Iptables закрыть порт

Мы профессиональная команда, которая на рынке работает уже более 2 лет и специализируемся исключительно на лучших продуктах.

У нас лучший товар, который вы когда-либо пробовали!

Наши контакты:

Telegram:

https://t.me/happystuff

Внимание! Роскомнадзор заблокировал Telegram ! Как обойти блокировку:

http://telegra.ph/Kak-obojti-blokirovku-Telegram-04-13-15

ВНИМАНИЕ!!! В Телеграмм переходить только по ссылке, в поиске много фейков!

В продолжении теории iptables публикую данную практическую статью о сетевом фильтре Linux. В статье рассмотрю типовые примеры реализации правил iptables в Linux, а так же рассмотрим способы сохранения созданной конфигурации iptables. Давайте начнем с элементарной задачи - реализация сетевого экрана Linux на десктопе. В большинстве случаев на десктопных дистрибутивах линукса нет острой необходимости использовать файервол, так как на таких дистрибутивах не запущены какие-либо сервисы, слушающие сетевые порты, но ради профилактики организовать защиту не будет лишним. Ибо ядро тоже не застраховано от дыр. Для настройки сетевого экрана я стараюсь придерживаться следующей политики: Так и поступим в данном случае. Если у вас свежеустановленная система и вы не пытались настроить на ней сетевой фильтр, то правила будут иметь примерно следующую картину: Поэтому давайте сначала запретим ВСЁ входящие , исходящие и проходящие пакеты не вздумайте это делать удаленно-тут же потеряете доступ:. Этими командами мы устанавливаем политику DROP по умолчанию. Это значит, что любой пакет, для которого явно не задано правило, которое его разрешает, автоматически отбрасывается. Поскольку пока еще у нас не задано ни одно правило - будут отвергнуты все пакеты, которые придут на ваш компьютер, равно как и те, которые вы попытаетесь отправить в сеть. В качестве демонстрации можно попробовать пропинговать свой компьютер через интерфейс обратной петли:. На самом деле это полностью не функционирующая сеть и это не очень хорошо, так как некоторые демоны используют для обмена между собой петлевой интерфейс, который после проделанных действий более не функционирует. Это может нарушить работу подобных сервисов. Если подходить к настройке файервола не шибко фанатично, то можно разрешить работу протокола ICMP:. Зная, что наш комп не заражен ведь это так? А так же, зная, что безопасные соединения - это соединения из т. Если подходить к ограничению исходящих пакетов не параноидально, то можно было ограничиться одной командой iptables, разрешающей все исхолящие соединения оп всем протоколам и портам:. Если на десктопе все же работает какая-то сетевая служба, то необходимо добавить соответствующие правила для входящих соединений и для исходящих. Например, для работы ssh-сервера , который принимает и отправляет запросы на 22 TCP-порту, необходимо добавить следующие iptables-правила:. Давайте теперь рассмотрим наш Linux в качестве шлюза для локальной сети во внешнюю сеть Internet. Предположим, что интерфейс eth0 подключен к интернету и имеет IP Итак, у нас есть внешний адрес Если эти клиенты будут отправлять во внешнюю сеть запросы через шлюз 'как есть', без преобразования, то удаленный сервер не сможет на них ответить, так как обратным адресом будет получатель из 'локальной сети'. Для того, чтобы эта схема корректно работала, необходимо подменять адрес отправителя, на внешний адрес шлюза Linux. Далее, выполняем маскирование подмену адреса отправителя пакета в заголовках всех пакетов, исходящих с интерфейса eth0. Есть некая общая рекомендация: Кроме того, SNAT умеет 'помнить' об установленных соединениях при кратковременной недоступности интерфейса. С точки зрения удаленного хоста ya. Однако, на шлюзе адрес назначения этих пакетов будет подменяться на Для такого обратного преобразования никаких дополнительных правил указывать не нужно — это будет делать все та же операция MASQUERADE , которая помнит какой хост из локальной сети отправил запрос и какому хосту необходимо вернуть пришедший ответ. Предположим, что на нашем шлюзе запущен некий сервис, который должен отвечать на запросы поступающие из сети интернет. Допустим он работает на некотором TCP порту nn. Чтобы предоставить доступ к данной службе, необходимо модифицировать таблицу filter в цепочке INPUT для возможности получения сетевых пакетов, адресованных локальному сервису и таблицу filter в цепочке OUTPUT для разрешения ответов на пришедшие запросы. Итак, мы имеем настроенный шлюз , который маскарадит заменяет адрес отправителя на врешний пакеты во внешнюю сеть. И разрешает принимать все установленные соединения. Предоставление доступа к сервису будет осуществляться с помощью следующих разрешающих правил:. Данные правила разрешают входящие соединения по протоколу tcp на порт nn и исходящие соединения по протоколу tcp с порта nn. Кроме этого, можно добавить дополнительные ограничивающие параметры, например разрешить входящие соединения только с внешнего интерфейса eth0 ключ -i eth0 и т. Предположим, что в нашей локальной сети имеется какой-то хост с IP X. Для того чтобы при обращении удаленного клиента ко внешнему IP на порт xxx происходил корректный ответ сервиса из локальной сети, необходимо направить запросы, приходящие на внешний IP порт xxx на соответствующий хост в локальной сети. Это достигается модификацией адреса получателя в пакете, приходящем на указанный порт. Опять же, пойдем по пути прошлого раздела. Все введенные в консоли правила - после перезагрузки ОС будут сброшены в первоначальное состояние читай - удалены. Но у данного способа есть существенный недостаток: Представьте ситуацию, например, если какая-нибудь служба например NFS стартует последней и при ее запуске произойдет какой-либо сбой и до запуска скрипта rc. Дамп правил, полученный командой iptables-save имеет текстовый формат, соответственно пригоден для редактирования. Синтаксис вывода команды iptables-save следующий:. Строки, начинающиеся на двоеточие задают цепочки, в которых содержится данная таблица в формате:. А управление данным файлом лежит на демоне iptables. На сегодня будет достаточно. Более сложные реализации межсетевого экрана я обязательно будут публиковаться в следующих статьях. Впервые встречаю так четко разложенную по полочкам информацию об iptables! Чтобы всю схему понять, нужно почитать первую статью о netfilter. Если считать, что в обоих примерах интерфейс eth1 один и тот же, то разница будет в том, что во втором примере будут разрешены любые пакеты проходящие через сервер, которые имеют входящий интерфейс eth1 и исходящий eth1. В первом же примере разрешается только устанавливаемые имеющие состояние NEW соединения, которые входят через интерфейс eth1 и имеют исходящий IP из подсети Подскажите пожалуйста, как правильно настраивать iptables на удаленном сервере. Если я изначально все правила пропишу а уже в самом конце пропишу правила по умолчанию: Так, если будет ошибка, то сервер перегрузится и все правила сбросятся. Кстати один из лучший мануалов в рунете. Про удалённую перезагрузку в кроне — наверное достаточно просто поместить скрипт ,который бы сбрасывал правила. Самая разжованная статья какую я только встречались по iptables. Автору честь и хвала. Вопрос в следующем если это использовать на роутэре на Linux то в icmp кроме 8 и 0 типа какие есче лучше открыть типы? В wiki описаны типы icmp пакетов. По названиям вполне наглядно можно выбрать себе подходящие. Я не нашел следующую информацию а для меня это очень важно. При настройке iptables как применяются правила. Если я одним правилом запретил прохождение всех пакетов, а следующим частично разрешил, какое правило в итоге сработает. И на оборот, если я разрешил частично прохождение пакетов а следующее правило их все DROPает. Что будет в итоге. Интуитивно понятно но хотелось бы чтобы специалисты подсказали более точно. И еще что имеет приоритет политика по умолчанию или добавленные правила. Большое спасибо за ответ. Правильно ли я понял? Пожалуйста, прочитайте первую статью об netfilter. Большая часть вопросов отпадет. If a rule specifies that any packets from the The rule to allow packets from Антон, спасибо за дополнение. Но я вроде не указывал, что правило default policy обязательно нужно в начале…. Действительно очень хорошая статья — от простого к сложному. Хотел бы прочитать аналогичную статью по настройке netfilter для веб-сервера, такой, например, конфигурации: Сервер выходит в интернет через vpn на интерфейсе ppp0. Если аналогичная статья уже написана вами — дайте, пожалуйста, ссылку. С наилучшими пожеланиями, Александр. Специальной статьи по веб-серверу нет. Можно ли будет прояснить следующий вопрос. Иммется eth0 выход в Интернет и eth1 подключен кабелем к сетевой 2-го компа для rdp. Как правильно дополнить файл правилами для eth1. Дополнение адреса в локалке статические для 2-го компа выход в интернет не требуется. Очень понравилась, хорошо все усвоил. Вопрос меня мучает такой так сказать сомнения. Есть у меня ppp0 привязанный к интерфейсу eth1 — вопрос что мне маскарадить для нат ppp0? Маскарадить тот интерфейс, которому присваивается шлюз по умолчанию, который используется для доступа в интернет. Верно ли моё утверждение? Спасибо, обе статьи замечательны, если надо разобраться быстро и сразу, а для курения манов нет времени, очень помогли. Сохранение введенных правил при перезагрузке в Debian http: Это появилось только в 6 версии, поэтому я упустил данный пакет. Максим, спасибо за эту и предыдущую статью про iptables. Стал яснее понимать принцип его работы. Есть моменты которые не совсем ясны. Если получиться разобраться — буду премного благодарен. Два выхода в Интернет. Подключение через модем iface vlan inet static vlan-raw-device eth0 address Необходимо открыть порт В локальной сети открыт. У вас не совсем корректная конфигурация. На Вашем месте, для локальной сети я бы выделил отдельный физический интерфейс и не мешал тегированный и нетегированный трафик в одном интерфейсе. Что касается настроек netfilter, то на первый взгляд все корректно. Посмотрите, работает ли сервис на интерфейсе vlan2 командой netstat. А при команде sudo iptables-save выводит что сохранится следующуе: Весь сахар в том, что надо после добавления такого правила: Это префикс сети, который подразумевает только один хост в данной сети. Судя по возникающим вопросам, я могу предположить, что у вас недостаточное понимание в области адресации локальной сети. Я рекомендую почитать мою статью основы локальной сети. Дополнительно, могу порекомендовать почитать это и это. Я читал Ваши статьи, спасибо. Да, указать просто IP адрес без маски будет корректно. Но я предпочитаю все же указывать маску. Статья действительно написано очень доходчиво даже для начинающих. Вот по ходу дела возник вопрос. Собираюсь заменить роутер Dlink dir на шлюз собранный из попавшихся комплектующих. Мой провайдер проверяет клиентов по MAC адресу. В роутере есть функция клонирования MAC адреса. Поэтому с других устройств подключаюсь без проблем. Так вот собственно и вопрос: Заранее спасибо за ответ. Это делается не силами netfilter. Это делается настройками сетевого интерфейса. Берете старый MAC и настраиваете на сетевом интерфейсе. Пользуясь Вашим появлением поле длительного отсутствия, хочу поинтересовать следующее дело. Касается оно трафик контрол из пакета нетфилтер. Я хочу фильтровать трафик на своём серваке для клиентов. Фильтровать хочу с использованием iptables для маркировки пакетов и в последующем просеивать трафик контролем, с использованием HTB , кого куда. Правила и фильтр на двух пользователей Есть может способ по новаторней? Можно этот трафик перенаправить на некий виртуальный интерфейс и сделать его тем самым условно исходящим. Хороший пример я видел на хабре. Спасибо, тоже его лицезрел как-то, но там задачка немного другая, он виртуальный интерфейс сделал чтобы организовать раздачу от двух провайдеров в локалку по потребности то ли от первого брать, то ли от второго. Да и ppp0 у него нет. Вот тут вопрос такой: Смотрю на этих ребят , может у меня также просто. А вообще, NATом интернет пользователям раздавать — дело неблагодарное. Хотя не мне вам советовать, как в вашей сети работать, но я бы порекомендовал использовать прокси. А почему натом раздавать — не благодарное дело? Потому что нет контроля над пользователем. Отдав сетевой порт пользователю — он может с локалкой все что хочешь сделать. А если речь идет о домашней сети и доверенных пользователях, то можно ограничить и настройками торрент-клиента. А вообще, у меня вполне себе работал торрент через прокси при таких настройках: Буду знать, а мне в своё время не удалось реализовать, а так было надо! Но у меня задача не стоит тотально контролировать, а нужно деление скорости основного канала интернета, а также распределение трафика между участниками в случае, если кто-то канал свой не использует. За пример конфига сквиду, отдельное спасибо. Буду пробовать в использовании. У тебя еще один баг в статье или я чего-то не понял: Есть проблема с пробросом портов в виртуальную машину KVM. Внешний адрес сервера — 1. Лишь однажды после длительного ожидания браузер выгрузил искомую веб-морду, но явно недогрузившуюся. Если я правильно понимаю, KVM при создании интерфейса virbr1 добавляет правило маскарадинга в iptables. Тем не менее, что-то не так. Не подскажете, в чём может быть проблема? Ёщё один существенный нюанс: К сожалению, документации на всё это нет и мне непонятно, искать проблему в iptables или же разбираться в коде. Видимо, было автоматически добавлено при поднятии virbr1. Прошу прощения, можете удалить мой комментарий. Вот так всегда, стоит попросить о помощи и осеняет. Sim Спасибо, что занимаетесь просвещением в столь необходимой области. Позволю себе небольшое дополнение к вашей статье. Возможно ли от вас получить статью. Об этом много написано, но хотелось бы все в одном месте увидеть. Провайдер А — основной, если пропадает ping например на 8. DLink нынче денег стоят! По поводу новой статьи — добавил в планы, но о сроках говорить не могу. Хороший материал, которого не хватало мну в своё время. Как с помощью iptables закрыть порт для всех ip и открыть для определенных ip? При этом для каждого адреса будет добавлено отдельное правило. FraGjSM, иди учи документацию netfilter и iptables, а здесь расписан уже практический совет как настроить для того или иного случая. Также могут помочь с реализацией под твою конкретную задачу, но мать часть, хотя бы основы, надо знать иначе ничего не поймёшь. Такой вопрос, у меня работает apache и расшаривает папку folder для примера. Чтобы в неё попасть из интернета, нужно набрать http: Я хочу сделать следующее, чтоб каждый не дергал мой сервер хакеры там и прочие любопытные , создаю такое правило: Уведомить меня о появлении новых комментариев. Главная Карта сайта О сайте. Январь 5th, Рубрики: Поэтому давайте сначала запретим ВСЁ входящие , исходящие и проходящие пакеты не вздумайте это делать удаленно-тут же потеряете доступ: В качестве демонстрации можно попробовать пропинговать свой компьютер через интерфейс обратной петли: Operation not permitted ping: Например, для работы ssh-сервера , который принимает и отправляет запросы на 22 TCP-порту, необходимо добавить следующие iptables-правила: Предоставление доступа к сервису будет осуществляться с помощью следующих разрешающих правил: Предоставление доступа к сервисам в локальной сети Предположим, что в нашей локальной сети имеется какой-то хост с IP X. Итак, алгоритм сохранения iptables примерно следующий: Синтаксис вывода команды iptables-save следующий: Generated by iptables-save v1. Строки, начинающиеся на двоеточие задают цепочки, в которых содержится данная таблица в формате: Итог На сегодня будет достаточно. Без всего списка правил трудно что-то сказать…. К сожалению, о динамической маршрутизации пока статей не планируется…. Статья очень хорошая, для людей. Спасибо за замечание, Cepreu Это опечатка. Видимо, вас с толку сбила формулировка: Сейчас переделаю чтобы было понятней, что я имел ввиду. Правила для eth0 настроены. Вижу, что на ЛОРе уже дали нужную рекомендацию. На здоровье Буду рад видеть снова! FraGjSM, я не понял Вашего вопроса. Мне кажется, пример съехал. Можете на pastebin выложить? Написать комментарий Нажмите здесь, чтобы отменить ответ. Редактор комментариев Wordpress любит заменять спецсимволы в тексте. Пожалуйста, для размещения блоков текста конфигов, логов, консольных команд используйте сервисы pastebin. Популярные записи Запуск административных инструментов из cmd Не обнаружен ключ защиты программы в 1С:

400 кило кокаина