[Sysadmins] iptables

Чт Окт 4 21:18:59 MSD 2007


LIO пишет:
> Здравствуйте.
>
> 4.10.2007 18:21 Valery wrote:
>
>   
>>>> Любыми генераторами правил можно пользоваться только когда Вы
>>>> способны осознанно проэкзаменовать результат их работы, ИМХО.
>>>>         
> ИМХО тоже. Абсолютно согласен.
>
>   
>>> Вот во вложении, то что у меня получилось, переделав один конфиг.
>>> Там есть строка доступ по SSH закрывает 192.168.0.0/16. А как перекрыть 
>>> отовсюду? Это и 80го порта касается.
>>>       
>
> там есть много строчек, и для http:
> # С─Р°Р·С─Р╣С┬РёС┌С▄ Р╢Р╬С│С┌С┐Р© Р╪Р╫Р╣ Р©Р╬ 80 Р©Р╬С─С┌С┐, С│Р╩Р╣Р╢С┐С▌С┴Р╣Р╣ Р·Р°Р©С─Р╣С┌РёС┌ Р╡С│Р╣Р╪.
> iptables -t filter -A INPUT -s 192.168.1.51 -p tcp --dport 80 -j ACCEPT
> #Р·Р°Р©С─Р╣С┌РёС┌С▄ Р╡С│Р╣Р╪ Р╢Р╬С│С┌С┐Р© Р©Р╬ 80 Р©Р╬С─С┌С┐
> iptables -t filter -A INPUT -s 192.168.0.0/16 -p tcp --dport 80 -j DROP
>
> и для SSH тоже
> # iptables -t filter -A INPUT -s 192.168.1.111 -p tcp --dport 22 -j ACCEPT
> iptables -t filter -A INPUT -s 192.168.1.51 -p tcp --dport 22 -j ACCEPT
> # Р·Р°Р╨С─С▀С┌С▄ Р©Р╬ SSH
> iptables -t filter -A INPUT -s 192.168.0.0/16 -p tcp --dport 22 -j DROP
>
> напиши вместо этого (на худой конец до этого)
> # С─Р°Р·С─Р╣С┬РёС┌С▄ Р╢Р╬С│С┌С┐Р© Р╪Р╫Р╣ Р©Р╬ 80 Р©Р╬С─С┌С┐, С│Р╩Р╣Р╢С┐С▌С┴Р╣Р╣ Р·Р°Р©С─Р╣С┌РёС┌ Р╡С│Р╣Р╪.
> iptables -t filter -A INPUT -s 192.168.1.51 -j ACCEPT
> iptables -t filter -A INPUT -s 192.168.0.0/16 -j DROP
> чтобы запретить доступ всем из подсети 192.168.0.0/16 кроме
> 192.168.1.51. Вот только пролистав ниже можно увидеть что
> # Р Р°Р·С─Р╣С┬РёС┌С▄ С│Р╣С─Р╡Р╣С─С┐ Р╬Р╠С┴Р°С┌С▄С│С▐ С│ Р╡Р╫Р╣С┬Р╫РёР╪ Р╪РёС─Р╬Р╪
> iptables -t filter -A INPUT -i $iface_world -j ACCEPT
> iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT
> для "внешнего мира" (eth0) входной то и двери нет (дыра размером с
> пару окон). Поэтому это стоит подправить на следующее
> iptables -t filter -A INPUT -s 192.168.1.51 -j ACCEPT
> iptables -t filter -A INPUT -j DROP
> Тогда доступ будет закрыт вообще всем кроме 192.168.1.15
>
> А если вспомнить первое Ваше письмо где вы говорили что доступ надо
> закрыть только 192.168.1.15 (сделать с точностью до наоборот), то
> iptables -t filter -A INPUT -s !192.168.1.51 -j ACCEPT
>
> Надеюсь, данные "примеры" помогут Вам.
>
>   
Спасибо!! Буду тестить и эксперементировать :)
> ЗЫЖ Чего-то с кодировочкой намудрили...
>   
то вложенный файл, в putty читаю корректно.