← All posts tagged iptables

Dant
Linux iptables shell Скриптег файрвола для одиноко-стоящей в интернетах VPS-очки : ) Бета-Версия: pastebin.com

Пока сочинял, узнал про особенные особенности дефолтной политики цепочек иптаблес. Век жыви и все такое...

Оказывается, можно задать умолчательную политику iptables -P INPUT DROP, тогда специальное правило блокировки входящего трафика не нужно, но если потом, вдрук неподумавши, сделать iptables -F — можно лехко и непринужденно отвалиться от сервера и получить долгую дорогу к нему : )

Поэтому, в случае дефолтно-дропающей политики для входящей цепочки, перед iptables -F нужно всегда говорить iptables -P INPUT ACCEPT

А если хочется предсказуемости и не хочется долгой дороги к консоли — все дефолтные политики делаем ACCEPT, а правило DROP указываем явно, последним в цепочке. Такие дела )
Dant
Ubuntu Linux iptables Базовая настройка iptables на одиноком сервере:

iptables -L
iptables -S
iptables -I INPUT 1 -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -i eth0 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -i eth0 -j ACCEPT
iptables -P INPUT DROP
iptables -L
iptables -S

ip6tables -L
ipt6ables -S
ip6tables -I INPUT 1 -i lo -j ACCEPT
ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A INPUT -p tcp --dport 22 -i eth0 -j ACCEPT
ip6tables -A INPUT -p tcp --dport 80 -i eth0 -j ACCEPT
ip6tables -A INPUT -p tcp --dport 443 -i eth0 -j ACCEPT
ip6tables -A INPUT -p udp --dport 53 -i eth0 -j ACCEPT
ip6tables -A INPUT -p tcp --dport 53 -i eth0 -j ACCEPT
ip6tables -P INPUT DROP
ip6tables -L
ip6tables -S

apt-get install iptables-persistent
service iptables-persistent save
service iptables-persistent start
cat /etc/iptables/rules.v4
cat /etc/iptables/rules.v6
Dant
Linux iptables mywiki links Очень годный how-to по марсианскому иптабялсу: dant.net.ru

+500 к мудрости и приближает если не к пониманию этой срани, но к ее вдумчивому использованию : )

В целом, debuntu.org — очень, очень, годный ресурс по убунтам и дебианам. Добавил в разнообразные рсс-сы и фаворитесы : ) И немедленно выпил (ц) : ))
Dant
Linux iptables ? А может кто-нить показать простой скрипт иптаблясов без блэкджеков для локальной фильтрации на сервере с одним сетевым интерфейсом? Типа разрешаем весь исходящий трафик и разрешаем входящие коннекты на заданные порты. Можно вывод iptables-save для таблички filter.

Вобчем, нужен аналог pf-овского:

block in
pass out
pass in quick on $if proto tcp to ($if) port { ssh, www, https, smtp }

Да, желательно — с использованием дополнительной пользовательской цепочки : )