forum.opennet.ru - "Маскарад" (2)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Маскарад"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Маскарад"
Сообщение от KnyaZ on 25-Дек-03, 13:36 (MSK)
Как настроить "маскарад" под linux (iptables) чтобы дать доступ из сети в интернет (eth+) по динамическому адресу (ppp0)? Прочитал man - просветления не наступило. Запутался еще больше...
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Маскарад, DogEater, 22:20 , 25-Дек-03, (1)
- Маскарад, Gennadi, 23:30 , 25-Дек-03, (2)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Маскарад"

Сообщение от DogEater on 25-Дек-03, 22:20  (MSK)

>Как настроить "маскарад" под linux (iptables) чтобы дать доступ из сети в
>интернет (eth+) по динамическому адресу (ppp0)?
>Прочитал man - просветления не наступило. Запутался еще больше...
ищешь в сети генератор для iptables , генеришь правила
пишешь скрипт который эти правила устанавливает а в нём вместо внешнего IP
ставишь переменную
стартуй этот скрипт из /etc/ppp/ip-up.local определяя каждый раз внешний ip и всталяя его в переменную

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Маскарад"

Сообщение от Gennadi on 25-Дек-03, 23:30  (MSK)

>>Как настроить "маскарад" под linux (iptables) чтобы дать доступ из сети в
>>интернет (eth+) по динамическому адресу (ppp0)?
>>Прочитал man - просветления не наступило. Запутался еще больше...
Копируешь этот скрипт, делаешь как написано и всё работает, ну а потом на досуге разбираешься, анализируешь, експериментируешь.....

Скрипт "firewall"
=========================================================================
#!/bin/bash
case "$1" in
  start)
    echo "Starte IP-Paketfilter"
    # iptables-Modul
    modprobe ip_tables
    # Connection-Tracking-Module
    modprobe ip_conntrack
    modprobe ip_conntrack_irc
    modprobe ip_conntrack_ftp
    # Tabelle заполнить
    iptables -F
    iptables -t nat -F
    iptables -t mangle -F
    iptables -X
    iptables -t nat -X
    iptables -t mangle -X
    # Default-Policies установить
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP
    # MY_REJECT-Chain
    iptables -N MY_REJECT
    # MY_REJECT заполнить
    iptables -A MY_REJECT -p tcp -m limit --limit 7200/h -j LOG --log-prefix "REJECT TCP "
    iptables -A MY_REJECT -p tcp -j REJECT --reject-with tcp-reset
    iptables -A MY_REJECT -p udp -m limit --limit 7200/h -j LOG --log-prefix "REJECT UDP "
    iptables -A MY_REJECT -p udp -j REJECT --reject-with icmp-port-unreachable
    iptables -A MY_REJECT -p icmp -m limit --limit 7200/h -j LOG --log-prefix "DROP ICMP "
    iptables -A MY_REJECT -p icmp -j DROP
    iptables -A MY_REJECT -m limit --limit 7200/h -j LOG --log-prefix "REJECT OTHER "
    iptables -A MY_REJECT -j REJECT --reject-with icmp-proto-unreachable
    # MY_DROP-Chain
    iptables -N MY_DROP
    iptables -A MY_DROP -m limit --limit 7200/h -j LOG --log-prefix "PORTSCAN DROP "
    iptables -A MY_DROP -j DROP
    # все выброшенные пакеты протоколировать
    iptables -A INPUT -m state --state INVALID -m limit --limit 7200/h -j LOG --log-prefix "INPUT INVALID "
    iptables -A OUTPUT -m state --state INVALID -m limit --limit 7200/h -j LOG --log-prefix "OUTPUT INVALID "
    iptables -A FORWARD -m state --state INVALID -m limit --limit 7200/h -j LOG --log-prefix "FORWARD INVALID "
    # Битые пакеты выбросить
    iptables -A INPUT -m state --state INVALID -j DROP
    iptables -A OUTPUT -m state --state INVALID -j DROP
    iptables -A FORWARD -m state --state INVALID -j DROP
    # Stealth Scans etc. DROPpen
    iptables -A INPUT -p tcp --tcp-flags ALL NONE -j MY_DROP
    iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j MY_DROP
    # SYN и FIN установить
    iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j MY_DROP
    iptables -A FORWARD -p tcp --tcp-flags SYN,FIN SYN,FIN -j MY_DROP
    # SYN und RST одновременно установить
    iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j MY_DROP
    iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j MY_DROP
    # FIN und RST одновременно установить
    iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j MY_DROP
    iptables -A FORWARD -p tcp --tcp-flags FIN,RST FIN,RST -j MY_DROP
    # FIN без ACK
    iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j MY_DROP
    iptables -A FORWARD -p tcp --tcp-flags ACK,FIN FIN -j MY_DROP
    # PSH без ACK
    iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j MY_DROP
    iptables -A FORWARD -p tcp --tcp-flags ACK,PSH PSH -j MY_DROP
    # URG без ACK
    iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j MY_DROP
    iptables -A FORWARD -p tcp --tcp-flags ACK,URG URG -j MY_DROP
    # Loopback-Netzwerk-Kommunikation разрешить
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A OUTPUT -o lo -j ACCEPT
    # Maximum Segment Size (MSS) для Forwarding на PMTU разрешить
    iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
    # Connection-Tracking активировать
     iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -i ! ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    # IP-Adresse для LAN-Interfaces определить
    LAN_IP=$(ifconfig eth0 | head -n 2 | tail -n 1 | cut -d: -f2 | cut -d" " -f 1)
    # Доруск из LAN к eth1 разрешить
    iptables -A INPUT -m state --state NEW -i eth1 -j ACCEPT
    # Default-Policies с REJECT
    iptables -A INPUT -j MY_REJECT
    iptables -A OUTPUT -j MY_REJECT
    iptables -A FORWARD -j MY_REJECT
    # Routing
    echo 1 > /proc/sys/net/ipv4/ip_forward 2> /dev/null
    # Masquerading
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    # SYN-Cookies
    echo 1 > /proc/sys/net/ipv4/tcp_syncookies 2> /dev/null
    # Stop Source-Routing
    for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/accept_source_route 2> /dev/null; done
    # Stop Redirecting
    for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/accept_redirects 2> /dev/null; done
    # Reverse-Path-Filter
    for i in /proc/sys/net/ipv4/conf/*; do echo 2 > $i/rp_filter 2> /dev/null; done
    # Log Martians
    for i in /proc/sys/net/ipv4/conf/*; do echo 1 > $i/log_martians 2> /dev/null; done
    # BOOTP-Relaying отключить
    for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/bootp_relay 2> /dev/null; done
    # Proxy-ARP отключить
    for i in /proc/sys/net/ipv4/conf/*; do echo 0 > $i/proxy_arp 2> /dev/null; done
    # Негодные ICMP-ответы игнорировать
    echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses 2> /dev/null
    # ICMP Echo-Broadcasts игнорировать
    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 2> /dev/null
    # Max. 500/Sekunde (5/Jiffie) посылать
    echo 5 > /proc/sys/net/ipv4/icmp_ratelimit
    # Speicherallozierung und -timing für IP-De/-Fragmentierung
    echo 262144 > /proc/sys/net/ipv4/ipfrag_high_thresh
    echo 196608 > /proc/sys/net/ipv4/ipfrag_low_thresh
    echo 30 > /proc/sys/net/ipv4/ipfrag_time
    # TCP-FIN-Timeout защиту от DoS-Attacken установить
    echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
    # Maximal 3 ответа на один TCP-SYN
    echo 3 > /proc/sys/net/ipv4/tcp_retries1
    # TCP-Pakete maximal 15x повторить
    echo 15 > /proc/sys/net/ipv4/tcp_retries2
    ;;
  stop)
    echo "Stoppe IP-Paketfilter"
    # Tabelle flushen
    iptables -F
    iptables -t nat -F
    iptables -t mangle -F
    iptables -X
    iptables -t nat -X
    iptables -t mangle -X
    echo "Deaktiviere IP-Routing"
    echo 0 > /proc/sys/net/ipv4/ip_forward
    # Default-Policies установить
    iptables -P INPUT ACCEPT
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD ACCEPT
    ;;
  status)
    echo "Tabelle filter"
    iptables -L -vn
    echo "Tabelle nat"
    iptables -t nat -L -vn
    echo "Tabelle mangle"
    iptables -t mangle -L -vn
    ;;
  *)
    echo "Bad run"
    echo "Syntax: $0 {start|stop|status}"
    exit 1
    ;;
esac
====================================================================
cp firewall /etc/init.d
chmod 755 /etc/init.d/firewall
ln -s /etc/init.d/firewall /sbin/rcfirewall
chkconfig -a firewall
rcfirewall start
rcfirewall stop
rcfirewall status



Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Маскарад"
Сообщение от DogEater on 25-Дек-03, 22:20 (MSK)
>Как настроить "маскарад" под linux (iptables) чтобы дать доступ из сети в >интернет (eth+) по динамическому адресу (ppp0)? >Прочитал man - просветления не наступило. Запутался еще больше... ищешь в сети генератор для iptables , генеришь правила пишешь скрипт который эти правила устанавливает а в нём вместо внешнего IP ставишь переменную стартуй этот скрипт из /etc/ppp/ip-up.local определяя каждый раз внешний ip и всталяя его в переменную
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Маскарад"
	Сообщение от Gennadi on 25-Дек-03, 23:30 (MSK)
	>>Как настроить "маскарад" под linux (iptables) чтобы дать доступ из сети в >>интернет (eth+) по динамическому адресу (ppp0)? >>Прочитал man - просветления не наступило. Запутался еще больше... Копируешь этот скрипт, делаешь как написано и всё работает, ну а потом на досуге разбираешься, анализируешь, експериментируешь..... Скрипт "firewall" ========================================================================= #!/bin/bash case "$1" in start) echo "Starte IP-Paketfilter" # iptables-Modul modprobe ip_tables # Connection-Tracking-Module modprobe ip_conntrack modprobe ip_conntrack_irc modprobe ip_conntrack_ftp # Tabelle заполнить iptables -F iptables -t nat -F iptables -t mangle -F iptables -X iptables -t nat -X iptables -t mangle -X # Default-Policies установить iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # MY_REJECT-Chain iptables -N MY_REJECT # MY_REJECT заполнить iptables -A MY_REJECT -p tcp -m limit --limit 7200/h -j LOG --log-prefix "REJECT TCP " iptables -A MY_REJECT -p tcp -j REJECT --reject-with tcp-reset iptables -A MY_REJECT -p udp -m limit --limit 7200/h -j LOG --log-prefix "REJECT UDP " iptables -A MY_REJECT -p udp -j REJECT --reject-with icmp-port-unreachable iptables -A MY_REJECT -p icmp -m limit --limit 7200/h -j LOG --log-prefix "DROP ICMP " iptables -A MY_REJECT -p icmp -j DROP iptables -A MY_REJECT -m limit --limit 7200/h -j LOG --log-prefix "REJECT OTHER " iptables -A MY_REJECT -j REJECT --reject-with icmp-proto-unreachable # MY_DROP-Chain iptables -N MY_DROP iptables -A MY_DROP -m limit --limit 7200/h -j LOG --log-prefix "PORTSCAN DROP " iptables -A MY_DROP -j DROP # все выброшенные пакеты протоколировать iptables -A INPUT -m state --state INVALID -m limit --limit 7200/h -j LOG --log-prefix "INPUT INVALID " iptables -A OUTPUT -m state --state INVALID -m limit --limit 7200/h -j LOG --log-prefix "OUTPUT INVALID " iptables -A FORWARD -m state --state INVALID -m limit --limit 7200/h -j LOG --log-prefix "FORWARD INVALID " # Битые пакеты выбросить iptables -A INPUT -m state --state INVALID -j DROP iptables -A OUTPUT -m state --state INVALID -j DROP iptables -A FORWARD -m state --state INVALID -j DROP # Stealth Scans etc. DROPpen iptables -A INPUT -p tcp --tcp-flags ALL NONE -j MY_DROP iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j MY_DROP # SYN и FIN установить iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j MY_DROP iptables -A FORWARD -p tcp --tcp-flags SYN,FIN SYN,FIN -j MY_DROP # SYN und RST одновременно установить iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j MY_DROP iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN,RST -j MY_DROP # FIN und RST одновременно установить iptables -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j MY_DROP iptables -A FORWARD -p tcp --tcp-flags FIN,RST FIN,RST -j MY_DROP # FIN без ACK iptables -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j MY_DROP iptables -A FORWARD -p tcp --tcp-flags ACK,FIN FIN -j MY_DROP # PSH без ACK iptables -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j MY_DROP iptables -A FORWARD -p tcp --tcp-flags ACK,PSH PSH -j MY_DROP # URG без ACK iptables -A INPUT -p tcp --tcp-flags ACK,URG URG -j MY_DROP iptables -A FORWARD -p tcp --tcp-flags ACK,URG URG -j MY_DROP # Loopback-Netzwerk-Kommunikation разрешить iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # Maximum Segment Size (MSS) для Forwarding на PMTU разрешить iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu # Connection-Tracking активировать iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i ! ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # IP-Adresse для LAN-Interfaces определить LAN_IP=$(ifconfig eth0 \| head -n 2 \| tail -n 1 \| cut -d: -f2 \| cut -d" " -f 1) # Доруск из LAN к eth1 разрешить iptables -A INPUT -m state --state NEW -i eth1 -j ACCEPT # Default-Policies с REJECT iptables -A INPUT -j MY_REJECT iptables -A OUTPUT -j MY_REJECT iptables -A FORWARD -j MY_REJECT # Routing echo 1 > /proc/sys/net/ipv4/ip_forward 2> /dev/null # Masquerading iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE # SYN-Cookies echo 1 > /proc/sys/net/ipv4/tcp_syncookies 2> /dev/null # Stop Source-Routing for i in /proc/sys/net/ipv4/conf/; do echo 0 > $i/accept_source_route 2> /dev/null; done # Stop Redirecting for i in /proc/sys/net/ipv4/conf/; do echo 0 > $i/accept_redirects 2> /dev/null; done # Reverse-Path-Filter for i in /proc/sys/net/ipv4/conf/; do echo 2 > $i/rp_filter 2> /dev/null; done # Log Martians for i in /proc/sys/net/ipv4/conf/; do echo 1 > $i/log_martians 2> /dev/null; done # BOOTP-Relaying отключить for i in /proc/sys/net/ipv4/conf/; do echo 0 > $i/bootp_relay 2> /dev/null; done # Proxy-ARP отключить for i in /proc/sys/net/ipv4/conf/; do echo 0 > $i/proxy_arp 2> /dev/null; done # Негодные ICMP-ответы игнорировать echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses 2> /dev/null # ICMP Echo-Broadcasts игнорировать echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 2> /dev/null # Max. 500/Sekunde (5/Jiffie) посылать echo 5 > /proc/sys/net/ipv4/icmp_ratelimit # Speicherallozierung und -timing für IP-De/-Fragmentierung echo 262144 > /proc/sys/net/ipv4/ipfrag_high_thresh echo 196608 > /proc/sys/net/ipv4/ipfrag_low_thresh echo 30 > /proc/sys/net/ipv4/ipfrag_time # TCP-FIN-Timeout защиту от DoS-Attacken установить echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout # Maximal 3 ответа на один TCP-SYN echo 3 > /proc/sys/net/ipv4/tcp_retries1 # TCP-Pakete maximal 15x повторить echo 15 > /proc/sys/net/ipv4/tcp_retries2 ;; stop) echo "Stoppe IP-Paketfilter" # Tabelle flushen iptables -F iptables -t nat -F iptables -t mangle -F iptables -X iptables -t nat -X iptables -t mangle -X echo "Deaktiviere IP-Routing" echo 0 > /proc/sys/net/ipv4/ip_forward # Default-Policies установить iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT ;; status) echo "Tabelle filter" iptables -L -vn echo "Tabelle nat" iptables -t nat -L -vn echo "Tabelle mangle" iptables -t mangle -L -vn ;; *) echo "Bad run" echo "Syntax: $0 {start\|stop\|status}" exit 1 ;; esac ==================================================================== cp firewall /etc/init.d chmod 755 /etc/init.d/firewall ln -s /etc/init.d/firewall /sbin/rcfirewall chkconfig -a firewall rcfirewall start rcfirewall stop rcfirewall status
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх