Alterator/AlteratorNetIptables
Материал из ALT Linux Wiki
(Различия между версиями)
Ilis (обсуждение | вклад) (→Процедура сброса состояния системы (в частности, при инсталляции)) |
Ilis (обсуждение | вклад) |
||
| Строка 1: | Строка 1: | ||
| - | + | '''alterator-net-iptables''' | |
| - | + | ''Проект, по результатам разговора с vitty@'' | |
| - | === Процедура сброса состояния системы (в частности, при инсталляции)=== | + | === Процедура сброса состояния системы (в частности, при инсталляции) === |
* из {{path|/etc/net/ifaces/default/fw/iptables/filter/{INPUT/OUTPUT{{)}}}} стираются строчки, содержащие {{term|"-P"}}, {{term|"-j DROP"}}, {{term|"-j ACCEPT"}}' (строчка {{term|"ULOGD"}} при этом сохраняется, интересно, нужно ли тут сохранять какие-то ещё чужие строчки?) | * из {{path|/etc/net/ifaces/default/fw/iptables/filter/{INPUT/OUTPUT{{)}}}} стираются строчки, содержащие {{term|"-P"}}, {{term|"-j DROP"}}, {{term|"-j ACCEPT"}}' (строчка {{term|"ULOGD"}} при этом сохраняется, интересно, нужно ли тут сохранять какие-то ещё чужие строчки?) | ||
* в {{path|/etc/net/ifaces/default/fw/iptables/filter/INPUT}} дописывается: | * в {{path|/etc/net/ifaces/default/fw/iptables/filter/INPUT}} дописывается: | ||
| Строка 20: | Строка 20: | ||
* в {{path|/etc/net/ifaces/default/options}}: | * в {{path|/etc/net/ifaces/default/options}}: | ||
CONFIG_FW=yes | CONFIG_FW=yes | ||
| - | * таким образом все порты на всех | + | * таким образом все порты на всех интерфейсах закрыты, firewall включён |
=== Модуль определяет текущее состояние === | === Модуль определяет текущее состояние === | ||
| - | * определяется default policy (сперва из /etc/net/ifaces/default/fw/options, потом из /etc/net/ifaces/default/fw/iptables/filter/INPUT). | + | * определяется default policy (сперва из {{path|/etc/net/ifaces/default/fw/options}}, потом из {{path|/etc/net/ifaces/default/fw/iptables/filter/INPUT}}). |
| - | ** Если ACCEPT | + | ** Если {{term|ACCEPT}} — все интерфейсы считаются внутренними |
| - | ** Если DROP | + | ** Если {{term|DROP}} — дополнительно определяем внутренние интерфейсы по строчкам {{term|-i <имя> -j ACCEPT}} |
| - | * определяем дополнительно открытые сервисы (группы портов) и отдельные | + | * определяем дополнительно открытые сервисы (группы портов) и отдельные порты — по строчкам вида '{{term|-p <протокол> --dport <порт> -j ACCEPT}}' (это уже есть в существующем модуле) |
=== Модуль перезаписывает состояние === | === Модуль перезаписывает состояние === | ||
* происходит сброс конфигурационных файлов в начальное состояние (см. выше) | * происходит сброс конфигурационных файлов в начальное состояние (см. выше) | ||
| - | * в INPUT для всех внутренних интерфейсов пишется '-i <имя> -j ACCEPT' | + | * в INPUT для всех внутренних интерфейсов пишется '{{term|-i <имя> -j ACCEPT}}' |
| - | * в INPUT записываются строчки для всех дополнительно открытых наружу сервисов (без указания интерфейсa) '-p <протокол> --dport <порт> -j ACCEPT' | + | * в INPUT записываются строчки для всех дополнительно открытых наружу сервисов (без указания интерфейсa) '{{term|-p <протокол> --dport <порт> -j ACCEPT}}' |
| - | * перезагружаем правила: | + | * перезагружаем правила: {{cmd|efw restart}} |
=== Интерфейс === | === Интерфейс === | ||
| Строка 38: | Строка 38: | ||
* выбор открытых наружу сервисов | * выбор открытых наружу сервисов | ||
* ввод открытых наружу дополнительных портов | * ввод открытых наружу дополнительных портов | ||
| - | |||
=== Кроме того === | === Кроме того === | ||
* service iptables не существует, все работает через etcnet + efw. | * service iptables не существует, все работает через etcnet + efw. | ||
| + | |||
| + | [[Категория:Sisyphus]] | ||
Версия 10:21, 2 февраля 2009
alterator-net-iptables
Проект, по результатам разговора с vitty@
Содержание |
Процедура сброса состояния системы (в частности, при инсталляции)
- из /etc/net/ifaces/default/fw/iptables/filter/{INPUT/OUTPUT} стираются строчки, содержащие "-P", "-j DROP", "-j ACCEPT"' (строчка "ULOGD" при этом сохраняется, интересно, нужно ли тут сохранять какие-то ещё чужие строчки?)
- в /etc/net/ifaces/default/fw/iptables/filter/INPUT дописывается:
-P DROP -i lo -j ACCEPT -f -j DROP -m state --state ESTABLISHED,RELATED -j ACCEPT что-то ещё, кажется надо было открыть
- в /etc/net/ifaces/default/fw/iptables/filter/OUTPUT:
-P ACCEPT -f -j DROP -m state --state ESTABLISHED,RELATED -j ACCEPT (или такого тут не надо?)
- в /etc/net/ifaces/default/fw/options перезаписываются параметры:
FW_TYPE="iptables" IPTABLES_HUMAN_SYNTAX=no
- в /etc/net/ifaces/default/options:
CONFIG_FW=yes
- таким образом все порты на всех интерфейсах закрыты, firewall включён
Модуль определяет текущее состояние
- определяется default policy (сперва из /etc/net/ifaces/default/fw/options, потом из /etc/net/ifaces/default/fw/iptables/filter/INPUT).
- Если ACCEPT — все интерфейсы считаются внутренними
- Если DROP — дополнительно определяем внутренние интерфейсы по строчкам -i <имя> -j ACCEPT
- определяем дополнительно открытые сервисы (группы портов) и отдельные порты — по строчкам вида '-p <протокол> --dport <порт> -j ACCEPT' (это уже есть в существующем модуле)
Модуль перезаписывает состояние
- происходит сброс конфигурационных файлов в начальное состояние (см. выше)
- в INPUT для всех внутренних интерфейсов пишется '-i <имя> -j ACCEPT'
- в INPUT записываются строчки для всех дополнительно открытых наружу сервисов (без указания интерфейсa) '-p <протокол> --dport <порт> -j ACCEPT'
- перезагружаем правила: efw restart
Интерфейс
- выбор внутренних интерфейсов
- выбор открытых наружу сервисов
- ввод открытых наружу дополнительных портов
Кроме того
- service iptables не существует, все работает через etcnet + efw.
