http://www.opennet.ru/ - а это тепрь твоя домашняя страница, там много чего есть
[/quote]
а зайти туда и почитать доку не можешь 
http://www.opennet.ru/docs/RUS/iptables/
- Новый участник
-
- Сообщения: 20
- Зарегистрирован: 11 апр 2006, 18:18
- Откуда: Украина г. Киев
 GigaSet » 13 апр 2006, 11:27
| Цитата (slz @ 13.04.2006 - 07:03) | GigaSet
Сам рекомендуешь
| Цитата | http://www.opennet.ru/ - а это тепрь твоя домашняя страница, там много чего есть
[/quote]
а зайти туда и почитать доку не можешь
http://www.opennet.ru/docs/RUS/iptables/
[/quote]
Да это Я уже скачал и распичатал 
Всё дело в том, что было бы очень хорошо, если бы кто то знающий в этом толк, рассказал, так проще понять и разобраться в дальнейшем
Вот так
Я считаю так как написал...
- Активный пользователь
- Сообщения: 1134
- Зарегистрирован: 19 июл 2004, 11:30
- Откуда: Москва
biruk » 13 апр 2006, 13:16
а там все просто.
есть три цепочки input, output, forward.
по-умолчанию политика для них accept
если делать простой firewall, например разрешить все исходящие, запретить все входящие кроме ответного траффика, то будет примерно так
| Код |
INSIDE=eth0
OUTSIDE=eth1
OUTSIDEIP="23.0.0.1"
AnyNet="0.0.0.0/0"
#
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -p OUTPUT ACCEPT
#
# принимает с наружи только установленные и разрешаем их форвард.
iptables -A INPUT -i $OUTSIDE -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $OUTSIDE -m state --state ESTABLISHED,RELATED -j ACCEPT
#
# принимаем из локалки все пакеты.
iptables -A INPUT -i $INSIDE -p TCP -j ACCEPT
# и разрешаем их форвард
iptables -A FORWARD -i $INSIDE -d $AnyNet -j ACCEPT
#
# ну и если нужен nat то:
iptables -t nat -A POSTROUTING -o $OUTSIDE -j SNAT --to $OUTSIDEIP
[/code]
по-идее, в таком виде должен работать. но не проверял
да, забыл разрешить входящие udp - dns, ntp, <что-то_еще>?
ну это ты сам.
для ftp должны быть подгружены модули:
ip_conntrack_ftp
ip_nat_ftp
а чужие скрипты, лучше не пользовать.
смотри как и что там делают, но правила всегда сам составляй - будешь контролировать все.
Trust me - i know what i’m doing © Sledge Hummer
- Активный пользователь
- Сообщения: 1229
- Зарегистрирован: 08 июл 2004, 06:17
- Откуда: Новосибирск
slz » 13 апр 2006, 14:57
GigaSet
Ну а для того чтобы понят то, что тут написал biruk  надо прочитать мануал и для начала понять как движутся пакеты (там есть картинка).
Если ты любитель Генту:
| Цитата | 1. Путь к каталогу содержащий файл правил Wirewall;
[/quote]
конфиг iptables - /etc/conf.d/iptables в нем и указывается путь где будут сохраняться правила и нужно ли их сохранять.
По умолчанию /var/lib/iptables/rules-save.
| Цитата | 2. Сам файл настройки;
[/quote]
Файл настройки правил - читай выше.
| Цитата | 3. Какие изменения и где именно необходимо произвести;
[/quote]
Это смотря чего ты хочешь добиться, самое лучшее изменение rm -rf
| Цитата | 4. От себя
[/quote]
Интересно почему Генту?
Как ставил руками по хендбуку или наикрутейшим инсталятором?
- Активный пользователь
- Сообщения: 1134
- Зарегистрирован: 19 июл 2004, 11:30
- Откуда: Москва
biruk » 13 апр 2006, 15:31
на самом деле,я написал скрипт который настраивает ядро, но нигде не сохраняет эти правила. после перезагрузки надо будет его снова запускать. потому и нет никаких путей.
сохраняются правила командой iptables-save на stdout, т.е. на консоль
так что путь можешь сам придумать, например
iptables-save > /usr/local/etc/fwrules/my-fw-rules
а где что по-умолчанию лежит в генте - я не знаю, никогда не юзал. Trust me - i know what i’m doing © Sledge Hummer
- Новый участник
-
- Сообщения: 20
- Зарегистрирован: 11 апр 2006, 18:18
- Откуда: Украина г. Киев
GigaSet » 13 апр 2006, 15:50
| Цитата (slz @ 13.04.2006 - 13:57) | | Цитата | Интересно почему Генту?
Как ставил руками по хендбуку или наикрутейшим инсталятором?
[/quote]
[/quote]
Всё дело в том что Я полнейшая ломака в Linuxи и сервер ставил другой чел. Но он редкий мудак, он ни в какую не захотел помочь хоть не много разобратся 
Вот такая засада 
Я считаю так как написал...
- Новый участник
-
- Сообщения: 20
- Зарегистрирован: 11 апр 2006, 18:18
- Откуда: Украина г. Киев
GigaSet » 13 апр 2006, 15:54
За то что вы написали, большое вам спасибо
Всё дело в том что Я боюсь что то делать с серваком боюсь испортить что то и опять звать эту тварь, что бы он рассказывал какой он чёткий и какой Я галимый
Но всё равно спасибо за помощь Я считаю так как написал...
- Активный пользователь
- Сообщения: 1134
- Зарегистрирован: 19 июл 2004, 11:30
- Откуда: Москва
biruk » 13 апр 2006, 16:12
тогда сам тренируйся на другой машинке.
будешь дергаться и научишься потихоньку.
на самом деле unix проще винды, имхо, конешно Trust me - i know what i’m doing © Sledge Hummer
- Активный пользователь
- Сообщения: 1229
- Зарегистрирован: 08 июл 2004, 06:17
- Откуда: Новосибирск
slz » 14 апр 2006, 06:21
GigaSet
Ставь VmWare, под нее Генту руками по хендбуку http://www.gentoo.org/doc/en/handbook/2 ... xml?full=1, получишь массу вопросов, решая которые получишь необходимые знания.
Ну а что проще, вопрос спорный, все относительно и зависит от желания и предварительных знаний. Ну вот что точно, так это то, что для нормального разворачивания софта от MS и его эксплуатации на корпоративном уровне, надо прочитать не один талмуд (TechNet, White papers, Best Practics, MOC, MSDN, KB и т.д.), а это иногда и начинает надоедать , но за деньги MS делает практически все.
Вернуться в Сетевые операционные системы
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 15
|
|
|
|
|
|
|
|
|
|
