[Sysadmins] iptables

Чт Окт 4 20:37:21 MSD 2007

Здравствуйте.

4.10.2007 18:21 Valery wrote:

>>> Любыми генераторами правил можно пользоваться только когда Вы
>>> способны осознанно проэкзаменовать результат их работы, ИМХО.
ИМХО тоже. Абсолютно согласен.

>> Вот во вложении, то что у меня получилось, переделав один конфиг.
>> Там есть строка доступ по SSH закрывает 192.168.0.0/16. А как перекрыть 
>> отовсюду? Это и 80го порта касается.

там есть много строчек, и для http:
# С─Р°Р·С─Р╣С┬РёС┌С▄ Р╢Р╬С│С┌С┐Р© Р╪Р╫Р╣ Р©Р╬ 80 Р©Р╬С─С┌С┐, С│Р╩Р╣Р╢С┐С▌С┴Р╣Р╣ Р·Р°Р©С─Р╣С┌РёС┌ Р╡С│Р╣Р╪.
iptables -t filter -A INPUT -s 192.168.1.51 -p tcp --dport 80 -j ACCEPT
#Р·Р°Р©С─Р╣С┌РёС┌С▄ Р╡С│Р╣Р╪ Р╢Р╬С│С┌С┐Р© Р©Р╬ 80 Р©Р╬С─С┌С┐
iptables -t filter -A INPUT -s 192.168.0.0/16 -p tcp --dport 80 -j DROP

и для SSH тоже
# iptables -t filter -A INPUT -s 192.168.1.111 -p tcp --dport 22 -j ACCEPT
iptables -t filter -A INPUT -s 192.168.1.51 -p tcp --dport 22 -j ACCEPT
# Р·Р°Р╨С─С▀С┌С▄ Р©Р╬ SSH
iptables -t filter -A INPUT -s 192.168.0.0/16 -p tcp --dport 22 -j DROP

напиши вместо этого (на худой конец до этого)
# С─Р°Р·С─Р╣С┬РёС┌С▄ Р╢Р╬С│С┌С┐Р© Р╪Р╫Р╣ Р©Р╬ 80 Р©Р╬С─С┌С┐, С│Р╩Р╣Р╢С┐С▌С┴Р╣Р╣ Р·Р°Р©С─Р╣С┌РёС┌ Р╡С│Р╣Р╪.
iptables -t filter -A INPUT -s 192.168.1.51 -j ACCEPT
iptables -t filter -A INPUT -s 192.168.0.0/16 -j DROP
чтобы запретить доступ всем из подсети 192.168.0.0/16 кроме
192.168.1.51. Вот только пролистав ниже можно увидеть что
# Р Р°Р·С─Р╣С┬РёС┌С▄ С│Р╣С─Р╡Р╣С─С┐ Р╬Р╠С┴Р°С┌С▄С│С▐ С│ Р╡Р╫Р╣С┬Р╫РёР╪ Р╪РёС─Р╬Р╪
iptables -t filter -A INPUT -i $iface_world -j ACCEPT
iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT
для "внешнего мира" (eth0) входной то и двери нет (дыра размером с
пару окон). Поэтому это стоит подправить на следующее
iptables -t filter -A INPUT -s 192.168.1.51 -j ACCEPT
iptables -t filter -A INPUT -j DROP
Тогда доступ будет закрыт вообще всем кроме 192.168.1.15

А если вспомнить первое Ваше письмо где вы говорили что доступ надо
закрыть только 192.168.1.15 (сделать с точностью до наоборот), то
iptables -t filter -A INPUT -s !192.168.1.51 -j ACCEPT

Надеюсь, данные "примеры" помогут Вам.

ЗЫЖ Чего-то с кодировочкой намудрили...

-- 
Binary yours,
 LIO