Около сетевой Блог » IpTables

IPFire 2.9 Первое знакомство

Setevik — Sat, 05 Feb 2011 19:02:37 +0000

Как и было обещано мы продолжаем публиковать статьи о Linux дистрибутиве-файерволе IPFire 2.9. В этой статье знакомство с веб-интерфейсом, а так же обзор основных возможностей.

После установки IPFire 2.9 (описанной в статье Устанавливаем IPFire 2.9 Core 45) его необходимо настроить. По умолчанию все основные сервисы, которые необходимы любому шлюзу между локальной сетью и интернетом отключены. Возможно в рамках этой статьи мы не будем настраивать наш шлюз, а всего лишь познакомимся с тем как им управлять, как это выглядит, а так же что он может.
Как мы помним устанавливая IPFire 2.9 мы задали на его внутреннем сетевом интерфейсе адрес 192.168.244.15. Введем этот адрес в нашем браузере и зайдем на сервер.

https://192.168.244.14:444

Не удивляйтесь неправильности сертификата, смело жмите «продолжить»
Потом введем логин и пароль. При установке был создан только один веб-поьзователь «admin»

На первой («домашней») странице интерфейса IPFire 2.9 указаны существующие сетевые интерфейсы и их настройки.

Мы не будем показывать все страницы, а становимся лишь на самых интересных.
Далее интересная закладка «SSH Access». На которой можно настроить порты работы демона ssh (в IPFire по умолчанию используется 222 порт, его можно сменить на стандартный 22). Разрешить tcp-forwarding для ssh соединений. Остановить демон SSHD.

Так же интересная закладка «backup». Тут мы можем сохранить и скачать текущие настройки системы. Тут интересная функция «Generate ISO» которая создаст инсталляционный диск который уже включает текущие настройки. То есть после инсталляции нам не придется ничего настраивать. Эта функция интересна если планируется перенести наш шлюз на другой сервер.

Естественно тут же находится и функция восстановления сохраненных настроек.
Во вкладке GUI Settings нам показалась интересной функция включения отображения имени хоста в браузере.

Вся статистика работы сервера отображена в разделе «Status». Тут и нагрузка на процессор и статистика выделения памяти и использования жесткого диска. Тут же и загрузка сетевых интерфейсов.

Так же можно посмотреть на открытые сетевые соединения

Раздел «network». В этом разделе собраны настройки сетевых сервисов. Например тут настраивается proxy server и dhcp server.

Здесь же можно настроить внешний используемый DNS и изменить mac адрес интерфейса

В разделе «Services» можно настроить такие сервисы как OpenVPN (и создать сертификаты для клиентов).

Настроить использование DynDNS и NTP-сервера

Задать правила QoS, с указанием скорости Upload и Download

А так же запустить сервис обнаружения атак

В разделе «FireWall» собраны все настройки связанные с работой Firewall Iptables.

В разделе «ipfire» можно установить дополнения или обновить систему

Для просмотра логов работы сервера и запущенных сервисов предназначен раздел «Logs»

Вот и все
О том как настроить систему и сделать наш сетевой шлюз работающим, защищенным и безопасным

Linux: iptables пробрасываем порты наружу

Ioann — Tue, 02 Mar 2010 14:57:22 +0000

Часто возникает необходимость зайти через интернет на оборудование (сервер, компьютер или еще какой девайс) которое находится за файерволом и не имеет внешнего ip адреса. О том как это сделать написано много, но в большинстве случаев статьи длинные и не совсем понятные. Мы постараемся одним простым примером показать как это делается.

[ad#ad-2]
Прежде чем рассказать как настроить iptables для проброса портов в локальную сеть, хочется отметить что любой проброс в локалку — это еще одна открытая дыра в защите сети. И не просто сети а информации которая в ней хранится. Но уже если надо, и риск оправдан то делается это так:

# iptables -t nat -A PREROUTING -p tcp -d $EXT_FW_IP --dport $EXT_FW_PORT -j DNAT --to-destination $LOCAL_IP:$LOCAL_PORT

Где

$EXT_FW_IP - адрес файервола(маршрутизатора/сервера) который виден из интернета
$EXT_FW_PORT - порт файервола(маршрутизатора/сервера) который виден из интернета 
$LOCAL_IP - адрес нашего оборудование в локальной сети (то оборудование на которое мы хотим попасть)
$LOCAL_PORT - порт на который надо попасть на нашем локальном оборудовании

Рассмотрим пример:
Например у нас есть сервер отвечающий за хранение файлов в локальной сети. Ему незачем светиться в интернете. Доступ к интернету у него есть только через NAT для обновления установленных пакетов. В качестве файервола в нашей локальной сети выступает еще один сервер под управлением LINUX.
Пусть на файерволе внешний ip адрес 44.44.44.44, мы хотим получить доступ по ssh к нашему файл-серверу. Файл сервер имеет ip адрес 10.0.1.1. Под проброс выделим внешний порт 8082
Делаем проброс

iptables -t nat -A PREROUTING -p tcp -d 44.44.44.44 --dport 8082 -j DNAT --to-destination 10.0.1.1:22

И теперь выполнив ssh -l user_name 44.44.44.44:8082 мы попадем на стандартный ssh порт нашего сервера в локальной сети.

Linux: сохраняем/ загружаем правила iptables

Ioann — Thu, 25 Feb 2010 15:49:20 +0000

При изменении правил iptables они автоматом не сохраняются. Для того что бы записать их надо выполнить простую команду.

[ad#ad-2]
Многие забывают записать существующую конфигурацию iptables перед внесением изменений. А зря, если изменяется не одна строчка а сотни, то откатиться назад будет очень непросто.
В Ubuntu Linux правила iptables сохраняются очень просто:

$ sudo -s
$ iptables-save > /root/working.iptables.rules

И загружаются не менее просто

# iptables-restore < /root/working.iptables.rules

Linux: Samba ограничиваем доступ к шарам пользователям по имени или по IP

Ioann — Tue, 09 Feb 2010 15:14:53 +0000

Сегодня мы расскажем о том как ограничить доступ определенным пользователям или хостам к шарам Samba. Как обычно в статье рассмотрим несколько способов для реализации этой задачи.

[ad#ad-2]
Способ первый: редактирование файлов /etc/hosts.allow и /etc/hosts.deny
/etc/hosts.allow — описывает хосты которым разрешено пользоваться запущенными сетевыми службами.
/etc/hosts.deny — описывает хосты которым зкпрещено пользоваться запущенными сетевыми службами.
Например запретим подсети 192.168.2.0/24 обращаться к службе Samba. Для этого внесем в файл /etc/hosts.deny следующую строчку

smbd : 192.168.2.

Способ второй: использование директивы hosts allow в конфигурационном файле Samba
В этом примере обращение разрешено подсети 192.168.2.0/2 и локальному хосту:

[share]
  hosts allow = 192.168.2. 127.0.0.1

Так же через конфигурационный файл можно разрешить доступ только определенным пользователям и группам:

[share]
  valid users = user1 user2 @group1 @group2

Директивы read only и write only конфигурационного файла Samba

[share]
     read only = yes
     write list = user1 user2 @group1 @group2

В примере папка sales помечена как только для чтения, но пользователям tom и jerry разрешена запись в шару

[sales]
     comment = All Printers
     path = /nas/fs/sales
     read only = yes
     write list = tom jerry

Способ третий: использование IpTables

Linux: IpTables ограничиваем количество соединений с одного ip

Ioann — Mon, 08 Feb 2010 13:33:35 +0000

Очень часто мы сталкиваемся с необходимостью ограничить количество соединений с одного хоста. Эта задача актуальна для администраторов, которые не хотят получить переполнение стека tcp/ip из-за пользователя который решил включить торрент клиент и забыл выключить DHT.

[ad#ad-2]
IpTables синтаксис команды ограничения соединений:

/sbin/iptables -A INPUT -p tcp --syn --dport $port -m connlimit --connlimit-above N -j REJECT --reject-with tcp-reset
# save the changes see iptables-save man page, the following is redhat and friends specific command
service iptables save

Пример ограничения количества соединений на порт ssh с одного ip исспользуя IpTables

/sbin/iptables  -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT
# save the changes see iptables-save man page, the following is redhat and friends specific command
service iptables save

Пример ограничения количества соединений на порт http с одного ip исспользуя IpTables

/sbin/iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 -j REJECT --reject-with tcp-reset
# save the changes see iptables-save man page, the following is redhat and friends specific command
service iptables save

Пример ограничения количества соединений на порт http с с одной сети исспользуя IpTables

/sbin/iptables  -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j REJECT --reject-with tcp-reset
# save the changes see iptables-save man page
service iptables save

Пример ограничения количества соединений на порт http с одного ip если он отсылает более 10 пакетов в 100 секунд исспользуя IpTables

#!/bin/bash
IPT=/sbin/iptables
# Max connection in seconds
SECONDS=100
# Max connections per IP
BLOCKCOUNT=10
# ....
# ..
# default action can be DROP or REJECT
DACTION="DROP"
$IPT -A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --set
$IPT -A INPUT -p tcp --dport 80 -i eth0 -m state --state NEW -m recent --update --seconds ${SECONDS} --hitcount ${BLOCKCOUNT} -j ${DACTION}
# ....
# ..

Пример проверки работоспособности указанных правил IpTables

#!/bin/bash
ip="10.10.10.10"
port="80"
for i in {1..100}
do
  # коннектимся, ничего не делаем  и выходим :) 
  echo "exit" | nc ${ip} ${port};
done