Различия

Показаны различия между двумя версиями страницы.

--- iptables [2015/03/16 07:40]
81.222.241.194 создано
+++ iptables [2015/03/16 17:48] (текущий)
@@ Строка 1: / Строка 1: @@
                                      Основы работы с iptables
-A. Теория.
+A. Теория. \\
+https://ru.wikibooks.org/wiki/Iptables  \\
+http://www.opennet.ru/man.shtml?topic=iptables&category=8&russian=0 \\
+P.S. По этим линкам найдёте <del>ОЧЕНЬ МНОГА БУКАВ</del>много подробной полезной информации, вам понадобится много <del>сигарет и кофе</del>времени на обдумывания и размышления, но это полезно :-) \\
+Для ipv6 используются аналогичные тулзы, как и для ipv6 (**ip6tables**,**ip6tables-restore**,**ip6tables-apply**) \\
+Если <del>вам было лень читать многа букав</del>говорить коротко, то основные таблицы, с которыми мы будем работать, это **filter** и **nat** (с таблицей **mangle**, которая используется для модификации полей __TTL__,__TOS__,__TCP MSS__ и __MARK__пакетов, мы практически не будем работать, так как в работе она вам редко когда понадобится ) и их основными цепочками: **INPUT**,**OUTPUT**,**FORWARD**, **POSTROUTING** и **PREROUTING** \\
-B. Пишем правила.
+Цепочки: \\
+. **INPUT**  <- используется для фильтрации входящих пакетов \\
+. **OUTPUT** <- используется для фильтрации исходящих пакетов \\
+. **FORWARD** <- используется для фильтрации проходящих через наш хост пакетов \\
+. **PREROUTING** <- в эту цепочку пакеты сначала попадают, перед тем как отправиться на обработку в другие цепочки. Часто используется для перенаправления на другой порт, либо пробросов портов \\
+. **POSTROUTING** <- используется для натирования и обработки исходящего через нас пакетов \\
+Таблицы: \\
+. **filter** <- основная таблица, которая отвечает за фильтрацию трафика по критериям: разрешить, отклонить, залогировать и т.п.\\
+. **nat** <- собственно отвечает за натирование и обработку проходящего и входящего трафика. Задействуется перед таблицей **filter**\\
+. **mangle** <- используется для модификации полей в пакете \\
+Действия: \\
+. **ACCEPT** <- разрешить\\
+. **DROP** <- строгое запрещение\\
+. **REJECT** <- запретить дальнейшую обработку пакета и "отрыгнуть" icmp сообщение о том, что порт закрыт (может использоваться для отладки)\\
+. **LOG** <- логировать пакет стандартным средством syslog (крайне не рекомендуется, если вы конечно не хотите засрать все логи срабатываниями фаервола)\\
+. **ULOG** <- более <del>кошерный,правильный</del>продвинутый вариант **LOG** (не гадит в syslog а будет писать только в нужный вам текстовый файл, бинарный файл или даже БД. Требует установленного пакета ulogd )\\
+. **MASQUERADE** <- маскарадинг\\
+. **DNAT** <- подмена IP назначения, используется для проброса портов\\
+. **SNAT** <- подмена исходящего IP, используется для натирования \\
+. **REDIRECT** <- перенаправить на другой порт \\
+Модули и параметры: \\
+. **-p** <- выбор протокола (tcp, udp, icmp, esp, sctp, ah, udplite и all) \\
+. **-i** <- входящий интерфейс \\
+. **-o** <- исходящий интерфейс \\
+. **-m** <- выбор модуля (tcp, udp, icmp, state, comment, limit, multiport, owner, string, conntrack, mac)\\
+. **-j** <- действие (см. сноску "Действия")\\
+. **-s** <- исходящий адрес/сеть\\
+. **-d** <- адрес/сеть назначения \\
+. **-A** <- указать цепочку\\
+Мы рассмотрим правила iptables на примере пограничного фаервола, между офисом и внешним миром. \\
+\\
+Легенда: \\
+. eth0 <- это наш внешних интерфейс, который смотрит в "мир" у него будет IP 188.67.53.23\\
+. eth1 <- интерфейс смотрит в офисную сеть 172.16.5.0/24 \\
+. eth2 <- интерфейс смотрит в сеть где находятся тестовые веб-сервера, сеть 172.17.1.0/28\\
+. eth3 <- интерфейс за которым находятся наши боевые сервера, будут иметь сеть 188.67.13.0/24 \\
+. 172.17.1.10 <- IP нашего почтового сервера \\
+. 188.251.148.31 <- внешний IP нашего админа \\
+. 172.16.5.7 <- рабочий комп <del>мудака</del>директора\\
+B. Пишем правила.   \\
 . Для начала создадим наш файл с конфигом для загрузки правил в iptables \\
 **cd /etc && mkdir firewall && chmod 0700 firewall && cd firewall && touch rc.firewall && chmod 0600 firewall** \\
@@ Строка 14: / Строка 64: @@
 . Теперь нам необходимо написать правила в основную таблицу **filter**\\
+''*nat  \\
+:PREROUTING ACCEPT [0:0] \\
+:INPUT ACCEPT [0:0] \\
+:OUTPUT ACCEPT [0:0] \\
+:POSTROUTING ACCEPT [0:0] \\
+-A PREROUTING -p tcp -m state --state NEW -m tcp --dport 443 -j REDIRECT --to-ports 9001 \\
+-A PREROUTING -p tcp -m state --state NEW -m tcp --dport 80 -j REDIRECT --to-ports 9030 \\
+COMMIT'' \\
 ''*filter\\
@@ Строка 22: / Строка 81: @@
 -INPUT -i lo -j ACCEPT \\
 -A INPUT -m state --state INVALID -j DROP\\
+-A INPUT -s 54.214.49.70/32 -j DROP -m comment --comment "rapid7 scan network" \\
 -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK -j DROP \\
 -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP \\
@@ Строка 28: / Строка 88: @@
 -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -j DROP \\
 -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP \\
--A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP \\
+-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP'' <- В этих правилах мы запрещаем проход новых пакетов с указанной последовательностью флагов \\
+''-A INPUT -i eth0 -s 188.251.148.31/32 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT \\
 -OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT \\
 -OUTPUT -o lo -j ACCEPT\\
 -A OUTPUT -m state --state INVALID -j DROP \\
 -A OUTPUT -o eth0 -p udp -m state --state NEW -m owner --uid-owner 0 -m udp --dport 33434:33524 -j ACCEPT -m comment --comment "traceroute"\\
+-A OUTPUT -o eth1 -p icmp -m owner --gid-owner 4 -m icmp --icmp-type 8 -m state --state NEW -j ACCEPT \\
 -A OUTPUT -p icmp -m owner --uid-owner 0 -m icmp --icmp-type 8 -m state --state NEW -j ACCEPT -m comment --comment "just ping"\\
 COMMIT '' \\

nadejnei.net

Инструменты пользователя

Инструменты сайта

Различия

Инструменты страницы