IPTABLES помогите новичку правильно написать правило.

sudo aptitude install fwbuilder

gui нет и нет возможности поставить ((( only ssh.

iptables -P INPUT -i eth0 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 80 -j ACCEPT

мог где-то накосячить

В зависимости от политики по умолчанию тут может быть одно, а может быть несколько правил.

В бой. iptables на том уровне, что вы спрашиваете - элементарщина для 3 класса школы.

http://www.opennet.ru/docs/RUS/iptables/#DROPTARGET

// b.

Начерта UDP??

Это называется - в протоколах/TCP ничерта не шарю - тупо копирую что есть в сети.

// b.

человек не уточнил нужно ему udp или tcp ;)

первое правило не ввелось. ругается iptables v1.4.8: -X requires a chain and a policy Try `iptables -h' or 'iptables --help' for more information.

может на 80/tcp у него веб, а на 80/udp teeworlds ?

Если уж ты не хочешь почитать маны iptables, то лучше установи себе ufw и почитай вот эту инструкцию:
https://help.ubuntu.com/community/UFW

Оно намного проще, понятнее, и если что ты будешь понимать как именно у тебя работает фаервол.

ага,пасибо.

в краце о работе сервера и что там есть.

еще есть вопросик.

есть-ли какое-нибудь решение для логирования трафика?

с какого айпишника пришел,во сколько,по какому порту,какое файло,скорость и лалалала.

полное логирование трафика,кто,куда,чего,во сколько.

чем можно реализовать ?

gui нет и нет возможности поставить ((( only ssh.

Сгенери скрипт на домашней машине.

В общем как то так:

ufw deny to 192.168.1.100
ufw allow to 192.168.1.100 port 22
ufw allow to 192.168.1.100 port 80

ufw deny in on eth0 to any
ufw allow in on eth0 to any port 22
ufw allow in on eth0 to any port 80

у меня стоит утилитка iptraf . наблюдаю на ней кучу пакетов вида

UDP from мой IP to чужой ip on eth0

что это такое - не пойму.

есть-ли какое-нибудь решение для логирования трафика?

ufw позволяет писать логи на диск.
Только вот делать это надо разобравшись и с умом, иначе диск засрется логами очень быстро.

с какого айпишника пришел,во сколько,по какому порту,какое файло,скорость и лалалала.
чем можно реализовать ?

Судя по всему ты говоришь про логгирование http трафика, тут уже ничего не подскажу, гугли.
Я делал через прозрачный прокси (squid), но если тебе надо только немного информации, то вроде как есть более легковесные решения.

что это такое - не пойму.

Посмотри через wireshark, там понятнее.
«wireshark remote capturing» гугли.

у меня 2 машины. на одной фтп + сайт + трекер на второй фтп + сайт.

http трафик логирую через awstats

есть возможность поставить еще одну машину и собирать на неё весь трафик. объём - не проблема. скорости гигабитные.

хотел через трафпро это делать,она была раньше оперсурс,а сейчас платная (

ух. дорвался до толковых людей... помучаю Вас еще немного.

configured to not write apport reports Errors were encountered while processing: icecast2 E: Sub-process /usr/bin/dpkg returned an error code (1)

Это при установке любого пакета. Что за хрень?

есть возможность поставить еще одну машину и собирать на неё весь трафик. объём - не проблема. скорости гигабитные.

Но зачем?

ну я просто не знаю,как это организовать лучше и чем ))) Мне просто нужно писать полностью весь лог. че,куда,откуда

Это при установке любого пакета. Что за хрень?

Ну это говорит о проблеме при установке пакета, причин может быть масса, все зависит от того, что ты делал.
И тут тебе поможет либо гугл, либо платный админ.

ну я просто не знаю,как это организовать лучше и чем ))) Мне просто нужно писать полностью весь лог. че,куда,откуда

С какой целью?

Может тебе логов обращения к веб серверу вполне достаточно.

та не,столкнулся уже с проблемой,когда их не было достаточно. Теперь воизбежания коллапсирования моего зада - хочу логировать полностью всё.

Ну тогда хоть tcpdump*ом.
Другой вопрос, что в этих дампах (и в логах файрвола) не будет информации о том кто и как общался с сервером по шифрованным протоколам.

Если речь идет о каких то вещах связанных с безопасностью то обычно нужно две вещи:
1 - Знать что именно делали на ssh и иметь логи оттуда.
2 - Логгировать целиком запросы к веб серверу и приложениям на нем. Доставать их руками из дампов трафика несколько неудобно, плюс ничего не достанешь если там HTTPS.
3 - Ну и по хорошему как то определять тот случай, когда на сервере что то не так. А для этого дампов трафика недостаточно.

почитав мануалы по первому вопросу - единого решения я так и не нашел. Чем писать лог - нашел. В логе ппц сколько обменов пакетами.

Куча каких-то хостов лезут на мой сервер на eth0 ( каким образом их отсечь - не знаю.

грубо говоря мне нужно что0то на подобии : deny from all / allow frm bla bla bla

это мне нужно не только на http , а абсолютно на всю машину ,абсолютно на все. Даже что бы пинг не шел.

Ну ufw позволяет это настроить, т.е просто устанавливаешь политику по дефолту и все, главное ssh себе не заблокируй, если сервер в другой стране.
Другой вопрос, что не стоит это делать без понимания, что именно ты делаешь, а задавание на ЛОРе вопросов этого понимания тебе не прибавит.

ufw это очень простой и удобный скрипт управления iptables, в его манах есть все, что тебе нужно. Или лучше найми за деньги специалиста который разберется что у тебя на сервере крутиться и настроит всё под твою задачу.

Балин,так в том и интерес,что сам учусь и интересно ))))

мог где-то накосячить

Ну ты даешь. Ты сразу после первой команды сеть потеряешь, дроп в конец ВСЕГДА надо ставить + на первые разы iptables -F в крон на раз в 5 минут.

ufw deny to my_ip

у меня один хрен после этого доступен интерфейс )))

В каком смысле доступен?

Ну ты даешь. Ты сразу после первой команды сеть потеряешь, дроп в конец ВСЕГДА надо ставить

Страшную весть принёс я в ваш дом tazhate, зови детей!

# Политики по умолчанию.
    $IPT -P INPUT DROP
    $IPT -P OUTPUT DROP
    $IPT -P FORWARD DROP

Лучше iptales-apply.

Ok.

iptables -P INPUT ACCEPT iptables -F iptables -P INPUT DROP

Открывай дальше.

Дроп вначале, не используется мультипорт, открыто так же и юдп.

Самые тупые комменты когда отвечают даже не понимая о чём речь :D Я привёл кусок моего конфигурационного файла iptables, по переменной видно же
Ты сначала разрешил любой INPUT, потом сбросил все правила, потом снова запретил. Зачем так делать не спрашиваю ибо не извращенец поясни что сказать то хотел?

Я ж не аутпут дропаю, так что сеть не потеряю. Кажется я понимаю о чём ты... Ты думаешь он сидит через этот ифейс в ссш?

Нафуя мне твой кусок конфига нужен, здесь речь про последовательность команд.

Вопрос: надо открыть 22 порт.

Политика на инпуте ACCEPT. Пока никаких разрешающих правил нет и в помине. Человеку советуют первым правилом изменить политику на DROP. Всё. Он теряет коннект к серверу. Ты же утверждаешь обратное. Просто ты не так что-то понял. Только не надо мне что-то доказывать - я собаку съел на этих ваших айпистолах.

Если можно - расписать,какая команда за что отвечает.

Глянь здесь Сервер DDOSят (комментарий) и поменяй --dports 80,22

на первые разы iptables -F

эм, а зачем?!

воу-воу-воу товарищи.

Не отвлекайтесь.

Повторяю задачу.

eth0 нужно закрыть абсолютно все тырнеты и обмены пакетами и входящие и исходящие с любых айпишников,кроме 22 и 80 порта.