IPB

Здравствуйте, гость ( Вход | Регистрация )

Важные объявления

 
Ответить в данную темуНачать новую тему
> iptables на роутере, iptables на роутере
Timon
сообщение 13.1.2007, 17:28    [ Вставить ник в форму быстрого ответа ]
Сообщение #1


Новичок
*

Группа: Новобранец
Сообщений: 5
Регистрация: 18.4.2006
Пользователь №: 44
Спасибо сказали: 0 раз(а)

Дистрибутив:
Suse 10 x64



Репутация: 0


Помогите плиз, настроил на работе роутер под slackware 10.2. Нужно сделать чтоб пользователи заходили тока по http и ftp, а так же чтоб я с сервера мог пинговать все компы, а они (с другой сети) не могли пинговать наши компы
Перейти в начало страницы
Вставить ник
+Цитировать сообщение
Зарегистрируйтесь, чтобы скрыть этот рекламный блок.
X-TZ
сообщение 13.1.2007, 18:56    [ Вставить ник в форму быстрого ответа ]
Сообщение #2


Участник
**

Группа: Новобранец
Сообщений: 29
Регистрация: 26.12.2006
Пользователь №: 110
Спасибо сказали: 0 раз(а)

Дистрибутив:
ASP 10-11



Репутация: 0


#!/bin/bash
lan1=192.168.0.0/24

server=192.168.0.1/24

echo "1" > /proc/sys/net/ipv4/ip_forward

/sbin/iptables -t filter -F
/sbin/iptables -t filter -X

/sbin/iptables -t filter -P INPUT DROP
/sbin/iptables -t filter -P FORWARD DROP
/sbin/iptables -t filter -P OUTPUT DROP

/sbin/iptables -t filter -A INPUT -p icmp -s $lan1 -d $server -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p icmp -s $server $d lan1 -j ACCEPT

#HTTP доступ ТОЛЬКО твоей сети
/sbin/iptables -t filter -A INPUT -p tcp -s $lan1 -d $server --sport 1024:65535 --dport 80 -J ACCEPT
/sbin/iptables -t filter -A OUTPUT -p tcp -s $server -d $lan1 --sport 80 --dport 1024:65535 -j ACCEPT

потом допишу на фтп, там на 2 порта писать надо...

Дай реальные данные, я тебе напишу правила
Перейти в начало страницы
Вставить ник
+Цитировать сообщение
Timon
сообщение 15.1.2007, 22:05    [ Вставить ник в форму быстрого ответа ]
Сообщение #3


Новичок
*

Группа: Новобранец
Сообщений: 5
Регистрация: 18.4.2006
Пользователь №: 44
Спасибо сказали: 0 раз(а)

Дистрибутив:
Suse 10 x64



Репутация: 0


в общем у меня сетка в офисе 10.0.1.0, сервак 10.0.1.3, внешняя сетка 10.0.2.0, роутер имеет адреса 10.0.1.1 и 10.0.2.1
Перейти в начало страницы
Вставить ник
+Цитировать сообщение
X-TZ
сообщение 16.1.2007, 15:33    [ Вставить ник в форму быстрого ответа ]
Сообщение #4


Участник
**

Группа: Новобранец
Сообщений: 29
Регистрация: 26.12.2006
Пользователь №: 110
Спасибо сказали: 0 раз(а)

Дистрибутив:
ASP 10-11



Репутация: 0


#!/bin/bash
lan1=10.0.1.0/24
lan2=10.0.2.0/24
server=10.0.1.3

#Разрешаем форвардинг
echo "1" > /proc/sys/net/ipv4/ip_forward

#Сброс правил файрвола
/sbin/iptables -t filter -F
/sbin/iptables -t filter -X

#Запрещаем все и вся
/sbin/iptables -t filter -P INPUT DROP
/sbin/iptables -t filter -P FORWARD DROP
/sbin/iptables -t filter -P OUTPUT DROP

#Пинги только для твое сети
/sbin/iptables -t filter -A INPUT -p icmp -s $lan1 -d $server -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p icmp -s $server $d lan1 -j ACCEPT

#HTTP доступ ТОЛЬКО твоей сети
/sbin/iptables -t filter -A INPUT -p tcp -s $lan1 -d $server --sport 1024:65535 --dport 80 -J ACCEPT
/sbin/iptables -t filter -A OUTPUT -p tcp -s $server -d $lan1 --sport 80 --dport 1024:65535 -j ACCEPT

#FTP доступ ТОЛЬКО твоей сети
/sbin/iptables -t filter -A INPUT -p tcp -s $lan1 -d $server --sport 1024:65535 --dport 21 -J ACCEPT
/sbin/iptables -t filter -A OUTPUT -p tcp -s $server -d $lan1 --sport 21 --dport 1024:65535 -j ACCEPT

#FTP Data Тут я не уверен...
/sbin/iptables -t filter -A INPUT -p tcp -s $lan1 -d $server --sport 1024:65535 --dport 20 -J ACCEPT
/sbin/iptables -t filter -A OUTPUT -p tcp -s $server -d $lan1 --sport 20 --dport 1024:65535 -j ACCEPT

Интернет работать не будет, т.к. запрещено все из wan 0.0.0.0/0
давай более конктретные данные что тебе нужно от серванта!
Перейти в начало страницы
Вставить ник
+Цитировать сообщение
Stalker
сообщение 15.2.2007, 7:15    [ Вставить ник в форму быстрого ответа ]
Сообщение #5


Free Your Mind. Use Open Source.
Иконка группы

Группа: Скромные боги
Сообщений: 514
Регистрация: 29.10.2005
Из: Lugansk [UA]
ICQ: 272843976
Пользователь №: 17
Спасибо сказали: 0 раз(а)

Дистрибутив:
Ubuntu 8.10 | Arch
Jabber ID:
[email protected]



Репутация: 3


На очень доступном языке (IMG:http://forum.linux.lg.ua/style_emoticons/default/smile.gif)
==================================================
Айтишникам приггодиццо

Линукс роутер беспезды Руковоццтво для падонкафф..


Краткойе, беспесты рукаводство для тех кто хатит себе иметь реально, линуховый роутер, но заебался читать умные буки и
искать ответы в инете и на форумах бля!!!

Так. Мне все похую!

Лучше роутера чем под линухом я еще не видел акромя киски конечно.

Виндовые роутеры идут нахуй автоматически ибо нехуй!!!

Итак, если коротко...

Берем тачку, похуй какую (для удобства ебашим не ниже 100ого первого пня с 16метрами азу все что выше заебись ибо нехуй)
берем две, желательно писиайные сетки (типа сурекомы не рулят потому, что поебень серет в проц хуетой) лучше компексы
или 3комы. Въебать исашные карточки тоже можно, но гемора пиздец, как многа та и хули сейчас уже без проблем можно
купить писиайные(PCI) бля до 10 баксов стоят. Хуйня короче... так я отвлекся... короче хуйарим две карточки в эту
ебливую тачку, затем ставим линух, лучше всего ставить рэд нахуй хат бля не ниже 8ого или асп ебать его в рот любой не
ниже 7ого. Винт должен быть для тупых (HDD)ХАДЭДЭ не ниже 4(G гиктарового ну так на всякий случай зависит от
дистрибутива линуха. Лучше выбрать минимальную установку и не забыть нужные минимальные компоненты, короче когда ставим
зловъебный линух нужно не забыть поставить такие проги:

mc
lynx
iptraf


iptraf – заебатая вещь можно смотреть активность всей внутренней локальной сети нах и уепков в ней хуйаривающихся
пингующихся ицээмпэщивающихся тисиэпищивающихся и порнокачающихся бля.

