учимся прописывать правила в iptables

Автор metis, 26 Ноября 2009, 18:56

« предыдущая тема - следующая тема »

0 Пользователей и 3 Гостей просматривают эту тему.

Печать
Вниз Страницы1
Действия пользователей

metis

26 Ноября 2009, 18:56
Доброе время суток господа!
В самом начале своей статьи хотел бы посоветовать литературу которая мне безгранично помогла в изучении iptables. Вот сцылы на Iptables Tutorial:
 Iptables Tutorial 1.1.14
Iptables Tutorial 1.1.19
Iptables Tutorial 1.2.0
Прежде чем прописывать правила в iptables нужно конечно же понять для чего он вам (будет ли он выступать в роли фервола или же вам нужен nat).
Для начала разберем как можно настроить фаер с помощью iptables. Вариантов можно придумать масса в зависимосте какие функции выполняет сервер на который вы настраивете данный фаервол, а может быть это просто рабочая станция. Объясню все на примере рабочей станции!!!
И так начнем:
Создаем файл в /etc/init.d (назвать его можно как угодно) для удобства назавем его iptables. Открываем файл в удобном для вас текстовом реакторе и пришем строчки

Код [Выделить]
#!/bin/bash

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
 эти команды отчищают все правила

далее вписываем

Код [Выделить]
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 выставляем что будет делать iptables по умолчанию (на данном примере "закрывать все всем")

после того как все закрыли начинаем открывать то что нам нужно
1.
Код [Выделить]
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
 Разрешаем пакеты из установившихся и связаных соединений
2.
Код [Выделить]
iptables -A INPUT -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -p udp --dport 139 -j ACCEPT
iptables -A INPUT -p tcp --dport 445 -j ACCEPT
iptables -A INPUT -p udp --dport 445 -j ACCEPT
Разрешаем пакеты по SMB
если требуемя доступ по SSH прописываем вот ето
Код [Выделить]
iptables -A INPUT --protocol tcp --dport 22 -j ACCEPT
(если вы изменили SSH порт то соотвтственно меняем цифру 22 на ваш SSH порт)
и дальше все в таком духе
в завершении настройки
Код [Выделить]
iptables -A INPUT -p icmp -j ACCEPT
 строчка разрешает заходить icmp пакетам
Tеперь финешная прямая:
сохраняем изменения в файле, делаем его запескаемым, в файле rc.local прописываем путь до все этой красоты и запускаем файл iptables
Действия пользователей
Печать
Вверх Страницы1