network / Unix-системы

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / network

8 сообщений из 8, страница 1 из 1

network

#32963611

Alexander Gulyaev

Гость

Хочу совета! Совета, в реализации идеи простой защиты сервера от кое-каких
атак...

Есть сервер, с выходом на три сети, две внутренние - третья интернет.
защищать нужно одну - интернет. Все не нужные сервисы я отключил, теперь
остается задачка в том, чтобы к оставшимся сервисам имели доступ только
определенные, удаленные машины, а не вся сеть.

схемка...
Под сетевым сервисом я имею ввиду ftp или listener oracle, открываю их на
сервере, видны и доступны только моим машинам, остальным вообще не видны.

Помогите сделать или скажите где прочитать о такой конфигурации или
примерной. iptables - хороший firewall, но никак не могу понять как там
сделать, то что мне нужно. Может есть способы проще?

...

Рейтинг:

0 / 0

16.03.2005, 15:05:46

| Ответить | Цитировать | Написать

network

#32963663

ALex_hha

Участник

Откуда: Украина. Харьков.

Сообщения: 2 951

Рейтинг: 0 / 0

А маршрутизация у тебя настроена? Пинг машины из другой сети проходит?

...

Рейтинг:

0 / 0

16.03.2005, 15:19:46

| Ответить | Цитировать | Написать

network

#32963681

g613

Участник

Откуда: Нижний Новгород

Сообщения: 1 314

Рейтинг: 0 / 0

ALex_hhaА маршрутизация у тебя настроена? Пинг машины из другой сети проходит?

...дык про роутер вроде он не писал...

2 автор:

а чем конкретно iptables не устраивает ?

...

Рейтинг:

0 / 0

16.03.2005, 15:24:02

| Ответить | Цитировать | Написать

network

#32963696

Alexander Gulyaev

Гость

iptables устраивает, только не могу сообразить какие правила написать.

1. запретить всем все
2. разрешить только машинам <ip1 ip2> порты <21 1111> на eth0.

как это написать на iptables и чтобы это не распространялось на остальные интерфейсы.

...

Рейтинг:

0 / 0

16.03.2005, 15:29:40

| Ответить | Цитировать | Написать

network

#32963737

g613

Участник

Откуда: Нижний Новгород

Сообщения: 1 314

Рейтинг: 0 / 0

Alexander Gulyaeviptables устраивает, только не могу сообразить какие правила написать.

1. запретить всем все
2. разрешить только машинам <ip1 ip2> порты <21 1111> на eth0.

как это написать на iptables и чтобы это не распространялось на остальные интерфейсы.

поменять 1 и 2 пункт местами и написать примерно следующее:

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.

#
# Доступ для всех на web сервер
#
-A INPUT -i eth0 -p tcp -m tcp --dport 80                   -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 443                  -j ACCEPT
#
# Киляем все что ниже  1024  тсп порта, кроме ssh
#
-A INPUT -i eth0 -p tcp -m tcp --dport 0:21                 -j REJECT   --reject-with icmp-port-unreachable
-A INPUT -i eth0 -p tcp -m tcp --dport 23:1023           -j REJECT   --reject-with icmp-port-unreachable
#
# Короче чтоб не трахаться - разрешен доступ всем из внутренней сети
#
-A INPUT -i eth0 -p tcp -m tcp -s  192 . 168 . 108 . 0 / 24           -j ACCEPT
-A INPUT -i eth0 -p udp -m udp -s  192 . 168 . 108 . 0 / 24           -j ACCEPT
#
# остальных мочим
#
-A INPUT -i eth0 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN  -j REJECT   --reject-with icmp-port-unreachable
-A INPUT -i eth0 -p tcp -m tcp --dport 1024:65535           -j ACCEPT
-A INPUT -i eth0 -p ip                                      -j REJECT   --reject-with icmp-port-unreachable

P.S.
это только кусок от реального конфига...

...

Рейтинг:

0 / 0

16.03.2005, 15:39:28

| Ответить | Цитировать | Написать

network

#32963966

Alexander Gulyaev

Гость

Если правило пишется
-A INPUT -i eth0 -p tcp -m tcp -s 192.168.108.0/24 -j ACCEPT

то для все остальных интерфейсов все остается по умолчанию?
т.е. если ничего не писалось, то все можно?

Если нужны другие порты кроме ssh

-A INPUT -i eth0 -p tcp -m tcp --dport 0:21 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i eth0 -p tcp -m tcp --dport 23:1023 -j REJECT --reject-with icmp-port-unreachable

то их так же описывать?
нет правила от обратного - просто перечислить которые нужны, а то получается на каждый разрешенный порт по две строки.

Как написать, что доступ к ssh только машине с определенным ip, а не всем подряд? Просто в логах постоянно непонятные ip, с которых попытки войти. Ssh конечно крут, но все же лучше вообще чтобы его другие не видели. А вот как это сделать?

Что должно быть в реальном конфиге еще, если это только часть(из обязательного)?
если есть возможность прислать его (укороченный ;)) вот почта sgul@kiae.ru

...

Рейтинг:

0 / 0

16.03.2005, 16:32:47

| Ответить | Цитировать | Написать

network

#32964013

g613

Участник

Откуда: Нижний Новгород

Сообщения: 1 314

Рейтинг: 0 / 0

Alexander GulyaevЕсли правило пишется
-A INPUT -i eth0 -p tcp -m tcp -s 192.168.108.0/24 -j ACCEPT

то для все остальных интерфейсов все остается по умолчанию?
т.е. если ничего не писалось, то все можно?

угу

Alexander Gulyaev
Если нужны другие порты кроме ssh

-A INPUT -i eth0 -p tcp -m tcp --dport 0:21 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -i eth0 -p tcp -m tcp --dport 23:1023 -j REJECT --reject-with icmp-port-unreachable

то их так же описывать?

ну man iptables или info iptables таки лучше прочитать...

но суть такая что описать в начале все кому можно, а в конце конфига дропать все остальное...

Alexander Gulyaev
нет правила от обратного - просто перечислить которые нужны, а то получается на каждый разрешенный порт по две строки.

дык почему по две ?

ну напиши :

-A INPUT -i eth0 -p tcp -m tcp --dport 21 -s 192.168.108.127 -j ACCEPT
...
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -s 192.168.108.127 -j ACCEPT
...
-A INPUT -i eth0 -p ip -j REJECT

...

Рейтинг:

0 / 0

16.03.2005, 16:46:13

| Ответить | Цитировать | Написать

network

#32964057

Alexander Gulyaev

Гость

Спасибо, попробую разобраться.

...

Рейтинг:

0 / 0

16.03.2005, 16:55:57

| Ответить | Цитировать | Написать

8 сообщений из 8, страница 1 из 1

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / network

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=25&fpage=250&tid=1490881]:	0ms
get settings:	8ms
get forum list:	11ms
check forum access:	2ms
check topic access:	2ms
track hit:	273ms
get topic data:	11ms
get forum data:	3ms
get page messages:	39ms
get tp. blocked users:	1ms
others:	226ms

total:	576ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы