Serega555 Posted March 23, 2019 Report Share Posted March 23, 2019 Добрый день, знающие люди не могли бы помочь с правилами для Iptablesесть системник (файловая-помойка) работает через роутер с статическим IP 91.215.61.91 (в роутере все порты проброшены, доступ из мира на системник есть)мне нужно что бы с этих IP был доступ на любые порты 194.147.51.0/24194.147.50.0/2492.38.96.0/1991.215.60.0/22192.168.0.255/24Со всех других IP был блок с 22 по 8200 портпо возможности так же в какой файл сохранить правила, что бы работали после перезагрузки системника, на системнике трудится Debian 9 Quote Link to comment Share on other sites More sharing options...
Andreios Posted March 23, 2019 Report Share Posted March 23, 2019 Логичнее настроить ограничения на самом роутере. Порты проброшены выборочно? Для сохранения правил - пакет iptable-persistence и юзать iptable-save/restore. В /etc есть файлик в который можно сохранять и из него будет авторестор при ребуте. Quote Link to comment Share on other sites More sharing options...
Serega555 Posted March 23, 2019 Author Report Share Posted March 23, 2019 Логичнее настроить ограничения на самом роутере. Порты проброшены выборочно? Для сохранения правил - пакет iptable-persistence и юзать iptable-save/restore. В /etc есть файлик в который можно сохранять и из него будет авторестор при ребуте. локальный IP системника добавлен в DMZ-host с мира при вводе 91.215.61.91 сразу попадаю на системник, роутер стоит Tenda AC6 проще будет убрать эту зону DMZ и настраивать порту в ручную каждый порт какой откуда можно какой нет? Quote Link to comment Share on other sites More sharing options...
Andreios Posted March 23, 2019 Report Share Posted March 23, 2019 Эти роутеры я не знаю, может и проще, но вот то что безопаснее - точно. Иначе у вас задача защитить свою систему от всего мира целиком. Есть шансы что-то да упустить, особенно когда опыта настройки такой нет. А в случае с роутер ом, все проще. К тому же если сделать наружу нестандартные порты. Quote Link to comment Share on other sites More sharing options...
mmad11 Posted March 23, 2019 Report Share Posted March 23, 2019 (edited) Могу помочь, если что. Только не сегодня напишу... с телефона не очень удобно. Edited March 23, 2019 by mmad11 Quote Link to comment Share on other sites More sharing options...
mmad11 Posted March 23, 2019 Report Share Posted March 23, 2019 iptables -P INPUT DROPiptables -P FORWARD DROPiptables -A INPUT -i lo -j ACCEPTiptables -A INPUT -i название интерфейса -s адреса локальной сети -j ACCEPTiptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPTiptables -A INPUT -i название интерфейса -s адрес, с которого нужно разрешить -j ACCEPTiptables -A INPUT -i название интерфейса -m tcp -p tcp --dport 22:8200 -j ACCEPTapt install iptables-persistentapt install fail2ban fail2ban - чтобы на 22 порт с меньшей вероятности попали Quote Link to comment Share on other sites More sharing options...
Serega555 Posted March 23, 2019 Author Report Share Posted March 23, 2019 iptables -P INPUT DROPiptables -P FORWARD DROPiptables -A INPUT -i lo -j ACCEPTiptables -A INPUT -i название интерфейса -s адреса локальной сети -j ACCEPTiptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPTiptables -A INPUT -i название интерфейса -s адрес, с которого нужно разрешить -j ACCEPTiptables -A INPUT -i название интерфейса -m tcp -p tcp --dport 22:8200 -j ACCEPTapt install iptables-persistentapt install fail2ban fail2ban - чтобы на 22 порт с меньшей вероятности попали Спасибо! подскажите куда всё это можно будет добавить что бы после перезагрузки правила сохранились? Quote Link to comment Share on other sites More sharing options...
Serega555 Posted March 23, 2019 Author Report Share Posted March 23, 2019 iptables -P INPUT DROPiptables -P FORWARD DROPiptables -A INPUT -i lo -j ACCEPTiptables -A INPUT -i название интерфейса -s адреса локальной сети -j ACCEPTiptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPTiptables -A INPUT -i название интерфейса -s адрес, с которого нужно разрешить -j ACCEPTiptables -A INPUT -i название интерфейса -m tcp -p tcp --dport 22:8200 -j ACCEPTapt install iptables-persistentapt install fail2ban fail2ban - чтобы на 22 порт с меньшей вероятности попалиiptables -A INPUT -i название интерфейса -m tcp -p tcp --dport 22:8200 -j ACCEPTразве этой цепочкой я не ставлю разрешения с 22 по 8200 порт? мне нужно что бы был блок со всех IP по этим портам кроме тех кому можно Quote Link to comment Share on other sites More sharing options...
BraVo123 Posted March 23, 2019 Report Share Posted March 23, 2019 Тогда там DROP, я тоже сначала по топику понял что нужно разрешить.Только после Drop, разрешить на все остальные.Ну или сразу разрешить остальные диапазоны, правила сверху вниз обрабатываются, при срабатывании выходит из цепочки.Спасибо! подскажите куда всё это можно будет добавить что бы после перезагрузки правила сохранились?Вот в WiKi пишут - https://wiki.debian.org/iptables Quote «Украинский народ заслуживает того, чтобы определять своё будущее без вмешательства извне. И именно это Соединённые Штаты пытаются сделать». © Джон Бреннан (главный советник президента США Барака Обамы по борьбе с терроризмом)«Сибирь слишком большая, чтобы принадлежать одному государству» © Кондолиза Райс (госсекретарь США) Link to comment Share on other sites More sharing options...
mmad11 Posted March 23, 2019 Report Share Posted March 23, 2019 (edited) Блок, в смысле, блокировка? Тогда вместо ACCEPT - REJECTЯ понял так, что блок - блок портов Edited March 23, 2019 by mmad11 Quote Link to comment Share on other sites More sharing options...
BraVo123 Posted March 23, 2019 Report Share Posted March 23, 2019 Блок, в смысле, блокировка? Тогда вместо ACCEPT - REJECTЯ понял так, что блок - блок портов Сообщение отредактировал mmad11: 23 Март 2019 - 19:47А в чём разница между DROP и REJECT? Quote «Украинский народ заслуживает того, чтобы определять своё будущее без вмешательства извне. И именно это Соединённые Штаты пытаются сделать». © Джон Бреннан (главный советник президента США Барака Обамы по борьбе с терроризмом)«Сибирь слишком большая, чтобы принадлежать одному государству» © Кондолиза Райс (госсекретарь США) Link to comment Share on other sites More sharing options...
mmad11 Posted March 23, 2019 Report Share Posted March 23, 2019 Drop - просто отбивает, а реджект говорит, что отбивает. При ринге можно увидеть разницу. При дворе будет тишина, типа нет адреса такого, а при реджект он говорит, что оборудование есть, но оно говорит реджект. Quote Link to comment Share on other sites More sharing options...
BraVo123 Posted March 23, 2019 Report Share Posted March 23, 2019 То есть DROP просто игнорирует, а REJECT культурно посылает :) .Спасибо.Надо 53 порт с Reject на Drop, переделать, чтоб трафик не генерило, а то ломятся периодически. Quote «Украинский народ заслуживает того, чтобы определять своё будущее без вмешательства извне. И именно это Соединённые Штаты пытаются сделать». © Джон Бреннан (главный советник президента США Барака Обамы по борьбе с терроризмом)«Сибирь слишком большая, чтобы принадлежать одному государству» © Кондолиза Райс (госсекретарь США) Link to comment Share on other sites More sharing options...
mmad11 Posted March 23, 2019 Report Share Posted March 23, 2019 Ага. Я только дропом и пользуюсь. И fail2ban себе за правило взял. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.