Все остальное ПО идет на хуй, это все что нам нужно для реализации неибического роутера. Итак мы поставили ебучий мега
линукс, дрова под наши сетки типа ne2000 совместимые и не ебет, поставились два девайса допустим автоматически и по
команде ifconfig теперь они у нас пиздатые eth0 и eth1 кароче после команты ifconfig высыпает такой неиибический мусор:

eth0 Link encap:Ethernet HWaddr 00:0D:88:45:7B:95
inet addr:0.0.0.0 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3947569 errors:0 dropped:0 overruns:0 frame:0
TX packets:3639182 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:1026779675 (979.2 Mb) TX bytes:386421778 (368.5 Mb)
Interrupt:9 Base address:0x9f00

eth1 Link encap:Ethernet HWaddr 00:0D:88:45:92:66
inet addr:0.0.0.0 Bcast:10.10.10.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:6705192 errors:0 dropped:0 overruns:0 frame:0
TX packets:7255036 errors:0 dropped:0 overruns:1 carrier:0
collisions:0 txqueuelen:100
RX bytes:655940367 (625.5 Mb) TX bytes:1543577606 (1472.0 Mb)
Interrupt:10 Base address:0xbe00

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:10 errors:0 dropped:0 overruns:0 frame:0
TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:700 (700.0 (IMG:http://forum.linux.lg.ua/style_emoticons/default/cool.gif) TX bytes:700 (700.0 (IMG:http://forum.linux.lg.ua/style_emoticons/default/cool.gif)


Прописать айпишники интерфейсам мона тутта бля все нужно, бля делать под рутом нахуй root.

Для ПТУшников и чайникав обязательна фтыкать в этат пункт иначе линах не завидетса и будет нахуй не нужным.

/etc/sysconfig/network-scripts/ifcfg-eth0 ifcfg-eth1 ifcfg-lo


Во бля! Пизда рулем! Теперь дальше ебашим типа присваиваем бля айпи адреса етха0 у нас будет скажем 192.168.0.1 отсюда
будет приходить инет тоесть внешняя сеть блядь а етха1 это блядь будет скажем 11.11.11.11 это блядь внутренний адресс
локалки которой мы и далжны нахуй дать всем талбайобам. Этот адресс в последствии будем указывать в качестве шлюза нах,
чтобы все через него ломились в инет ебать его в рот в эту мусорную яму бля! Кароче присвоили айпишники 192.168.0.1 не
забываем прописать шлюз провайдера и днс провайдера, чтобы у нас на роутере появился инет, вот проверили, все заебись?
Так тогда дальше, пробуем пинговать мир с роутера камантой ping www.padonki.org, если все зайебись то на Малевиче будет
так:

PING www.padonki.org (217.16.28.199) from 192.168.0.1 : 56(84) bytes of data.
64 bytes from udaff.com (217.16.28.199): icmp_seq=1 ttl=49 time=810 ms
64 bytes from udaff.com (217.16.28.199): icmp_seq=2 ttl=49 time=403 ms
64 bytes from udaff.com (217.16.28.199): icmp_seq=3 ttl=49 time=601 ms
64 bytes from udaff.com (217.16.28.199): icmp_seq=4 ttl=49 time=696 ms
64 bytes from udaff.com (217.16.28.199): icmp_seq=5 ttl=49 time=1351 ms
64 bytes from udaff.com (217.16.28.199): icmp_seq=6 ttl=49 time=620 ms
64 bytes from udaff.com (217.16.28.199): icmp_seq=7 ttl=49 time=661 ms
64 bytes from udaff.com (217.16.28.199): icmp_seq=8 ttl=49 time=1258 ms
64 bytes from udaff.com (217.16.28.199): icmp_seq=9 ttl=49 time=1220 ms
64 bytes from udaff.com (217.16.28.199): icmp_seq=10 ttl=49 time=1470 ms
64 bytes from udaff.com (217.16.28.199): icmp_seq=11 ttl=49 time=1120 ms
64 bytes from udaff.com (217.16.28.199): icmp_seq=12 ttl=49 time=1291 ms
64 bytes from udaff.com (217.16.28.199): icmp_seq=13 ttl=49 time=772 ms
64 bytes from udaff.com (217.16.28.199): icmp_seq=14 ttl=49 time=837 ms
64 bytes from udaff.com (217.16.28.199): icmp_seq=15 ttl=49 time=735 ms

Пингуетьcя заебись! Так теперь кароче нам надо заставить етн0 и етн1 обмениваться пакетами! Во ебать задача, но бля
нерешаемых задач под линухой нет соответственно думаем чайником, как это сделать аказывается, вот что для начала нужна.

тиак запускаем мс и хуйарим по f4 в ...

/etc/sysctl.conf


тама пишем поеботу если ее нет

net.ipv4.ip_forward = 1
net.ipv4.ip_always_defrag = 1

Все теперь у нас ебашит форвардинг (ну это конечно после перегрузки сетки перегрузить ее мона след способом можно тупо
опустить интерфейс строкой ifconfig eth0 down/up вот ну и с другим етн1 туже хуйню сделать)

А можна бля зайти в /etc/~init.d/*network и набрать ./network restart

Так теперь блять нужно ебаться в рот беспезды об угол дома и сказать что бы все пакеты приходящие на интерфейс етх0
пизовали куда нить на какой нить внутренний айпи типа или следующий интерфейсовский эзернет у нас он не забываем
11.11.11.11

для этого бля ебашим в

/etc/rc.d/*rc.local

и долбим там строку бля

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.0.1

iptables – Это беспезды чистой воды файер нахуй вол!!! Он предназначен, чтобы пиздить все пакеты и запросы.

Теперь мона смело прописывать на любой тачке в нашей локалке ей апи скажем 11.11.11.25 и тд шлюз для инета 11.11.11.11 и
днс провайдерскую и весь хуй да копейки!!!

ФСЕЕЕЕ БЛЯ!!!! теперь пишем в этой же папке /etc/rc.d/ файлик который будет у нас очищать беспезды все правила
айпитэблса для того чтобы применять новые по нажатию *rc.local и он должен выглядеть примерно так *rc.rezet а внутри у
него злоебучего должно быть написано

iptables -F
iptables -t nat -F


Саздать этат файлик можна варварским беспезды спосабам скапиравав куда нить *rc.local и тупо иего в новам месте
переименовать на
*rc.rezet и патом обратно скапиравать в папика /etc/rc.d/ чтобы тама появилося тва файлика адин главный втарой
ащищающий.
Вот бля... тоесть далее схема проста шо я ебу для применения настроек айпитэблса тоесть нашего неибического файервола мы
сначало хуайрим по энтеру файл *rc.rezet в каторам у нас праписато

iptables -F
iptables -t nat -F

типа очищаем правила в айпитэйблс а потом хуйарим применяем правила или новые или тупо стартуем инет *rc.local Важно то
что у нас будет прописано беспезды в *rc.local вот этим и займемся. Кстати рс локал это файлик конфиг который беспезды
всегда стартует при старте линухи и даже если вырубят свет и тачка перезагрузиться инет все равно будет (если корпус
атшный а не атхвый конечно)

Так!!! теперь бля когда у нас все роутиться, займемся беспезды гадами и злохуйатарами сука, как я их ненавижу порно
глядущими уебанами!!!

Кароче часто, если все уебаны сратые сотрудники и акромя порнухи нихуйа не зинают и лезут бля на все сайты сука (если
трафик бля помегабайитный то вааабще пизда всех уебанов треба закрывать от инета а тем более тех кто вирусов наловился
всяких там лов санов шарящих доступы по вин рпц и всю хуиту нужно лочить) так вот блять когда обратный трафик хуйарит с
какой-то из тачек шо мама не горюй бля нутжно закрыть парты на роутере, который мы с вами сделали блиа а нахуй он еще
всрался а кромя того что на него эксплоиты не ципляютса? Не пиздовать же к этому уебану и не закрывать на каждой тачке
ийобанные порты бля а если тачек 50 или бля 100 копьютеров В локалке нах? Вот правильно а мы сидим на роутере и все
кантро бля лируем бля! Итак, нах, если пропидар серет срач в инет и нахватался парнухи тагда мы заходим под рутом(root)
в /etc/rc.d/*rc.local

***

Кстати снова блиа для ПТУшникав иесть такая прога насываится по научнаму telnet ssh terminal в народе проста PUTTY ие
можна найти и беспезды скачать с инета тагда можна хуйарить на линухе не непосредственно с тачки а с любой машины в
локалке или по телнету или по ссш. Отакот бля.

***

и пишем бля

iptables -A FORWARD -i eth0 -o eth1 -s 0/0 -d 11.11.11.25 -j DROP
iptables -A FORWARD -i eth1 -o eth0 -s 11.11.11.25 -d 0/0 -j DROP

Это строки шобы вообще нахуй лошпэнов рубить от инета беспезды!!!

А, если так нахуйарить

#iptables -A FORWARD -i eth0 -o eth1 -s 0/0 -d 11.11.11.25 -j DROP
#iptables -A FORWARD -i eth1 -o eth0 -s 11.11.11.25 -d 0/0 -j DROP

то кароче бля, типа строчку ненужно будет удалять а лошпен будет радоваться инету но потом можно будет убрать к хуйам
решетку в начале и пизда опять наблюдать сотрудника лошпэна у себя в кабинете по распределению инета бля!!!

Все после ввода выше строк Вася Пупкин который нагло хуйарил в инете пашел на хую вертеться, нет у него больше инета, он
к вам прибежал и говарит ийобать тебя в дышло я хачу инета а ты йому соси сука а он ну тагда аську мне включи бля! а ты
ему ну ладно и пишешь в
/etc/rc.d/*rc.local

iptables -A FORWARD -i eth1 -o eth0 -s 11.11.11.25 -p tcp --dport 135 -j DROP виндосский рпс пошел сосать
iptables -A FORWARD -i eth1 -o eth0 -s 11.11.11.25 -p tcp --dport 80 -j DROP странички браузеры синие буквочки Е тоже
сосут
iptables -A FORWARD -i eth1 -o eth0 -s 11.11.11.25 -p tcp --dport 110 -j DROP смтп аж чмокает
iptables -A FORWARD -i eth1 -o eth0 -s 11.11.11.25 -p tcp --dport 25 -j DROP поп3 тоже чмокает вместе с смтп
iptables -A FORWARD -i eth1 -o eth0 -s 11.11.11.25 -p tcp --dport 443 -j DROP ловсан глотает сперму
iptables -A FORWARD -i eth1 -o eth0 -s 11.11.11.25 -p tcp --dport 119 -j DROP еще одина ловсан шара подставляет попу

Это строки шобы закрывать порты на линух роутере беспезды!!!

Потом выходишь из файлика с сохранением долбишь, как обычно *rc.rezet потом долбишь *rc.local и посылаешь лошпэна
хуйарить за его компьютер дальше!!!
У него не сайтов нихуйа ничего не откроется кроме аси и пиздец!!! Ну мож и заработает там, чегойто хуй его знает…

А вот строчки спицыальна для ахуиевших падонкав каторыя бутут пиздовать и далбить ваш роутер

iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT флудеры сасут и блюют спермаками

iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT вот а это бля страка тля
защиты от сыкрытого нахуй скана партов ПТУшниками

iptables -A FORWARD -p icmp --icmp-type echo-reguest -m limit --limit 1/s -j ACCEPT а це от пинга шары нах

Политики по разрешению не скажу. Патамучта они на хуй не всралися кому- то чего-то разрешать!!!
Харашо кагда на рапоте дахуйа сатрудниц палюбляющих аську и всю хуиту можна с мега линукском и минет в конце рабочего дня выклянчить, если быть особенна наглым падонком.

Взято отсюда.
P.S. спасибо Chuvak-у за ссылку.
Перейти в начало страницы
Вставить ник
+Цитировать сообщение
dip56245
сообщение 15.2.2007, 12:38    [ Вставить ник в форму быстрого ответа ]
Сообщение #6


Programmer
****

Группа: Старейшины
Сообщений: 481
Регистрация: 28.9.2005
ICQ: 82591163
Пользователь №: 2
Спасибо сказали: 2 раз(а)

Дистрибутив:
SuSE
Jabber ID:
[email protected]



Репутация: 2


мда уж... албанский в массы... (IMG:http://forum.linux.lg.ua/style_emoticons/default/wink.gif)
Перейти в начало страницы
Вставить ник
+Цитировать сообщение

Ответить в данную темуНачать новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



RSS Текстовая версия Сейчас: 16.9.2019, 4:57    


BonAppetit - кулинарные авторские фоторецепты  ITO-info