Gentoo и iptables на шлюзе

34 сообщения / 0 new
Последнее сообщение
Sheridan
Аватар пользователя Sheridan
Не в сети
Зарегистрирован: 20/09/2010
Gentoo и iptables на шлюзе

дошли руки наконец написать "конфигуратор" апитаблов под генту...
вобщем тут он..
[url=http://sheridan.stavcom.ru/data/filez/examples/gate/ipt_rules.tar.bz2][ipt_rules.tar.bz2][2'299 байт][/url]
установка - просто распакуйте в /etc
добавляется новый init скрипт для этого дела - ipt_rules
соответственно /etc/init.d/ipt_rules start применяет правила описаные в /etc/conf.d/ipt_rules
/etc/init.d/ipt_rules stop просто дает всему -j ACCEPT

покачто просто для подсети, под каждого юзера еще не делал.
в конфиге описываются в принципе порты которые надо открывать локально/глобально, интерфейсы и настройки форвардинга на прокси если таковой есть...

Дополнения советы и рекомендации очень жду...

edge (не проверено)

Чем он лучше shorewall, arno iptables firewall, и т.д? Все это есть уже..

Sheridan
Аватар пользователя Sheridan
Не в сети
Зарегистрирован: 20/09/2010

тем что shorewall требует вдобавок iproute, а arno я в портажах не видел.
и чтото я не уверен что оно также работает как и мой скрипт.
Да и вобще мне плевать что тото там еще есть. Я написал это для себя
Если комуто не нравится - плюньте и разотрите - мне похрену.
Я запостил это для тех кому пригодится.

WhiteDragon (не проверено)

[b]Sheridan[/b]
[blockquote]Дополнения советы и рекомендации очень жду...
[/blockquote]
[b]Sheridan[/b]
[blockquote]Если комуто не нравится - плюньте и разотрите - мне похрену.
Я запостил это для тех кому пригодится.[/blockquote]

:-?

Sheridan
Аватар пользователя Sheridan
Не в сети
Зарегистрирован: 20/09/2010

[quote]Чем он лучше shorewall, arno iptables firewall, и т.д? Все это есть уже..[/quote]
wd а где тут советы или дополнения? я лично вижу лиш желание высказаться.

Так что по существу.

edge (не проверено)

Да я не против, делай конечно. Но работа зряшная на мой взгляд, чисто для саморазвития если только. Лучше делать то, чего еще нет, или помочь готовому проекту, который уже прошел те стадии разработки, которые делаешь сейчас ты.

Sheridan
Аватар пользователя Sheridan
Не в сети
Зарегистрирован: 20/09/2010

лучше пожалуйста посмотри и помоги советом - может я чтото не так открываю, неправильно порядок организовал etc

maax (не проверено)

<offtop>
поддерживаю edge'а, зряшная работа, тем более того что ты написал - мало даже для домашней машины.. а наличие iproute2 это есть очень хорошо кстати...
</offtop>

по существу первое что в голову приходит после просмотра:
- не дропается траф от и к зарезервированным IANA подсетям
- не дропаются пакеты с состоянием INVALID, не используется модуль unclean
- слабенькая проверка флагов, не учтены SYN/RST и SYN/FIN
- нет работы с цепочкой mangle, не юзается TOS, не дропаются пакеты со всеми сброшенными флагами
- нет возможности DNAT'ить сервисы
- SNAT тоже нет
- слабенькая работа с /proc/sys/net/ipv4

нет шейпинга, qos, поддержки ipsec.. :)

Sheridan
Аватар пользователя Sheridan
Не в сети
Зарегистрирован: 20/09/2010

[quote]- не дропается траф от и к зарезервированным IANA подсетям[/quote]
Почему это надо делать, что это за сети и где взять список? о_0

[quote]- не дропаются пакеты с состоянием INVALID, не используется модуль unclean[/quote]
INVALID дропается... Что за unclean?

[quote]- слабенькая проверка флагов, не учтены SYN/RST и SYN/FIN[/quote]
В книге не было такого... Можно поподробнее?

[quote]- нет работы с цепочкой mangle, не юзается TOS, не дропаются пакеты со всеми сброшенными флагами[/quote]
Тоже поподробнее пожалуйста...

[quote]- нет возможности DNAT'ить сервисы[/quote]
Опятьже поподробнее если можно

[quote]- SNAT тоже нет[/quote]
Не на чем тестить, у меня диалап

[quote]- слабенькая работа с /proc/sys/net/ipv4[/quote]
А что там еще можно делать? о_0

[quote]нет шейпинга, qos, поддержки ipsec.. :)[/quote]
знаю только слово qos... :(

edge (не проверено)

Судя по вопросам, по-моему ты прикалываешься.. Не поверю, что не знаешь что такое сетки 10. 192. 127., что такое DNAT SNAT и тд.

sl1m (не проверено)

2sheridan:
без обид, ну зачем пытаться изобретать велосипед с такими знаниями стека сетевых протоколов? (:

Sheridan
Аватар пользователя Sheridan
Не в сети
Зарегистрирован: 20/09/2010

ну про dnat, шейпинг, quos и ipsec могу еще прочитать, хотя слова шейпинг и ipsec слышу впервые...
а вот остальное незнаю
хотя...
Как я понял 10, 192, 127 сети являются зарезервированными типа как 192 это домашняя сеть... так? Если так тогда все понятно.
А вот про неверные состояния флагов пакета и про возможности /proc/sys/net/ipv4 вообще даже незнаю где копать...

Sheridan
Аватар пользователя Sheridan
Не в сети
Зарегистрирован: 20/09/2010

[quote=sl1m]2sheridan:
без обид, ну зачем пытаться изобретать велосипед с такими знаниями стека сетевых протоколов? (:[/quote]
:) ты родился с этими знаниями? о_0

Sheridan
Аватар пользователя Sheridan
Не в сети
Зарегистрирован: 20/09/2010

вожеж блин ничего не делаеш - зудят все, чтото пытаешся чтото сделать опятьже все зудят :)))
Как так жить :)))))

maax (не проверено)

- список зарезервированных IANA подсетей ищется в гугле, кстати 224.0.0.0 ты тем не менее реджектишь..
- iptables -A InvalidPackets -m unclean -j DROP
- iptables -A InvalidPackets -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP (кристмас)
iptables -A InvalidPackets -p tcp --tcp-flags SYN,RST SYN,RST -j DROP (SYN/RST)
iptables -A InvalidPackets -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP (SYN/FIN)
- тут лениво расписывать, копать в сторону мишени TOS и соответственно параметру --set-tos, цепочки не в таблице FORWARD, а в mangle, на OUTPUT и PREROUTING, не цепочки а правила в смысле..
- Destination network address translation
- соответственно Source network address translation
- ууу, многа :)
/proc/sys/net/ipv4/ip_conntrack_max - максимальное количество соединений трассировщика
/proc/sys/net/ipv4/ip_local_port_range - диапозон локальных портов для сетевых соединений
/proc/sys/net/ipv4/conf/all/rp_filter - rp_filter
/proc/sys/net/ipv4/conf/all/accept_source_route - сурс роутинг пакетиков
/proc/sys/net/ipv4/conf/all/accept_redirects - icmp редиректы кажется
/proc/sys/net/ipv4/conf/all/log_martians - вести лог невозможных айпишников
и еще куча в ls -R /proc/sys/net/ipv4
- шейпинг имеется ввиду зарезка канала, например через tc пакета iproute2, IPSec вообще грех не знать, срочно читать..

maax (не проверено)

"Как я понял 10, 192, 127 сети являются зарезервированными типа как 192 это домашняя сеть... так? Если так тогда все понятно. "
не совсем так.. http://www.iana.org/assignments/ipv4-address-space - отсюда брать то что помечено как IANA - Reserved, как видишь кроме 10.х/8 192.х/8 есть еще много других, 127.х/8 это loopback, 169.254.0.0/16 это link local для DHCP, 224.0.0.0/4 и 240.0.0.0/4 это подсеть класса D, первое еще известно как ipv4 multicast.
момент в другом, что не все ты дропаешь из этого списка, если ты будешь дропать 192.168.0.0/16, а в локалке адреса 192.168.0.1 например, то пакетики будут сразу дропаться при приближении к шлюзу :)

WhiteDragon (не проверено)

ну как я уже рекомендовал не трахать /proc (ибо я бы не был так у всерен что procfs именно туда смонтирована, что она смонтирована вообще, что ядро вообще умеет procfs), а всеже юзать sysctl

edge (не проверено)

Ссылки:
1) http://www.unixwiz.net/techtips/iguide-ipsec.html - IPSEC, иллюстрированное описание протокола
2) http://www.nestor.minsk.by/sr/2003/09/30914.html - Зарезервированные сети (не самое лучшее описание, но пойдет)
3) http://www.jetinfo.ru/1998/7-8/1/article1.7-8.1998.html - в добавление к тому, что тебе предстоит сделать, стоит прочитать про IPv6, поскольку в 2008 кажется году начинается переезд на IPv6
4) http://megalib.com/books/1348/iptables-tutorial.html - описание iptables на русском. Тут и про DNAT и про SNAT, и про TOS и т.д. на русском.

Nick
Не в сети
Зарегистрирован: 20/09/2010

[quote=WhiteDragon]ну как я уже рекомендовал не трахать /proc (ибо я бы не был так у всерен что procfs именно туда смонтирована, что она смонтирована вообще, что ядро вообще умеет procfs), а всеже юзать sysctl[/quote]

А что, по вашему, делает sysctl, как не "трахает /proc"?

Sheridan
Аватар пользователя Sheridan
Не в сети
Зарегистрирован: 20/09/2010

Спасибо народ, буду изучать.

Sheridan
Аватар пользователя Sheridan
Не в сети
Зарегистрирован: 20/09/2010

[quote=maax]
iptables -A InvalidPackets -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP (кристмас)
iptables -A InvalidPackets -p tcp --tcp-flags SYN,RST SYN,RST -j DROP (SYN/RST)
iptables -A InvalidPackets -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP (SYN/FIN)
[/quote]
гм... вроде нормальные флаги... Можеж пояснить причины? по udp это дело надо резать?

Nick
Не в сети
Зарегистрирован: 20/09/2010

sheridan: В UDP не бывает флагов SYN, FIN, PSH, и RST. В UDP нет подключений и нет механизмов управления подключениями.

В общем, учите матчасть... Лично я не доверил бы построение межсетевого экрана человеку, не знакомому с основами сетевого взаимодействия.

Sheridan
Аватар пользователя Sheridan
Не в сети
Зарегистрирован: 20/09/2010

я какраз и занимаюсь матчастью. Прочитай ветку - поймеш. не мешай. А лучше помоги.
Да и не буду я тебе настраивать ничего не бойся.
А вопрос из 2х частей состоял. Ты ответил на вторую часть, а на первую часть ответить можеж?

VladTs (не проверено)

[b]edge[/b] постил ссылку http://megalib.com/books/1348/iptables-tutorial.html в первой части туториала автор касается флагов сетевых протоколов и поясняет некоторые неоднозначные ситуации. Полезное чтиво.

Sheridan
Аватар пользователя Sheridan
Не в сети
Зарегистрирован: 20/09/2010

это мой handbook но чтото я не припоминаю там неверных состояний кроме ! --syn -m state --state NEW и --tcp-flags SYN,ACK SYN,ACK -m state --state NEW
Может пропустил конечно... вчитаюсь подробнее....

Nick
Не в сети
Зарегистрирован: 20/09/2010

БОльшая часть неверных сочетаний флагов уже давно дропается в ядре автоматически, самому ничего делать не нужно.

maax (не проверено)

SYN и ACK не единственные флаги заголовка tcp, твоим handbook'ом для начала должна была стать книга TCP/IP Сетевое администрирование Ханта и TCP/IP для профессионалов Паркера, ну а потом уже садиться за iptables tutorial :) серьезно, без обид.. iptables это инструмент..

WhiteDragon (не проверено)

лучше
RFC 768 - UDP
RFC 791 - IP
RFC 793 - TCP
RFC 792 - ICMP

maax (не проверено)

WD как обычно не ищет легких путей ;)

John
Аватар пользователя John
Не в сети
Зарегистрирован: 20/09/2010

[quote=maax]..... книга TCP/IP Сетевое администрирование Ханта и TCP/IP для профессионалов Паркера ....[/quote]
А есть вариант скачать данные произведения? Что-то я не нашел.... Мож у кого ссылочка завалялась....

sl1m (не проверено)

есть на анг. стучи, вышлю)
кстате, кое-что есть тут:
ftp://ftp.uar.net/pub/e-books/
<span class='smallblacktext'>[ Редактирование 27.06.2006 - 12:40:13 ]</span>

maax (не проверено)

в э этой жизне эти книги есть в переводе, TCP/IP Паркера издавалась издательством Питер, эту книжку наверно многие видели в книжных магазинах, но боялись ее купить ;) у нее два года назад цена была 1400 р. .. Хант более прагматичен, но не менее интересен... после обоих книг многие ранее непонятные вещи станут как прозрачная вода :) рекомендую читать..

John
Аватар пользователя John
Не в сети
Зарегистрирован: 20/09/2010

[quote=sl1m]есть на анг. стучи, вышлю)
кстате, кое-что есть тут:
ftp://ftp.uar.net/pub/e-books/
[/quote]

Это-то, супер, но мне русский как-то лучше впитывается :-).... Все таки мож у кого есть на русском?

sl1m (не проверено)

[quote=John][quote=sl1m]есть на анг. стучи, вышлю)
кстате, кое-что есть тут:
ftp://ftp.uar.net/pub/e-books/
[/quote]

Это-то, супер, но мне русский как-то лучше впитывается :-).... Все таки мож у кого есть на русском?[/quote]

да, книжки толковые, но в нете на русском не встречал. в магазине, сейчас, переводы этих изданий на русском стоят не более чем по пицот рэ..

RSS-материал