forum.opennet.ru - "Помогите Создать шлюз." (14)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Помогите Создать шлюз."

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Помогите Создать шлюз."
Сообщение от alexsy (ok) on 03-Сен-07, 19:27
Для начала, Я в сетях полный чайник. И так мы имеем 2 компутера. первый имеет сетевые интерфейсы. [root@localhost /]# ifconfig eth0 Link encap:Ethernet HWaddr 00:19:5B:86:D6:35 inet addr:XXX.XXX.XXX.XXX Bcast:XXX.XXX.XXX.XXX Mask:XXX.XXX.XXX.XXX inet6 addr: fe80::219:5bff:fe86:d635/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:271578 errors:0 dropped:0 overruns:0 frame:0 TX packets:273744 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:379195012 (361.6 MiB) TX bytes:22032420 (21.0 MiB) Interrupt:16 Base address:0xec00 eth1 Link encap:Ethernet HWaddr 00:19:DB:66:8C:C8 inet addr:192.168.1.10 Bcast:192.168.1.255 Mask:255.255.255.0 inet6 addr: fe80::219:dbff:fe66:8cc8/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:9083 errors:0 dropped:0 overruns:0 frame:0 TX packets:11482 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:3397608 (3.2 MiB) TX bytes:1040156 (1015.7 KiB) Interrupt:17 lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:92 errors:0 dropped:0 overruns:0 frame:0 TX packets:92 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:4988 (4.8 KiB) TX bytes:4988 (4.8 KiB) ppp0 Link encap:Point-to-Point Protocol inet addr:XXX.XXX.XXX.XXX P-t-P:XXX.XXX.XXX.XXX Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1 RX packets:264423 errors:0 dropped:0 overruns:0 frame:0 TX packets:266537 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:3 RX bytes:372948332 (355.6 MiB) TX bytes:15925761 (15.1 MiB) [root@localhost /]# eth0 имеет статический IP и смотрит в сеть провайдера. ppp0 pppoe соеденение. выход в Inet осуществляется через интерфейс ppp0 через eth0. eth1 смотрит в локальную сеть. и второй [root@downloader ~]# ifconfig eth0 Link encap:Ethernet HWaddr 00:1B:11:03:E0:E9 inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:214 errors:0 dropped:0 overruns:0 frame:0 TX packets:154 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:22010 (21.4 Kb) TX bytes:17449 (17.0 Kb) Interrupt:11 Base address:0x8000 lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) [root@downloader ~]# Что надо сделать чтобы со второго войти в нет.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Помогите Создать шлюз., Answer, 22:07 , 03-Сен-07, (1)
Помогите Создать шлюз., Oyyo, 22:27 , 03-Сен-07, (2)

Помогите Создать шлюз., alexsy, 06:16 , 04-Сен-07, (5)

Помогите Создать шлюз., Oyyo, 16:30 , 04-Сен-07, (6)

Помогите Создать шлюз., alexsy, 17:50 , 04-Сен-07, (8)

Помогите Создать шлюз., Oyyo, 18:07 , 04-Сен-07, (10)

Помогите Создать шлюз., alexsy, 19:02 , 04-Сен-07, (11)

Помогите Создать шлюз., Oyyo, 20:29 , 04-Сен-07, (12)

Помогите Создать шлюз., alexsy, 21:47 , 04-Сен-07, (13)

Помогите Создать шлюз., konst5, 16:35 , 04-Сен-07, (7)

Помогите Создать шлюз., Oyyo, 17:56 , 04-Сен-07, (9)

Помогите Создать шлюз., L0n3R4ng3r, 00:16 , 04-Сен-07, (3)

Помогите Создать шлюз., L0n3R4ng3r, 00:18 , 04-Сен-07, (4)

Помогите Создать шлюз., Gennadi, 22:46 , 05-Сен-07, (14)

Сообщения по теме [Сортировка по времени, UBB]

1. "Помогите Создать шлюз."

Сообщение от Answer on 03-Сен-07, 22:07

>[оверквотинг удален]
>errors:0 dropped:0 overruns:0 frame:0
>          TX packets:0
>errors:0 dropped:0 overruns:0 carrier:0
>          collisions:0 txqueuelen:0
>
>          RX bytes:0
>(0.0 b)  TX bytes:0 (0.0 b)
>
>[root@downloader ~]#
>Что надо сделать чтобы со второго войти в нет.
Ты на правильном пути - на этом сайте полно документации.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Помогите Создать шлюз."

Сообщение от Oyyo on 03-Сен-07, 22:27

с первого компа в студию
uname -a
cat /proc/sys/net/ipv4/ip_forward
iptables -L FORWARD -vn
iptables -t nat -L POSTROUTING -vn
route -n
с второго
route -n

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Помогите Создать шлюз."

Сообщение от alexsy (ok) on 04-Сен-07, 06:16

>с первого компа в студию
>uname -a
>cat /proc/sys/net/ipv4/ip_forward
>iptables -L FORWARD -vn
>iptables -t nat -L POSTROUTING -vn
>route -n
>
>с второго
>route -n
from first
[root@localhost ~]# uname -a
Linux localhost.localdomain 2.6.22-6.i386smp #1 SMP Fri Aug 31 20:29:39 UTC 2007 i686 i686 i386 GNU/Linux
[root@localhost ~]# cat /proc/sys/net/ipv4/ip_forward
0
[root@localhost ~]# iptables -L FORWARD -vn
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination
[root@localhost ~]# iptables -t nat -L POSTROUTING -vn
iptables v1.3.7: can't initialize iptables table `nat': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
[root@localhost ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
85.113.63.110   0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth1
10.0.0.0        0.0.0.0         255.0.0.0       U     0      0        0 eth0
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0
[root@localhost ~]#
from second
[root@downloader ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
[root@downloader ~]# uname -a
Linux downloader 2.6.16.27 #1 SMP Sun Sep 2 08:28:30 GMT 2007 i686 pentium3 i386 GNU/Linux
[root@downloader ~]#

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Помогите Создать шлюз."

