Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » UNIX » Iptables. Начальная настройка.

Модерирует : ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3

Открыть новую тему     Написать ответ в эту тему

Ramaloke



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Вопрос по VPN.
Некоторым компьютерам посредством инета надо подключеться к удаленной БД по VPN. В iptables я так понял надо прописать следующее:
#eth0 - INET_IFACE
$IPTABLES -A INPUT -p 47 -i eth0 -s 0/0 -j ACCEPT
$IPTABLES -A INPUT -p TCP -s 0/0 --dport 1753 -j allowed
#eth1 - LAN_IFACE
$IPTABLES -A OUTPUT -p 47 -i eth1 -s 0/0 -j ACCEPT
$IPTABLES -A OUTPUT -p TCP -s 0/0 --sport 1753 -j allowed
 
???

Всего записей: 90 | Зарегистр. 14-04-2006 | Отправлено: 13:17 19-03-2009 | Исправлено: Ramaloke, 14:32 19-03-2009
Dr_Spectre



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
В iptables я так понял надо прописать следующее:  

неа. если у вас есть цепочка alllowed - тогда в нее можно отправить данные. А если ее нет?
у вас не INPUT (вход) а FORWARD (проход сквозь шлюз)


----------
Со всеми регардами - Alexei Dmitriev aka Dr.Spectre
Чтобы добиться успеха в этом мире, одной глупости недостаточно, к ней нужны еще хорошие манеры.
(c) Вольтер

Всего записей: 1545 | Зарегистр. 15-12-2001 | Отправлено: 13:52 21-03-2009
Ramaloke



Junior Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
неа. если у вас есть цепочка alllowed - тогда в нее можно отправить данные. А если ее нет?  
у вас не INPUT (вход) а FORWARD (проход сквозь шлюз)

 
Цепочка allowed есть.
 
VPN-клиентом выступает сервер, локальные компы его соединением пользоваться будут. В таком случае все-равно Forward надо вместо Input ???
Кстати, возможен вариант, что будет выступать в качестве впн-клиента маршрутизатор, он же дсл-модем.

Всего записей: 90 | Зарегистр. 14-04-2006 | Отправлено: 10:51 23-03-2009 | Исправлено: Ramaloke, 01:46 24-03-2009
Bratella

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть пара вопросов по реализации файрвола (iptables) в редхатовских (типа CentOS) дистрибутивах.
 
Мне интересно как другие админы реализуют файрвол. Пишут самостоятельно правила (rc.firewall) или используют редхатовский /etc/sysconfig/iptables ?
 
Кто знает как в редхатовском варианте задавать переменные ? Т.е. я хочу многократно использовать подстановку $MYIP=192.168.1.1  Сейчас приходится писать явно айпишник в каждой строке, что неудобно.

Всего записей: 147 | Зарегистр. 05-06-2003 | Отправлено: 17:12 11-09-2009
AnDySs1

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bratella

Цитата:
Мне интересно как другие админы реализуют файрвол

свой   скрипт с заменой стандартного  
/etc/init.d/iptables
 
если Вам трудно самому написать скрипт пробуйте  Easy Firewall Generator for iptables (изначально ориентирован на RedHat\Centos)

Всего записей: 1426 | Зарегистр. 04-11-2004 | Отправлено: 20:52 11-09-2009
Bratella

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AnDySs1
Спасибо за ответ.
Т.е. большинство админов работают по старинке?
 И шлют стандартный редхатовский файрвол куда подальше.  Мне он тоже показался не очень понятным, но хотелось бы использовать задумки разработчиков.

Всего записей: 147 | Зарегистр. 05-06-2003 | Отправлено: 22:50 11-09-2009
Bratella

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Кто-то знает как делать подстановки строк через $ в новых редхатовских скриптах для iptables или может хитрость есть какая-то ? Никак не могу найти решение

Всего записей: 147 | Зарегистр. 05-06-2003 | Отправлено: 17:15 14-09-2009
Bratella

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
единственое, что я придумал, что можно написать конфигурационный скрипт, который будет написан по привычному и будет менять редхатовский конфиг.
приблизительно как тут:
http://wiki.centos.org/HowTos/Network/IPTables

Всего записей: 147 | Зарегистр. 05-06-2003 | Отправлено: 11:45 15-09-2009
flayx

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
AnDySs1

Цитата:
а поиграйтесь  

очень интересно, спасибо за ссылку

Всего записей: 623 | Зарегистр. 10-11-2005 | Отправлено: 01:29 19-09-2009
contrafack

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Такой вопрос:
 
У Iptables нет ли какой не будь GUI (графический интерфейс) ? а то никогда надо учиться с ним работать, и хочу для начало в графическом интерфейсе понять что к чему, а потом уже с терминала фигачить.  

