URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4417
[ Назад ]

Исходное сообщение
"Вопрос по IP Tables"
Отправлено maxkzt , 16-Ноя-09 07:41

Всем доброе время суток
Вообщем суть вопроса такой:
1. Нужно сделать переадрисацию определенных портов остальные запретить, Разрешить только определленые порты
2. Запретит доступ всем IP Адресам оставить только нужные (например запретит вход по ssh и httpd всем Ip адресам оставить только нужные.
cat iptables
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -i eth1 -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 6060 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 6060 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22321 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1720 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3386 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -s 192.168.0.60 --dport 80 -m state --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 4569 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 5036 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 10000:20000 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 4000:4999 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 2727 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 1720 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i eth1 -j MARK --set-mark 0x9
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i eth1 -p udp -m udp --dport 6999 -j REDIRECT --to-ports 6060
-A PREROUTING -i eth1 -p tcp -m tcp --dport 6999 -j REDIRECT --to-ports 6060
-A POSTROUTING -m mark --mark 0x9 -j MASQUERADE
COMMIT
Пробывал добовлять запесь в Iptables такого типа
iptables -I INPUT -s 25.55.55.55 -j DROP
всервно данный ip может попасть в систему
OS Centos 5.2 сетевая карта только одна eth1
Мануал читал
Некоторые моменты непонял, Если что только учусь
Зарание Спасибо

Содержание

Вопрос по IP Tables,maxkzt, 08:02 , 18-Ноя-09
- Вопрос по IP Tables,Andrey Mitrofanov, 10:54 , 18-Ноя-09
  - Вопрос по IP Tables,maxkzt, 15:18 , 18-Ноя-09
    - Вопрос по IP Tables,reader, 17:28 , 18-Ноя-09
      - Вопрос по IP Tables,maxkzt, 09:41 , 24-Ноя-09
        
        Вопрос по IP Tables,reader, 19:50 , 24-Ноя-09
        
        Вопрос по IP Tables,maxkzt, 12:30 , 25-Ноя-09
      - Вопрос по IP Tables,Аноним, 08:56 , 25-Ноя-09

Сообщения в этом обсуждении

"Вопрос по IP Tables"
Отправлено maxkzt , 18-Ноя-09 08:02

Вообщем я так понял некто ответить неможет а жаль

"Вопрос по IP Tables"
Отправлено Andrey Mitrofanov , 18-Ноя-09 10:54

>некто
"никто"?
>ответить неможет а жаль
Конечно. Ведь вопроса в тексте _нет_, сплошь повествование.

"Вопрос по IP Tables"
Отправлено maxkzt , 18-Ноя-09 15:18

В чем моя ошибка
где неправельно написано
почему при запрете ip адреса он всеровно может зайти в систему на пример на 80 порт

"Вопрос по IP Tables"
Отправлено reader , 18-Ноя-09 17:28

iptables-save -c
видите текущие правила с счетчиками, дальше пытаетесь подключится и снова смотрите счетчики, какие изменились , через те правила и прошли пакеты

"Вопрос по IP Tables"
Отправлено maxkzt , 24-Ноя-09 09:41

Спасибо за ответ получилось
Теперь возникает вопрос при в ставке данной строки
iptables -I INPUT -s 25.55.55.55 -j DROP данный Ip адрес неможет попасть в систему
1. можно ли указать ip адреса из списка например из какого нибудь файла где будут указаны не один адрес а н-количество ip адресов
2. и второй вопрос как правельно написать такое 25.55.55.55 данному ip адресу можно заходить например на 80 порт
Зарание Спасибо за ответы

"Вопрос по IP Tables"
Отправлено reader , 24-Ноя-09 19:50

>Спасибо за ответ получилось
>
>Теперь возникает вопрос при в ставке данной строки
>iptables -I INPUT -s 25.55.55.55 -j DROP данный Ip адрес неможет попасть
>в систему
>1. можно ли указать ip адреса из списка например из какого нибудь
>файла где будут указаны не один адрес а н-количество ip адресов
одной командой нет, а через скрипт который будет генерить команды для iptables - хоть десятки файлов, лишь бы сами не запутались.
>
>2. и второй вопрос как правельно написать такое 25.55.55.55 данному ip адресу
>можно заходить например на 80 порт
сначало iptables -I INPUT -s 25.55.55.55 -j DROP , потом iptables -I INPUT -p tcp -s 25.55.55.55 --dports 80 -j ACCEPT
и будет разрешено только на 80 порт по tcp протоколу.
>
>Зарание Спасибо за ответы

"Вопрос по IP Tables"
Отправлено maxkzt , 25-Ноя-09 12:30

Всем Спасибо за ответы буду дальше разбератся

"Вопрос по IP Tables"
Отправлено Аноним , 25-Ноя-09 08:56

По первому вопросу - есть некий ipset, но нужна его поддержка в ядре. В man iptables про него написано.