Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
free
Зарегистрирован: 07.08.2002 Сообщения: 1
|
Добавлено: Ср Авг 07 2002 17:05 Заголовок сообщения: ipchains in Linux |
|
|
Подскажите, плз, как сделать граничный брэндмауэр на Linux? Ситуация такая : есть комп с двумя сетевухами, одну цепляем к общей сети , вторую к хабу и на хаб вешаем рабочую станцию. Нужно организовать фильтрацию трафика компом с двумя сетевухами между рабочей станцией и общей сетью. Нужны практические реализации на любых версиях Linux (RedHat 6.2, 7.0, 7.2, 7,3; Mandrake 8.0, 8.1). Что нужно делать, как перекомпилять ядро, если нужно, как организовать передачу пакетов между eth0 и eth1 компьютера-брэндмауэра ? По умолчанию нифига не получается. Общая сеть пингуется с eth0 брэндмауэра, но не идет пинг ни с eth1 ни с рабочей станции. Из общей сети пингуется и eth0 и eth1 брэндмауэра. Если есть дока, шлите, плз, на мыло. |
|
Вернуться к началу |
|
|
DmitriyS
Зарегистрирован: 19.06.2002 Сообщения: 381 Откуда: Е-бург
|
Добавлено: Пт Авг 09 2002 12:06 Заголовок сообщения: Re: ipchains in Linux |
|
|
Тебе надо поставить ядро 2.4.19 (самое новое пока...) включить в ядро net_filter (т.е. iptables а не ipchains) сделать нат или маскарадинг между сетями, и почитать man iptables ... ( masquerade howto и firewall howto) |
|
Вернуться к началу |
|
|
nktn Гость
|
|
Вернуться к началу |
|
|
Error Гость
|
Добавлено: Пн Сен 30 2002 03:19 Заголовок сообщения: Содержимое моей мессаги это нутро настроечного скрипта. Сделай и выполни на своей машине его. работает на RH7.3 и LM8.x |
|
|
#!/bin/sh # # rc.firewall - Initial SIMPLE IP Firewall test script for 2.4.x # # Author: Oskar Andreasson # (c) of BoingWorld.com, use at your own risk, do whatever you please with # it as long as you don't distribute this without due credits to # BoingWorld.com #
########### # Configuration options, these will speed you up getting this script to # work with your own setup.
# # your LAN's IP range and localhost IP. /24 means to only use the first 24 # bits of the 32 bit IP adress. the same as netmask 255.255.255.0 # # STATIC_IP is used by me to allow myself to do anything to myself, might # be a security risc but sometimes I want this. If you don't have a static # IP, I suggest not using this option at all for now but it's stil # enabled per default and will add some really nifty security bugs for all # those who skips reading the documentation=)
LAN_IP_RANGE="10.1.1.0/24" LAN_IP="10.1.1.200" LA.. Load all required IPTables modules #
# # Needed to initially load modules # /sbin/depmod -a
# # Adds some iptables targets like LOG, REJECT and MASQUARADE. # /sbin/modprobe ipt_LOG #/sbin/modprobe ipt_REJECT /sbin/modprobe ipt_MASQUERADE
# # Support for owner matching # #/sbin/modprobe ipt_owner
# # Support for connection tracking of FTP and IRC. # #/sbin/modprobe ip_conntrack_ftp #/sbin/modprobe ip_conntrack_irc
# # Enable ip_forward, this is critical since it is turned off as defaul in Linux. #
echo "1" > /proc/sys/net/ipv4/ip_forward
# # Dynamic IP users: # #echo "1" > /proc/sys/net/ipv4/ip_dynaddr
# # Enable simple IP Forwarding and Network Address Translation #
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $STATIC_IP
# # Bad TCP packets we don't want #
$IPTABLES -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:" $IPTABLES -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
# # Accept the packets we actually want to forward #
$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packet died: "
# # Set default policies for the INPUT, FORWARD and OUTPUT chains #
#$IPTABLES -P INPUT DROP #$IPTABLES -P OUTPUT DROP #$IPTABLES -P FORWARD DROP
# # Create separate chains for ICMP, TCP and UDP to traverse #
$IPTABLES -N icmp_packets $IPTABLES -N tcp_packets $IPTABLES -N udpincoming_packets
# # The allowed chain for TCP connections #
$IPTABLES -N allowed $IPTABLES -A allowed -p TCP --syn -j ACCEPT $IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A allowed -p TCP -j DROP
# # ICMP rules #
$IPTABLES -A icmp_packe ... |
|
Вернуться к началу |
|
|
Error Гость
|
|
Вернуться к началу |
|
|
|