Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору iptables     Linux   настройка iptables (крупные статьи переехали на wikibooks) настройка iptables (opennet) Easy Firewall Generator for IPTables Online l7-filter - дополнения для netfilter, позволяющее создавать правила основываясь на данных прикладного уровня. ipset - модуль для ядра Linux к фаерволу netfilter для создания и управления наборами адресов, портов, связок ip+mac.   схема прохождения пакета через netfilter (или более сложно и подробно)   Так же может быть интересным Перевод руководства по iproute2 и управлению трафиком в Linux (оригинал LARTC) -- внимательно читать оглавление - тема содержит уйму всего!!! Введение в управление трафиком, дисциплины обработки очередей (теория) (opennet) - aka Повесть о Linux и управлении трафиком. QoS в Linux - iproute2 и u32 селектор (хабр) QoS в Linux - iproute2, издеваемся над трафиком (хабр)   ipfw     FreeBSD русский MAN (opennet) настройка ipfw (opennet) настройка ipfw (lissyara)   Достаточно частый вопрос Балансировка и резервирование канала (samag.ru)   pf     OpenBSD начальная настройка pf (lissyara) настройка pf как шлюза (lissyara) Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 23:50 19-08-2010 | Исправлено: Alukardd, 11:42 20-05-2022

stalker780 Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Подскажите по iptables. 3й день ломаю голову Тяжко мне дается iptables   Описание проблемы   Добавлено: Заработал бан... Но так и не понял, что я сделал немного поправил конфиг fail2ban Всего записей: 216 | Зарегистр. 01-07-2003 | Отправлено: 16:06 15-12-2017

Small_green_yojik Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Доброго всем дня! Возникла необходимость пробросить WOL     Схема следующая: роутер раздает по DHCP 192.168.2.0/24, WAN роутера смотрит в локалку с IP 192.168.0.244, нужно будить ПК с 192.168.0.x   Т.е.: (Телефон) 2.5 <> 2.1 (роутер) 0.244 <> 0.0/24   Шлю WOL пакет на 192.168.0.1, tcpdump'ом вижу что 0.1 пакет получает.   Пытаюсь пробросить пакет: " iptables -t nat -A PREROUTING -p UDP -d 192.168.0.1 --dport 9 -j DNAT --to-destination 192.168.0.255:9" Исходящих пакетов от 0.1 на 9 порт не вижу. ЧЯДНТ?   Буду благодарен за помощь.       Всего записей: 214 | Зарегистр. 18-05-2009 | Отправлено: 15:06 15-07-2019

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Small_green_yojik Ну, во-первых, я не уверен за UDP порт 9, это иногда не так, надо перебирать кажется 6,7,9. Во-вторых, правило NAT, если порт не меняется, то и не надо его указывать в "правой" части.   Цитата: Шлю WOL пакет на 192.168.0.1, tcpdump'ом вижу что 0.1 пакет получает.   0.1 это простите кто? И почему на чём-то выключенном и ждущем WOL пакет, Вы смогли запустить tcpdump? Цитата: Исходящих пакетов от 0.1 на 9 порт не вижу. ЧЯДНТ?   разве не его будить надо? Почему от него должны быть пакеты?   В общем, если будить надо с телефона, то сначала надо бы понять какие пакеты он шлёт в сеть. Для чего сдампать всё на роутере и там поглядеть. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 15:45 15-07-2019

Small_green_yojik Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alukardd Ок. Чуть поконкретнее: 0.1 - шлюз сети, на котором организуется проброс   9 порт - именно он, т.к. wakeonlan утилита, запущенная на шлюзе 0.1, будит 0.32 (а именно его в тестах я и пытаюсь будить) на ура именно по UDP 9   Дампаю все на 0.1   Добавлено: Порт указан т.к. пытался не только с 9 на 9 пробрасывать, но и, н-р, 79 > 9     Добавлено: Т.е. как мне видится схема: телефон шлет пакеты на 0.1:9, а 0.1 их переадресует на 192.168.0.255:9   Добавлено: iptables -t nat -A PREROUTING -p UDP -d 192.168.0.1 --dport 9 -j DNAT --to-destination 192.168.0.32 Отрабатывает нормально.   iptables на broadcast не пробрасывает. Всего записей: 214 | Зарегистр. 18-05-2009 | Отправлено: 16:19 15-07-2019 | Исправлено: Small_green_yojik, 16:28 15-07-2019

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Small_green_yojik А у Вас между сетями налажена маршрутизация или они nat'ятся друг в друга? Если маршрутизируются, то как выглядит FORWARD цепочка таблицы filter? А если nat'ятся, то показывайте SNAT правила.   p.s. и отвечайте одним сообщением, а не четырьмя. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 17:46 15-07-2019 | Исправлено: Alukardd, 17:47 15-07-2019

