вопросы по ipchains

0

0

Друзья есть сервер Линукс Мандрейк 7.2. На нем сквид,поп3,фетчмайл,сендмайл,фтр-прокси. Бросте плиз рабочий пример правил ipchains. Нужно ли создавать две цепки ppp-in и ppp-out как в некоторых примерах или достаточно создать правила input. Насколько я понял маскарадинг вооще не нужен если все рулят через прокси?

Ссылка

←	не работает оповещение от portsentry1.1

Как ограничить доступ на ftp, чтобы с одного ip устанавливалось не более 2 соединений?

→

Я делаю так
В начале - очистка всех текущих правил
$IPCH -F input
$IPCH -F output
$IPCH -F forward
Затем политика по умолчанию
$IPCH -P output ACCEPT
$IPCH -P input DENY
$IPCH -P forward DENY
А затем прописываю разрешающие правила для input и forward.
В простейшем случае, если рутить в инет нечего, то можно разрешить на вход все, идущее на карту в локале (с локальной сети), и разрешить на вход внешней карты только те сервисы, которые должны быть видны из инета - ftp, smtp и пр.

anonymous
(10.10.01 09:41:52 MSD)

Ссылка

1. Вообще-то тут каждый сам себе Бурратино.:))) Если того, что демоны
обеспечивают хватает - можно и без маскарадов....
2. По поводу output - если хочется, чтобы машина в сеть не "мусорила"
не дай бог левыми пакетами (ну там запрос на 192.168 или еще чего), то
лучше ее, конечно, сделать, дабы быть УВЕРЕННЫМ.
Свой подход (ну как иллюстрация - у меня не совсем такой случай).
Кое-что я, конечно, подубрал.:)

:input REJECT
:forward DENY
:output REJECT
:cai1 -
:cai64 -
:cci -
:cpport -
-A input -s 0.0.0.0/192.0.0.0 -d 0.0.0.0/0.0.0.0 -j cai1
-A input -s 64.0.0.0/192.0.0.0 -d 0.0.0.0/0.0.0.0 -j cai64
-A input -s 172.16.0.0/255.240.0.0 -d 0.0.0.0/0.0.0.0 -j DENY -l
-A input -s 192.0.0.0/224.0.0.0 -d 0.0.0.0/0.0.0.0 -j cci
-A input -s 224.0.0.0/240.0.0.0 -d 0.0.0.0/0.0.0.0 -j DENY -l
-A input -s 240.0.0.0/248.0.0.0 -d 0.0.0.0/0.0.0.0 -j DENY -l
-A input -s 0.0.0.0/0.0.0.0 -d $mynet 137:139 -i $int -p 6 -j REJECT
-A input -s 0.0.0.0/0.0.0.0 -d $mynet 137:139 -i $int -p 17 -j REJECT
-A input -s 0.0.0.0/0.0.0.0 -d $intaddr 0:1023 -p 6 -j cpport
-A input -s 0.0.0.0/0.0.0.0 -d $intaddr 0:1023 -p 17 -j cpport
-A input -s 0.0.0.0/0.0.0.0 -d $extaddr 0:1023 -p 6 -j cpport
-A input -s 0.0.0.0/0.0.0.0 -d $extaddr 0:1023 -p 17 -j cpport
-A input -s $mynet -d 0.0.0.0/0.0.0.0 -i $int -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d $extaddr -i $ext -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i lo -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j REJECT -l
-A forward -s $mynet -d ! $mynet -i $ext -j MASQ
-A forward -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i lo -j ACCEPT
-A forward -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j REJECT
-A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i lo -j ACCEPT
-A output -s 0.0.0.0/0.0.0.0 -d $mynet -i $int -j ACCEPT
-A output -s 0.0.0.0/0.0.0.0 -d 10.0.0.0/255.0.0.0 -j REJECT -l
-A output -s 0.0.0.0/0.0.0.0 -d 127.0.0.0/255.0.0.0 -j REJECT -l
-A output -s 0.0.0.0/0.0.0.0 -d 172.16.0.0/255.240.0.0 -j REJECT -l
-A output -s 0.0.0.0/0.0.0.0 -d 192.168.0.0/255.255.0.0 -j REJECT -l
-A output -s $extaddr -d ! $mynet -i $ext -j ACCEPT
-A output -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -j REJECT -l
-A cai1 -s 3.0.0.0/255.0.0.0 -d 0.0.0.0/0.0.0.0 -j RETURN
-A cai1 -s 0.0.0.0/252.0.0.0 -d 0.0.0.0/0.0.0.0 -j DENY -l
-A cai1 -s 5.0.0.0/253.0.0.0 -d 0.0.0.0/0.0.0.0 -j DENY -l
-A cai1 -s 10.0.0.0/255.0.0.0 -d 0.0.0.0/0.0.0.0 -j DENY -l
-A cai1 -s 19.0.0.0/255.0.0.0 -d 0.0.0.0/0.0.0.0 -j RETURN
-A cai1 -s 27.0.0.0/243.0.0.0 -d 0.0.0.0/0.0.0.0 -j DENY -l
-A cai1 -s 38.0.0.0/255.0.0.0 -d 0.0.0.0/0.0.0.0 -j RETURN
-A cai1 -s 36.0.0.0/252.0.0.0 -d 0.0.0.0/0.0.0.0 -j DENY -l
-A cai1 -s 41.0.0.0/255.0.0.0 -d 0.0.0.0/0.0.0.0 -j DENY -l
-A cai1 -s 42.0.0.0/255.0.0.0 -d 0.0.0.0/0.0.0.0 -j DENY -l
-A cai1 -s 58.0.0.0/254.0.0.0 -d 0.0.0.0/0.0.0.0 -j DENY -l
-A cai1 -s 60.0.0.0/255.0.0.0 -d 0.0.0.0/0.0.0.0 -j DENY -l
-A cai1 -s 0.0.0.0/192.0.0.0 -d 0.0.0.0/0.0.0.0 -j RETURN
-A cai64 -s 64.0.0.0/252.0.0.0 -d 0.0.0.0/0.0.0.0 -j RETURN
-A cai64 -s 68.0.0.0/255.0.0.0 -d 0.0.0.0/0.0.0.0 -j RETURN
-A cai64 -s 80.0.0.0/254.0.0.0 -d 0.0.0.0/0.0.0.0 -j RETURN
-A cai64 -s 127.0.0.0/255.0.0.0 -d 0.0.0.0/0.0.0.0 -i lo -j RETURN
-A cai64 -s 64.0.0.0/192.0.0.0 -d 0.0.0.0/0.0.0.0 -j DENY -l
-A cci -s $mynet -d 0.0.0.0/0.0.0.0 -i ! eth1 -j RETURN
-A cci -s 192.168.0.0/255.255.0.0 -d 0.0.0.0/0.0.0.0 -j DENY -l
-A cci -s 197.0.0.0/255.0.0.0 -d 0.0.0.0/0.0.0.0 -j DENY -l
-A cci -s 216.0.0.0/254.0.0.0 -d 0.0.0.0/0.0.0.0 -j RETURN
-A cci -s 218.0.0.0/255.0.0.0 -d 0.0.0.0/0.0.0.0 -j RETURN
-A cci -s 216.0.0.0/248.0.0.0 -d 0.0.0.0/0.0.0.0 -j DENY -l
-A cci -s 192.0.0.0/224.0.0.0 -d 0.0.0.0/0.0.0.0 -j RETURN
-A cpport -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 113:113 -p 6 -j REJECT
-A cpport -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -j RETURN
-A cpport -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 6 -j RETURN
-A cpport -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 17 -j RETURN
-A cpport -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -i $int -p 6 -j RETURN
-A cpport -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -i $int -p 17 -j RETURN
-A cpport -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 6 -j REJECT -l
-A cpport -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 17 -j REJECT -l

Dimai ★
(11.10.01 14:29:51 MSD)

Ссылка

Вдогонку: фильтрация по адресу отправителя здесь несколько избыточная. Такой жесткий фильтр (ну Вы меня поняли) остался от Моурани, он требует постоянных изменений, т. к. IANA адреса периодически переназначает. Проще резать то, что есть в RFС (10.*, 127.*...) и не иметь такой головной боли. Цепочки тоже можно соптимизировать: у нас только 2 сетевых карты, и логика фильтрации по внутренней ЗНАЧИТЕЛЬНО проще, а об lo вообще говорить нечего...

Dimai ★
(11.10.01 14:44:34 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	не работает оповещение от portsentry1.1

Admin

Как ограничить доступ на ftp, чтобы с одного ip устанавливалось не более 2 соединений?

→

Похожие темы