LINUX.ORG.RU
ФорумAdmin

настройка файервола


0

0

Добрый день господа......... никак не въеду немного........

Есть комп c осью FC 6.0

на ней eth1 c ip адресом 192.168.5.X далее eth2 c ip 10.3.0.Х смотрящий на провайдера инета (vpn)

так вот соеденяю vpn (ppp0)

и применяю правило /sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE после этого все юзают интернет,но как я понимаю шлюз не защищен от внешних аттак......... как настроить граматно файервалл, если я делаю какието потуги в этой области, то инет отваливается в сети......... направте плиз в данной области...... чето савсем бошка кругом идет!!

за ранее спасибо!

ну вот тебе например мой rc.firewall

#!/bin/sh

 IPTABLES=/sbin/iptables
 GREP=/bin/grep
 AWK=/usr/bin/awk
 SED=/bin/sed
 IFCONFIG=/sbin/ifconfig

 EXTIF="eth0"
 INTIF="eth1"

 echo " External Interface: $EXTIF"
 echo " Internal Interface: $INTIF"
 echo " ---"

 EXTIP="`$IFCONFIG $EXTIF | $AWK \
 /$EXTIF/'{next}//{split($0,a,":");split(a[2],a," ");print a[1];exit}'`"

 echo " External IP: $EXTIP"
 echo " ---"

 INTNET="192.168.1.0/24"
 INTIP="`$IFCONFIG $INTIF | $AWK \
 /$INTIF/'{next}//{split($0,a,":");split(a[2],a," ");print a[1];exit}'`"

 echo " Internal Network: $INTNET"
 echo " Internal IP: $INTIP"
 echo " ---"

 echo " Enabling forwarding.."
 echo "1" > /proc/sys/net/ipv4/ip_forward
 echo " Enabling DynamicAddr.."
 echo "1" > /proc/sys/net/ipv4/ip_dynaddr

 /sbin/modprobe ip_nat_ftp
 /sbin/modprobe ip_conntrack_ftp


 echo " ---"

 echo " Flush rulesets.."

$IPTABLES -t nat -F
$IPTABLES -F
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -X
$IPTABLES -Z


############### NAT MASQUAERADE 
# (это у тебя реализовано)
echo " - NAT: Enabling SNAT (MASQUERADE) functionality on $EXTIF"
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j SNAT --to $EXTIP

############### FORWARD
# (разрешить установленные проходящие)
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# разрешить FORWARD наружу на некоторые порты
    $IPTABLES -A FORWARD -i $INTIF -o $EXTIF -p tcp -m multiport --dports 21,25,110,443,5190 -j ACCEPT
# DNS
    $IPTABLES -A FORWARD -i $INTIF -o $EXTIF -p udp --dport 53 -j ACCEPT
# пинги
    $IPTABLES -A FORWARD -i $INTIF -o $EXTIF -p icmp -j ACCEPT
# это необязательно (политика всё равно DROP), но мало ли...
$IPTABLES -A FORWARD -j DROP

############### OUTPUT
$IPTABLES -A OUTPUT -j ACCEPT

############### INPUT
# src spoofing...
# запрещаем заведомо неверные комбинации подсеть/интерфейс
$IPTABLES -A INPUT -i $EXTIF --src $INTNET -j DROP
$IPTABLES -A INPUT -i $EXTIF --src 127.0.0.0/8 -j DROP

#---# local restrictions
    $IPTABLES -A INPUT -i lo -j ACCEPT
#---#
$IPTABLES -A INPUT -i $EXTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
# снаружи на гейте только SSH
$IPTABLES -A INPUT -i $EXTIF -p tcp --dport 22 -j ACCEPT

# изнутри - открыто всё. конечно лучше это так не оставлять...
$IPTABLES -A INPUT -i $INTIF --src $INTNET --dst $INTIP -j ACCEPT

LowLevel
()
Ответ на: комментарий от LowLevel

хотя к vpn он имхо не очень подойдёт. короче тебе важны строки -

$IPTABLES -P FORWARD DROP $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -i $INTIF -o $EXTIF -p tcp -m multiport --dports 21,25,110,443,5190 -j ACCEPT # тут по вкусу, хоть всё $IPTABLES -A INPUT -i $EXTIF -j DROP # закроет вход снаружи

вот и всё если кратко. да, и ещё! если ходишь на гейт чисто по ssh - никогда не экспериментируй непосредственно на стартовых скриптах. а то потом фиг войдёшь.

LowLevel
()

> от внешних аттак......... как настроить граматно файервалл
Думаю будет достаточно такого:
iptables -A INPUT -i ppp0 -m state --state NEW -j DROP
iptables -A FORWARD -i ppp0 -m state --state NEW -j DROP

spirit ★★★★★
()
Ответ на: комментарий от spirit

парни вот такой вопросик еще........

соеденяюсь через pptpconfig

сегодня утром пришел в окне pptptunel пишет что соединен а инета нет ifconfig сказал что ppp0 нет сделал в pptpconfig-е стоп потом старт..... он ругнулся что соединение существует....... и ругнулся на ppp-(имя соединения).pid

вопросик........ как прибить все это без перезагрузки........ и самое главное как автоматизировать сей процесс чтоб мне каждое утро не бегать в офис и не пересоединять ...... к идеале так бы.....

проверяет есть ли соединение........ если его нет то делаются все необходимые действия для того чтобы соединение восстановилось.....

за ранее благодарен!!!

Serhio79
() автор топика
Ответ на: комментарий от Serhio79

>и ругнулся на ppp-(имя соединения).pid

В /var/run удалите файл ppp-(имя соединения).pid

>и самое главное как автоматизировать сей процесс чтоб мне каждое утро не бегать в офис и не пересоединять

не соединяться через pptpconfig. :)

Соединяться можно например так.

создать файл /etc/ppp/peers/wan примерно следующего содержания:
------------------------
unit 9999
noauth
nodetach
logfile /dev/null
#debug
defaultroute
lcp-echo-interval 15
lcp-echo-failure 2
pty 'pptp IP_АДРЕС_ПРОВАЙДЕРА --nolaunchpppd'
user ИМЯ_ПОЛЬЗОВАТЕЛЯ_УПРОВАЙДЕРА
password "ПАРОЛЬ"
------------------------
Ну и свои опции по вкусу.

Добавить в /etc/inittab стросчку
pp:345:respawn:/usr/sbin/pppd call wan

Вроде всё. Удачи.

qwe ★★★
()
Ответ на: комментарий от qwe

огромное спасибо!!!

попробую, отпишусь.........:)

Serhio79
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.