Симферопольский Форум: Помощь с Iptables - Симферопольский Форум

Перейти к содержимому

Внимание! Для всех новых пользователей введена премодерация сообщений и тем.
Страница 1 из 1
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

Помощь с Iptables

#1 Пользователь офлайн   Serega555 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Старая гвардия
  • Сообщений: 872
  • Регистрация: 13 октября 10
  • ГородСимферополь
  • Страна:  

Отправлено 23 марта 2019 - 13:06

Добрый день, знающие люди не могли бы помочь с правилами для Iptables
есть системник (файловая-помойка) работает через роутер с статическим IP 91.215.61.91 (в роутере все порты проброшены, доступ из мира на системник есть)
мне нужно что бы с этих IP был доступ на любые порты
194.147.51.0/24
194.147.50.0/24
92.38.96.0/19
91.215.60.0/22
192.168.0.255/24


Со всех других IP был блок с 22 по 8200 порт


по возможности так же в какой файл сохранить правила, что бы работали после перезагрузки системника, на системнике трудится Debian 9


#2 Пользователь офлайн   Andreios 

  • Kill them all
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Старая гвардия
  • Сообщений: 7 675
  • Регистрация: 28 июля 11
  • ГородСимферополь
  • Страна:  

Отправлено 23 марта 2019 - 13:33

Логичнее настроить ограничения на самом роутере. Порты проброшены выборочно?

Для сохранения правил - пакет iptable-persistence и юзать iptable-save/restore. В /etc есть файлик в который можно сохранять и из него будет авторестор при ребуте.


#3 Пользователь офлайн   Serega555 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Старая гвардия
  • Сообщений: 872
  • Регистрация: 13 октября 10
  • ГородСимферополь
  • Страна:  

Отправлено 23 марта 2019 - 14:05

Просмотр сообщенияAndreios (23 марта 2019 - 13:33) писал:

Логичнее настроить ограничения на самом роутере. Порты проброшены выборочно?

Для сохранения правил - пакет iptable-persistence и юзать iptable-save/restore. В /etc есть файлик в который можно сохранять и из него будет авторестор при ребуте.


локальный IP системника добавлен в DMZ-host с мира при вводе 91.215.61.91 сразу попадаю на системник, роутер стоит Tenda AC6
проще будет убрать эту зону DMZ и настраивать порту в ручную каждый порт какой откуда можно какой нет?


#4 Пользователь офлайн   Andreios 

  • Kill them all
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Старая гвардия
  • Сообщений: 7 675
  • Регистрация: 28 июля 11
  • ГородСимферополь
  • Страна:  

Отправлено 23 марта 2019 - 15:07

Эти роутеры я не знаю, может и проще, но вот то что безопаснее - точно. Иначе у вас задача защитить свою систему от всего мира целиком. Есть шансы что-то да упустить, особенно когда опыта настройки такой нет. А в случае с роутер ом, все проще. К тому же если сделать наружу нестандартные порты.


#5 Пользователь офлайн   mmad11 

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Пoльзователь
  • Сообщений: 56
  • Регистрация: 06 октября 10

Отправлено 23 марта 2019 - 18:02

Могу помочь, если что. Только не сегодня напишу... с телефона не очень удобно.

Сообщение отредактировал mmad11: 23 марта 2019 - 18:04


#6 Пользователь офлайн   mmad11 

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Пoльзователь
  • Сообщений: 56
  • Регистрация: 06 октября 10

Отправлено 23 марта 2019 - 18:16

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i название интерфейса -s адреса локальной сети -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i название интерфейса -s адрес, с которого нужно разрешить -j ACCEPT
iptables -A INPUT -i название интерфейса -m tcp -p tcp --dport 22:8200 -j ACCEPT
apt install iptables-persistent
apt install fail2ban

fail2ban - чтобы на 22 порт с меньшей вероятности попали


Поблагодарили: 2 :

#7 Пользователь офлайн   Serega555 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Старая гвардия
  • Сообщений: 872
  • Регистрация: 13 октября 10
  • ГородСимферополь
  • Страна:  

Отправлено 23 марта 2019 - 18:46

Просмотр сообщенияmmad11 (23 марта 2019 - 18:16) писал:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i название интерфейса -s адреса локальной сети -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i название интерфейса -s адрес, с которого нужно разрешить -j ACCEPT
iptables -A INPUT -i название интерфейса -m tcp -p tcp --dport 22:8200 -j ACCEPT
apt install iptables-persistent
apt install fail2ban

fail2ban - чтобы на 22 порт с меньшей вероятности попали


Спасибо! подскажите куда всё это можно будет добавить что бы после перезагрузки правила сохранились?


#8 Пользователь офлайн   Serega555 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Старая гвардия
  • Сообщений: 872
  • Регистрация: 13 октября 10
  • ГородСимферополь
  • Страна:  

Отправлено 23 марта 2019 - 18:53

Просмотр сообщенияmmad11 (23 марта 2019 - 18:16) писал:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i название интерфейса -s адреса локальной сети -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i название интерфейса -s адрес, с которого нужно разрешить -j ACCEPT
iptables -A INPUT -i название интерфейса -m tcp -p tcp --dport 22:8200 -j ACCEPT
apt install iptables-persistent
apt install fail2ban

fail2ban - чтобы на 22 порт с меньшей вероятности попали

iptables -A INPUT -i название интерфейса -m tcp -p tcp --dport 22:8200 -j ACCEPT
разве этой цепочкой я не ставлю разрешения с 22 по 8200 порт?
мне нужно что бы был блок со всех IP по этим портам кроме тех кому можно


#9 Пользователь офлайн   BraVo123 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Активный участник
  • Сообщений: 803
  • Регистрация: 02 мая 14
  • ГородМосква
  • Страна:  

Отправлено 23 марта 2019 - 19:13

Тогда там DROP, я тоже сначала по топику понял что нужно разрешить.
Только после Drop, разрешить на все остальные.
Ну или сразу разрешить остальные диапазоны, правила сверху вниз обрабатываются, при срабатывании выходит из цепочки.

Просмотр сообщенияSerega555 сказал:

Спасибо! подскажите куда всё это можно будет добавить что бы после перезагрузки правила сохранились?

Вот в WiKi пишут - https://wiki.debian.org/iptables

«Украинский народ заслуживает того, чтобы определять своё будущее без вмешательства извне. И именно это Соединённые Штаты пытаются сделать». © Джон Бреннан (главный советник президента США Барака Обамы по борьбе с терроризмом)
«Сибирь слишком большая, чтобы принадлежать одному государству» © Кондолиза Райс (госсекретарь США)

#10 Пользователь офлайн   mmad11 

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Пoльзователь
  • Сообщений: 56
  • Регистрация: 06 октября 10

Отправлено 23 марта 2019 - 19:46

Блок, в смысле, блокировка? Тогда вместо ACCEPT - REJECT
Я понял так, что блок - блок портов

Сообщение отредактировал mmad11: 23 марта 2019 - 19:47


#11 Пользователь офлайн   BraVo123 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Активный участник
  • Сообщений: 803
  • Регистрация: 02 мая 14
  • ГородМосква
  • Страна:  

Отправлено 23 марта 2019 - 19:51

Просмотр сообщенияmmad11 сказал:

Блок, в смысле, блокировка? Тогда вместо ACCEPT - REJECT
Я понял так, что блок - блок портов

Сообщение отредактировал mmad11: 23 Март 2019 - 19:47

А в чём разница между DROP и REJECT?

«Украинский народ заслуживает того, чтобы определять своё будущее без вмешательства извне. И именно это Соединённые Штаты пытаются сделать». © Джон Бреннан (главный советник президента США Барака Обамы по борьбе с терроризмом)
«Сибирь слишком большая, чтобы принадлежать одному государству» © Кондолиза Райс (госсекретарь США)

#12 Пользователь офлайн   mmad11 

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Пoльзователь
  • Сообщений: 56
  • Регистрация: 06 октября 10

Отправлено 23 марта 2019 - 19:55

Drop - просто отбивает, а реджект говорит, что отбивает. При ринге можно увидеть разницу. При дворе будет тишина, типа нет адреса такого, а при реджект он говорит, что оборудование есть, но оно говорит реджект.


#13 Пользователь офлайн   BraVo123 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Активный участник
  • Сообщений: 803
  • Регистрация: 02 мая 14
  • ГородМосква
  • Страна:  

Отправлено 23 марта 2019 - 19:59

То есть DROP просто игнорирует, а REJECT культурно посылает :) .
Спасибо.
Надо 53 порт с Reject на Drop, переделать, чтоб трафик не генерило, а то ломятся периодически.

«Украинский народ заслуживает того, чтобы определять своё будущее без вмешательства извне. И именно это Соединённые Штаты пытаются сделать». © Джон Бреннан (главный советник президента США Барака Обамы по борьбе с терроризмом)
«Сибирь слишком большая, чтобы принадлежать одному государству» © Кондолиза Райс (госсекретарь США)

#14 Пользователь офлайн   mmad11 

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Пoльзователь
  • Сообщений: 56
  • Регистрация: 06 октября 10

Отправлено 23 марта 2019 - 22:16

Ага. Я только дропом и пользуюсь. И fail2ban себе за правило взял.


Поделиться темой:


Страница 1 из 1
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

1 человек читают эту тему
0 пользователей, 1 гостей, 0 скрытых пользователей