|
⇤ ← Версия 1 от 2008-07-08 21:33:44
Размер: 5594
Комментарий:
|
Размер: 6224
Комментарий:
|
| Удаления помечены так. | Добавления помечены так. |
| Строка 3: | Строка 3: |
| Вот мы понастраивали фаервол ручным образом. Рчевидно, что если есть много правил, в разное время появившихся, то достаточно неудобно писать их все вручную. Первый способ это полуавтоматизировать: /etc/sysconfig/iptables (осталось от Mandrake). | Вот мы понастраивали фаервол ручным образом. Очевидно, что если есть много правил, в разное время появившихся, то достаточно неудобно писать их все вручную. Первый способ это полуавтоматизировать: /etc/sysconfig/iptables (осталось от Mandrake). Туда можно написать все правила кучей, и они будут добавляться при запуске iptables. |
| Строка 5: | Строка 5: |
| Второй способ --- отредактировать в /etc/net/ | Второй способ --- вписать нужные настройки в соответствующий подкаталог /etc/net/. |
| Строка 7: | Строка 7: |
| Посмотрим в /usr/share/doc/etcnet-.../examples/firewall-hissenman/ifaces/default/fw/iptables/nat и сделаем cat POSTROUTING | Посмотрим в /usr/share/doc/etcnet-<version>/examples/firewall-hiddenman/ifaces/default/fw/iptables/nat и сделаем cat POSTROUTING |
| Строка 9: | Строка 9: |
| В ксах есть два места для копирования информации --- есть cutbuffer, причём их несколько. Второй из них --- copy area. cutbuffer заполняется автоматически поо выделению текста. copyarea заполняется, если вы явно вызываете команду копирования. То же с операцией вставки. П средней кнопке мыши --- из cutbuffer, по команде --- из copyarea. Идея с cutbuffer хороша, но на не принимается виндузовыми пользователями. | ## ожидается лог ## Это было лирическое отступление, вроде как непротокольное ##В ксах есть два места для копирования информации --- есть cutbuffer, причём их несколько. Второй из них --- copy area. cutbuffer заполняется автоматически поо выделению текста. copyarea заполняется, если вы явно вызываете команду копирования. То же с операцией вставки. П средней кнопке мыши --- из cutbuffer, по команде --- из copyarea. Идея с cutbuffer хороша, но на не принимается виндузовыми пользователями. Для примера, настроим для второй машины, подключенной по eth1, NAT, и заблокируем для неё соединения с некоторым адресом. |
| Строка 19: | Строка 24: |
| Проблема вот какая: существует два синтаксиса управления etc-net'ом iptables'ом. Один приближенный к iptables, другой human-readable. Есть в документации файл, который описывает взаимооднозначное соответствие этих форматов: /etc/net/ifaces/default/fw/iptables/syntax | Проблема вот какая: существует два синтаксиса управления iptables в etc-net. Один с синтаксисом iptables, другой human-readable. Есть в документации файл, который описывает взаимооднозначное соответствие этих форматов: /etc/net/ifaces/default/fw/iptables/syntax |
| Строка 22: | Строка 27: |
| ## ожидаются логи | |
| Строка 28: | Строка 34: |
| ##Замечание: при удалении правил iptables не делается substitution у ${IPV4ADDRESS} | ##Замечание: при удалении правил iptables не делается substitution у ${IPV4ADDRESS} (бага!) |
| Строка 30: | Строка 36: |
| Чего мы дбидись? Включение и выключение iptables через etcnet. При этом iptables вообще мжет быть выключен по умолчанию (например, в Lite), и как вы не редактируете etcnet, пка вы не включите, оно бы не заработало. Тем не менее, iptables неявн включился. | Чего мы доидись? Включение и выключение iptables через /etc/net. При этом iptables вообще мжет быть выключен по умолчанию (например, в Lite), и как вы не редактируете /etc/net, пока вы не включите, оно бы не заработало. Тем не менее, iptables неявно включился. |
| Строка 75: | Строка 81: |
| || 0 || 1 || 1 || 1 || || 1 || MaximByshevskiKonopko, BorisTsema || || || | || 11 || 1 || 1 || 1 || || 1 || MaximByshevskiKonopko, BorisTsema || || || |
Практика использования iptables: продолжение
Вот мы понастраивали фаервол ручным образом. Очевидно, что если есть много правил, в разное время появившихся, то достаточно неудобно писать их все вручную. Первый способ это полуавтоматизировать: /etc/sysconfig/iptables (осталось от Mandrake). Туда можно написать все правила кучей, и они будут добавляться при запуске iptables.
Второй способ --- вписать нужные настройки в соответствующий подкаталог /etc/net/.
Посмотрим в /usr/share/doc/etcnet-<version>/examples/firewall-hiddenman/ifaces/default/fw/iptables/nat и сделаем cat POSTROUTING
Для примера, настроим для второй машины, подключенной по eth1, NAT, и заблокируем для неё соединения с некоторым адресом.
Создаём каталоги fw/iptables/nat в /etc/net/ifaces/eth0:
# cd /etc/net/ifaces/eth0 # mkdir -p fw/iptables/nat # cp fw/iptables/nat # echo 'snat-to 10.0.2.15' > POSTROUTING
Проблема вот какая: существует два синтаксиса управления iptables в etc-net. Один с синтаксисом iptables, другой human-readable. Есть в документации файл, который описывает взаимооднозначное соответствие этих форматов: /etc/net/ifaces/default/fw/iptables/syntax
Чтобы было совсем правильно, заменить ip-адрес на ${IPV4ADDRESS}:
...
В задачу этой лекции не входило рассказать про весь iptables и etcnet, лектр только хотел показать примеры работы с ними.
Чего мы доидись? Включение и выключение iptables через /etc/net. При этом iptables вообще мжет быть выключен по умолчанию (например, в Lite), и как вы не редактируете /etc/net, пока вы не включите, оно бы не заработало. Тем не менее, iptables неявно включился.
Теперь забаним lor. Сначала добавим его ip:
$ host linux.org.ru
Теперь добавим правило (по умолчанию исп. таблоица filter)
iptables -t filter -A FORWARD -d linux.org.ru -j LOG --log-level warning iptables -t filter -A FORWARD -d linux.org.ru -j DROP
Понятно, что этот способ общения с iptables --- традиция. Ведь это всё ключи, и правила можно добавлять не в свои таблицы, но так мы плоучим такой же сервер, в ктором каша.
Этими командами мы добавим в syslog варнинг о том, что кто-то лмится на лор и выбрасываем этот пакет.
Обратите внимание, что мы написали правила для форвардящихся пакетов, следовательно, к пакетам, которые идут с маршрутизатора, эти правила не применяются. Проверка:
на demo
# cal | netcat linux.org.ru 80
всё работает.
на localhost {{( # cal | netcat linux.org.ru 80 }}} не работает.
на demo
# tail /var/log/syslog/messages
Сведения о ресурсах
Готовность (%) |
Продолжительность (ак. ч.) |
Подготовка (календ. ч.) |
Полный текст (раб. д.) |
Предварительные знания |
Level |
Maintainer |
Start date |
End date |
11 |
1 |
1 |
1 |
|
1 |
|
|