 |
31.07.2009, 20:26
|
|
Новичок
Регистрация: 06.08.2008
Сообщений: 2
С нами:
9348792
Репутация:
0
|
|
подскажите SABJ.
не силен в правилах iptables, полюбому же есть порты которые работают надстройкой надо iptables. подскажите.
|
|
|
01.08.2009, 16:49
|
|
Участник форума
Регистрация: 11.01.2009
Сообщений: 117
С нами:
9120680
Репутация:
0
|
|
Есть такая прогамма -
Для просмотра скрытого содержимого необходимо иметь 5 сообщений, у вас 0 сообщений.
Для просмотра скрытого содержимого необходимо иметь 5 сообщений, у вас 0 сообщений.
|
|
|
|
04.08.2009, 18:46
|
|
Познающий
Регистрация: 03.08.2009
Сообщений: 43
С нами:
8827179
Репутация:
0
|
|
|
|
|
|
06.08.2009, 10:57
|
|
Новичок
Регистрация: 04.12.2007
Сообщений: 6
С нами:
9703114
Репутация:
0
|
|
baddan написал(а):
подскажите SABJ.
не силен в правилах iptables, полюбому же есть порты которые работают надстройкой надо iptables. подскажите.
Всё же из своего опыта могу порекомендовать освоить именно iptables в оригинале.
Да и сложного тут ничего нет, сам сначала был в шоке от такого количества аргументов, но всё оказалось просто. Главное, что тут надо понять - это то, что правила по всем направлениям - это цепочки. При срабатывании первого же правила в цепочке все последующие игнорируются, исходя из этого надо запомнить:
1. на первом месте то, что разрешено и только потом запрет.
2. для описания исключения к уже имеющимся правилам его надо вставлять (-I) до запрета.
Например: надо чтобы доступ к 80 порту был только у одной машины. Исходя из принципов, которые я описал выше надо сначала разрешить доступ конкретной машине к порту:
Код:
Код:
iptables -A INPUT -p tcp --dport 80 -s 192.168.1.10 -j ACCEPT
потом запретить всем доступ к 80 порту:
Код:
Код:
iptables -A INPUT -p tcp --dport 80 -j DROP
Таким образом политика у нас будет выглядеть так (iptables -L)
Код:
Код:
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 192.168.1.10 anywhere tcp dpt:www
DROP tcp -- anywhere anywhere tcp dpt:www
Как только придёт пользователь с обозначенным ip - он получит разрешение (-j ACCEPT), исполнение цепочки не будет продолжено. Если пришёл кто-то не с этого ip, то под первое правило он не подходит, дело идёт ко второму, которая разворачивает "пациента".
Примечание:
Посмотреть таблицу правил iptables -L
Удалить правило iptables -D
Надо помнить, что при вставке (-I) и удалении (-D) происходит сдвиг номера правила в соответствующую сторону
Чтобы правила сохранились и работали после перезагрузки необходимо выполнить iptables-save
PS: Надстройки дело хорошее, но iptables надо обязательно знать! Хорошо, когда полноценный линукс, а если это урезанный интерфейс роутера?
|
|
|
|
07.08.2009, 03:17
|
|
Познающий
Регистрация: 04.07.2009
Сообщений: 67
С нами:
8870606
Репутация:
0
|
|
Какая ОС ? если ред Хат то там system-config-securitylevel или как-то так
|
|
|
|
07.08.2009, 07:29
|
|
Новичок
Регистрация: 06.08.2008
Сообщений: 2
С нами:
9348792
Репутация:
0
|
|
drive800 написал(а):
Какая ОС ? если ред Хат то там system-config-securitylevel или как-то так
debian lenny, серверный вариант, тоесть без X.
Добавлено через 1 минуту
brain-m написал(а):
Всё же из своего опыта могу порекомендовать освоить именно iptables в оригинале.
Да и сложного тут ничего нет, сам сначала был в шоке от такого количества аргументов, но всё оказалось просто. Главное, что тут
...
...
PS: Надстройки дело хорошее, но iptables надо обязательно знать! Хорошо, когда полноценный линукс, а если это урезанный интерфейс роутера?
после перезагрузки правила пропали руками постояно прописывать или есть варианты?
|
|
|
|
08.08.2009, 00:24
|
|
Новичок
Регистрация: 04.12.2007
Сообщений: 6
С нами:
9703114
Репутация:
0
|
|
baddan написал(а):
после перезагрузки правила пропали руками постояно прописывать или есть варианты?
Чтобы правила сохранились и работали после перезагрузки необходимо выполнить iptables-save
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
