Настройка iptables в Debian 6

Автор Capricornus, 11 октября 2012, 09:18:09

« назад - далее »

0 Пользователи и 4 гостей просматривают эту тему.

Capricornus

После перезапуска работает под рутом. А как запускать этот скрипт при старте не из-под рута?

vladimir_ar

Например, прописать старт правил в секцию старта сетевого интерфейса (interfaces) - я, например, так запускаю. Советов разных много, почитайте, как более правильно.
Debian Testing, kernel 3.16-2-amd64, OpenBox
AMD A8-3750 / 16Gb RAM / ATI HD6550D (onboard) / Sound ASUS Xonar - DS
_______________________________
Debian Testing, kernel 3.14-2-amd64, OpenBox
HP-655 AMD E1 / 8Gb RAM / ATI HD7310M

Capricornus

Цитата: vladimir_ar от 12 октября 2012, 21:16:02
Например, прописать старт правил в секцию старта сетевого интерфейса (interfaces) - я, например, так запускаю. Советов разных много, почитайте, как более правильно.
т.е. првило для запуска(выполнения) /etc/network/if-up.d/myfirewall в interfaces? Если вас не затруднит, пожалуйста, напишите как правильно будет выглядеть строка запуска. Боюсь, я опять найду что-нибудь не то (написанное "админами" блогов), и буду насиловать систему. Или ссылочку киньте, по которой написано все верно. Спасибо!

vladimir_ar

У меня так

auto lo
iface lo inet loopback
pre-up echo "1" > /proc/sys/net/ipv4/ip_forward  # Включаем форвардинг пакетов
pre-up iptables-restore < /etc/ip_rulles.lst     # Загружаем правила
post-down iptables-save > /etc/ip_rulles.lst     # Сохраняем правила

ip_rulles.lst - файл с правилами iptables.
Можно привязать в секции других интерфейсов (если есть необходимость менять правила при старте/останове какого-либо интерфейса).
Debian Testing, kernel 3.16-2-amd64, OpenBox
AMD A8-3750 / 16Gb RAM / ATI HD6550D (onboard) / Sound ASUS Xonar - DS
_______________________________
Debian Testing, kernel 3.14-2-amd64, OpenBox
HP-655 AMD E1 / 8Gb RAM / ATI HD7310M

Capricornus

Спасибо!

А можно еще как-то иначе сделать?
VPS OpenVZ,  interfaces восстанавливается при перезагрузке. Создаю /etc/network/interfaces.head, вставляю в него
pre-up echo "1" > /proc/sys/net/ipv4/ip_forward  # Включаем форвардинг пакетов
pre-up iptables-restore < /etc/ip_rulles.lst     # Загружаем правила
post-down iptables-save > /etc/ip_rulles.lst     # Сохраняем правила

После перезагрузки теряю контроль над сервером, все заблокировано.
Мне кажется дело в первой строчке.

vladimir_ar

Ну так не нужно же слепо копипастить.
Первая строка - включение форвардинга (у меня инет с dhcp - клиента раздается далее в локалку через dhcp-server). А файл - ip_rulles.lst - это мой файл, я его создал и прописал в нем правила. По второй строке правила считываются перед поднятием интерфейса, по третьей - после выключения интерфейса правила (если вы их меняли в процессе работы) пишутся обратно.
Насчет /etc/network/interfaces.head - я дополнительные файлы не создавал.
Debian Testing, kernel 3.16-2-amd64, OpenBox
AMD A8-3750 / 16Gb RAM / ATI HD6550D (onboard) / Sound ASUS Xonar - DS
_______________________________
Debian Testing, kernel 3.14-2-amd64, OpenBox
HP-655 AMD E1 / 8Gb RAM / ATI HD7310M

corner

#21
Прошу прощенья за вмешательство. Посмотрел я на статью, указанную ТС для "настройки сервера для Drupal". Хуже бреда еще не видел.
Для ТС - у вас что, 2 сетевых интерфейса на VPS? Если нет, зачем тогда форвардинг?

Я как-то стряпал статейку для журнальчика, но вариант на русском где-то запропастился...
Вы посмотрите, там хоть и по-английски, но в принципе простыми фразами. Делать откат на русский уже лень.
Главное при настройке iptables, определитесь, сколько у вас интерфейсов, статические ли они. Если динамические, тогда в скрипт  нужно добавить определение IP, что-то типа ip r|grep src|awk '{print $9}'
Еще. Когда создадите и отладите скрипт iptables, запуск его требуется только один раз, для загрузки правил. Далее работа идет через iptables-save[restore]. см. man interfaces.
Да, еще там пример не для сервера, но принципы работы iptables те же.
При работе сервера в правилах нужно идти от обратного, разрешать только определенные порты (службы), при этом не забывайте о протоколах этих служб (tcp, udp etc.)
Пример скрипта с принципом запрета всего, кроме того, что разрешено. (2-е вложение)

Capricornus

#22
Цитата: vladimir_ar от 13 октября 2012, 21:04:32
Ну так не нужно же слепо копипастить.
Первая строка - включение форвардинга (у меня инет с dhcp - клиента раздается далее в локалку через dhcp-server). А файл - ip_rulles.lst - это мой файл, я его создал и прописал в нем правила. По второй строке правила считываются перед поднятием интерфейса, по третьей - после выключения интерфейса правила (если вы их меняли в процессе работы) пишутся обратно.
Насчет /etc/network/interfaces.head - я дополнительные файлы не создавал.
Разумеется, я не ваше вставлял, изменил на свое. Но вот в первой строчке как раз и сомневался.

Сообщение объединено: 14 октября 2012, 10:04:50

Сделал так:
Открыл /etc/rc.local и перед exit 0 добавил sh /путь до/firewall.sh
Вроде работает. Я конечно не спец, но главное результат, который получен простым путем.
Как вам такое решение?

ferum

Пытаюсь настроить i2p действую как http://ubuntovod.ru/instructions/i2p.html только пакеты пересобрал под squeeze
 
Открыть содержимое (спойлер)
alex@alex:~$ i2prouter start
Starting I2P Service...
Waiting for I2P Service............
running: PID:2186
alex@alex:~$
[свернуть]
как будь то всё заводится, но опера молчит а iceweasel  если делать по ману ругается типа настроен на использование прокси который отказывает в соединении.
Вопрос дело в iptables ?
Русские дебианщики против цифрового слабоумия !

vladimir_ar

Разрешить все везде и попробовать?
Debian Testing, kernel 3.16-2-amd64, OpenBox
AMD A8-3750 / 16Gb RAM / ATI HD6550D (onboard) / Sound ASUS Xonar - DS
_______________________________
Debian Testing, kernel 3.14-2-amd64, OpenBox
HP-655 AMD E1 / 8Gb RAM / ATI HD7310M