17.1.3. Конфигурирование IpChains

17.1.3. Конфигурирование IpChains

Теперь приступим к настройке IPChains. Создайте цепочку, через которую пойдет весь трафик от провайдера:

ipchains –N prov

ipchains –A input –i eth0 –j prov

Запретите ip-spoofing:

ipchains –A prov –s 192.168.1.1/16 –1 –j DENY

ipchains –A prov –s 127.0.0.1/8 –1 –j

DENY Запретите Telnet снаружи:

ipchains –A prov –p tcp –destination-port 23 –j REJECT

Если вы не хотите, чтобы samba «светилась» наружу, запретите порты 137-139:

ipchains –A prov –p tcp –destination-port 137 –j REJECT

ipchains –A prov –p udp –destination-port 137 –j REJECT

To же самое проделайте для портов 138 и 129.

О настройке samba вы можете прочитать в Samba-HOWTO.

Создайте цепочку для подсчета трафика:

ipchains –N trafin

ipchains –I input –i eth0 –s ! 123.123.123.0/24 –p all –j trafin

ipchains –A trafin –d 123.123.123.123

Для того, чтобы ваши правила были постоянными (при перезагрузке машины правила IpChains теряются), используйте скрипты ipchains-save и ipchains-restore. Настройте свои правила, а затем выполните команду:

# ipchains-save > /etc/ipchains.rules

Далее создайте скрипт, подобный тому, что приведен в листинге 17.1.

Листинг 17.1. Скрипт управления пакетной фильтрацией

#!/bin/sh

# Скрипт управления пакетной фильтрацией.

# Если правил нет, то ничего не делать.

[-f /etc/ipchains. rules] || exit 0

case "$1" in

start)

 echo –n "Включение пакетной фильтрации:"

 /sbin/ipchains-restore </etc/ipchains.rules || exit 1

 echo 1 > /proc/sys/net/ipv4/ip_forward

 echo "." ;;

stop)

 echo –n "Отключение пакетной фильтрации:"

 echo 0 >/proc/sys/net/ipv4/ip_forward

 /sbin/ipchains –X

 /sbin/ipchains –F

 /sbin/ipchains –P input ACCEPT

 /sbin/ipchains –P output ACCEPT

 /sbin/ipchains –P forward ACCEPT

 echo "." ;;

*)

 echo "Использование: /etc/init.d/packetfilter {start|stop}"

 exit 1 ;;

esac

exit 0

Этот скрипт добавьте в сценарии загрузки системы.

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг

4.1.2. Конфигурирование Х.Оrg

Из книги Fedora 8 Руководство пользователя автора Колисниченко Денис Николаевич

4.1.2. Конфигурирование Х.Оrg Сначала ми рассмотрим настройку X.Org вручную - с помощью конфигурационного файла, а потом с помощью


7.3. Конфигурирование X-сервера

Из книги Linux для пользователя автора Костромин Виктор Алексеевич

7.3. Конфигурирование X-сервера Рассмотрим ситуацию, когда после инсталляции Linux вы либо не можете выйти в графический режим, либо недовольны тем, как выводится изображение в графическом режиме. Если вы при инсталляции задали автоматический выход в графический режим, то


14.3.1 Конфигурирование kppp

Из книги Linux-сервер своими руками автора Колисниченко Денис Николаевич

14.3.1 Конфигурирование kppp Чтобы начать конфигурирование, нажмите кнопку Настройка. Откроется диалоговое окно конфигурации kppp (рис. 14.3). Рис. 14.3. Окно настройки kpppНачать надо, конечно, с создания новой учетной записи соединения с провайдером услуг Интернета, для чего


14.1. Применение IPChains

Из книги Linux: Полное руководство автора Колисниченко Денис Николаевич

14.1. Применение IPChains Для начала небольшое вступление. Читатель, скорее всего, знает, что весь трафик в сети состоит из пакетов. Каждый пакет состоит из двух частей: заголовка и тела. В заголовке пакета находится информация об источнике, адресате, типе пакета, а также прочая


14.2. Настройка IPChains

Из книги Linux глазами хакера автора Флёнов Михаил Евгеньевич

14.2. Настройка IPChains Настройку IPChains лучше всего рассматривать на практических примерах. Но прежде, чем это сделать попробуем разобраться, как ядро фильтрует пакеты.Ядро стартует с тремя списками правил: input, forward, output. Эти правила называются firewall-цепочками или просто


18.2. Конфигурирование ядра

Из книги Мир InterBase. Архитектура, администрирование и разработка приложений баз данных в InterBase/FireBird/Yaffil автора Ковязин Алексей Николаевич

18.2. Конфигурирование ядра Итак, немного разобравшись в параметрах ядра, приступим к его конфигурированию. Однако перед тем как приступить, убедитесь, что у вас установлены исходники ядра и пакет заголовков:kernel-2.2.17-21mdk.i586.rpmkernel-headers-2.2.17-21mdk.i586.rpmЗатем перейдите в каталог,


19.6.1. Что изменилось в IPTables по сравнению с IPChains

Из книги Linux Mint и его Cinnamon. Очерки применителя автора Федорчук Алексей Викторович

19.6.1. Что изменилось в IPTables по сравнению с IPChains ? Имена стандартных цепочек INPUT, OUTPUT и FORWARD теперь пишутся в верхнем регистре. Имена пользовательских цепочек по соглашению пишутся строчными буквами и могут иметь длину до 31 символа.? Действие «отклонить пакет» теперь


4.11. ipchains

Из книги Священные войны мира FOSS автора Федорчук Алексей Викторович

4.11. ipchains Наиболее распространенной программой для создания правил сетевого экрана является ipchains. В команде вызова можно указывать следующие параметры:? -A цепочка правило — добавить правило в конец цепочки. В качестве аргумента указывается имя цепочки input, output или


4.11.2. Примеры добавления ipchains-правил

Из книги автора

4.11.2. Примеры добавления ipchains-правил Давайте теперь указывать права, чтобы разрешить какой-либо доступ к серверу. Только вы должны учитывать, что если добавлять правило в конец набора, то нет гарантии, что оно будет работать верно. В цепочке уже может быть запрет, поэтому


4.11.3. Примеры удаления ipchains-правил

Из книги автора

4.11.3. Примеры удаления ipchains-правил Попробуем отменить доступ к FTP на примере удаления записей из цепочки input. Я специально выбрал в качестве образца FTP-сервис, потому что он требует две строки описания, и при совершении операции нужно быть очень внимательным. На вскидку


5.4.1. Конфигурирование xinetd

Из книги автора

5.4.1. Конфигурирование xinetd Основной конфигурационный файл для xinetd — это /etc/xinetd.conf. В нем описываются настройки по умолчанию для запускаемых сервисов и директория, в которой будут находиться конфигурационные файлы, влияющие на работу конкретных сервисов. Рассмотрим по


6.1. Конфигурирование Samba

Из книги автора

6.1. Конфигурирование Samba Основным конфигурационным файлом для Samba является smb.conf, который можно найти в директории /etc/samba (в некоторых дистрибутивах это может быть каталог /etc). Кроме него в этой директории можно найти файл lmhosts, с помощью которого происходит преобразование


10.2. Конфигурирование wu-ftp-сервера

Из книги автора

10.2. Конфигурирование wu-ftp-сервера По моим наблюдениям самым распространенным FTP-сервером является wu-ftp (Washington University FTP Server), потому что он поставляется вместе с основными дистрибутивами Linux, в том числе Red Hat и его клонами. Если у вас именно такой дистрибутив, то с установкой


Конфигурирование

Из книги автора

Конфигурирование Эта версия сервера содержит новый менеджер конфигурации, единый для всех платформ. Все настройки теперь хранятся в файле firebird.conf. Этот файл содержит значительно больше параметров, чем ibconfig в предыдущих версиях. Например, в него вынесены параметры


Конфигурирование

Из книги автора

Конфигурирование В качестве обобщения всего сказанного выше в заключение этого очерка я размещаю свой конфигурационный файл ~/.zshrc, прокомментированный, по мере сил, подробно. Этот конфиг существует с 2001 года, кочуя с машина на машину, из системы в систему, постоянно


Конфигурирование

Из книги автора

Конфигурирование С давних лет повелась традиция, что уважающий себя дистрибутив должен иметь не только собственный инсталлятор, но и собственный конфигуратор. И в основании её, между прочим, один из участников нашего сравнения – openSUSE, которая в далёком уже 1996 году