропали руками постояно прописывать или есть варианты?

baddan написал(а):

после перезагрузки правила пропали руками постояно прописывать или есть варианты?

Чтобы правила сохранились и работали после перезагрузки необходимо выполнить iptables-save