nixp.ru v3.0

12 октября 2024,
суббота,
00:18:13 MSK

mf_amber написал 26 октября 2004 года в 20:43 (948 просмотров) Ведет себя как мужчина; открыл 6 тем в форуме, оставил 48 комментариев на сайте.

Бывает ли что то вроде типичного конфига iptables?

Который закрывает те порты которые обычно закрываются?

Разрешает лазить туда — куда надо.. Заодно режущий рекламу ну и т.п.

Дело в том что ну никак не могу я привыкнуть к цепочкам и правилам,

делаю что iptables -A ANTI_UDP -p udp -m udp --dport 137 -j DROP

А пакеты все равно показываются.. фак :(

Если кому не жалко может поделитесь конфигами?

Попробую сверить и по серьезному сделать.

Спасибо.

fly4life

ну ты скажи, что тебе надо, а мы подскажем как.

Ну и это будет совсем не лишним:

http://gazette.lrn.ru/rus/articles/index-iptables-tutorial.html

mf_amber
fly4life
ну ты скажи, что тебе надо, а мы подскажем как.

Тогда это получится что слишком как то просто.. ;)

fly4life
Ну и это будет совсем не лишним:

http://gazette.lrn.ru/rus/articles/index-iptables-tutorial.html

Очень тяжело читаются электронные книги.. практически страница которая была

прочтена вчера.. сегодня уже забыта..

вот конфиг: понимаю где то процентов 15%.. делал в webminе..

полностью /etc/sysconfig/iptables

# Firewall configuration written by redhat-config-securitylevel

# Manual customization of this file is not recommended.

*filter

:FORWARD ACCEPT [0:0]

:RH-2_UDP — [0:0]

:INPUT DROP [0:0]

:RH-Firewall-1-INPUT — [0:0]

:OUTPUT ACCEPT [0:0]

:blockthis — [0:0]

-A INPUT -p tcp -m tcp ! -s 213.59.224.36 --dport 10000 -j DROP

-A FORWARD -j RH-Firewall-1-INPUT

-A RH-Firewall-1-INPUT -i lo -j ACCEPT

-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT

-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT

-A RH-Firewall-1-INPUT -p 50 -j ACCEPT

-A RH-Firewall-1-INPUT -p 51 -j ACCEPT

# -A RH-Firewall-1-FORWARD -m tcp -p TCP --dport 445 -j DROP (для пакетов идущих в интернет)-A FORWARD -p TCP -m tcp --dport 445 -j DROP

-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 80 --state NEW -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 21 --state NEW -j ACCEPT

-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 25 --state NEW -j ACCEPT

-A INPUT -j RH-Firewall-1-INPUT

-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

-A RH-2_UDP -p udp -m udp -i eth0 --sport 137 -j DROP

-A RH-2_UDP -p udp -m udp --dport 137 -j DROP

-A RH-2_UDP -p udp -m udp -m multiport --ports 32816 -j DROP

-A RH-2_UDP -p udp -m udp --dport 1270 -j DROP

# (для пакотов обращенных на линуксовый комп)

-A INPUT -p TCP -m tcp --dport 445 -j DROP

-A INPUT -j RH-2_UDP

-A INPUT -p tcp -m tcp -m multiport ! -d 213.59.224.36 --ports 3128 -j DROP

-A RH-2_UDP -p udp -m udp --sport 138 -j DROP

-A RH-2_UDP -p udp -m udp --dport 138 -j DROP

COMMIT

# Generated by webmin

*mangle

:PREROUTING ACCEPT [0:0]

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:POSTROUTING ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

COMMIT

# Completed

# Generated by webmin

*nat

:PREROUTING ACCEPT [0:0]

:POSTROUTING ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

COMMIT

# Completed

Genie

на домашнем firewall

#Auto-generated at genie on Mon Aug 16 23:46:41 NOVST 2004
*nat
-A POSTROUTING -s genie -o ppp0 -j MASQUERADE
COMMIT
*filter
:INPUT ACCEPT
:OUTPUT ACCEPT
:FORWARD DROP
:LOG_DROP -
:xINPUT -
:xOUTPUT -
 -A LOG_DROP -j LOG
 -A LOG_DROP -j DROP
 -A xINPUT   -p tcp  -m state --state NEW                     ! --syn -j LOG_DROP
 -A xINPUT   -p tcp  -m state --state     ESTABLISHED,RELATED --sport 20 -j ACCEPT
 -A xINPUT   -p tcp  -m state --state     ESTABLISHED         -j ACCEPT
 -A xINPUT   -p udp  -m state --state     ESTABLISHED         -j ACCEPT
 -A xINPUT   -p icmp -m state --state     ESTABLISHED,RELATED -j ACCEPT
 -A xOUTPUT  -p tcp  -m state --state     ESTABLISHED         --dport 20 -j ACCEPT
 -A xOUTPUT  -p tcp  -m state --state NEW,ESTABLISHED         -j ACCEPT
 -A xOUTPUT  -p udp  -m state --state NEW,ESTABLISHED         -j ACCEPT
 -A xOUTPUT  -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 -A FORWARD -o eth0 -i ppp0 -d genie -j xINPUT
 -A FORWARD -o ppp0 -i eth0 -s genie -j xOUTPUT
 -A FORWARD -j LOG_DROP
 -A INPUT -i eth0 -j ACCEPT
 -A INPUT -p tcp -m multiport --dports 20,21,23,6566 -j LOG_DROP
COMMIT
#Complete on Mon Aug 16 23:46:41 NOVST 2004

по мере разглядывания конфига читать iptables-howto с opennet.ru/

Последние комментарии

ecobeingecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.