Small_green_yojik Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alukardd Будить одну машину пока достаточно.   SNAT на шлюзе выглядел следующим образом: iptables -t nat -A POSTROUTING -p UDP-d 192.168.0.255 --dport 9 -j SNAT --to-source 192.168.0.1   Но с одной машиной прекрасно работает и без него.     Сдается мне проблема в том, что iptables работает уровнем выше, чем broadcast'ы Всего записей: 214 | Зарегистр. 18-05-2009 | Отправлено: 11:16 16-07-2019 | Исправлено: Small_green_yojik, 11:40 16-07-2019

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Small_green_yojik Broadcast такой же ip пакет. Вот с его пересылкой, могут быть вопросы, но Вы же хоите что бы на шлюз приходил ubicast, а шлюз дальше уже слал broadcast, так что проблем с этим быть ни каких не должно. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 12:51 16-07-2019

urodliv Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Small_green_yojik Так ежели утилита WOL на шлюзе работает, то почему бы ей и не пользоваться? Сделать доступ извне к шлюзу по ssh и засылать нужную команду. ---------- Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением. Всего записей: 6689 | Зарегистр. 29-04-2009 | Отправлено: 13:04 16-07-2019

Small_green_yojik Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору urodliv Когда нужно несколько машин включить - так и делаю. vpn -> ssh -> sh скрипт с wol   А когда нужно одну по-быстрому - хочется просто кнопочку нажать одну и все...     Добавлено: Alukardd Цитата: быть ни каких не должно.   Не должно, но... суслик есть. Всего записей: 214 | Зарегистр. 18-05-2009 | Отправлено: 14:59 16-07-2019

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору urodliv у меня для этого был SSI (.shtml). ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6562 | Зарегистр. 28-08-2008 | Отправлено: 18:27 16-07-2019

newhk BANNED Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Привет! Вопрос. Есть iptables и 2 web сервера в локалке (оба должны работать на стандартных портах). Можно ли настроить iptables так, чтобы при запросе на один домен было перенаправление на web-сервер1, а при запросе второго домена было перенаправление на web-сервер2?   Если такое можно сделать средствами шлюза, то прошу не предлагать конфигурацию обратного прокси из nginx или апача. Всего записей: 400 | Зарегистр. 02-02-2009 | Отправлено: 22:45 25-12-2019

karavan Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору newhk Цитата: Если такое можно сделать средствами шлюза Можно. Но по утилизации ресурсов будет дороже, чем Цитата: прокси из nginx Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 23:44 25-12-2019

newhk BANNED Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору karavan Как? Тыкните пожалуйста. Или на грамотную статью по настройке обратного прокси для с выпуском сертификата(тов). У меня 2 бэкэнд сервера: 1. Почтовыик с веб мордой 2. Nextcloud с принудительные перенаправлением на https Всего записей: 400 | Зарегистр. 02-02-2009 | Отправлено: 07:45 26-12-2019

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору newhk Цитата: Тыкните пожалуйста.   Гдето так: тыц... ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 10:45 26-12-2019

newhk BANNED Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vlary Спасибо! Всего записей: 400 | Зарегистр. 02-02-2009 | Отправлено: 13:04 26-12-2019

palamars Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Добрый день, хочу организовать средствами iptables нехитрую защиту от сетевых сканеров. -Если происходит обращение на 80-порт, мы пакет дропаем и заносим IP адрес отправителя в blacklist -В дальнейшем дропаем любой пакет, который приходит с IP из блеклиста Я видел реализации с фальшивым http сервисом поднятым на этом порту, но мне это кажется усложнением сущности. Должно быть какое-то простое решение... Всего записей: 93 | Зарегистр. 10-11-2006 | Отправлено: 00:44 02-05-2020

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору palamars Вы так полинета забаните. Фаер постаить не пробовали, а не табуретку? Цитата: Если происходит обращение на 80-порт, мы пакет дропаем и заносим IP адрес отправителя в blacklist Дёшево и сердито, молодцы. Одно не понятно. Зачем включать коннектор в принципе? Заразно же.   Добавлено: Всё, я понял. Всякий, кто заходит на 80 есть враг. Вопросов больше не имею, одмины ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 08:53 02-05-2020

ipmanyak Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору palamars Есть подобные  и готовые решения  пакет Fail2ban   Инструкция    https://vps.ua/wiki/configuring-fail2ban/   Portcentry https://www.lissyara.su/articles/freebsd/security/portsentry/ ---------- В сортире лучше быть юзером, чем админом... Всего записей: 11735 | Зарегистр. 10-12-2003 | Отправлено: 10:20 02-05-2020

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Firewall *nix: iptables, ipfw, pf etc...

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование