[ТЕМА ЗАКРЫТА]
Опции темы
28.04.2011 12:59  
John Doe
Наверняка многие слышали, что в линуксе есть стенка (firewall). У кого-то Линукс вызывает благовейный ужас в то время как на деле он гораздо удобнее Windows. Чтобы приоткрыть завесу тайны, предлагаю поделиться своими конфигурациями стенок, может, у кого-то есть вопросы...
Например, с базового, если хотите посмотреть, что у вас сейчас разрешено или запрещено в стенке, надо выполнить команду:
Цитата:
iptables -L -v -n
если нужно смотреть счетчики в динамике, то прибавить спереди watch, чтобы команда выполнялась циклично:
Цитата:
watch iptables -L -v -n
достаточно прикольный вывод, интересно наблюдать за бегающими пакетиками.
Далее, например, нужно нам забанить IP 1.2.3.4
Для начала определяем, баним ли мы его совсем, баним ли подключение к себе, или баним транзитный траффик (т.е. например, если мы сидим на шлюзе). Если нужно забанить совсем и все, то я пользуюсь не очень рекомендуемой цепочкой:
Цитата:
iptables -I PREROUTING -t mangle -s 1.2.3.4 -j DROP
т.е. все пакеты от 1.2.3.4 будут тупо умирать при входе после выполнения приведенной команды.
Если нам нужно забанить пакеты к компьютеру, за которым мы сидим, то это еще проще и на этот раз рекомендуемо:
Цитата:
iptables -I INPUT -s 1.2.3.4 -j DROP
как видите, простая, легко запоминающаяся и железно работающая команда. В данном случае работает цепочка INPUT. Если заменить ее на FORWARD, то будет ограничиваться траффик, проходящий через машину на другие (не через прокси, а NAT, например).
-s в строках выше обозначает исходный адрес, -j - операция с пакетами, она может быть, например, DROP, может быть REJECT. Вторая команда, в отличие от первой, будет сообщать на удаленную сторону, что пакет отброшен, а первая просто выкидывать пакет. Соответственно, есть еще параметр -d, определяющий конечную точку следования пакета, а еще есть возможность поставить ! перед условием, инверсию, т.е.
Цитата:
iptables -I INPUT ! -s 1.2.3.4 -j DROP
будет работать на все адреса, кроме 1.2.3.4
Это базовые возможности фильтрации, есть возможность фильтровать по частоте подключения, интерфейсам и прочим параметрам, более подробно можно прочитать тут: Iptables
Но, может, кому-то что-то не понятно?
 
 
Опции темы



Часовой пояс GMT +3, время: 23:41.

Все в прочитанное - Календарь - RSS - - Карта - Вверх 👫 Яндекс.Метрика
Форум сделан на основе vBulletin®
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.