Alterator/AlteratorNetIptables
Материал из ALT Linux Wiki
< Alterator(Различия между версиями)
Ilis (обсуждение | вклад) (→Процедура сброса состояния системы (в частности, при инсталяции)) |
(→В соответствии с этими параметрами производятся следующие настройки системы:) |
||
(12 промежуточных версий не показаны.) | |||
Строка 1: | Строка 1: | ||
- | == alterator-net-iptables == | + | == alterator-net-iptables >= 1.0 == |
- | |||
- | === | + | Модуль хранит свое состояние в отдельном файле и из него настраивает систему "в одну сторону". |
- | * | + | |
- | * | + | Имеется скрипт iptables_helper (с достаточно человеколюбивым интерфейсом) умеющий читать и писать конфигурацию и настраивать систему, а также тривиальный модуль альтератора, который его использует. |
- | -P | + | |
- | + | === Мы работаем со следующими параметрами: === | |
+ | |||
+ | * режим работы (firewall/gateway) | ||
+ | * список внешних интерфейсов | ||
+ | * список открытых снаружи сервисов | ||
+ | * список открытых снаружи портов | ||
+ | * дополнительные опции (сейчас поддерживается только запись правил для ulogd) | ||
+ | |||
+ | === В соответствии с этими параметрами производятся следующие настройки системы: === | ||
+ | * iptables -- включен всегда | ||
+ | * forwarding -- включен всегда | ||
+ | |||
+ | * {{path|/etc/net/ifaces/default/fw/iptables/filter/INPUT}}: | ||
+ | -P ACCEPT | ||
-f -j DROP | -f -j DROP | ||
-m state --state ESTABLISHED,RELATED -j ACCEPT | -m state --state ESTABLISHED,RELATED -j ACCEPT | ||
- | + | -i <интейрфейс> -p <протокол> --dport <порт> -j ACCEPT # для всех открытых сервисов и | |
- | * | + | # портов, для всех внешних интерфейсов |
+ | -i <интерфейс> -j DROP # для всех внешних интерфейсов | ||
+ | |||
+ | * {{path|/etc/net/ifaces/default/fw/iptables/filter/OUTPUT}}: | ||
-P ACCEPT | -P ACCEPT | ||
-f -j DROP | -f -j DROP | ||
- | -m state --state ESTABLISHED,RELATED -j ACCEPT | + | -m state --state ESTABLISHED,RELATED -j ACCEPT |
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | * для каждой пары внутренних интерфейсов в {{path|/etc/net/ifaces/default/fw/iptables/filter/FORWARDING}}: | |
- | * | + | -i $i1 -o $i2 -j DROP |
- | + | ||
- | + | ||
- | + | ||
- | + | * если режим работы gateway, то в {{path|/etc/net/ifaces/default/fw/iptables/nat/POSTROUTING}}: | |
- | * | + | -o <внешн.интерфейс> -j MASQUERADE # для каждой пары внутненний-внешний интерфейс |
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
=== Кроме того === | === Кроме того === | ||
* service iptables не существует, все работает через etcnet + efw. | * service iptables не существует, все работает через etcnet + efw. | ||
+ | |||
+ | [[Категория:Sisyphus]] |
Текущая версия на 14:35, 6 февраля 2009
Содержание |
alterator-net-iptables >= 1.0
Модуль хранит свое состояние в отдельном файле и из него настраивает систему "в одну сторону".
Имеется скрипт iptables_helper (с достаточно человеколюбивым интерфейсом) умеющий читать и писать конфигурацию и настраивать систему, а также тривиальный модуль альтератора, который его использует.
Мы работаем со следующими параметрами:
- режим работы (firewall/gateway)
- список внешних интерфейсов
- список открытых снаружи сервисов
- список открытых снаружи портов
- дополнительные опции (сейчас поддерживается только запись правил для ulogd)
В соответствии с этими параметрами производятся следующие настройки системы:
- iptables -- включен всегда
- forwarding -- включен всегда
- /etc/net/ifaces/default/fw/iptables/filter/INPUT:
-P ACCEPT -f -j DROP -m state --state ESTABLISHED,RELATED -j ACCEPT -i <интейрфейс> -p <протокол> --dport <порт> -j ACCEPT # для всех открытых сервисов и # портов, для всех внешних интерфейсов -i <интерфейс> -j DROP # для всех внешних интерфейсов
- /etc/net/ifaces/default/fw/iptables/filter/OUTPUT:
-P ACCEPT -f -j DROP -m state --state ESTABLISHED,RELATED -j ACCEPT
- для каждой пары внутренних интерфейсов в /etc/net/ifaces/default/fw/iptables/filter/FORWARDING:
-i $i1 -o $i2 -j DROP
- если режим работы gateway, то в /etc/net/ifaces/default/fw/iptables/nat/POSTROUTING:
-o <внешн.интерфейс> -j MASQUERADE # для каждой пары внутненний-внешний интерфейс
Кроме того
- service iptables не существует, все работает через etcnet + efw.