- Установка и настройка Iptables по SSH, LS, 15:10 , 25-Фев-09 (1)
>Добрый день! В общем есть удаленный (достаточно удаленный) Linux server обслуживающий локальную >сеть небольшого офиса, админ уволился, так как я их знакомый попросили >меня просто за ним последить, мол чтоб работало)) а мы тебе >по почте на сигареты пересылать будем...)) На серве поднят squid, apache >- для lightsquida , samba ну и по мелочи... Всё б >оно ничего, пока они не задумали юзать почту которую им хостинг >предоставил... вот с етого момента ломаю себе голову как мне удаленно >iptables прикрутить, стартануть его и нет занатить и при етом всём >чтоб меня не дропнуло с 22 порта??? Помогите начинающему плз! не обижайся - man и google на эту тему. серьезно. просто не возможно тебе помочь на данном этапе (время не будет стоить затрат). разбирайся хоть чуть-чуть для начала. если у тебя есть хоть какое-то понимание в том "как этот интернет работает", то у тебя все получится. а вот тебе старая добротная ссылка на доку по iptables: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi?quote...
- Установка и настройка Iptables по SSH, belodemon, 10:42 , 26-Фев-09 (7)
>[оверквотинг удален] >>чтоб меня не дропнуло с 22 порта??? Помогите начинающему плз! > >не обижайся - man и google на эту тему. серьезно. просто не >возможно тебе помочь на данном этапе (время не будет стоить затрат). >разбирайся хоть чуть-чуть для начала. если у тебя есть хоть какое-то >понимание в том "как этот интернет работает", то у тебя все >получится. > >а вот тебе старая добротная ссылка на доку по iptables: >https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi?quote...
- Установка и настройка Iptables по SSH, McLeod095, 15:31 , 25-Фев-09 (2)
>Добрый день! В общем есть удаленный (достаточно удаленный) Linux server обслуживающий локальную >сеть небольшого офиса, админ уволился, так как я их знакомый попросили >меня просто за ним последить, мол чтоб работало)) а мы тебе >по почте на сигареты пересылать будем...)) На серве поднят squid, apache >- для lightsquida , samba ну и по мелочи... Всё б >оно ничего, пока они не задумали юзать почту которую им хостинг >предоставил... вот с етого момента ломаю себе голову как мне удаленно >iptables прикрутить, стартануть его и нет занатить и при етом всём >чтоб меня не дропнуло с 22 порта??? Помогите начинающему плз! Читать читать и еще раз читать. Ну а на первое что посоветую, при просветлении и прихода понимания паервым делом прописать в правилах вот такое правило. iptables -A INPUT -i $internet_iface -p tcp --dport 22 -j ACCEPT надеюсь будет понятно для чего. Ох, не раз я наступал на эти грабли.
- Установка и настройка Iptables по SSH, LS, 15:53 , 25-Фев-09 (3)
>[оверквотинг удален] >>чтоб меня не дропнуло с 22 порта??? Помогите начинающему плз! > >Читать читать и еще раз читать. >Ну а на первое что посоветую, при просветлении и прихода понимания паервым >делом прописать в правилах вот такое правило. > >iptables -A INPUT -i $internet_iface -p tcp --dport 22 -j ACCEPT >надеюсь будет понятно для чего. > >Ох, не раз я наступал на эти грабли. не "первым делом", а "первым правилом" ))) первым по номеру в цепочке INPUT
- Установка и настройка Iptables по SSH, Roman, 17:10 , 25-Фев-09 (4)
>[оверквотинг удален] >>Ну а на первое что посоветую, при просветлении и прихода понимания паервым >>делом прописать в правилах вот такое правило. >> >>iptables -A INPUT -i $internet_iface -p tcp --dport 22 -j ACCEPT >>надеюсь будет понятно для чего. >> >>Ох, не раз я наступал на эти грабли. > >не "первым делом", а "первым правилом" ))) первым по номеру в цепочке >INPUT для таких целей (экспериментов) я, первым делом, в самом конце скрипта, формирующего парвила iptables, делаю: $IPTABLES -I FORWARD 1 -s <мой IP> -j ACCEPT $IPTABLES -I INPUT 1 -s <мой IP> -j ACCEPT $IPTABLES -I OUTPUT 1 -d <мой IP> -j ACCEPT $IPTABLES -I FORWARD 1 -d <мой IP> -j ACCEPT Это 100% разрешит весь траффик между мной и удалённым сервером и ssh будет доступен. iptables -A INPUT -i $internet_iface -p tcp --dport 22 -j ACCEPT Этот вариант открывает ssh в мир, что делает его уязвимым для атак брутфорсом. Уверен что вы даже не искали инфу здесь же. Так вот тут: https://www.opennet.ru/docs/RUS/iptables/ всё очень подробно описано и есть примеры скиптов. Записал туда свои значения переменных и пользуйся на здоровье. Касательно NAT там тоже всё написано. p.s. Читать, читать и ещё раз читать...
- Установка и настройка Iptables по SSH, angra, 03:54 , 26-Фев-09 (5)
Аксиома: какими бы продуманными не были правила фаерволла всегда есть шанс, что в них допущена ошибка и удаленное соединение будет прервано. Вывод 1: предыдущие советы идут лесом ибо попадают под аксиому. Вывод 2: нужен механизм гарантирующий возврат старых правил в случае проблемы с новыми. Чаще всего это делается на основе записи(для iptables при помощи iptables-save) старых правил в файл и автоматическом восстановления из файла спустя время. Задержка осуществляется через использование cron/at или простого sleep.
- Установка и настройка Iptables по SSH, belodemon, 10:33 , 26-Фев-09 (6)
>Аксиома: какими бы продуманными не были правила фаерволла всегда есть шанс, что >в них допущена ошибка и удаленное соединение будет прервано. >Вывод 1: предыдущие советы идут лесом ибо попадают под аксиому. >Вывод 2: нужен механизм гарантирующий возврат старых правил в случае проблемы с >новыми. Чаще всего это делается на основе записи(для iptables при помощи >iptables-save) старых правил в файл и автоматическом восстановления из файла спустя >время. Задержка осуществляется через использование cron/at или простого sleep. Хм... Очень толковый ответ! Погуглил почитал, начинает прояснятся... Спасибо тебе! - Установка и настройка Iptables по SSH, Roman, 11:43 , 27-Фев-09 (8)
>Аксиома: какими бы продуманными не были правила фаерволла всегда есть шанс, что >в них допущена ошибка и удаленное соединение будет прервано. >Вывод 1: предыдущие советы идут лесом ибо попадают под аксиому. >Вывод 2: нужен механизм гарантирующий возврат старых правил в случае проблемы с >новыми. Чаще всего это делается на основе записи(для iptables при помощи >iptables-save) старых правил в файл и автоматическом восстановления из файла спустя >время. Задержка осуществляется через использование cron/at или простого sleep. объясни мне каким образом может iptables обрубить коннект если В КОНЦЕ скрипта настройки файрволла БУДЕТ $IPTABLES -I FORWARD 1 -s <мой IP> -j ACCEPT $IPTABLES -I INPUT 1 -s <мой IP> -j ACCEPT $IPTABLES -I OUTPUT 1 -d <мой IP> -j ACCEPT $IPTABLES -I FORWARD 1 -d <мой IP> -j ACCEPT ? И если твоя "аксиома" является аксиомой, то что запрещает её применить к настройкам крона? Да и вообще, ко всем конфигам? :)
- Установка и настройка Iptables по SSH, angra, 01:44 , 28-Фев-09 (9)
Например попадание под правило с DNAT. Всегда умиляюсь пионерам, упорно не желающим использовать опыт старших товарищей и жаждущих пройтись по всем граблям самостоятельно.
- Установка и настройка Iptables по SSH, LS, 01:59 , 28-Фев-09 (12)
>[оверквотинг удален] >>в них допущена ошибка и удаленное соединение будет прервано. >>Вывод 1: предыдущие советы идут лесом ибо попадают под аксиому. >>Вывод 2: нужен механизм гарантирующий возврат старых правил в случае проблемы с >>новыми. Чаще всего это делается на основе записи(для iptables при помощи >>iptables-save) старых правил в файл и автоматическом восстановления из файла спустя >>время. Задержка осуществляется через использование cron/at или простого sleep. > >объясни мне каким образом может iptables обрубить коннект если В КОНЦЕ скрипта >настройки файрволла БУДЕТ >элеметрарно. и даже удивтельно если этого не произойдет. потому что "нормальный" скрипт перезапуска должен поставить перед очисткой правил цепочек политики всех цепочек в DROP. думаю не надо пояснений для чего - тут и так все прозрачно. а вот тут как раз и твой вопрос - как не наколоться, когда самого отшьет. и где гарантия что сможешь сам подключиться. вот тебе АКСИОМА - если ты root, то сам за все отвечаешь. все остальные аксиомы - игрушки и словоблудие. >$IPTABLES -I FORWARD 1 -s <мой IP> -j ACCEPT >$IPTABLES -I INPUT 1 -s <мой IP> -j ACCEPT >$IPTABLES -I OUTPUT 1 -d <мой IP> -j ACCEPT >$IPTABLES -I FORWARD 1 -d <мой IP> -j ACCEPT >? > >И если твоя "аксиома" является аксиомой, то что запрещает её применить к >настройкам крона? Да и вообще, ко всем конфигам? :) - Установка и настройка Iptables по SSH, LS, 02:33 , 28-Фев-09 (13)
>[оверквотинг удален] >>iptables-save) старых правил в файл и автоматическом восстановления из файла спустя >>время. Задержка осуществляется через использование cron/at или простого sleep. > >объясни мне каким образом может iptables обрубить коннект если В КОНЦЕ скрипта >настройки файрволла БУДЕТ > >$IPTABLES -I FORWARD 1 -s <мой IP> -j ACCEPT >$IPTABLES -I INPUT 1 -s <мой IP> -j ACCEPT >$IPTABLES -I OUTPUT 1 -d <мой IP> -j ACCEPT >$IPTABLES -I FORWARD 1 -d <мой IP> -j ACCEPTесли коннектикшся только к серверу. то FORWARD = дыра. в эту цепочку идут пакеты которые транзитом следуют через сервер, а не на него. OUTPUT таблицу вообще пока не тррогай. потом понимание придет. щас ее пустую и ACCEPT POLICY поставь. я бы так сделал для начала: -I INPUT 1 -s <мой IP> -p tcp --dport 22 --syn -m state NEW -j ACCEPT -I INPUT 2 -m state --state ESTABLISHED -j ACCEPT -I INPUT 3 -m state --state RELATED -j ACCEPT хотя нагнал - последнее правило не нужно для твоего подключения. но просто посмотри и попробуй понять что все это делает. а потом почитай и пойми: - для чего какая стандартная цепочка предназначена - кроме цепочек есть таблицы, и они тоже предназначены для разных задач. - изучай таблицы filter и nat для начала - на остальные просто внимание не обращай. они тебе скорее всего в ближайшем будущем не понадобятся. когда в голове уложится все предыдущее - за них возьмешься. >? > >И если твоя "аксиома" является аксиомой, то что запрещает её применить к >настройкам крона? Да и вообще, ко всем конфигам? :) не переживай. все со временет будет. читай по мере задач ту ссылку что я дал и не напрягайся. советую про -j LOG почитать. очень способствует пониманию. PS дистрибутив линукса какой там у тебя? глупо скрипты писать для iptables. там все уже как правило в системе есть.
- Установка и настройка Iptables по SSH, LS, 01:46 , 28-Фев-09 (10)
>Аксиома: какими бы продуманными не были правила фаерволла всегда есть шанс, что >в них допущена ошибка и удаленное соединение будет прервано. >Вывод 1: предыдущие советы идут лесом ибо попадают под аксиому. >Вывод 2: нужен механизм гарантирующий возврат старых правил в случае проблемы с >новыми. Чаще всего это делается на основе записи(для iptables при помощи >iptables-save) старых правил в файл и автоматическом восстановления из файла спустя >время. Задержка осуществляется через использование cron/at или простого sleep. ну когда начал читать, хотел сказать про cron&at, а теперь хочется сказать - не грузи человека :::)))) - Установка и настройка Iptables по SSH, LS, 01:55 , 28-Фев-09 (11)
>Аксиома: какими бы продуманными не были правила фаерволла всегда есть шанс, что >в них допущена ошибка и удаленное соединение будет прервано. >Вывод 1: предыдущие советы идут лесом ибо попадают под аксиому. >Вывод 2: нужен механизм гарантирующий возврат старых правил в случае проблемы с >новыми. Чаще всего это делается на основе записи(для iptables при помощи >iptables-save) старых правил в файл и автоматическом восстановления из файла спустя >время. Задержка осуществляется через использование cron/at или простого sleep. абажаю эту тему. тебе дырку сделали , ты ее чинишь , а твои скрипты ее опять на место ставят. не будь хитрее своей жопы. если ты ее УЖЕ подставил, то как не метайся - ничего не спасет. вот это аксиома. кстати с твоей аксиомой я тоже согласен. выводы на мой взгляд неправильные
- Установка и настройка Iptables по SSH, LS, 02:46 , 28-Фев-09 (14)
>Аксиома: какими бы продуманными не были правила фаерволла всегда есть шанс, что >в них допущена ошибка и удаленное соединение будет прервано. >Вывод 1: предыдущие советы идут лесом ибо попадают под аксиому. один только вопрос: чем предыдущие советы от отличаются от последующих (разве они не попадают под аксиому? :))? по моему только автором. тогда цена выводов из этой аксиомы? >Вывод 2: нужен механизм гарантирующий возврат старых правил в случае проблемы с >новыми. Чаще всего это делается на основе записи(для iptables при помощи >iptables-save) старых правил в файл и автоматическом восстановления из файла спустя >время. Задержка осуществляется через использование cron/at или простого sleep.
- Установка и настройка Iptables по SSH, angra, 03:26 , 28-Фев-09 (15)
Неужели так сложно увидеть разницу между "всегда есть шанс на ошибку" и "всегда есть шанс на ошибку в конкретном случае"? Попробую объяснить на доступной аналогии. При перебегании дороги на красный свет в час пик всегда есть шанс, что тебя собьет машина. Для того, чтобы убрать влияние данного фактора я советую переходить дорогу на зеленый свет. Разумеется все еще есть шанс быть сбитым, но он значительно ниже. Другие же советуют как зорче осматриваться и как лучше отпрыгивать от машин, продолжая бежать на красный.
- Установка и настройка Iptables по SSH, LS, 04:17 , 28-Фев-09 (16)
>Неужели так сложно увидеть разницу между "всегда есть шанс на ошибку" и он всегда есть - это аксиома (я твоими терминами оперирую) >"всегда есть шанс на ошибку в конкретном случае"? Попробую объяснить на случая не вижу. никакого. в упор - это не аксиома , но факт. >доступной аналогии. >При перебегании дороги на красный свет в час пик всегда есть шанс, >что тебя собьет машина. Для того, чтобы убрать влияние данного фактора >я советую переходить дорогу на зеленый свет. Разумеется все еще есть >шанс быть сбитым, но он значительно ниже. Другие же советуют как >зорче осматриваться и как лучше отпрыгивать от машин, продолжая бежать на >красный. что такое дорога? о каких светах и пиках ты говоришь? что значит машина? я про машину знаю. ты тоже. не надо тому кто не знает про все это говорить, что его по любому задавит - это на мой взгляд не правильно и глупо. я кстати еще раз повторю - я только с выводами не согласен. а с аксиомой хрен поспоришь - там доказательств не надо ) PS у меня такое ощущение. что я тебя чем-то обидел. если это так. то искренне пошу прощения - не хотел и не намеревался.
- Установка и настройка Iptables по SSH, cyclope, 08:51 , 28-Фев-09 (17)
>чтоб меня не дропнуло с 22 порта??? можете поставить на систкмку Firehol (в пакетах или если не повезло firehol.sf.net) в старой версии безопасный рестарт правил выглядил так - firehol try restart сейчас - вот так firehol try если рестарт успешный, в диалоге ввели "commit" - и ура если же дропнуло 22 порт, то через 30 секунд оно само вернёт правила на места - и вернёт вам 22 порт
|