Сообщение от Oyyo on 04-Сен-07, 16:30

>[root@localhost ~]# uname -a
я так понимаю, это Ubuntu
>Linux localhost.localdomain 2.6.22-6.i386smp #1 SMP Fri Aug 31 20:29:39 UTC 2007 i686
>i686 i386 GNU/Linux
>[root@localhost ~]# cat /proc/sys/net/ipv4/ip_forward
>0
выполняем
echo 1 >/proc/sys/net/ipv4/ip_forward
для текущего разрешения forward
в файле /etc/sysctl.conf устанавливаем опцию
net.ipv4.ip_forward = 1
что б посе перезагрузки forward был включён
>[root@localhost ~]# iptables -L FORWARD -vn
>Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
> pkts bytes target     prot opt in
>   out     source
в ptables форвард разрешён, пока ни чего не меняй
как только роутер заработает будешь включать фильтры
> destination
>[root@localhost ~]# iptables -t nat -L POSTROUTING -vn
>iptables v1.3.7: can't initialize iptables table `nat': Table does not exist (do
>you need to insmod?)
>Perhaps iptables or your kernel needs to be upgraded.
данное сообщение говорит о том, что в ядре отсутствует модуль `nat'
я пересобираю ядро включая в него все модули iptables
кое кто подлючает их модульно с помощью  modprobe, я этим не занимался почитай ман
вместо этого можно поставить сквиду, но сквида ограничивает пользователей в локалке
решать тебе, что юзать
>[root@localhost ~]# route -n
>Kernel IP routing table
>Destination     Gateway
>  Genmask
>Flags Metric Ref    Use Iface
>85.113.63.110   0.0.0.0   255.255.255.255 UH    0   0   0 ppp0
>192.168.1.0     0.0.0.0   255.255.255.0   U     0   0   0 eth1
>169.254.0.0     0.0.0.0   255.255.0.0     U     0   0   0 eth1
>10.0.0.0        0.0.0.0   255.0.0.0       U     0   0   0 eth0
>0.0.0.0         0.0.0.0   0.0.0.0         U     0   0   0 ppp0
я вижу ты ручками пытался забить маршруты,
сомневаюсь, что провайдер выдал тебе ИП в локалку с маской 255.0.0.0 т.е. строка
>10.0.0.0        0.0.0.0   255.0.0.0       U     0   0   0 eth0
не верна, и наверное к твоему ИП провайдер дал ещё и шлюз, вот он нужен для указания маршрута в локальную сеть провайдера, а я его не вижу
вот это
>0.0.0.0         0.0.0.0   0.0.0.0         U     0   0   0 ppp0
вообще лишнее, здесь должно быть
>0.0.0.0         85.113.63.110   0.0.0.0  UG     0   0   0 ppp0
это добавляется с помощью комманды
route add default gw 85.113.63.110 dev ppp0
если не ошибаюсь на ррр0 у тебя другой ИП
>from second
>[root@downloader ~]# route -n
>Kernel IP routing table
>Destination     Gateway
>  Genmask
>Flags Metric Ref    Use Iface
>192.168.1.0     0.0.0.0     255.255.255.0   U     0   0  0 eth0
сюда добавь маршрут
route add default gw 192.168.1.10 dev eth0
тогда клиент будет знать, что за инетом стучаться на роутер
для атоматической загрузки шлюза по умолчанию, добавь в файл
/etc/sysconfig/network
GATEWAY=192.168.1.10
GATEWAYDEV=eth0
на первой машине (роутере) для указания всех шлюзов лучше написать скрипт который будет загружатся при старте

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Помогите Создать шлюз."

Сообщение от alexsy (ok) on 04-Сен-07, 17:50

Не угадал FC7 Ядро самосборное из за этого не найду параметров
описанных в статье https://www.opennet.ru/docs/RUS/iptables/ из за того что поменялись не перенеслись со старого конфига а сеть я обычно не трогаю по пречине "закипающего чайника"
Что ковырять в новых ядрах.????
На
я вижу ты ручками пытался забить маршруты,
сомневаюсь, что провайдер выдал тебе ИП в локалку с маской 255.0.0.0 т.е. строка
>10.0.0.0        0.0.0.0   255.0.0.0       U     0   0   0 eth0
отвечю настраивал с помощю графической утилиты FC7 сеть и не чего не трогал ест как есть.
а по адресам вот
eth0      Link encap:Ethernet  HWaddr 00:19:5B:86:D6:35
          inet addr:10.62.61.12  Bcast:10.255.255.255  Mask:255.0.0.0
          inet6 addr: fe80::219:5bff:fe86:d635/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:241558 errors:0 dropped:0 overruns:0 frame:0
          TX packets:242236 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:343369818 (327.4 MiB)  TX bytes:18102344 (17.2 MiB)
          Interrupt:16 Base address:0xc00
eth1      Link encap:Ethernet  HWaddr 00:19:DB:66:8C:C8
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::219:dbff:fe66:8cc8/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:52 errors:0 dropped:0 overruns:0 frame:0
          TX packets:136 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:7359 (7.1 KiB)  TX bytes:17920 (17.5 KiB)
          Interrupt:17
lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:66 errors:0 dropped:0 overruns:0 frame:0
          TX packets:66 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:3460 (3.3 KiB)  TX bytes:3460 (3.3 KiB)
ppp0      Link encap:Point-to-Point Protocol
          inet addr:10.68.0.179  P-t-P:85.113.63.110  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:235202 errors:0 dropped:0 overruns:0 frame:0
          TX packets:235822 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:337813940 (322.1 MiB)  TX bytes:12696817 (12.1 MiB)
[alexsy@localhost ~]$

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Помогите Создать шлюз."

Сообщение от Oyyo on 04-Сен-07, 18:07

>Не угадал FC7 Ядро самосборное из за этого не найду параметров
>описанных в статье https://www.opennet.ru/docs/RUS/iptables/ из за того что поменялись не перенеслись со
>старого конфига а сеть я обычно не трогаю по пречине "закипающего
>чайника"
>Что ковырять в новых ядрах.????
да лучше ни чего не ковырять, оставь то ядро которое становится по дефолту, там всё включено
>>10.0.0.0        0.0.0.0   255.0.0.0       U     0   0   0 eth0
>
>отвечю настраивал с помощю графической утилиты FC7 сеть и не чего не
>трогал ест как есть.
да видно кривой у вас пров если раздаёт такую маску
>eth0      Link encap:Ethernet  HWaddr 00:19:5B:86:D6:35
>          inet addr:10.62.61.12
> Bcast:10.255.255.255  Mask:255.0.0.0
>ppp0      Link encap:Point-to-Point Protocol
>     inet addr:10.68.0.179 P-t-P:85.113.63.110  Mask:255.255.255.255
всё правильно
route add default gw 85.113.63.110 dev ppp0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Помогите Создать шлюз."

Сообщение от alexsy (ok) on 04-Сен-07, 19:02

>[оверквотинг удален]
>
>да видно кривой у вас пров если раздаёт такую маску
>>eth0      Link encap:Ethernet  HWaddr 00:19:5B:86:D6:35
>>          inet addr:10.62.61.12
>> Bcast:10.255.255.255  Mask:255.0.0.0
>>ppp0      Link encap:Point-to-Point Protocol
>>     inet addr:10.68.0.179 P-t-P:85.113.63.110  Mask:255.255.255.255
>
>всё правильно
>route add default gw 85.113.63.110 dev ppp0
У меня в нвых ядрах называются nf_nat.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Помогите Создать шлюз."

Сообщение от Oyyo on 04-Сен-07, 20:29

>У меня в нвых ядрах называются nf_nat.
сделай так что-б при попытке юзать в iptables таблицу nat небыло ругани
спрециально смотрел модули ядра 2.6.22
никто iptable_nat не отменял, причём nf_nat (netfilter)
зависит от iptable_nat

ipt_MASQUERADE          6656  15
iptable_nat            10116  1
nf_nat                 19116  2 ipt_MASQUERADE,iptable_nat

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Помогите Создать шлюз."

Сообщение от alexsy (ok) on 04-Сен-07, 21:47

>[оверквотинг удален]
>никто iptable_nat не отменял, причём nf_nat (netfilter)
>зависит от iptable_nat
>

>ipt_MASQUERADE          6656
>15
>iptable_nat
>10116  1
>nf_nat
>     19116  2 ipt_MASQUERADE,iptable_nat
>

Да вот выяснил что iptable_nat сильно зависит от других опций сети но не нашол от каких.
кто знает????

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Помогите Создать шлюз."

Сообщение от konst5 (??) on 04-Сен-07, 16:35

>[оверквотинг удален]
>  Genmask
>Flags Metric Ref    Use Iface
>192.168.1.0     0.0.0.0
>  255.255.255.0   U     0
>     0
>  0 eth0
>[root@downloader ~]# uname -a
>Linux downloader 2.6.16.27 #1 SMP Sun Sep 2 08:28:30 GMT 2007 i686
>pentium3 i386 GNU/Linux
>[root@downloader ~]#
На 192.168.1.1
route add default gw 192.168.1.10
+ прописать это в настройке сетевого интерфейса (/etc/sysconfig/network-scripts/ifcfg-eth0 -?): GATEWAY=192.168.1.10
+ прописать nameserver в /etc/resolve.conf
скорее всего nameserver 192.168.1.10

На 192.168.1.10
/etc/sysctl.conf
net.ipv4.ip_forward = 1
+ sysctl -p
В /etc/sysconfig/iptables:
в конец:
*nat
-A POSTROUTING -o eth0 -s 192.168.1.1 -p icmp  -j SNAT --to-source <внеш.IP>
-A POSTROUTING -o eth0 -s 192.168.1.1 -p tcp -m multiport --dports 21,25,80,443 -j SNAT --to-source <внеш.IP>
COMMIT

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Помогите Создать шлюз."

Сообщение от Oyyo on 04-Сен-07, 17:56

>На 192.168.1.1
>route add default gw 192.168.1.10
>+ прописать это в настройке сетевого интерфейса (/etc/sysconfig/network-scripts/ifcfg-eth0 -?): GATEWAY=192.168.1.10
>+ прописать nameserver в /etc/resolve.conf
>скорее всего nameserver 192.168.1.10
да, можно и так
>[оверквотинг удален]
>+ sysctl -p
>
>В /etc/sysconfig/iptables:
>в конец:
>*nat
>
>-A POSTROUTING -o eth0 -s 192.168.1.1 -p icmp  -j SNAT --to-source <внеш.IP>
>-A POSTROUTING -o eth0 -s 192.168.1.1 -p tcp -m multiport --dports 21,25,80,443 -j SNAT --to-source <внеш.IP>
>
>COMMIT
да, примерно так при условии, что загружен модули iptable_nat и ip_conntrack, а для multiport нужен модуль ipt_multiport
посмотреть загруженные модули
lsmod |grep ip
я делаю просто
-A POSTROUTING -o eth0 -j SNAT --to-source <внеш.IP>
т.е. всё что уходит с eth0 получет его ИП

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Помогите Создать шлюз."

Сообщение от L0n3R4ng3r (??) on 04-Сен-07, 00:16

>[оверквотинг удален]
>errors:0 dropped:0 overruns:0 frame:0
>          TX packets:0
>errors:0 dropped:0 overruns:0 carrier:0
>          collisions:0 txqueuelen:0
>
>          RX bytes:0
>(0.0 b)  TX bytes:0 (0.0 b)
>
>[root@downloader ~]#
>Что надо сделать чтобы со второго войти в нет.
sysctl net.ipv4.ip_forward=0
/sbin/iptables -A POSTROUTING -t nat -s 192.168.1.1 -o ppp0 -j MASQUERADE

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Помогите Создать шлюз."

Сообщение от L0n3R4ng3r (??) on 04-Сен-07, 00:18

>[оверквотинг удален]
>>          collisions:0 txqueuelen:0
>>
>>          RX bytes:0
>>(0.0 b)  TX bytes:0 (0.0 b)
>>
>>[root@downloader ~]#
>>Что надо сделать чтобы со второго войти в нет.
>
>sysctl net.ipv4.ip_forward=0
>/sbin/iptables -A POSTROUTING -t nat -s 192.168.1.1 -o ppp0 -j MASQUERADE
upd:
sysctl net.ipv4.ip_forward=1

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Помогите Создать шлюз."

Сообщение от Gennadi (ok) on 05-Сен-07, 22:46

1. Создать скрипт "firewall":
#------------------ firewall ----------------------------------------------------------#
#!/bin/bash
#
################### Переменные ############################################
# Внешний интерфейс ppp0 или eth0
EXTIF="ppp0 "
# Локальный интерфейс
INTIF="eth1"
# IP-Adresse локальнго интерфейса определить
LAN_IP=$(ifconfig $INTIF | head -n 2 | tail -n 1 | cut -d: -f2 | cut -d" " -f 1)
############################################################################
#
case "$1" in
start)
echo "Starte IP-Paketfilter"
# iptables-Modul
modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_irc
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
# modprobe ip_nat_irc
# Tabelle очистить
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
# Default-Policies установить
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# MY_REJECT-Chain
iptables -N MY_REJECT
# MY_REJECT заполнить
iptables -A MY_REJECT -p tcp -m limit --limit 7200/h -j LOG --log-prefix "REJECT TCP "
iptables -A MY_REJECT -p tcp -j REJECT --reject-with tcp-reset
iptables -A MY_REJECT -p udp -m limit --limit 7200/h -j LOG --log-prefix "REJECT UDP "
iptables -A MY_REJECT -p udp -j REJECT --reject-with icmp-port-unreachable
iptables -A MY_REJECT -p icmp -m limit --limit 7200/h -j LOG --log-prefix "DROP ICMP "
iptables -A MY_REJECT -p icmp -j DROP
iptables -A MY_REJECT -m limit --limit 7200/h -j LOG --log-prefix "REJECT OTHER "
iptables -A MY_REJECT -j REJECT --reject-with icmp-proto-unreachable
# MY_DROP-Chain
iptables -N MY_DROP
iptables -A MY_DROP -m limit --limit 7200/h -j LOG --log-prefix "PORTSCAN DROP "
iptables -A MY_DROP -j DROP
# все пакеты протоколировать
iptables -A INPUT -j LOG --log-prefix "INPUT LOG "
iptables -A OUTPUT -j LOG --log-prefix "OUTPUT LOG"
iptables -A FORWARD -j LOG --log-prefix "FORWARD LOG "
# Битые пакеты выбросить
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP
# Stealth Scans etc. запретить
# Flags не установлен
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j MY_DROP
# SYN и FIN установить
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags SYN,FIN SYN,FIN -j MY_DROP
# SYN и RST одновременно установить
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j MY_DROP
# FIN и RST одновременно установить
iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags FIN,RST FIN,RST -j MY_DROP
# FIN без ACK
iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags ACK,FIN FIN -j MY_DROP
# PSH без ACK
iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags ACK,PSH PSH -j MY_DROP
# URG без ACK
iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j MY_DROP
iptables -A FORWARD -p tcp --tcp-flags ACK,URG URG -j MY_DROP
# Loopback-Netzwerk-Kommunikation разрешить
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Maximum Segment Size (MSS) для Forwarding на PMTU разрешить
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
# Connection-Tracking активировать
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i ! $EXTIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Допуск из LAN к локальному интерфейсу разрешить
iptables -A INPUT -m state --state NEW -i $INTIF -j ACCEPT
# Default-Policies mit REJECT
iptables -A INPUT -j MY_REJECT
iptables -A OUTPUT -j MY_REJECT
iptables -A FORWARD -j MY_REJECT
# Routing разрешить
echo 1 > /proc/sys/net/ipv4/ip_forward 2> /dev/null
# Masquerading разрешить
iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
# SYN-Cookies разрешить
echo 1 > /proc/sys/net/ipv4/tcp_syncookies 2> /dev/null
# Stop Source-Routing
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/accept_source_route 2> /dev/null; done
# Stop Redirecting
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/accept_redirects 2> /dev/null; done
# Reverse-Path-Filter
for i in /proc/sys/net/ipv4/conf/*; do echo 2 > $i/rp_filter 2> /dev/null; done
# Log Martians
for i in /proc/sys/net/ipv4/conf/*; do echo 1 > $i/log_martians 2> /dev/null; done
# BOOTP-Relaying отключить
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/bootp_relay 2> /dev/null; done
# Proxy-ARP выключить
for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/proxy_arp 2> /dev/null; done
# Негодные ICMP-ответы игнорировать
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses 2> /dev/null
# ICMP Echo-Broadcasts игнорировать
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 2> /dev/null
# Max. 500/Sekunde (5/Jiffie) посылать
echo 5 > /proc/sys/net/ipv4/icmp_ratelimit
# Оптимизация памяти и времени для IP-дe/-фрагментации
echo 262144 > /proc/sys/net/ipv4/ipfrag_high_thresh
echo 196608 > /proc/sys/net/ipv4/ipfrag_low_thresh
echo 30 > /proc/sys/net/ipv4/ipfrag_time
# TCP-FIN-Timeout защиту от DoS-Attacken установить
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
# Maximal 3 ответа на один TCP-SYN
echo 3 > /proc/sys/net/ipv4/tcp_retries1
# TCP-Pakete maximal 15x повторить
echo 15 > /proc/sys/net/ipv4/tcp_retries2
;;
stop)
echo "Stoppe IP-Paketfilter"
# Tabelle очистить
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
echo "Deaktiviere IP-Routing"
echo 0 > /proc/sys/net/ipv4/ip_forward
# Default-Policies установить
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
;;
status)
echo "Tabelle filter"
iptables -L -vn
echo "Tabelle nat"
iptables -t nat -L -vn
echo "Tabelle mangle"
iptables -t mangle -L -vn
;;
*)
echo "Bad run IP-Paketfilter "
echo "Syntax: $0 {start|stop|status}"
exit 1
;;
esac
#---------------------------------------------------------------------#

сp firewall /etc/init.d
cd /etc/init.d
chmod 755 firewall
ln -s firewall /sbin/myfirewall
chkconfig -a firewall
myfirewall start
myfirewall status
myfirewall stop

2. Настроить 2-ой комп:
eth0 192.168.1.1
gateway 192.168.1.10
DNS 141.1.1.1

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Помогите Создать шлюз."
Сообщение от Answer on 03-Сен-07, 22:07
>[оверквотинг удален] >errors:0 dropped:0 overruns:0 frame:0 > TX packets:0 >errors:0 dropped:0 overruns:0 carrier:0 > collisions:0 txqueuelen:0 > > RX bytes:0 >(0.0 b) TX bytes:0 (0.0 b) > >[root@downloader ~]# >Что надо сделать чтобы со второго войти в нет. Ты на правильном пути - на этом сайте полно документации.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Помогите Создать шлюз."
Сообщение от Oyyo on 03-Сен-07, 22:27
с первого компа в студию uname -a cat /proc/sys/net/ipv4/ip_forward iptables -L FORWARD -vn iptables -t nat -L POSTROUTING -vn route -n с второго route -n
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Помогите Создать шлюз."
	Сообщение от alexsy (ok) on 04-Сен-07, 06:16
	>с первого компа в студию >uname -a >cat /proc/sys/net/ipv4/ip_forward >iptables -L FORWARD -vn >iptables -t nat -L POSTROUTING -vn >route -n > >с второго >route -n from first [root@localhost ~]# uname -a Linux localhost.localdomain 2.6.22-6.i386smp #1 SMP Fri Aug 31 20:29:39 UTC 2007 i686 i686 i386 GNU/Linux [root@localhost ~]# cat /proc/sys/net/ipv4/ip_forward 0 [root@localhost ~]# iptables -L FORWARD -vn Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination [root@localhost ~]# iptables -t nat -L POSTROUTING -vn iptables v1.3.7: can't initialize iptables table `nat': Table does not exist (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded. [root@localhost ~]# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 85.113.63.110 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1 10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth0 0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0 [root@localhost ~]# from second [root@downloader ~]# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 [root@downloader ~]# uname -a Linux downloader 2.6.16.27 #1 SMP Sun Sep 2 08:28:30 GMT 2007 i686 pentium3 i386 GNU/Linux [root@downloader ~]#
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Помогите Создать шлюз."
	Сообщение от Oyyo on 04-Сен-07, 16:30
	>[root@localhost ~]# uname -a я так понимаю, это Ubuntu >Linux localhost.localdomain 2.6.22-6.i386smp #1 SMP Fri Aug 31 20:29:39 UTC 2007 i686 >i686 i386 GNU/Linux >[root@localhost ~]# cat /proc/sys/net/ipv4/ip_forward >0 выполняем echo 1 >/proc/sys/net/ipv4/ip_forward для текущего разрешения forward в файле /etc/sysctl.conf устанавливаем опцию net.ipv4.ip_forward = 1 что б посе перезагрузки forward был включён >[root@localhost ~]# iptables -L FORWARD -vn >Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) > pkts bytes target prot opt in > out source в ptables форвард разрешён, пока ни чего не меняй как только роутер заработает будешь включать фильтры > destination >[root@localhost ~]# iptables -t nat -L POSTROUTING -vn >iptables v1.3.7: can't initialize iptables table `nat': Table does not exist (do >you need to insmod?) >Perhaps iptables or your kernel needs to be upgraded. данное сообщение говорит о том, что в ядре отсутствует модуль `nat' я пересобираю ядро включая в него все модули iptables кое кто подлючает их модульно с помощью modprobe, я этим не занимался почитай ман вместо этого можно поставить сквиду, но сквида ограничивает пользователей в локалке решать тебе, что юзать >[root@localhost ~]# route -n >Kernel IP routing table >Destination Gateway > Genmask >Flags Metric Ref Use Iface >85.113.63.110 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0 >192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 >169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1 >10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth0 >0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0 я вижу ты ручками пытался забить маршруты, сомневаюсь, что провайдер выдал тебе ИП в локалку с маской 255.0.0.0 т.е. строка >10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth0 не верна, и наверное к твоему ИП провайдер дал ещё и шлюз, вот он нужен для указания маршрута в локальную сеть провайдера, а я его не вижу вот это >0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0 вообще лишнее, здесь должно быть >0.0.0.0 85.113.63.110 0.0.0.0 UG 0 0 0 ppp0 это добавляется с помощью комманды route add default gw 85.113.63.110 dev ppp0 если не ошибаюсь на ррр0 у тебя другой ИП >from second >[root@downloader ~]# route -n >Kernel IP routing table >Destination Gateway > Genmask >Flags Metric Ref Use Iface >192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 сюда добавь маршрут route add default gw 192.168.1.10 dev eth0 тогда клиент будет знать, что за инетом стучаться на роутер для атоматической загрузки шлюза по умолчанию, добавь в файл /etc/sysconfig/network GATEWAY=192.168.1.10 GATEWAYDEV=eth0 на первой машине (роутере) для указания всех шлюзов лучше написать скрипт который будет загружатся при старте
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Помогите Создать шлюз."
	Сообщение от alexsy (ok) on 04-Сен-07, 17:50
	Не угадал FC7 Ядро самосборное из за этого не найду параметров описанных в статье https://www.opennet.ru/docs/RUS/iptables/ из за того что поменялись не перенеслись со старого конфига а сеть я обычно не трогаю по пречине "закипающего чайника" Что ковырять в новых ядрах.???? На я вижу ты ручками пытался забить маршруты, сомневаюсь, что провайдер выдал тебе ИП в локалку с маской 255.0.0.0 т.е. строка >10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth0 отвечю настраивал с помощю графической утилиты FC7 сеть и не чего не трогал ест как есть. а по адресам вот eth0 Link encap:Ethernet HWaddr 00:19:5B:86:D6:35 inet addr:10.62.61.12 Bcast:10.255.255.255 Mask:255.0.0.0 inet6 addr: fe80::219:5bff:fe86:d635/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:241558 errors:0 dropped:0 overruns:0 frame:0 TX packets:242236 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:343369818 (327.4 MiB) TX bytes:18102344 (17.2 MiB) Interrupt:16 Base address:0xc00 eth1 Link encap:Ethernet HWaddr 00:19:DB:66:8C:C8 inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0 inet6 addr: fe80::219:dbff:fe66:8cc8/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:52 errors:0 dropped:0 overruns:0 frame:0 TX packets:136 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:7359 (7.1 KiB) TX bytes:17920 (17.5 KiB) Interrupt:17 lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:66 errors:0 dropped:0 overruns:0 frame:0 TX packets:66 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:3460 (3.3 KiB) TX bytes:3460 (3.3 KiB) ppp0 Link encap:Point-to-Point Protocol inet addr:10.68.0.179 P-t-P:85.113.63.110 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1 RX packets:235202 errors:0 dropped:0 overruns:0 frame:0 TX packets:235822 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:3 RX bytes:337813940 (322.1 MiB) TX bytes:12696817 (12.1 MiB) [alexsy@localhost ~]$
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Помогите Создать шлюз."
	Сообщение от Oyyo on 04-Сен-07, 18:07
	>Не угадал FC7 Ядро самосборное из за этого не найду параметров >описанных в статье https://www.opennet.ru/docs/RUS/iptables/ из за того что поменялись не перенеслись со >старого конфига а сеть я обычно не трогаю по пречине "закипающего >чайника" >Что ковырять в новых ядрах.???? да лучше ни чего не ковырять, оставь то ядро которое становится по дефолту, там всё включено >>10.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 eth0 > >отвечю настраивал с помощю графической утилиты FC7 сеть и не чего не >трогал ест как есть. да видно кривой у вас пров если раздаёт такую маску >eth0 Link encap:Ethernet HWaddr 00:19:5B:86:D6:35 > inet addr:10.62.61.12 > Bcast:10.255.255.255 Mask:255.0.0.0 >ppp0 Link encap:Point-to-Point Protocol > inet addr:10.68.0.179 P-t-P:85.113.63.110 Mask:255.255.255.255 всё правильно route add default gw 85.113.63.110 dev ppp0
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Помогите Создать шлюз."
	Сообщение от alexsy (ok) on 04-Сен-07, 19:02
	>[оверквотинг удален] > >да видно кривой у вас пров если раздаёт такую маску >>eth0 Link encap:Ethernet HWaddr 00:19:5B:86:D6:35 >> inet addr:10.62.61.12 >> Bcast:10.255.255.255 Mask:255.0.0.0 >>ppp0 Link encap:Point-to-Point Protocol >> inet addr:10.68.0.179 P-t-P:85.113.63.110 Mask:255.255.255.255 > >всё правильно >route add default gw 85.113.63.110 dev ppp0 У меня в нвых ядрах называются nf_nat.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Помогите Создать шлюз."
	Сообщение от Oyyo on 04-Сен-07, 20:29
	>У меня в нвых ядрах называются nf_nat. сделай так что-б при попытке юзать в iptables таблицу nat небыло ругани спрециально смотрел модули ядра 2.6.22 никто iptable_nat не отменял, причём nf_nat (netfilter) зависит от iptable_nat ipt_MASQUERADE 6656 15 iptable_nat 10116 1 nf_nat 19116 2 ipt_MASQUERADE,iptable_nat
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Помогите Создать шлюз."
	Сообщение от alexsy (ok) on 04-Сен-07, 21:47
	>[оверквотинг удален] >никто iptable_nat не отменял, причём nf_nat (netfilter) >зависит от iptable_nat > >ipt_MASQUERADE 6656 >15 >iptable_nat >10116 1 >nf_nat > 19116 2 ipt_MASQUERADE,iptable_nat > Да вот выяснил что iptable_nat сильно зависит от других опций сети но не нашол от каких. кто знает????
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Помогите Создать шлюз."
	Сообщение от konst5 (??) on 04-Сен-07, 16:35
	>[оверквотинг удален] > Genmask >Flags Metric Ref Use Iface >192.168.1.0 0.0.0.0 > 255.255.255.0 U 0 > 0 > 0 eth0 >[root@downloader ~]# uname -a >Linux downloader 2.6.16.27 #1 SMP Sun Sep 2 08:28:30 GMT 2007 i686 >pentium3 i386 GNU/Linux >[root@downloader ~]# На 192.168.1.1 route add default gw 192.168.1.10 + прописать это в настройке сетевого интерфейса (/etc/sysconfig/network-scripts/ifcfg-eth0 -?): GATEWAY=192.168.1.10 + прописать nameserver в /etc/resolve.conf скорее всего nameserver 192.168.1.10 На 192.168.1.10 /etc/sysctl.conf net.ipv4.ip_forward = 1 + sysctl -p В /etc/sysconfig/iptables: в конец: *nat -A POSTROUTING -o eth0 -s 192.168.1.1 -p icmp -j SNAT --to-source <внеш.IP> -A POSTROUTING -o eth0 -s 192.168.1.1 -p tcp -m multiport --dports 21,25,80,443 -j SNAT --to-source <внеш.IP> COMMIT
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Помогите Создать шлюз."
	Сообщение от Oyyo on 04-Сен-07, 17:56
	>На 192.168.1.1 >route add default gw 192.168.1.10 >+ прописать это в настройке сетевого интерфейса (/etc/sysconfig/network-scripts/ifcfg-eth0 -?): GATEWAY=192.168.1.10 >+ прописать nameserver в /etc/resolve.conf >скорее всего nameserver 192.168.1.10 да, можно и так >[оверквотинг удален] >+ sysctl -p > >В /etc/sysconfig/iptables: >в конец: >*nat > >-A POSTROUTING -o eth0 -s 192.168.1.1 -p icmp -j SNAT --to-source <внеш.IP> >-A POSTROUTING -o eth0 -s 192.168.1.1 -p tcp -m multiport --dports 21,25,80,443 -j SNAT --to-source <внеш.IP> > >COMMIT да, примерно так при условии, что загружен модули iptable_nat и ip_conntrack, а для multiport нужен модуль ipt_multiport посмотреть загруженные модули lsmod \|grep ip я делаю просто -A POSTROUTING -o eth0 -j SNAT --to-source <внеш.IP> т.е. всё что уходит с eth0 получет его ИП
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

3. "Помогите Создать шлюз."
Сообщение от L0n3R4ng3r (??) on 04-Сен-07, 00:16
>[оверквотинг удален] >errors:0 dropped:0 overruns:0 frame:0 > TX packets:0 >errors:0 dropped:0 overruns:0 carrier:0 > collisions:0 txqueuelen:0 > > RX bytes:0 >(0.0 b) TX bytes:0 (0.0 b) > >[root@downloader ~]# >Что надо сделать чтобы со второго войти в нет. sysctl net.ipv4.ip_forward=0 /sbin/iptables -A POSTROUTING -t nat -s 192.168.1.1 -o ppp0 -j MASQUERADE
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Помогите Создать шлюз."
	Сообщение от L0n3R4ng3r (??) on 04-Сен-07, 00:18
	>[оверквотинг удален] >> collisions:0 txqueuelen:0 >> >> RX bytes:0 >>(0.0 b) TX bytes:0 (0.0 b) >> >>[root@downloader ~]# >>Что надо сделать чтобы со второго войти в нет. > >sysctl net.ipv4.ip_forward=0 >/sbin/iptables -A POSTROUTING -t nat -s 192.168.1.1 -o ppp0 -j MASQUERADE upd: sysctl net.ipv4.ip_forward=1
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Помогите Создать шлюз."
	Сообщение от Gennadi (ok) on 05-Сен-07, 22:46
	1. Создать скрипт "firewall": #------------------ firewall ----------------------------------------------------------# #!/bin/bash # ################### Переменные ############################################ # Внешний интерфейс ppp0 или eth0 EXTIF="ppp0 " # Локальный интерфейс INTIF="eth1" # IP-Adresse локальнго интерфейса определить LAN_IP=$(ifconfig $INTIF \| head -n 2 \| tail -n 1 \| cut -d: -f2 \| cut -d" " -f 1) ############################################################################ # case "$1" in start) echo "Starte IP-Paketfilter" # iptables-Modul modprobe ip_tables modprobe ip_conntrack modprobe ip_conntrack_irc modprobe ip_conntrack_ftp modprobe ip_nat_ftp # modprobe ip_nat_irc # Tabelle очистить iptables -F iptables -t nat -F iptables -t mangle -F iptables -X iptables -t nat -X iptables -t mangle -X # Default-Policies установить iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # MY_REJECT-Chain iptables -N MY_REJECT # MY_REJECT заполнить iptables -A MY_REJECT -p tcp -m limit --limit 7200/h -j LOG --log-prefix "REJECT TCP " iptables -A MY_REJECT -p tcp -j REJECT --reject-with tcp-reset iptables -A MY_REJECT -p udp -m limit --limit 7200/h -j LOG --log-prefix "REJECT UDP " iptables -A MY_REJECT -p udp -j REJECT --reject-with icmp-port-unreachable iptables -A MY_REJECT -p icmp -m limit --limit 7200/h -j LOG --log-prefix "DROP ICMP " iptables -A MY_REJECT -p icmp -j DROP iptables -A MY_REJECT -m limit --limit 7200/h -j LOG --log-prefix "REJECT OTHER " iptables -A MY_REJECT -j REJECT --reject-with icmp-proto-unreachable # MY_DROP-Chain iptables -N MY_DROP iptables -A MY_DROP -m limit --limit 7200/h -j LOG --log-prefix "PORTSCAN DROP " iptables -A MY_DROP -j DROP # все пакеты протоколировать iptables -A INPUT -j LOG --log-prefix "INPUT LOG " iptables -A OUTPUT -j LOG --log-prefix "OUTPUT LOG" iptables -A FORWARD -j LOG --log-prefix "FORWARD LOG " # Битые пакеты выбросить iptables -A INPUT -m state --state INVALID -j DROP iptables -A OUTPUT -m state --state INVALID -j DROP iptables -A FORWARD -m state --state INVALID -j DROP # Stealth Scans etc. запретить # Flags не установлен iptables -A INPUT -p tcp --tcp-flags ALL NONE -j MY_DROP iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j MY_DROP # SYN и FIN установить iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j MY_DROP iptables -A FORWARD -p tcp --tcp-flags SYN,FIN SYN,FIN -j MY_DROP # SYN и RST одновременно установить iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j MY_DROP iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j MY_DROP # FIN и RST одновременно установить iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j MY_DROP iptables -A FORWARD -p tcp --tcp-flags FIN,RST FIN,RST -j MY_DROP # FIN без ACK iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j MY_DROP iptables -A FORWARD -p tcp --tcp-flags ACK,FIN FIN -j MY_DROP # PSH без ACK iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j MY_DROP iptables -A FORWARD -p tcp --tcp-flags ACK,PSH PSH -j MY_DROP # URG без ACK iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j MY_DROP iptables -A FORWARD -p tcp --tcp-flags ACK,URG URG -j MY_DROP # Loopback-Netzwerk-Kommunikation разрешить iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # Maximum Segment Size (MSS) для Forwarding на PMTU разрешить iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu # Connection-Tracking активировать iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i ! $EXTIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Допуск из LAN к локальному интерфейсу разрешить iptables -A INPUT -m state --state NEW -i $INTIF -j ACCEPT # Default-Policies mit REJECT iptables -A INPUT -j MY_REJECT iptables -A OUTPUT -j MY_REJECT iptables -A FORWARD -j MY_REJECT # Routing разрешить echo 1 > /proc/sys/net/ipv4/ip_forward 2> /dev/null # Masquerading разрешить iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE # SYN-Cookies разрешить echo 1 > /proc/sys/net/ipv4/tcp_syncookies 2> /dev/null # Stop Source-Routing for i in /proc/sys/net/ipv4/conf/; do echo 0 > $i/accept_source_route 2> /dev/null; done # Stop Redirecting for i in /proc/sys/net/ipv4/conf/; do echo 0 > $i/accept_redirects 2> /dev/null; done # Reverse-Path-Filter for i in /proc/sys/net/ipv4/conf/; do echo 2 > $i/rp_filter 2> /dev/null; done # Log Martians for i in /proc/sys/net/ipv4/conf/; do echo 1 > $i/log_martians 2> /dev/null; done # BOOTP-Relaying отключить for i in /proc/sys/net/ipv4/conf/; do echo 0 > $i/bootp_relay 2> /dev/null; done # Proxy-ARP выключить for i in /proc/sys/net/ipv4/conf/; do echo 0 > $i/proxy_arp 2> /dev/null; done # Негодные ICMP-ответы игнорировать echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses 2> /dev/null # ICMP Echo-Broadcasts игнорировать echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 2> /dev/null # Max. 500/Sekunde (5/Jiffie) посылать echo 5 > /proc/sys/net/ipv4/icmp_ratelimit # Оптимизация памяти и времени для IP-дe/-фрагментации echo 262144 > /proc/sys/net/ipv4/ipfrag_high_thresh echo 196608 > /proc/sys/net/ipv4/ipfrag_low_thresh echo 30 > /proc/sys/net/ipv4/ipfrag_time # TCP-FIN-Timeout защиту от DoS-Attacken установить echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout # Maximal 3 ответа на один TCP-SYN echo 3 > /proc/sys/net/ipv4/tcp_retries1 # TCP-Pakete maximal 15x повторить echo 15 > /proc/sys/net/ipv4/tcp_retries2 ;; stop) echo "Stoppe IP-Paketfilter" # Tabelle очистить iptables -F iptables -t nat -F iptables -t mangle -F iptables -X iptables -t nat -X iptables -t mangle -X echo "Deaktiviere IP-Routing" echo 0 > /proc/sys/net/ipv4/ip_forward # Default-Policies установить iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT ;; status) echo "Tabelle filter" iptables -L -vn echo "Tabelle nat" iptables -t nat -L -vn echo "Tabelle mangle" iptables -t mangle -L -vn ;; *) echo "Bad run IP-Paketfilter " echo "Syntax: $0 {start\|stop\|status}" exit 1 ;; esac #---------------------------------------------------------------------# сp firewall /etc/init.d cd /etc/init.d chmod 755 firewall ln -s firewall /sbin/myfirewall chkconfig -a firewall myfirewall start myfirewall status myfirewall stop 2. Настроить 2-ой комп: eth0 192.168.1.1 gateway 192.168.1.10 DNS 141.1.1.1
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]