Всего записей: 2985 | Зарегистр. 21-04-2008 | Отправлено: 22:17 15-08-2010
aut

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
У Iptables нет ли какой не будь GUI (графический интерфейс) ? а то никогда надо учиться с ним работать, и хочу для начало в графическом интерфейсе понять что к чему, а потом уже с терминала фигачить.  

 
Есть, конечно, и не один. Например, gedit или kate и т. п.  Запускаешь, открываешь на редактирование файл /etc/sysconfig/iptables, вносишь нужные правила - и готово.

Всего записей: 265 | Зарегистр. 19-07-2004 | Отправлено: 22:25 15-08-2010
contrafack

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
aut
 
Ну нет ) gedit это я не считаю GUI. это текстовый редактор. а мне надо интерфейс, как у современных Firewall_ах. чтоб там все понятно было и видно, а то в текстовом режиме хрен что разберусь.

Всего записей: 2985 | Зарегистр. 21-04-2008 | Отправлено: 22:40 15-08-2010
aut

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Тогда system-config-firewall, но эта гуёвая конфигурялка, разумеется, убога по своим возможностям (а иначе и быть не может, в силу самой природы гуёвых конфигурялок).
 
То есть, к примеру, балансировку трафика между двумя провайдерами ты с ее помощью никак на настроишь, придется все же маны курить, иначе никак.

Всего записей: 265 | Зарегистр. 19-07-2004 | Отправлено: 23:01 15-08-2010 | Исправлено: aut, 23:16 15-08-2010
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
aut
Цитата:
иначе и быть не может, в силу самой природы гуёвых конфигурялок
ну наверное не все так плохо в них -- я конечно не сторонник, но... для примера можно взять не "конфигурялку", конечно, но всё-таки фронтенд - wireshark , у него возможностей не меньше - т.к. в нём просто можно ввести саму строку запроса tcpdump и увидеть в красивом гуе всё как есть)
 
contrafack
стоит попробовать Firestarter, только прога под gnome кажется заточена...

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6337 | Зарегистр. 28-08-2008 | Отправлено: 23:34 15-08-2010
contrafack

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Alukardd
 
а что за хня? типа интерфейс для Iptables или отдельный firewall?  
если отдельный, то не интересно мне.  
Мой цель - изучать, понять именно iptables.  

Всего записей: 2985 | Зарегистр. 21-04-2008 | Отправлено: 23:53 15-08-2010
Alukardd



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
contrafack
надстройка над iptables - в общем-то что просили то и кинул, нету привычки кидать все подряд что нашёл в гугле...

----------
Microsoft gives you windows, linuх gives you the whole house...
I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.

Всего записей: 6337 | Зарегистр. 28-08-2008 | Отправлено: 00:44 16-08-2010
kerberosV5

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
contrafack
Строго говоря, файрволл в Linux ядре - это Netfilter, а iptables - только утилита для его настройки. А что касается
Цитата:
изучать, понять именно iptables.
- скорее речь должна идти о понимании функционирования протоколов TCP/IP.

Всего записей: 704 | Зарегистр. 14-07-2008 | Отправлено: 11:28 16-08-2010
contrafack

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kerberosV5
 

Цитата:
скорее речь должна идти о понимании функционирования протоколов TCP/IP.  

как раз это есть.  
Мне надо именно синтаксис и алгоритм работы понять в Iptables.  

Всего записей: 2985 | Зарегистр. 21-04-2008 | Отправлено: 12:53 16-08-2010
nick0001

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ну не только tcp/ip , ведь iptables оным не заканчивается. поэтому да, модель OSI, различные низкоуровневые протоколы, ну и конечно же мануал по netfilter/iptables где достаточно хорошо все освещенно. Не забывайте что для netfilter/iptables есть "netfilter packet traversal" картинки (google images).
 
Насчет гуевых (GUI) интерфейсов - зачастую они никак не способствуют понятию того, как работает тот или иной продукт, ведь они (интерфейсы) скрывают от вас все внутренности работы, а это именно то, что вы как системный администратор, должны знать.

Всего записей: 120 | Зарегистр. 27-04-2007 | Отправлено: 13:16 16-08-2010 | Исправлено: nick0001, 13:17 16-08-2010
urodliv



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Мне надо именно синтаксис и алгоритм работы понять в Iptables.


Цитата:
а то никогда надо учиться с ним работать,

Противоречие.
 
P.S. Изучая iptables через гуй, всё равно получишь...

----------
Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.

Всего записей: 6220 | Зарегистр. 29-04-2009 | Отправлено: 13:23 16-08-2010
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3

Компьютерный форум Ru.Board » Операционные системы » UNIX » Iptables. Начальная настройка.


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2020

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru