теоретический вопрос про файерволл

0

0

10.1.0.0/255.255.0.0 - подсетка, которую нужно полностью закрыть от внешнего доступа. Стоит роутер линух. eth1 10.1.0.1 . Если я закрою в ipchains типа так: 
ipchains -A output -d 10.1.0.0/255.255.0.0 -i eth1 -j DENY
то у меня же вообще ниче работать не будет так? никакие пакеты не будут проходить?
Достаточно ли для защиты устанавить такое правило:
ipchains -A output -d 10.1.0.0/255.255.0.0 -i eth1 -p tcp -y -j DENY?
Будет ли это означать, что доступ из сети наружу будет, а в нее никто не влезет?
Или я вообще все не так понимаю?
Заранее спасибо.

Ссылка

←	natd и ограничение траффика по МАС-адресу.

/etc/sysctl.conf

→

настрой ип маскарад //\\-- тогда из вне будет виден тока твой маршрутизатор но не будут видны компы -- а компы будут видеть внешний мир по всем протоколам и портам

в ипчайнс это вроде так

ipchains -p forward -d deny /// p большая//сори у мя на клаве шифты не работают\\

ipchains -a forward -s 10.1.0.0/16 -d 0/0 -j masq //// -a и masq тоже большими //// ////////////////////////////////////////////////////

в сваемже случае ты вырубиш тсп тк не будут проходить ответы на сопросы из сетки

//////////////////////////////////////////////////////

есть ешё 2 вариант более сложный

работает ли он в ipchains понятия не имею - я использую более новую версию фильтрацыи покетов iptables она намного удобней предыдущей/// короче она есть в линках с ядром начиная 2.4

короче вариант заключается в том чтобы фильтровать входящий трафик по особому а именно отклонять покеты каторые используются для открытия соединения короче в них должны быть сл флаги /// установлен syn а сброшены ack, fin /// вроде ничего не забыл

2 вариант это гемор я этого никогда не делал и знаю это чисто теоритически поэтому могу ошибаться///

ns ★
(12.01.02 00:08:46 MSK)

Ссылка

Ты сносишь только tcp пакеты, а icmp, udp, syn и другие проходят! Тут мне кажется лучше поиграться с интерфейсами твоего роутера... Попробуй просто отрезать, что идет на интерфейс твоей 10.1.0.0/16 Допустим у тебя есть 2 интерфейса на роутере: eth0 - подключен к 10.1.0.0/16 eth1 - к другой(от которой ты хочешь закрыться)

ipchains -A input -i eth0 -j DENY

Попробуй, может то, что тебе надо... Можно попробовать резать syn-пакеты(на установку соединения)

ipchains -A input -y -d 10.1.0.0/16 -j DENY

anonymous
(12.01.02 10:56:49 MSK)

Ссылка

Привожу полный работающий конфиг с роутера.
-------------------------------------------
# Global parameters
[global]
	client code page = 866
	code page directory = /usr/local/samba/lib/codepages
	workgroup = NET
	netbios name = SERVER
	server string = Samba 2.2.0 on the Debian Linux
	interfaces = eth0 192.168.1.1/255.255.255.0 192.168.2.1/255.255.255.0
	bind interfaces only = No
	security = USER
	encrypt passwords = Yes
	update encrypted = No
	allow trusted domains = Yes
	min passwd length = 5
	map to guest = Bad User
	null passwords = No
	smb passwd file = /usr/local/samba/private/smbpasswd
	passwd program = /bin/passwd
	passwd chat = *new*password* %n\n *new*password* %n\n *changed*
	passwd chat debug = No
	password level = 0
	username level = 0
	unix password sync = No
	restrict anonymous = No
	lanman auth = Yes
	use rhosts = No
	log level = 0
	syslog = 1
	syslog only = No
	log file = 
	max log size = 5000
	timestamp logs = Yes
	debug hires timestamp = No
	debug pid = No
	debug uid = No
	protocol = NT1
	min protocol = CORE
	read bmpx = No
	read raw = Yes
	write raw = Yes
	nt smb support = Yes
	nt pipe support = Yes
	nt acl support = Yes
	announce version = 4.5
	announce as = NT
	max mux = 50
	max xmit = 65535
	name resolve order = lmhosts host wins bcast
	max packet = 65535
	max ttl = 259200
	max wins ttl = 21600
	min wins ttl = 21600
	time server = Yes
	change notify timeout = 60
	deadtime = 0
	getwd cache = Yes
	keepalive = 300
	lpq cache time = 10
	max smbd processes = 0
	max disk size = 0
	max open files = 10000
	read size = 16384
	socket options = TCP_NODELAY
	stat cache size = 50
	total print jobs = 0
	load printers = No
	printcap name = /etc/printcap
	show add printer wizard = Yes
	strip dot = No
	character set = KOI8-R
	mangled stack = 50
	stat cache = Yes
	machine password timeout = 604800
	domain logons = No
	os level = 128
	lm announce = Auto
	lm interval = 60
	preferred master = True
	local master = Yes
	domain master = True
	browse list = Yes
	dns proxy = Yes
	wins proxy = No
	wins support = Yes
	kernel oplocks = Yes
	oplock break wait time = 0
	lock dir = /usr/local/samba/var/locks
	remote announce = 192.168.1.255/NET 192.168.2.255/NET 	remote browse sync = 192.168.1.255 192.168.2.255 
	time offset = 0
	unix realname = Yes
	NIS homedir = No
	hide local users = No
	host msdfs = No
	template homedir = /home/%D/%U
	template shell = /bin/false
	winbind separator = \
	winbind cache time = 15
	alternate permissions = No
	guest account = nobody
	read only = Yes
	create mask = 0744
	force create mode = 00
	security mask = -1
	force security mode = -1
	directory mask = 0755
	force directory mode = 00
	directory security mask = -1
	force directory security mode = -1
	inherit permissions = No
	guest only = No
	guest ok = No
	only user = No
	hosts allow = 
	hosts deny = 
	status = Yes
	max connections = 0
	min print space = 0
	strict sync = No
	sync always = No
	write cache size = 0
	max print jobs = 1000
	printable = No
	postscript = No
	printing = bsd
	print command = lpr -r -P%p %s
	lpq command = lpq -P%p
	lprm command = lprm -P%p %j
	printer driver file = /usr/local/samba/lib/printers.def
	default case = lower
	case sensitive = No
	preserve case = Yes
	short preserve case = Yes
	mangle case = No
	mangling char = ~
	hide dot files = Yes
	delete veto files = No
	map system = No
	map hidden = No
	map archive = Yes
	mangled names = Yes
	browseable = Yes
	blocking locks = Yes
	fake oplocks = No
	locking = Yes
	oplocks = Yes
	level2 oplocks = Yes
	oplock contention limit = 2
	posix locking = Yes
	strict locking = No
	share modes = Yes
	preexec close = No
	root preexec close = No
	available = Yes
	fstype = NTFS
	set directory = No
	wide links = Yes
	follow symlinks = Yes
	delete readonly = No
	dos filemode = No
	dos filetimes = No
	dos filetime resolution = No
	fake directory create times = No
	msdfs root = No

[homes]
	comment = Home Directories
	read only = No
	browseable = No

[soft]
	path = /home/samba/soft
	guest ok = Yes

anonymous
(12.01.02 22:04:38 MSK)

Ссылка

УПС, НЕ В ТУ КОНФУ, ИЗВИНЯЙТЕ :)

anonymous
(12.01.02 22:05:31 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	natd и ограничение траффика по МАС-адресу.

Admin

/etc/sysctl.conf

→

Похожие темы