|
A.R.T.
Гость
|
 |
« : 08-10-2009 13:59 » |
|
Здравствуйте.
Помогите, пожалуйста, настроить firewall в Centos 5.2 через Webmin.
Неясен принцип работы, я в Linux не очень, подхожу к настройкам как серверу ISA, но не очень-то и получается.
Установлен Centos 5.2 с Asterisk, хочу опубликовать Asterisk наружу, но создать работающее правило не получается. Есть две сетевые eth0 и eth1. Первый смотрит внутрь, а второй наружу.
Из внутренней сети и Интернета к серверу можно подключиться, но я хочу разграничить правила, применяемые к картам eth0 и eth1.
Пробовал создать правила, чтоб снаружи пинг не проходил, без успешно.
Спасибо.
p.s.
в прикреплённом файле все роли, которые были и есть по умолчанию.
|
|
|
« Последнее редактирование: 09-10-2009 05:01 от Sel »
|
Записан
|
|
|
|
|
Sla
|
|
« Ответ #1 : 08-10-2009 14:05 » |
|
а в обход webmin?
man iptables
покажи вывод в консоли
iptables -L
|
|
|
|
|
Записан
|
Мы все учились понемногу... Чему-нибудь и как-нибудь.
|
|
|
|
RXL
|
|
« Ответ #2 : 08-10-2009 14:52 » |
|
Лучше - "iptables -L -nvx" и результат в студию.
Какие порты и протоколы использует Asterisk известно?
|
|
|
|
|
Записан
|
... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
|
|
|
|
A.R.T.
Гость
|
|
« Ответ #3 : 09-10-2009 04:23 » |
|
Всё что есть
Chain INPUT (policy ACCEPT 6 packets, 342 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmp -- eth1 * 0.0.0.0/0 0.0.0.0/0 icmp type 0
14 1884 DROP all -- eth1 * 0.0.0.0/0 0.0.0.0/0
8288 1256807 ACCEPT all -- eth0 * 0.0.0.0/0 0.0.0.0/0
84 11917 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x10/0x10
1 40 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED
3 246 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:53 dpts:1024:65535
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 4
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 12
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113
1 60 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
1 60 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:9001
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:9080
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:4569
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:5000:5082
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:10000:20000
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:4445
2 120 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5038
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:123
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:69
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:9022
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * eth1 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 7 prefix `BANDWIDTH_OUT:'
0 0 LOG all -- eth1 * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 7 prefix `BANDWIDTH_IN:'
Chain OUTPUT (policy ACCEPT 1745 packets, 517642 bytes)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * eth1 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 7 prefix `BANDWIDTH_OUT:'
Asterisk использует
udp dpts:5000:5082
udp dpts:10000:20000
|
|
|
|
|
Записан
|
|
|
|
|
RXL
|
|
« Ответ #4 : 09-10-2009 05:18 » |
|
A.R.T., в цепочке INPUT вторая строка - убери ее и добавь в конец. Правило то выполняются последовательно, а не параллельно.
Не плохо бы вставить в начало -i lo -j ACCEPT.
Надеюсь, в таблицах mangle и raw ничего нет?
|
|
|
|
« Последнее редактирование: 09-10-2009 05:22 от RXL »
|
Записан
|
... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
|
|
|
|
A.R.T.
Гость
|
|
« Ответ #5 : 09-10-2009 06:17 » |
|
Это получается что правила которые есть сейчас будут отрабатывать только для eth0
А для eth1 надо создать правила выше
|
|
|
|
|
Записан
|
|
|
|
|
A.R.T.
Гость
|
|
« Ответ #6 : 09-10-2009 06:34 » |
|
RXL, eth0 вставил самый конец, создал правила drop для пинга и вставил выше eth1, но результата нет, eth1 пингуется  Вот ещё, попробовал запретить пинг на eth0, результата отрицательный, пинг проходит. |
|
|
|
« Последнее редактирование: 09-10-2009 06:51 от Sla »
|
Записан
|
|
|
|
|
Sla
|
|
« Ответ #7 : 09-10-2009 06:52 » |
|
A.R.T., покажи правило запрета пинга
|
|
|
|
|
Записан
|
Мы все учились понемногу... Чему-нибудь и как-нибудь.
|
|
|
|
A.R.T.
Гость
|
|
« Ответ #8 : 09-10-2009 06:58 » |
|
hain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 0 0
0 ACCEPT all -- eth1 * 0.0.0.0/0 0.0.0.0/0
79 5839 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x10/0x10
20 2109 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:53 dpts:1024:65535
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 3
0 0 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 4
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 12
1 48 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
1 48 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:9001
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:9080
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:4569
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:5000:5082
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:10000:20000
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:4445
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5038
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:123
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:69
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:9022
20 2840 ACCEPT all -- eth0 * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * eth1 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 7 prefix `BANDWIDTH_OUT:'
0 0 LOG all -- eth1 * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 7 prefix `BANDWIDTH_IN:'
Chain OUTPUT (policy ACCEPT 135 packets, 58576 bytes)
pkts bytes target prot opt in out source destination
0 0 LOG all -- * eth1 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 7 prefix `BANDWIDTH_OUT:'
|
|
|
|
|
Записан
|
|
|
|
|
Sla
|
|
« Ответ #9 : 09-10-2009 07:18 » |
|
разберись с типами icmp
и покажи команду которой ты это правило создаешь, а не само правило
|
|
|
|
|
Записан
|
Мы все учились понемногу... Чему-нибудь и как-нибудь.
|
|
|
|
A.R.T.
Гость
|
|
« Ответ #10 : 09-10-2009 07:29 » |
|
Sla, все правила которые здесь есть, были по умолчанию
А правила создаю через webmin
|
 Rule.JPG (84.1 Кб - загружено 1085 раз.)
|
|
|
Записан
|
|
|
|
|
Sla
|
|
« Ответ #11 : 09-10-2009 07:32 » |
|
A.R.T., я не пользовался графическими утилитами и не могу сказать как это делается
ты попробуй создать правило из консоли.
Поверь, получишь колоссальное удовольствие. Потому что поймешь весь механизм работы firewall'а
|
|
|
|
|
Записан
|
Мы все учились понемногу... Чему-нибудь и как-нибудь.
|
|
|
|
Sla
|
|
« Ответ #12 : 09-10-2009 07:37 » |
|
я, к сожалению, не знаю где у тебя прописываются правила, но, возможно, в
/etc/rc.d/rc.firewall
покажи этот файл
|
|
|
|
|
Записан
|
Мы все учились понемногу... Чему-нибудь и как-нибудь.
|
|
|
|
A.R.T.
Гость
|
|
« Ответ #13 : 09-10-2009 08:25 » |
|
Sla , по пути /etc/rc.d файл rc.firewall отсутствует
все что есть /etc/rc.d/init.d
/rc0.d
/rc1.d
/rc2.d
до
/rc6.d
*rc
*rc.local
*rc.sysinit
|
|
|
|
|
Записан
|
|
|
|
|
Sla
|
|
« Ответ #14 : 09-10-2009 08:36 » |
|
я не гадалка, тем более Centoos под рукой не имею.
/etc/sysconfig/iptables ?
man iptables
и по идее, должно быть сказано, где лежат, или где должны лежать настройки.
|
|
|
|
|
Записан
|
Мы все учились понемногу... Чему-нибудь и как-нибудь.
|
|
|
|
A.R.T.
Гость
|
|
« Ответ #15 : 09-10-2009 10:31 » |
|
содержимое iptables
Generated by iptables-save vl.2.11 on Tue Jul 18 22:20:07 2006 *nat
:PREROUTING ACCEPT [8:408] :POSTROUTING ACCEPT [2:129] :OUTPUT ACCEPT [2:129] COMMIT
# Completed on Tue Jul 18 22:20:07 2006
# Generated by iptables-save vl.2.11 on Tue Jul 18 22:20:07 2006 *mangle
:PREROUTING ACCEPT [287:33378]
:INPUT ACCEPT [287:33378]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [288:38355]
:POSTROUTING ACCEPT [288:38355]
COMMIT
# Completed on Tue Jul 18 22:20:07 2006
# Generated by iptables-save vl.2.11 on Tue Jul 18 22:20:07 2006 «filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -o ethl -j LOG —log-level 7 —log-prefix BANDWIDTH_OUT:
-A FORWARD -i ethl -j LOG —log-level 7 —log-prefix BANDUIDTH_IN:
-A OUTPUT -o ethl -j LOG —log-level 7 —log-prefix BANDUIDTH_OUT:
# Accept responses to our pings
-A INPUT -p icmp -m icmp —icmp-type echo-reply -j DROP -A INPUT -i ethl -j ACCEPT
# Accept traffic raith the ACK flag set
-A INPUT -p tcp -m tcp —tcp-flags ACK ACK -j ACCEPT
# Allow incoming data that is part of a connection we established -A INPUT -m state —state ESTABLISHED -j ACCEPT
# Allow data that is related to existing connections -A INPUT -m state —state RELATED -j ACCEPT
# Accept responses to DNS queries
-A INPUT -p udp -m udp —dport 1024:65535 —sport 53 -j ACCEPT
if Accept notifications of unreachable hosts
-A INPUT -p icmp -m icmp —icmp-type destination-unreachable -j ACCEPT
# Accept responses to our pings
-A INPUT -p icmp -m icmp —icmp-type echo-reply -j DROP
# Accept notifications to reduce sending speed
-A INPUT -p icmp -m icmp —icmp-type source-quench -j ACCEPT
# Accept notifications of lost packets
-A INPUT -p icmp -m icmp —icmp-type time-exceeded -j ACCEPT
H Accept notifications of protocol problems
-A INPUT -p icmp -m icmp —icmp-type parameter-problem -j ACCEPT
# Allow connections to our SSH server
-A INPUT -p tcp -m tcp —dport ssh -j ACCEPT
# Allow connections to our IDENT server
-A INPUT -p tcp -m tcp —dport auth -j ACCEPT
# Allow connections to our SSH server
-A INPUT -p tcp -m tcp —dport 80 -j ACCEPT
# Allow connections to our WEB server
Allow connections to our UEB server
-A INPUT -p tcp -m tcp —dport 443 -j ACCEPT
# Allow connections to our Secure Web server -A INPUT -p tcp -m tcp —dport 21 -j ACCEPT
# Allow connections to our FTP server
-A INPUT -p tcp -m tcp —dport 9001 -j ACCEPT
# Allow connections to our Uebmin server
-A INPUT -p tcp -m tcp —dport 9080 -j ACCEPT
# Allow connections to our Alternative web server -A INPUT -p udp -m udp —dport 4569 -j ACCEPT
# Allow connections to our IAX server
-A INPUT -p udp -m udp —dport 5000:5082 -j ACCEPT
# Allow connections to our SIP server
-A INPUT -p udp -m udp —dport 10000:20000 -j ACCEPT
# Allow connections to our SIP-RTP server
-A INPUT -p tcp -m tcp —dport 4445 -j ACCEPT
# Allow connections to our FOP server
-A INPUT -p tcp -m tcp —dport 5038 -j ACCEPT
# Allow connections to NTP time server
-A INPUT -p udp -m udp —dport 123 -j ACCEPT
# Allow connections to our Alternative Web server -A INPUT -p udp -m udp —dport 69 -j ACCEPT
# Allow connections to our Uebmin server
-A INPUT -p tcp -m tcp —dport 9022 -j ACCEPT
# Accept traffic from internal interfaces -A INPUT -i ethO -j ACCEPT
COMMIT
# Completed on Tue Jul 18 22:20:07 2006
|
|
|
|
|
Записан
|
|
|
|
|
RXL
|
|
« Ответ #16 : 09-10-2009 15:22 » |
|
Sla, CentOS - 100% копия RH Enterprise Linux. Т.е. все как в RedHat и клонах: /etc/sysconfig/... *nat
:PREROUTING ACCEPT [8:408]
:POSTROUTING ACCEPT [2:129]
:OUTPUT ACCEPT [2:129]
COMMIT
*mangle
:PREROUTING ACCEPT [287:33378]
:INPUT ACCEPT [287:33378]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [288:38355]
:POSTROUTING ACCEPT [288:38355]
COMMIT
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -o eth1 -j LOG —log-level 7 —log-prefix BANDWIDTH_OUT:
-A FORWARD -i eth1 -j LOG —log-level 7 —log-prefix BANDWIDTH_IN:
-A OUTPUT -o eth1 -j LOG —log-level 7 —log-prefix BANDWIDTH_OUT:
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp —icmp-type echo-reply -j REJECT --reject-with icmp-host-prohibited
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp —dport ssh -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp —dport auth -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp —dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp —dport 443 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp —dport 9001 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp —dport 9080 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp —dport 5000:5082 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp —dport 10000:20000 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp —dport 4445 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp —dport 5038 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp —dport 123 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp —dport 9022 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
Путаница "ethl" и "eth1".
|
|
|
|
« Последнее редактирование: 12-10-2009 07:03 от RXL »
|
Записан
|
... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
|
|
|
|
A.R.T.
Гость
|
|
« Ответ #17 : 12-10-2009 05:06 » |
|
Это просто опечатка
Generated by iptables-save vl.2.11 on Tue Jul 18 22:20:07 2006 *nat
:PREROUTING ACCEPT [8:408] :POSTROUTING ACCEPT [2:129] :OUTPUT ACCEPT [2:129] COMMIT
# Completed on Tue Jul 18 22:20:07 2006
# Generated by iptables-save vl.2.11 on Tue Jul 18 22:20:07 2006 *mangle
:PREROUTING ACCEPT [287:33378]
:INPUT ACCEPT [287:33378]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [288:38355]
:POSTROUTING ACCEPT [288:38355]
COMMIT
# Completed on Tue Jul 18 22:20:07 2006
# Generated by iptables-save vl.2.11 on Tue Jul 18 22:20:07 2006 «filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -o eth1 -j LOG —log-level 7 —log-prefix BANDWIDTH_OUT:
-A FORWARD -i eth1 -j LOG —log-level 7 —log-prefix BANDUIDTH_IN:
-A OUTPUT -o eth1 -j LOG —log-level 7 —log-prefix BANDUIDTH_OUT:
# Accept responses to our pings -A INPUT -p icmp -m icmp —icmp-type echo-reply -j DROP
# Accept traffic from internal interfaces -A INPUT -i eth1 -j ACCEPT
# Accept traffic raith the ACK flag set -A INPUT -p tcp -m tcp —tcp-flags ACK ACK -j ACCEPT
# Allow incoming data that is part of a connection we established -A INPUT -m state —state ESTABLISHED -j ACCEPT
# Allow data that is related to existing connections -A INPUT -m state —state RELATED -j ACCEPT
# Accept responses to DNS queries -A INPUT -p udp -m udp —dport 1024:65535 —sport 53 -j ACCEPT
# Accept notifications of unreachable hosts -A INPUT -p icmp -m icmp —icmp-type destination-unreachable -j ACCEPT
# Accept responses to our pings -A INPUT -p icmp -m icmp —icmp-type echo-reply -j DROP
# Accept notifications to reduce sending speed -A INPUT -p icmp -m icmp —icmp-type source-quench -j ACCEPT
# Accept notifications of lost packets -A INPUT -p icmp -m icmp —icmp-type time-exceeded -j ACCEPT
# Accept notifications of protocol problems -A INPUT -p icmp -m icmp —icmp-type parameter-problem -j ACCEPT
# Allow connections to our SSH server -A INPUT -p tcp -m tcp —dport ssh -j ACCEPT
# Allow connections to our IDENT server -A INPUT -p tcp -m tcp —dport auth -j ACCEPT
# Allow connections to our SSH server -A INPUT -p tcp -m tcp —dport 80 -j ACCEPT
# Allow connections to our WEB server Allow connections to our UEB server -A INPUT -p tcp -m tcp —dport 443 -j ACCEPT
# Allow connections to our Secure Web server -A INPUT -p tcp -m tcp —dport 21 -j ACCEPT
# Allow connections to our FTP server -A INPUT -p tcp -m tcp —dport 9001 -j ACCEPT
# Allow connections to our Uebmin server -A INPUT -p tcp -m tcp —dport 9080 -j ACCEPT
# Allow connections to our Alternative web server -A INPUT -p udp -m udp —dport 4569 -j ACCEPT
# Allow connections to our IAX server -A INPUT -p udp -m udp —dport 5000:5082 -j ACCEPT
# Allow connections to our SIP server -A INPUT -p udp -m udp —dport 10000:20000 -j ACCEPT
# Allow connections to our SIP-RTP server -A INPUT -p tcp -m tcp —dport 4445 -j ACCEPT
# Allow connections to our FOP server -A INPUT -p tcp -m tcp —dport 5038 -j ACCEPT
# Allow connections to NTP time server -A INPUT -p udp -m udp —dport 123 -j ACCEPT
# Allow connections to our Alternative Web server -A INPUT -p udp -m udp —dport 69 -j ACCEPT
# Allow connections to our Uebmin server -A INPUT -p tcp -m tcp —dport 9022 -j ACCEPT
# Accept traffic from internal interfaces -A INPUT -i eth0 -j ACCEPT COMMIT
|
|
|
|
« Последнее редактирование: 12-10-2009 06:30 от A.R.T. »
|
Записан
|
|
|
|
|
RXL
|
|
« Ответ #18 : 12-10-2009 06:04 » |
|
A.R.T., я тебя уже не понимаю - файрвол надо настроить или что?
|
|
|
|
|
Записан
|
... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
|
|
|
|
A.R.T.
Гость
|
|
« Ответ #19 : 12-10-2009 06:43 » |
|
RXL , Это сервер ip Телефонии на Asteriske . Мне надо настроить Фаервол так чтоб через eth 1 могли подключаться снаружи только SIP телефоны , чтоб этот сервер был максимально закрыт и безопасен. Проблема в том что когда создаю правила, они не работают, может я не правильно понимаю принцип работы Linuxa к примеру создал правила для запрета пинга выше eth1 но пинги проходят.
|
|
|
|
« Последнее редактирование: 12-10-2009 06:48 от A.R.T. »
|
Записан
|
|
|
|
|
RXL
|
|
« Ответ #20 : 12-10-2009 06:52 » |
|
|
|
|
|
|
Записан
|
... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
|
|
|
|
A.R.T.
Гость
|
|
« Ответ #21 : 12-10-2009 06:57 » |
|
Сейчас попробую
|
|
|
|
|
Записан
|
|
|
|
|
RXL
|
|
« Ответ #22 : 12-10-2009 07:00 » |
|
Помести это в конфиг и выполни service iptables restart.
Покажи: cat /etc/sysconfig/iptables-config
Только оборачивай текст тегами [code] [/code]
|
|
|
|
|
Записан
|
... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
|
|
|
|
A.R.T.
Гость
|
|
« Ответ #23 : 12-10-2009 08:42 » |
|
Содержимое: /sysconfig/iptables-config # Load additional iptables modules (nat helpers}
# Default: -none-
# Space separated list of nat helpers (e.g. 'ip_nat_ftp ip_nat_irc'), which
# are loaded after the firewall rules are applied. Options for the helpers are
# stored in /etc/modprobe.conf.
IP TABLES MODULES ="ip_cоnntrack_netbiоs_ns"
# Unload modules on restart and stop
# Value: yes| no, default: yes
# This option has to be 'yes' to get to a sane state for a firewall
# restart or stop. Only set to 'no' if there are problems unloading netfilter
# modules.
IPTABLES_MODULES_UNLOAD="yes"
# Save current firewall rules on stop.
# Value: yes| no, default: no
# Saves all firewall rules to /etc/sysconfig/iptables if firewall gets stopped
# (e.g. on system shutdown) .
IPTABLES_SAVE_O [M S-N_STOP="no"
# Save current firewall rules on restart.
# Value: yes| no, default: no
# Save (and restore) rule and chain counter.
# Value: yes| no, default: no
# Save counters for rules and chains to /etc/sysconfig/iptables if
# 'service iptables save1 is called or on stop or restart if SAVE_ON_STOP or
# SAVE_ON_RESTART is enabled.
IP TABLES_SAVE_COUNTER="no"
# Numeric status output
# Value: yes| no, default: yes
# Print IP addresses and port numbers in numeric format in the status output.
IPTABLES_STATUS_NUMERIС="уеs"
# Verbose status output
# Value: yes| no, default: yes
# Print info about the number of packets and bytes plus the "input-" and
# "outputdevice" in the status output.
IP TABLES_STATUS_VERBOSE ="no"
# Status output with numbered lines
# Value: yes| no, default: yes
# Print a counter/number for every rule in the status output.
IP TABLES_STATUS_LINENUHBERS="yes"
Попробовал вот этот вариант https://forum.shelek.ru/index.php/topic,22046.msg216230.html#msg216230 результата нет |
|
|
|
|
Записан
|
|
|
|
|
RXL
|
|
« Ответ #24 : 12-10-2009 08:46 » |
|
Слушай, это безобразие какое-то: у тебя терминал на правильную кодировку настроен? Так работать не возможно... Постоянные сбои какие-то и мусор в тексте.
Часом не Hypertermnal используешь? Выбрось эту дрянь! Качай putty - он фриварный.
|
|
|
|
|
Записан
|
... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
|
|
|
|
A.R.T.
Гость
|
|
« Ответ #25 : 12-10-2009 09:15 » |
|
Использую Putty, но файли редактирую черес mc  А в Putty можно как-то посмотрет содержимое файла ? прим. etc/sysconfig/ iptables-config |
|
|
|
« Последнее редактирование: 12-10-2009 09:42 от A.R.T. »
|
Записан
|
|
|
|
|
RXL
|
|
« Ответ #26 : 12-10-2009 11:30 » |
|
Аналогично: использую туже ОС, тот же терминал и тот же редактор.
cat /etc/sysconfig/iptables-config
Рекомендую сперва:
1. В mc переключиться на консоль.
2. Нажать Enter несколько раз, чтобы отличить вывод команды от мусора.
|
|
|
|
|
Записан
|
... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
|
|
|
|
A.R.T.
Гость
|
|
« Ответ #27 : 12-10-2009 11:54 » |
|
Вот что есть # Load additional iptables modules (nat helpers)
# Default: -none-
# Space separated list of nat helpers (e.g. 'ip_nat_ftp ip_nat_irc'), which
# are loaded after the firewall rules are applied. Options for the helpers are
# stored in /etc/modprobe.conf.
IPTABLES_MODULES="ip_conntrack_netbios_ns"
# Unload modules on restart and stop
# Value: yes|no, default: yes
# This option has to be 'yes' to get to a sane state for a firewall
# restart or stop. Only set to 'no' if there are problems unloading netfilter
# modules.
IPTABLES_MODULES_UNLOAD="yes"
# Save current firewall rules on stop.
# Value: yes|no, default: no
# Saves all firewall rules to /etc/sysconfig/iptables if firewall gets stopped
# (e.g. on system shutdown).
IPTABLES_SAVE_ON_STOP="no"
# Save current firewall rules on restart.
# Value: yes|no, default: no
# Saves all firewall rules to /etc/sysconfig/iptables if firewall gets
# restarted.
IPTABLES_SAVE_ON_RESTART="no"
# Save (and restore) rule and chain counter.
# Value: yes|no, default: no
# Save counters for rules and chains to /etc/sysconfig/iptables if
# 'service iptables save' is called or on stop or restart if SAVE_ON_STOP or
# SAVE_ON_RESTART is enabled.
IPTABLES_SAVE_COUNTER="no"
# Numeric status output
# Value: yes|no, default: yes
# Print IP addresses and port numbers in numeric format in the status output.
IPTABLES_STATUS_NUMERIC="yes"
# Verbose status output
# Value: yes|no, default: yes
# Print info about the number of packets and bytes plus the "input-" and
# "outputdevice" in the status output.
IPTABLES_STATUS_VERBOSE="no"
# Status output with numbered lines
# Value: yes|no, default: yes
# Print a counter/number for every rule in the status output.
IPTABLES_STATUS_LINENUMBERS="yes"
|
|
|
|
|
Записан
|
|
|
|
|
RXL
|
|
« Ответ #28 : 12-10-2009 12:32 » |
|
Если samba пользоваться не будешь, то замени IPTABLES_MODULES="ip_conntrack_netbios_ns"на IPTABLES_MODULES=""
Пробовал? Расскажи свои действия. |
|
|
|
|
Записан
|
... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
|
|
|
|
A.R.T.
Гость
|
|
« Ответ #29 : 13-10-2009 04:22 » |
|
1. IPTABLES_MODULES="" поменял
2. Скопировал код в текстовый редактор, сохранил под именем iptables, скопировал на сервак, отредактировал и переписал файл iptables на серваке.
Но при рестарте сервиса ругается:
Flushing firewall rules: [ OK ]
Setting chains to policy ACCEPT: filter mangle nat [ OK ]
Unloading iptables modules: [ OK ]
Applying iptables firewall rules: Error occurred at line: 19
Try `iptables-restore -h' or 'iptables-restore --help' for more information.
Bad argument `.log-level'
[FAILED]
|
|
|
|
|
Записан
|
|
|
|
|
A.R.T.
Гость
|
|
« Ответ #30 : 13-10-2009 06:14 » |
|
RXL, вот по этим правилам вроде работает # Generated by iptables-save v1.2.11 on Tue Jul 18 22:20:07 2006
*nat
:PREROUTING ACCEPT [8:408]
:POSTROUTING ACCEPT [2:129]
:OUTPUT ACCEPT [2:129]
COMMIT
# Completed on Tue Jul 18 22:20:07 2006
# Generated by iptables-save v1.2.11 on Tue Jul 18 22:20:07 2006
*mangle
:PREROUTING ACCEPT [287:33378]
:INPUT ACCEPT [287:33378]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [288:38355]
:POSTROUTING ACCEPT [288:38355]
COMMIT
# Completed on Tue Jul 18 22:20:07 2006
# Generated by iptables-save v1.2.11 on Tue Jul 18 22:20:07 2006
*filter
:FORWARD ACCEPT [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
# WEB access -A INPUT -p tcp -m tcp -i eth1 --dport 9001:9080 -j DROP
# Web access -A INPUT -p tcp -m tcp -i eth1 --dport 80 -j DROP
-A INPUT -p icmp -i eth1 -j DROP
# Accept traffic from internal interfaces -A INPUT -i eth1 -j ACCEPT
# Accept traffic with the ACK flag set -A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
# Allow incoming data that is part of a connection we established -A INPUT -m state --state ESTABLISHED -j ACCEPT
# Allow data that is related to existing connections -A INPUT -m state --state RELATED -j ACCEPT
# Accept responses to DNS queries -A INPUT -p udp -m udp --dport 1024:65535 --sport 53 -j ACCEPT
# Accept responses to our pings -A INPUT -p icmp -m icmp --icmp-type echo-reply -j ACCEPT
# Accept notifications of unreachable hosts -A INPUT -p icmp -m icmp --icmp-type destination-unreachable -j ACCEPT
# Accept notifications to reduce sending speed -A INPUT -p icmp -m icmp --icmp-type source-quench -j ACCEPT
# Accept notifications of lost packets -A INPUT -p icmp -m icmp --icmp-type time-exceeded -j ACCEPT
# Accept notifications of protocol problems -A INPUT -p icmp -m icmp --icmp-type parameter-problem -j ACCEPT
# Allow connections to our SSH server -A INPUT -p tcp -m tcp --dport ssh -j ACCEPT
# Allow connections to our IDENT server -A INPUT -p tcp -m tcp --dport auth -j ACCEPT
# Allow connections to our SSH server -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
# Allow connections to our WEB server -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
# Allow connections to our Secure Web server -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
# Allow connections to our FTP server -A INPUT -p tcp -m tcp --dport 9001 -j ACCEPT
# Allow connections to our Webmin server -A INPUT -p tcp -m tcp --dport 9080 -j ACCEPT
# Allow connections to our Alternative Web server -A INPUT -p udp -m udp --dport 4569 -j ACCEPT
# Allow connections to our IAX server -A INPUT -p udp -m udp --dport 5000:5082 -j ACCEPT
# Allow connections to our SIP server -A INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT
# Allow connections to our SIP-RTP server -A INPUT -p tcp -m tcp --dport 4445 -j ACCEPT
# Allow connections to our FOP server -A INPUT -p tcp -m tcp --dport 5038 -j ACCEPT
# Allow connections to NTP time server -A INPUT -p udp -m udp --dport 123 -j ACCEPT
# Allow connections to our Alternative Web server -A INPUT -p udp -m udp --dport 69 -j ACCEPT
# Allow connections to our Webmin server -A INPUT -p tcp -m tcp --dport 9022 -j ACCEPT
# Accept traffic from internal interfaces -A INPUT -i eth0 -j ACCEPT
COMMIT
# Completed on Tue Jul 18 22:20:07 2006
|
|
|
|
|
Записан
|
|
|
|
|
A.R.T.
Гость
|
|
« Ответ #31 : 13-10-2009 06:31 » |
|
RXL, Я правильно понимаю, что надо eth1 запретить, а выше создавать правила, которые разрешены?
|
|
|
|
|
Записан
|
|
|
|
|
RXL
|
|
« Ответ #32 : 13-10-2009 08:14 » |
|
A.R.T., эти строки, начинающиеся с решетки - комментарии!!! Работает потому, что почти все закомментировано... Рекомендую контролировать результат руками: iptables -L -nxили если еще детальнее: iptables -L -nvx --line-numbersIptables - это древовидные цепочки правил. Проверка правил для пакета выполняется строго последовательно. Терминирующие действия типа ACCEPT, REJECT, DROP и т.п. прекращают дальнейшую обработку правил для текущего пакета. Соотв., чтобы "запретить все, разрешить определенное" надо сперва разрешить "определенное", а потом "запретить все". Например такое задание: 2 интерфейса: eth0 - локалка, без защиты; eth1 - инет, входящие на порты 80/tcp и 22/tcp, пинги запрещены (imho, бессмыслица запрещать пинги). Считаем, что таблицы у нас пустые.
# Через таблицы идет и трафик локальной петли - его фильтровать не надо.
iptables -A INPUT -i lo -j ACCEPT
# Локалку пускаем без фильтров.
iptables -A INPUT -i eth0 -j ACCEPT
# Теперь инет. Т.к. других интерфейсов у нас нет, то указание "-i eth1" опускаю.
# Ограничиваем пинги и разрешаем прочие icmp.
# Сменить правило на DROP всегда не поздно, а для тестирования лучше видеть реакцию.
iptables -A INPUT -p icmp -m icmp --icmp-type ping -j REJECT --reject-with icmp-host-prohibited
iptables -A INPUT -p icmp -j ACCEPT
# Разрешаем пакеты для уже активных соединений.
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Разрешаем создание соединений для портов 80/tcp и 22/tcp.
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
# Запрещаем "все остальное".
iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited
Ограничений на исходящие соединения не делаем (это сложнее и зачастую бесполезно). Данный пример выполняется непосредственно в консоли (без всяких конфигов и служб). Для очистки таблиц можно: 1. Воспользоваться побочным эффектом остановки "службы" iptables: service iptables stop2. Очистить iptables напрямую:
iptables -F
iptables -X
iptables -t mangle -F
iptables -t mangle -X
iptables -t nat -F
iptables -t nat -X
В командах, где таблица не указывается явно, используется filter. В конфиге /etc/sysconfig/iptables даны те же самые строки параметров iptables, только не указывается сама команда iptables и используемая таблица вынесена в заголовок блока. Надеюсь стало яснее? Все таки хотелось бы чтобы было понимание. Т.к. рабочий пример я уже приводил, но что-то мешает его правильно применить. Applying iptables firewall rules: Error occurred at line: 19 Не понятно, к чему это относится. Try `iptables-restore -h' or 'iptables-restore --help' for more information.
Bad argument `.log-level'
А вот это ясно дает понять, что правила сделаны без приложения знаний. Ищи, где у тебя встречается строка ".log-level".
|
|
|
|
|
Записан
|
... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
|
|
|
|
A.R.T.
Гость
|
|
« Ответ #33 : 13-10-2009 09:12 » |
|
RXL, спасибо что уделили мне столько времени, сейчас сброшу все настройки и буду заново поднимать, посмотрим что получится.
|
|
|
|
|
Записан
|
|
|
|
|
