Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2011-04-29 14:36:59
jtyson - 
Użytkownik
- jtyson
- Użytkownik
- Zarejestrowany: 2006-06-30
iptables firewall
Witam,
ostatnio głowie się jak trochę umilić życie moim użytkownikom, nadszedł dzień kiedy przegięli ze ściąganiem z p2p. Chciałbym zrobić firewall na iptables żeby puszczał tylko ruch na podstawoych portach www ftp poczta dns i tyle. Wszystko inne chce zablokować. Powoli składam jakieś regułki z iptables ale jeszcze sie tego ucze. Jesli możecie to zerknijcie czy ide dobrym tropem. Poniżej listing tego co stworzyłem, tzn zablokowałem wszystko a potem odblokowuje poszczególne reguły (narazie ssh). Proszę nie śmiejcie się ;-) bo ja się ócze ;-)
# czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -t mangle -F
iptables -t mangle -X
# ustawienie domyslnej polityki
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
# obsługa ruchu wewnetrznego
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Accept packets from trusted IP addresses
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT # using standard slash notation
#iptables -A INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT # using a subnet mask
# utrzymanie polaczen nawiazanych
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
# Zezwolenie tylko na połączenia nadchodzące ssh - WAN
iptables -A INPUT -p tcp -s 0/0 -d $SERVER_IP --sport 513:65535 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -s $SERVER_IP -d 0/0 --sport 22 --dport 513:65535 -m state --state ESTABLISHED -j ACCEPT
# Zezwolenie na ssh z sieci wewnetrznej LAN
iptables -A INPUT -p tcp -s 0/0 -d $SERVER_IP_LAN --sport 513:65535 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -s $SERVER_IP_LAN -d 0/0 --sport 22 --dport 513:65535 -m state --state ESTABLISHED -j ACCEPT
Pozdrawiam
Offline
#2 2011-04-29 14:58:00
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: iptables firewall
Najprościej przez TC zrobić limity transferu dla userów, i w ogóle się nie zajmować zawartością.
Np tak:
Kod:
tc class add dev eth0 parent 1:1 classid 1:xxxx htb rate 256kbit ... tc class add dev eth1 parent 1:1 classid 1:xxxx htb rate 2048kbit ...
Można też obciąć liczbę jednoczesnych połączeń na nietypowych portach, albo na wszystkich, przy pomocy modułu connlimit.
Sznurek: http://forum.dug.net.pl/viewtopic.php?id=7330
Instrukcja: http://przybytek.net/download/2.4routing.pdf
I naucz się używać znaczników CODE.
To by było na tyle
;-)
Ostatnio edytowany przez Jacekalex (2011-04-29 15:02:55)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#3 2011-04-29 15:55:45
djjanek - Użytkownik
Re: iptables firewall
Nie dasz radę zablokować P2P poprzez porty, jedyni co to możesz pobawić się poprzez layer7 lub proxy. Proxy nie wiem czy zadziała, a layer7 darowałem sobie, zrobiłem każdemu użytkownikowi pasmo minimalne i maksymalne poprzez tc i co najwyżej sami sobie robią krzywdę.
Offline
#4 2011-04-29 17:41:52
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/urandom
- Zarejestrowany: 2008-01-07
Re: iptables firewall
Szyfrowanego torrenta potraktować L7? pomarzyć można ;)
Qbittorrent ma opcję szyfrowanych (only) połączeń (dość łatwo to wyklikać).
Inne programy pewnie też.
Szyfrowany ruch filtrować przez proxy? przyjemnej zabawy.
Limit transferu, i connlimit (jeśli sieć ma kłopot z liczbą równoczesnych połączeń).
To by było na tyle
;-)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00009 | SET CHARSET latin2 |
| 0.00004 | SET NAMES latin2 |
| 0.00093 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.144.86.38' WHERE u.id=1 |
| 0.00063 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.144.86.38', 1732841595) |
| 0.00051 | SELECT * FROM punbb_online WHERE logged<1732841295 |
| 0.00044 | SELECT topic_id FROM punbb_posts WHERE id=171942 |
| 0.00076 | SELECT id FROM punbb_posts WHERE topic_id=18877 ORDER BY posted |
| 0.00053 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=18877 AND t.moved_to IS NULL |
| 0.00006 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00075 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=18877 ORDER BY p.id LIMIT 0,25 |
| 0.00082 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=18877 |
| Total query time: 0.00556 s | |