Debian iptables

ttys · Непрочитанное сообщение **ttys** » 2010-08-27 8:14:34

не могу найти откуда в дебиане iptables читает правила.
или не откуда не читает?

надо самому скрипт делать?

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Andy · Непрочитанное сообщение **Andy** » 2010-08-27 8:51:56

ttys писал(а):не могу найти откуда в дебиане iptables читает правила.
или не откуда не читает?
надо самому скрипт делать?

Стартовый скрипт поглядите. В RH/Fedora/CentOS - это /etc/sysconfig/iptables.

ttys · Непрочитанное сообщение **ttys** » 2010-08-27 9:01:29

Andy писал(а): Стартовый скрипт поглядите. В RH/Fedora/CentOS - это /etc/sysconfig/iptables.

нету вообще sysconfig

Larin · Непрочитанное сообщение **Larin** » 2010-08-27 10:07:43

у меня просто через rc.local запускается
типа /bin/sh /etc/firewall.conf

Hrafn · Непрочитанное сообщение **Hrafn** » 2010-08-27 10:23:01

/var/lib/iptables/rules

ttys · Непрочитанное сообщение **ttys** » 2010-08-27 10:24:09

Larin писал(а):у меня просто через rc.local запускается
типа /bin/sh /etc/firewall.conf

в rc.local так?

Код: Выделить всё

iptables-restore </etc/firewall.conf

ну там с [ -x тратата] это само собой

ttys · Непрочитанное сообщение **ttys** » 2010-08-27 10:25:15

Hrafn писал(а):/var/lib/iptables/rules

это причём тут?
мне скрипт самому писАть? или как то есть стандартное решение?

Hrafn · Непрочитанное сообщение **Hrafn** » 2010-08-27 10:27:11

вопрос был

не могу найти откуда в дебиане iptables читает правила.

я написал откуда...
если вы сами не создадите, то вероятно только Пушкин

ttys · Непрочитанное сообщение **ttys** » 2010-08-27 10:37:30

Hrafn писал(а):вопрос был
не могу найти откуда в дебиане iptables читает правила.
я написал откуда...
если вы сами не создадите, то вероятно только Пушкин

у меня нету в /var/iptables

ttys · Непрочитанное сообщение **ttys** » 2010-08-27 10:52:16

Hrafn писал(а):
если вы сами не создадите, то вероятно только Пушкин

создаю после ребута iptables -L пустой (ну тоесть без моих правил)

Hrafn · Непрочитанное сообщение **Hrafn** » 2010-08-27 11:55:13

не в /var/iptables. а в /var/lib/iptables

Hrafn · Непрочитанное сообщение **Hrafn** » 2010-08-27 12:04:11

посмотрите также в файл /etc/network/if-up.d/iptables

Burner · Непрочитанное сообщение **Burner** » 2010-08-27 12:12:43

все руками, руками

ttys · Непрочитанное сообщение **ttys** » 2010-08-27 12:12:51

нашёл здесь

Код: Выделить всё

iptables-save > /etc/firewall.conf

Код: Выделить всё

echo "#!/bin/sh" > /etc/network/if-up.d/iptables 
echo "iptables-restore < /etc/firewall.conf" >> /etc/network/if-up.d/iptables 
chmod +x /etc/network/if-up.d/iptables

походу как я и думал надо самому скрипт загрузки делать

Саша

find / -name rules-save

ttys · Непрочитанное сообщение **ttys** » 2010-08-27 14:55:15

Саша писал(а):find / -name rules-save

нету в дебиане этого

Саша2

Там есть опция save в /etc/init.d/iptables скрипте ? Если есть - смотри скрипт куда он пишет ...

Дело в том, что в Debian с некоторого времени отсутствует настройка iptables по умолчанию, равно, как и, скриптовая и конфигурационная поддержка.. Зато, поздже, можно установить любую желаемую из множества существующих, например - http://wiki.kartbuilding.net/index.php/ ... s_Firewall http://wiki.debian.org/Firewalls

В зависимости от того, какой фронтенд установлен, меняется и расположение файлов конфигурации, Если же используются самописные скрипты, тогда следует изучать их содержимое для установления местоположения конфигурации..

Burner · Непрочитанное сообщение **Burner** » 2010-08-28 5:34:34

Саша2 писал(а):Там есть опция save в /etc/init.d/iptables скрипте ? Если есть - смотри скрипт куда он пишет ...

да не там такого скрипта

ttys · Непрочитанное сообщение **ttys** » 2010-08-31 8:59:47

дабы не создавать новую тему напишу здесь.
кусок из правил:

Код: Выделить всё

INET_IP="xxx.xxx.xxx.xxx"
INET_IFACE="eth0"

LAN_IP="192.168.1.254"
LAN_IP_RANGE="192.168.1.0/255.255.255.0"
LAN_IFACE="eth1"
LAN_IP1="192.168.2.254"
LAN_IP_RANGE1="192.168.2.0/255.255.255.0"
LAN1_IFACE="eth1"
LAN_IP2="10.1.1.254"
LAN_IP_RANGE2="10.1.1.0/255.255.255.0"
LAN2_IFACE="eth1"
LAN_IP3="10.2.1.254"
LAN_IP_RANGE3="10.2.1.0/255.255.255.0"
LAN3_IFACE="eth1"
...............................
$IPTABLES -A FORWARD -s $LAN_IPRANGE_2 -d ! $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A FORWARD -s $LAN_IPRANGE_3 -d ! $LAN_IP_RANGE -j ACCEPT

собственно вопрос:
это правильно или нет?
$IPTABLES -A FORWARD -s $LAN_IPRANGE_2 -d ! $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A FORWARD -s $LAN_IPRANGE_3 -d ! $LAN_IP_RANGE -j ACCEPT

или надо вместо ! $LAN_IP_RANDE указать INET_IP либо INET_IFACE?
тоесть:
$IPTABLES -A FORWARD -s $LAN_IPRANGE_2 -d $INET_IP -j ACCEPT
$IPTABLES -A FORWARD -s $LAN_IPRANGE_2 -o $INET_IFACE -j ACCEPT
ЗЫ: маршруты между сетями "LAN_IP_RANGE_2 LAN_IP_RANGE_3 LAN_IP_RANGE" не нужны

BlackCat · Непрочитанное сообщение **BlackCat** » 2010-09-02 9:31:50

ttys писал(а):собственно вопрос:
это правильно или нет?
$IPTABLES -A FORWARD -s $LAN_IPRANGE_2 -d ! $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A FORWARD -s $LAN_IPRANGE_3 -d ! $LAN_IP_RANGE -j ACCEPT

...

ЗЫ: маршруты между сетями "LAN_IP_RANGE_2 LAN_IP_RANGE_3 LAN_IP_RANGE" не нужны

У каждой цепочки правил iptables есть действие по умолчанию, т.н. политика. Это действие, которое будет применено, когда вся цепочка будет пройдена, а подходящего правила не будет найдено. Устанавливается примерно следующим образом:
iptables -P FORWARD ACCEPT # пропустить все пакеты
или
iptables -P FORWARD DROP # отбросить все пакеты

Исходя из этого и строится набор правил. Или вы запрещаете всё и пишите правила, которые явно разрешают прохождение пакета (iptables -A FORWARD your_condition_here -j ACCEPT). Или вы всё разрешаете и пишите правила, которые явно запрещают прохождение пакета (iptables -A FORWARD your_condition_here -j DROP).
=====
Если вы хотите явно порезать трафик из одной подсети в другую (бывает полезно даже когда политика "отбросить всё"), то так и напишите:

Код: Выделить всё

$IPTABLES -A FORWARD -s $LAN_IP_RANGE -d $LAN_IP_RANGE_2 -j DROP
$IPTABLES -A FORWARD -s $LAN_IP_RANGE -d $LAN_IP_RANGE_3 -j DROP
$IPTABLES -A FORWARD -s $LAN_IP_RANGE_2 -d $LAN_IP_RANGE -j DROP
$IPTABLES -A FORWARD -s $LAN_IP_RANGE_2 -d $LAN_IP_RANGE_3 -j DROP
$IPTABLES -A FORWARD -s $LAN_IP_RANGE_3 -d $LAN_IP_RANGE -j DROP
$IPTABLES -A FORWARD -s $LAN_IP_RANGE_3 -d $LAN_IP_RANGE_2 -j DROP

BlackCat · Непрочитанное сообщение **BlackCat** » 2010-09-02 9:40:27

ttys писал(а):собственно вопрос:
это правильно или нет?
$IPTABLES -A FORWARD -s $LAN_IPRANGE_2 -d ! $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A FORWARD -s $LAN_IPRANGE_3 -d ! $LAN_IP_RANGE -j ACCEPT
...
ЗЫ: маршруты между сетями "LAN_IP_RANGE_2 LAN_IP_RANGE_3 LAN_IP_RANGE" не нужны

Нет, т.к вы разрешаете прохождение пакетов. После "-j DROP" или "-j ACCEPT" просмотр цепочки завершается. Один из вариантов решения в предыдущем сообщении.

ttys · Непрочитанное сообщение **ttys** » 2010-09-02 9:52:51

спс уже разобрался

http://forum.lissyara.su/viewtopic.php? ... 99#p257799

forum.lissyara.su

Debian iptables

Debian iptables

Услуги хостинговой компании Host-Food.ru

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables