Alterator/AlteratorNetIptables
Материал из ALT Linux Wiki
(Различия между версиями)
(→alterator-net-iptables) |
(→alterator-net-iptables) |
||
Строка 3: | Строка 3: | ||
'''Проект, по результатам разговора с vitty@''' | '''Проект, по результатам разговора с vitty@''' | ||
- | Процедура сброса состояния системы (в частности, при инсталяции) | + | === Процедура сброса состояния системы (в частности, при инсталяции)=== |
* из /etc/net/ifaces/default/fw/iptables/filter/{INPUT/OUTPUT} стираются строчки, соделжащие '-P' '-j DROP', '-j ACCEPT' (строчка ULOGD при этом сохраняется, интересно, нужно ли тут сохранять какие-то еще чужие строчки?) | * из /etc/net/ifaces/default/fw/iptables/filter/{INPUT/OUTPUT} стираются строчки, соделжащие '-P' '-j DROP', '-j ACCEPT' (строчка ULOGD при этом сохраняется, интересно, нужно ли тут сохранять какие-то еще чужие строчки?) | ||
* в /etc/net/ifaces/default/fw/iptables/filter/INPUT дописывается: | * в /etc/net/ifaces/default/fw/iptables/filter/INPUT дописывается: | ||
Строка 22: | Строка 22: | ||
* таким образом все интерфейсы считаются внешними, firewall включен | * таким образом все интерфейсы считаются внешними, firewall включен | ||
- | Модуль определяет текущее состояние | + | === Модуль определяет текущее состояние === |
* определяется default policy (сперва из /etc/net/ifaces/default/fw/options, потом из /etc/net/ifaces/default/fw/iptables/filter/INPUT). | * определяется default policy (сперва из /etc/net/ifaces/default/fw/options, потом из /etc/net/ifaces/default/fw/iptables/filter/INPUT). | ||
** Если ACCEPT - все интерфейсы считаются внутренними | ** Если ACCEPT - все интерфейсы считаются внутренними | ||
Строка 28: | Строка 28: | ||
* определяем дополнительно открытые сервисы (группы портов) и отдельные порты - по строчкам вида '-p <протокол> --dport <порт> -j ACCEPT' (это уже есть в существующем модуле) | * определяем дополнительно открытые сервисы (группы портов) и отдельные порты - по строчкам вида '-p <протокол> --dport <порт> -j ACCEPT' (это уже есть в существующем модуле) | ||
- | Модуль перезаписывает состояние | + | === Модуль перезаписывает состояние === |
* происходит сброс конфигурационных файлов в начальное состояние (см. выше) | * происходит сброс конфигурационных файлов в начальное состояние (см. выше) | ||
* для всех внутренних интерфейсов пишется '-i <имя> -j ACCEPT' | * для всех внутренних интерфейсов пишется '-i <имя> -j ACCEPT' | ||
Строка 34: | Строка 34: | ||
* перезагружаем правила: 'efw restart' | * перезагружаем правила: 'efw restart' | ||
- | Интерфейс | + | === Интерфейс === |
* выбор внутренних интерфейсов | * выбор внутренних интерфейсов | ||
* выбор открытых наружу сервисов | * выбор открытых наружу сервисов | ||
Строка 40: | Строка 40: | ||
[[category:sisyphus]] | [[category:sisyphus]] | ||
- | Кроме того | + | === Кроме того === |
* service iptables не существует, все работает через etcnet + efw. | * service iptables не существует, все работает через etcnet + efw. |
Версия 11:57, 30 января 2009
Содержание |
alterator-net-iptables
Проект, по результатам разговора с vitty@
Процедура сброса состояния системы (в частности, при инсталяции)
- из /etc/net/ifaces/default/fw/iptables/filter/{INPUT/OUTPUT} стираются строчки, соделжащие '-P' '-j DROP', '-j ACCEPT' (строчка ULOGD при этом сохраняется, интересно, нужно ли тут сохранять какие-то еще чужие строчки?)
- в /etc/net/ifaces/default/fw/iptables/filter/INPUT дописывается:
-P DROP -i lo -j ACCEPT -f -j DROP -m state --state ESTABLISHED,RELATED -j ACCEPT что-то еще, кажется надо было открыть
- в /etc/net/ifaces/default/fw/iptables/filter/OUTPUT:
-P ACCEPT -f -j DROP -m state --state ESTABLISHED,RELATED -j ACCEPT (или такого тут не надо?)
- в /etc/net/ifaces/default/fw/options перезаписываются параметры:
FW_TYPE="iptables" IPTABLES_HUMAN_SYNTAX=no
- в /etc/net/ifaces/default/options:
CONFIG_FW=yes
- таким образом все интерфейсы считаются внешними, firewall включен
Модуль определяет текущее состояние
- определяется default policy (сперва из /etc/net/ifaces/default/fw/options, потом из /etc/net/ifaces/default/fw/iptables/filter/INPUT).
- Если ACCEPT - все интерфейсы считаются внутренними
- Если DROP - дополнительно определяем внутренние интерфейсы по строчкам -i <имя> -j ACCEPT
- определяем дополнительно открытые сервисы (группы портов) и отдельные порты - по строчкам вида '-p <протокол> --dport <порт> -j ACCEPT' (это уже есть в существующем модуле)
Модуль перезаписывает состояние
- происходит сброс конфигурационных файлов в начальное состояние (см. выше)
- для всех внутренних интерфейсов пишется '-i <имя> -j ACCEPT'
- записываются строчки для всех дополнительно открытых наружу сервисов (без указания интерфейсов) '-p <протокол> --dport <порт> -j ACCEPT'
- перезагружаем правила: 'efw restart'
Интерфейс
- выбор внутренних интерфейсов
- выбор открытых наружу сервисов
- ввод открытых наружу дополнительных портов
Кроме того
- service iptables не существует, все работает через etcnet + efw.