ANTICHAT

ANTICHAT (https://forum.antichat.xyz/index.php)
-   Linux, Freebsd, *nix (https://forum.antichat.xyz/forumdisplay.php?f=124)
-   -   альтернатива или надстройка над iptable (https://forum.antichat.xyz/showthread.php?t=1790885)

baddan 31.07.2009 20:26
подскажите SABJ.
не силен в правилах iptables, полюбому же есть порты которые работают надстройкой надо iptables. подскажите.

Oleg17 01.08.2009 16:49
Есть такая прогамма -




Для просмотра скрытого содержимого необходимо иметь 5 сообщений, у вас 0 сообщений.


Для просмотра скрытого содержимого необходимо иметь 5 сообщений, у вас 0 сообщений.

StrangeCat 04.08.2009 18:46
Вот отличная штука http://code.google.com/p/flex-fw/

brain-m 06.08.2009 10:57
Цитата:

baddan написал(а):

подскажите SABJ.
не силен в правилах iptables, полюбому же есть порты которые работают надстройкой надо iptables. подскажите.
Всё же из своего опыта могу порекомендовать освоить именно iptables в оригинале.
Да и сложного тут ничего нет, сам сначала был в шоке от такого количества аргументов, но всё оказалось просто. Главное, что тут надо понять - это то, что правила по всем направлениям - это цепочки. При срабатывании первого же правила в цепочке все последующие игнорируются, исходя из этого надо запомнить:
1. на первом месте то, что разрешено и только потом запрет.
2. для описания исключения к уже имеющимся правилам его надо вставлять (-I) до запрета.
Например: надо чтобы доступ к 80 порту был только у одной машины. Исходя из принципов, которые я описал выше надо сначала разрешить доступ конкретной машине к порту:

Код:


Код:
iptables -A INPUT -p tcp --dport 80 -s 192.168.1.10 -j ACCEPT
потом запретить всем доступ к 80 порту:

Код:


Код:
iptables -A INPUT -p tcp --dport 80 -j DROP
Таким образом политика у нас будет выглядеть так (iptables -L)

Код:


Код:
Chain INPUT (policy ACCEPT)
target    prot opt source              destination       
ACCEPT    tcp  --  192.168.1.10          anywhere            tcp dpt:www
DROP      tcp  --  anywhere            anywhere            tcp dpt:www
Как только придёт пользователь с обозначенным ip - он получит разрешение (-j ACCEPT), исполнение цепочки не будет продолжено. Если пришёл кто-то не с этого ip, то под первое правило он не подходит, дело идёт ко второму, которая разворачивает "пациента".
Примечание:
Посмотреть таблицу правил iptables -L
Удалить правило iptables -D
Надо помнить, что при вставке (-I) и удалении (-D) происходит сдвиг номера правила в соответствующую сторону
Чтобы правила сохранились и работали после перезагрузки необходимо выполнить iptables-save
PS: Надстройки дело хорошее, но iptables надо обязательно знать! Хорошо, когда полноценный линукс, а если это урезанный интерфейс роутера?

drive800 07.08.2009 03:17
Какая ОС ? если ред Хат то там system-config-securitylevel или как-то так

baddan 07.08.2009 07:29
Цитата:

drive800 написал(а):

Какая ОС ? если ред Хат то там system-config-securitylevel или как-то так
debian lenny, серверный вариант, тоесть без X.
Добавлено через 1 минуту
Цитата:

brain-m написал(а):

Всё же из своего опыта могу порекомендовать освоить именно iptables в оригинале.
Да и сложного тут ничего нет, сам сначала был в шоке от такого количества аргументов, но всё оказалось просто. Главное, что тут
...
...
PS: Надстройки дело хорошее, но iptables надо обязательно знать! Хорошо, когда полноценный линукс, а если это урезанный интерфейс роутера?
после перезагрузки правила пропали руками постояно прописывать или есть варианты?

brain-m 08.08.2009 00:24
Цитата:

baddan написал(а):

после перезагрузки правила пропали руками постояно прописывать или есть варианты?
Чтобы правила сохранились и работали после перезагрузки необходимо выполнить iptables-save


Время: 20:51