forum.opennet.ru - "Вопрос по IP Tables" (8)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Вопрос по IP Tables"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Вопрос по IP Tables"		+/–
Сообщение от maxkzt (ok) on 16-Ноя-09, 07:41
Всем доброе время суток Вообщем суть вопроса такой: 1. Нужно сделать переадрисацию определенных портов остальные запретить, Разрешить только определленые порты 2. Запретит доступ всем IP Адресам оставить только нужные (например запретит вход по ssh и httpd всем Ip адресам оставить только нужные. cat iptables # Firewall configuration written by system-config-securitylevel # Manual customization of this file is not recommended. filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -i eth1 -j ACCEPT -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p 50 -j ACCEPT -A RH-Firewall-1-INPUT -p 51 -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 6060 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 6060 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22321 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1720 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3386 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -s 192.168.0.60 --dport 80 -m state --state NEW -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 4569 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 5036 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 4000:4999 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 2727 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 1720 -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT mangle :PREROUTING ACCEPT [0:0] :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A PREROUTING -i eth1 -j MARK --set-mark 0x9 COMMIT *nat :PREROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A PREROUTING -i eth1 -p udp -m udp --dport 6999 -j REDIRECT --to-ports 6060 -A PREROUTING -i eth1 -p tcp -m tcp --dport 6999 -j REDIRECT --to-ports 6060 -A POSTROUTING -m mark --mark 0x9 -j MASQUERADE COMMIT Пробывал добовлять запесь в Iptables такого типа iptables -I INPUT -s 25.55.55.55 -j DROP всервно данный ip может попасть в систему OS Centos 5.2 сетевая карта только одна eth1 Мануал читал Некоторые моменты непонял, Если что только учусь Зарание Спасибо
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Вопрос по IP Tables, maxkzt, 08:02 , 18-Ноя-09, (1)

Вопрос по IP Tables, Andrey Mitrofanov, 10:54 , 18-Ноя-09, (2)

Вопрос по IP Tables, maxkzt, 15:18 , 18-Ноя-09, (3)

Вопрос по IP Tables, reader, 17:28 , 18-Ноя-09, (4)

Вопрос по IP Tables, maxkzt, 09:41 , 24-Ноя-09, (5)

Вопрос по IP Tables, reader, 19:50 , 24-Ноя-09, (6)

Вопрос по IP Tables, maxkzt, 12:30 , 25-Ноя-09, (8)

Вопрос по IP Tables, Аноним, 08:56 , 25-Ноя-09, (7)

Сообщения по теме [Сортировка по времени | RSS]

1. "Вопрос по IP Tables" +/–

Сообщение от maxkzt (ok) on 18-Ноя-09, 08:02

Вообщем я так понял некто ответить неможет а жаль

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Вопрос по IP Tables" +/–

Сообщение от Andrey Mitrofanov on 18-Ноя-09, 10:54

>некто
"никто"?
>ответить неможет а жаль
Конечно. Ведь вопроса в тексте _нет_, сплошь повествование.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Вопрос по IP Tables" +/–

Сообщение от maxkzt (ok) on 18-Ноя-09, 15:18

В чем моя ошибка
где неправельно написано
почему при запрете ip адреса он всеровно может зайти в систему на пример на 80 порт

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Вопрос по IP Tables" +/–

Сообщение от reader (ok) on 18-Ноя-09, 17:28

iptables-save -c
видите текущие правила с счетчиками, дальше пытаетесь подключится и снова смотрите счетчики, какие изменились , через те правила и прошли пакеты

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Вопрос по IP Tables" +/–

Сообщение от maxkzt (ok) on 24-Ноя-09, 09:41

Спасибо за ответ получилось
Теперь возникает вопрос при в ставке данной строки
iptables -I INPUT -s 25.55.55.55 -j DROP данный Ip адрес неможет попасть в систему
1. можно ли указать ip адреса из списка например из какого нибудь файла где будут указаны не один адрес а н-количество ip адресов
2. и второй вопрос как правельно написать такое 25.55.55.55 данному ip адресу можно заходить например на 80 порт
Зарание Спасибо за ответы

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Вопрос по IP Tables" +/–

Сообщение от reader (ok) on 24-Ноя-09, 19:50

>Спасибо за ответ получилось
>
>Теперь возникает вопрос при в ставке данной строки
>iptables -I INPUT -s 25.55.55.55 -j DROP данный Ip адрес неможет попасть
>в систему
>1. можно ли указать ip адреса из списка например из какого нибудь
>файла где будут указаны не один адрес а н-количество ip адресов
одной командой нет, а через скрипт который будет генерить команды для iptables - хоть десятки файлов, лишь бы сами не запутались.
>
>2. и второй вопрос как правельно написать такое 25.55.55.55 данному ip адресу
>можно заходить например на 80 порт
сначало iptables -I INPUT -s 25.55.55.55 -j DROP , потом iptables -I INPUT -p tcp -s 25.55.55.55 --dports 80 -j ACCEPT
и будет разрешено только на 80 порт по tcp протоколу.
>
>Зарание Спасибо за ответы

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Вопрос по IP Tables" +/–

Сообщение от maxkzt (ok) on 25-Ноя-09, 12:30

Всем Спасибо за ответы буду дальше разбератся

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Вопрос по IP Tables" +/–

Сообщение от Аноним (??) on 25-Ноя-09, 08:56

По первому вопросу - есть некий ipset, но нужна его поддержка в ядре. В man iptables про него написано.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Вопрос по IP Tables"		+/–
Сообщение от maxkzt (ok) on 18-Ноя-09, 08:02
Вообщем я так понял некто ответить неможет а жаль
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Вопрос по IP Tables"		+/–
	Сообщение от Andrey Mitrofanov on 18-Ноя-09, 10:54
	>некто "никто"? >ответить неможет а жаль Конечно. Ведь вопроса в тексте _нет_, сплошь повествование.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Вопрос по IP Tables"		+/–
	Сообщение от maxkzt (ok) on 18-Ноя-09, 15:18
	В чем моя ошибка где неправельно написано почему при запрете ip адреса он всеровно может зайти в систему на пример на 80 порт
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Вопрос по IP Tables"		+/–
	Сообщение от reader (ok) on 18-Ноя-09, 17:28
	iptables-save -c видите текущие правила с счетчиками, дальше пытаетесь подключится и снова смотрите счетчики, какие изменились , через те правила и прошли пакеты
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Вопрос по IP Tables"		+/–
	Сообщение от maxkzt (ok) on 24-Ноя-09, 09:41
	Спасибо за ответ получилось Теперь возникает вопрос при в ставке данной строки iptables -I INPUT -s 25.55.55.55 -j DROP данный Ip адрес неможет попасть в систему 1. можно ли указать ip адреса из списка например из какого нибудь файла где будут указаны не один адрес а н-количество ip адресов 2. и второй вопрос как правельно написать такое 25.55.55.55 данному ip адресу можно заходить например на 80 порт Зарание Спасибо за ответы
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Вопрос по IP Tables"		+/–
	Сообщение от reader (ok) on 24-Ноя-09, 19:50
	>Спасибо за ответ получилось > >Теперь возникает вопрос при в ставке данной строки >iptables -I INPUT -s 25.55.55.55 -j DROP данный Ip адрес неможет попасть >в систему >1. можно ли указать ip адреса из списка например из какого нибудь >файла где будут указаны не один адрес а н-количество ip адресов одной командой нет, а через скрипт который будет генерить команды для iptables - хоть десятки файлов, лишь бы сами не запутались. > >2. и второй вопрос как правельно написать такое 25.55.55.55 данному ip адресу >можно заходить например на 80 порт сначало iptables -I INPUT -s 25.55.55.55 -j DROP , потом iptables -I INPUT -p tcp -s 25.55.55.55 --dports 80 -j ACCEPT и будет разрешено только на 80 порт по tcp протоколу. > >Зарание Спасибо за ответы
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Вопрос по IP Tables"		+/–
	Сообщение от maxkzt (ok) on 25-Ноя-09, 12:30
	Всем Спасибо за ответы буду дальше разбератся
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Вопрос по IP Tables"		+/–
	Сообщение от Аноним (??) on 25-Ноя-09, 08:56
	По первому вопросу - есть некий ipset, но нужна его поддержка в ядре. В man iptables про него написано.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору