Симферопольский Форум: Помощь с Iptables - Симферопольский Форум

Перейти к содержимому

Внимание! Для всех новых пользователей введена премодерация сообщений и тем.
Страница 1 из 1
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

Помощь с Iptables

#1 Пользователь офлайн   Serega555 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Старая гвардия
  • Сообщений: 870
  • Регистрация: 13 Октябрь 10
  • Сказали спасибо раз:
  • ГородСимферополь
  • Страна:  

Отправлено 23 Март 2019 - 13:06

Добрый день, знающие люди не могли бы помочь с правилами для Iptables
есть системник (файловая-помойка) работает через роутер с статическим IP 91.215.61.91 (в роутере все порты проброшены, доступ из мира на системник есть)
мне нужно что бы с этих IP был доступ на любые порты
194.147.51.0/24
194.147.50.0/24
92.38.96.0/19
91.215.60.0/22
192.168.0.255/24


Со всех других IP был блок с 22 по 8200 порт


по возможности так же в какой файл сохранить правила, что бы работали после перезагрузки системника, на системнике трудится Debian 9


#2 Пользователь офлайн   Andreios 

  • Kill them all
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Старая гвардия
  • Сообщений: 7 219
  • Регистрация: 28 Июль 11
  • Сказали спасибо раз:
  • ГородСимферополь
  • Страна:  

Отправлено 23 Март 2019 - 13:33

Логичнее настроить ограничения на самом роутере. Порты проброшены выборочно?

Для сохранения правил - пакет iptable-persistence и юзать iptable-save/restore. В /etc есть файлик в который можно сохранять и из него будет авторестор при ребуте.


#3 Пользователь офлайн   Serega555 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Старая гвардия
  • Сообщений: 870
  • Регистрация: 13 Октябрь 10
  • Сказали спасибо раз:
  • ГородСимферополь
  • Страна:  

Отправлено 23 Март 2019 - 14:05

Просмотр сообщенияAndreios (23 Март 2019 - 13:33) писал:

Логичнее настроить ограничения на самом роутере. Порты проброшены выборочно?

Для сохранения правил - пакет iptable-persistence и юзать iptable-save/restore. В /etc есть файлик в который можно сохранять и из него будет авторестор при ребуте.


локальный IP системника добавлен в DMZ-host с мира при вводе 91.215.61.91 сразу попадаю на системник, роутер стоит Tenda AC6
проще будет убрать эту зону DMZ и настраивать порту в ручную каждый порт какой откуда можно какой нет?


#4 Пользователь офлайн   Andreios 

  • Kill them all
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Старая гвардия
  • Сообщений: 7 219
  • Регистрация: 28 Июль 11
  • Сказали спасибо раз:
  • ГородСимферополь
  • Страна:  

Отправлено 23 Март 2019 - 15:07

Эти роутеры я не знаю, может и проще, но вот то что безопаснее - точно. Иначе у вас задача защитить свою систему от всего мира целиком. Есть шансы что-то да упустить, особенно когда опыта настройки такой нет. А в случае с роутер ом, все проще. К тому же если сделать наружу нестандартные порты.


#5 Пользователь офлайн   mmad11 

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Пoльзователь
  • Сообщений: 48
  • Регистрация: 06 Октябрь 10
  • Сказали спасибо раз:

Отправлено 23 Март 2019 - 18:02

Могу помочь, если что. Только не сегодня напишу... с телефона не очень удобно.

Сообщение отредактировал mmad11: 23 Март 2019 - 18:04


#6 Пользователь офлайн   mmad11 

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Пoльзователь
  • Сообщений: 48
  • Регистрация: 06 Октябрь 10
  • Сказали спасибо раз:

Отправлено 23 Март 2019 - 18:16

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i название интерфейса -s адреса локальной сети -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i название интерфейса -s адрес, с которого нужно разрешить -j ACCEPT
iptables -A INPUT -i название интерфейса -m tcp -p tcp --dport 22:8200 -j ACCEPT
apt install iptables-persistent
apt install fail2ban

fail2ban - чтобы на 22 порт с меньшей вероятности попали


Поблагодарили: 2 :

#7 Пользователь офлайн   Serega555 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Старая гвардия
  • Сообщений: 870
  • Регистрация: 13 Октябрь 10
  • Сказали спасибо раз:
  • ГородСимферополь
  • Страна:  

Отправлено 23 Март 2019 - 18:46

Просмотр сообщенияmmad11 (23 Март 2019 - 18:16) писал:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i название интерфейса -s адреса локальной сети -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i название интерфейса -s адрес, с которого нужно разрешить -j ACCEPT
iptables -A INPUT -i название интерфейса -m tcp -p tcp --dport 22:8200 -j ACCEPT
apt install iptables-persistent
apt install fail2ban

fail2ban - чтобы на 22 порт с меньшей вероятности попали


Спасибо! подскажите куда всё это можно будет добавить что бы после перезагрузки правила сохранились?


#8 Пользователь офлайн   Serega555 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Старая гвардия
  • Сообщений: 870
  • Регистрация: 13 Октябрь 10
  • Сказали спасибо раз:
  • ГородСимферополь
  • Страна:  

Отправлено 23 Март 2019 - 18:53

Просмотр сообщенияmmad11 (23 Март 2019 - 18:16) писал:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i название интерфейса -s адреса локальной сети -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i название интерфейса -s адрес, с которого нужно разрешить -j ACCEPT
iptables -A INPUT -i название интерфейса -m tcp -p tcp --dport 22:8200 -j ACCEPT
apt install iptables-persistent
apt install fail2ban

fail2ban - чтобы на 22 порт с меньшей вероятности попали

iptables -A INPUT -i название интерфейса -m tcp -p tcp --dport 22:8200 -j ACCEPT
разве этой цепочкой я не ставлю разрешения с 22 по 8200 порт?
мне нужно что бы был блок со всех IP по этим портам кроме тех кому можно


#9 Пользователь офлайн   BraVo123 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Активный участник
  • Сообщений: 626
  • Регистрация: 02 Май 14
  • Сказали спасибо раз:
  • ГородМосква
  • Страна:  

Отправлено 23 Март 2019 - 19:13

Тогда там DROP, я тоже сначала по топику понял что нужно разрешить.
Только после Drop, разрешить на все остальные.
Ну или сразу разрешить остальные диапазоны, правила сверху вниз обрабатываются, при срабатывании выходит из цепочки.

Просмотр сообщенияSerega555 сказал:

Спасибо! подскажите куда всё это можно будет добавить что бы после перезагрузки правила сохранились?

Вот в WiKi пишут - https://wiki.debian.org/iptables

«Украинский народ заслуживает того, чтобы определять своё будущее без вмешательства извне. И именно это Соединённые Штаты пытаются сделать». © Джон Бреннан (главный советник президента США Барака Обамы по борьбе с терроризмом)
«Сибирь слишком большая, чтобы принадлежать одному государству» © Кондолиза Райс (госсекретарь США)

#10 Пользователь офлайн   mmad11 

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Пoльзователь
  • Сообщений: 48
  • Регистрация: 06 Октябрь 10
  • Сказали спасибо раз:

Отправлено 23 Март 2019 - 19:46

Блок, в смысле, блокировка? Тогда вместо ACCEPT - REJECT
Я понял так, что блок - блок портов

Сообщение отредактировал mmad11: 23 Март 2019 - 19:47


#11 Пользователь офлайн   BraVo123 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Активный участник
  • Сообщений: 626
  • Регистрация: 02 Май 14
  • Сказали спасибо раз:
  • ГородМосква
  • Страна:  

Отправлено 23 Март 2019 - 19:51

Просмотр сообщенияmmad11 сказал:

Блок, в смысле, блокировка? Тогда вместо ACCEPT - REJECT
Я понял так, что блок - блок портов

Сообщение отредактировал mmad11: 23 Март 2019 - 19:47

А в чём разница между DROP и REJECT?

«Украинский народ заслуживает того, чтобы определять своё будущее без вмешательства извне. И именно это Соединённые Штаты пытаются сделать». © Джон Бреннан (главный советник президента США Барака Обамы по борьбе с терроризмом)
«Сибирь слишком большая, чтобы принадлежать одному государству» © Кондолиза Райс (госсекретарь США)

#12 Пользователь офлайн   mmad11 

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Пoльзователь
  • Сообщений: 48
  • Регистрация: 06 Октябрь 10
  • Сказали спасибо раз:

Отправлено 23 Март 2019 - 19:55

Drop - просто отбивает, а реджект говорит, что отбивает. При ринге можно увидеть разницу. При дворе будет тишина, типа нет адреса такого, а при реджект он говорит, что оборудование есть, но оно говорит реджект.


#13 Пользователь офлайн   BraVo123 

  • Живу здесь
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Активный участник
  • Сообщений: 626
  • Регистрация: 02 Май 14
  • Сказали спасибо раз:
  • ГородМосква
  • Страна:  

Отправлено 23 Март 2019 - 19:59

То есть DROP просто игнорирует, а REJECT культурно посылает :) .
Спасибо.
Надо 53 порт с Reject на Drop, переделать, чтоб трафик не генерило, а то ломятся периодически.

«Украинский народ заслуживает того, чтобы определять своё будущее без вмешательства извне. И именно это Соединённые Штаты пытаются сделать». © Джон Бреннан (главный советник президента США Барака Обамы по борьбе с терроризмом)
«Сибирь слишком большая, чтобы принадлежать одному государству» © Кондолиза Райс (госсекретарь США)

#14 Пользователь офлайн   mmad11 

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Пoльзователь
  • Сообщений: 48
  • Регистрация: 06 Октябрь 10
  • Сказали спасибо раз:

Отправлено 23 Март 2019 - 22:16

Ага. Я только дропом и пользуюсь. И fail2ban себе за правило взял.


Поделиться темой:


Страница 1 из 1
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

1 человек читают эту тему
0 пользователей, 1 гостей, 0 скрытых пользователей