Serega555 Опубликовано 23 марта, 2019 Жалоба Поделиться Опубликовано 23 марта, 2019 Добрый день, знающие люди не могли бы помочь с правилами для Iptablesесть системник (файловая-помойка) работает через роутер с статическим IP 91.215.61.91 (в роутере все порты проброшены, доступ из мира на системник есть)мне нужно что бы с этих IP был доступ на любые порты 194.147.51.0/24194.147.50.0/2492.38.96.0/1991.215.60.0/22192.168.0.255/24Со всех других IP был блок с 22 по 8200 портпо возможности так же в какой файл сохранить правила, что бы работали после перезагрузки системника, на системнике трудится Debian 9 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Andreios Опубликовано 23 марта, 2019 Жалоба Поделиться Опубликовано 23 марта, 2019 Логичнее настроить ограничения на самом роутере. Порты проброшены выборочно? Для сохранения правил - пакет iptable-persistence и юзать iptable-save/restore. В /etc есть файлик в который можно сохранять и из него будет авторестор при ребуте. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Serega555 Опубликовано 23 марта, 2019 Автор Жалоба Поделиться Опубликовано 23 марта, 2019 Логичнее настроить ограничения на самом роутере. Порты проброшены выборочно? Для сохранения правил - пакет iptable-persistence и юзать iptable-save/restore. В /etc есть файлик в который можно сохранять и из него будет авторестор при ребуте. локальный IP системника добавлен в DMZ-host с мира при вводе 91.215.61.91 сразу попадаю на системник, роутер стоит Tenda AC6 проще будет убрать эту зону DMZ и настраивать порту в ручную каждый порт какой откуда можно какой нет? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Andreios Опубликовано 23 марта, 2019 Жалоба Поделиться Опубликовано 23 марта, 2019 Эти роутеры я не знаю, может и проще, но вот то что безопаснее - точно. Иначе у вас задача защитить свою систему от всего мира целиком. Есть шансы что-то да упустить, особенно когда опыта настройки такой нет. А в случае с роутер ом, все проще. К тому же если сделать наружу нестандартные порты. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
mmad11 Опубликовано 23 марта, 2019 Жалоба Поделиться Опубликовано 23 марта, 2019 (изменено) Могу помочь, если что. Только не сегодня напишу... с телефона не очень удобно. Изменено 23 марта, 2019 пользователем mmad11 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
mmad11 Опубликовано 23 марта, 2019 Жалоба Поделиться Опубликовано 23 марта, 2019 iptables -P INPUT DROPiptables -P FORWARD DROPiptables -A INPUT -i lo -j ACCEPTiptables -A INPUT -i название интерфейса -s адреса локальной сети -j ACCEPTiptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPTiptables -A INPUT -i название интерфейса -s адрес, с которого нужно разрешить -j ACCEPTiptables -A INPUT -i название интерфейса -m tcp -p tcp --dport 22:8200 -j ACCEPTapt install iptables-persistentapt install fail2ban fail2ban - чтобы на 22 порт с меньшей вероятности попали Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Serega555 Опубликовано 23 марта, 2019 Автор Жалоба Поделиться Опубликовано 23 марта, 2019 iptables -P INPUT DROPiptables -P FORWARD DROPiptables -A INPUT -i lo -j ACCEPTiptables -A INPUT -i название интерфейса -s адреса локальной сети -j ACCEPTiptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPTiptables -A INPUT -i название интерфейса -s адрес, с которого нужно разрешить -j ACCEPTiptables -A INPUT -i название интерфейса -m tcp -p tcp --dport 22:8200 -j ACCEPTapt install iptables-persistentapt install fail2ban fail2ban - чтобы на 22 порт с меньшей вероятности попали Спасибо! подскажите куда всё это можно будет добавить что бы после перезагрузки правила сохранились? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Serega555 Опубликовано 23 марта, 2019 Автор Жалоба Поделиться Опубликовано 23 марта, 2019 iptables -P INPUT DROPiptables -P FORWARD DROPiptables -A INPUT -i lo -j ACCEPTiptables -A INPUT -i название интерфейса -s адреса локальной сети -j ACCEPTiptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPTiptables -A INPUT -i название интерфейса -s адрес, с которого нужно разрешить -j ACCEPTiptables -A INPUT -i название интерфейса -m tcp -p tcp --dport 22:8200 -j ACCEPTapt install iptables-persistentapt install fail2ban fail2ban - чтобы на 22 порт с меньшей вероятности попалиiptables -A INPUT -i название интерфейса -m tcp -p tcp --dport 22:8200 -j ACCEPTразве этой цепочкой я не ставлю разрешения с 22 по 8200 порт? мне нужно что бы был блок со всех IP по этим портам кроме тех кому можно Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
BraVo123 Опубликовано 23 марта, 2019 Жалоба Поделиться Опубликовано 23 марта, 2019 Тогда там DROP, я тоже сначала по топику понял что нужно разрешить.Только после Drop, разрешить на все остальные.Ну или сразу разрешить остальные диапазоны, правила сверху вниз обрабатываются, при срабатывании выходит из цепочки.Спасибо! подскажите куда всё это можно будет добавить что бы после перезагрузки правила сохранились?Вот в WiKi пишут - https://wiki.debian.org/iptables Цитата «Украинский народ заслуживает того, чтобы определять своё будущее без вмешательства извне. И именно это Соединённые Штаты пытаются сделать». © Джон Бреннан (главный советник президента США Барака Обамы по борьбе с терроризмом)«Сибирь слишком большая, чтобы принадлежать одному государству» © Кондолиза Райс (госсекретарь США) Ссылка на комментарий Поделиться на другие сайты Поделиться
mmad11 Опубликовано 23 марта, 2019 Жалоба Поделиться Опубликовано 23 марта, 2019 (изменено) Блок, в смысле, блокировка? Тогда вместо ACCEPT - REJECTЯ понял так, что блок - блок портов Изменено 23 марта, 2019 пользователем mmad11 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
BraVo123 Опубликовано 23 марта, 2019 Жалоба Поделиться Опубликовано 23 марта, 2019 Блок, в смысле, блокировка? Тогда вместо ACCEPT - REJECTЯ понял так, что блок - блок портов Сообщение отредактировал mmad11: 23 Март 2019 - 19:47А в чём разница между DROP и REJECT? Цитата «Украинский народ заслуживает того, чтобы определять своё будущее без вмешательства извне. И именно это Соединённые Штаты пытаются сделать». © Джон Бреннан (главный советник президента США Барака Обамы по борьбе с терроризмом)«Сибирь слишком большая, чтобы принадлежать одному государству» © Кондолиза Райс (госсекретарь США) Ссылка на комментарий Поделиться на другие сайты Поделиться
mmad11 Опубликовано 23 марта, 2019 Жалоба Поделиться Опубликовано 23 марта, 2019 Drop - просто отбивает, а реджект говорит, что отбивает. При ринге можно увидеть разницу. При дворе будет тишина, типа нет адреса такого, а при реджект он говорит, что оборудование есть, но оно говорит реджект. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
BraVo123 Опубликовано 23 марта, 2019 Жалоба Поделиться Опубликовано 23 марта, 2019 То есть DROP просто игнорирует, а REJECT культурно посылает :) .Спасибо.Надо 53 порт с Reject на Drop, переделать, чтоб трафик не генерило, а то ломятся периодически. Цитата «Украинский народ заслуживает того, чтобы определять своё будущее без вмешательства извне. И именно это Соединённые Штаты пытаются сделать». © Джон Бреннан (главный советник президента США Барака Обамы по борьбе с терроризмом)«Сибирь слишком большая, чтобы принадлежать одному государству» © Кондолиза Райс (госсекретарь США) Ссылка на комментарий Поделиться на другие сайты Поделиться
mmad11 Опубликовано 23 марта, 2019 Жалоба Поделиться Опубликовано 23 марта, 2019 Ага. Я только дропом и пользуюсь. И fail2ban себе за правило взял. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.