LINUX.ORG.RU
решено ФорумAdmin

Вопрос по iptables

 ,


0

1

Приветствую уважаемое сообщество. Понемногу осваиваю составление правил для iptables, теперь решил свести всё освоенное в свод правил, записать в файлик. Однако вопрос об иерархии правил, я ещё не вполне уяснил для себя, посему прошу опытных товарищей посмотреть мой списочек и ткнуть мне в ошибки последовательности расположения правил. Ну и, если найдутся другие ошибки - тоже ткнуть. А если будут советы\замечания - буду особо признателен.

Списочек сей составлен для машинки с двумя сетками, статичными IP (локальным и провайдерским) и управляемой консольным Debian Net-install. Являющейся обычным шлюзом в локальной сети из полусотни компов. Задача шлюза сейчас - раздавать более-менее фильтрованный интернет локалным компам. Однако, в перспективе, хотелось бы также фильтровать нежелательный контент (типа флэша, потокового аудио-видео), блочить закачку файлов определённых расширений, блочить интернет-сайты по IP-адресам, регулировать скорость интернета каждому IP-адресу в локалке... Посему есть ещё один маленький вопросец - новые правила, можно просто дописывать в конец списка? Или же для каждого правила, соответствующего назначения, есть определённое место в иерархии?

Заранее благодарен за помощь.

Собственно список:



Последнее исправление: Nehtez (всего исправлений: 4)

Читай вот это: https://www.opennet.ru/docs/RUS/iptables/

И в частности обрати внимание на схему прохождения пакета по каким цепочкам он пойдёт в зависимости от того транзитный ли это пакет или исходящий / входящий пакет именно для этого хоста.

kostik87 ★★★★★
()
Ответ на: комментарий от kostik87

это у меня настольная «книга», но там столько всего... У меня голова вспухла пока я свой списочек написал... С остальным буду позже разбираться.

Nehtez
() автор топика
Ответ на: комментарий от Nehtez

Для помещения блоков кода в текст сообщения на форуме используется специальная разметка и в частности теги [code][/code]

Подробности вот здесь:

Пустая строка (два раза Enter) начинает новый абзац. Знак '>' в начале абзаца выделяет абзац курсивом цитирования.
Внимание: прочитайте описание разметки LORCODE

kostik87 ★★★★★
() 
# Блочим всё и вся
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Не совсем верно, это не блокировка всего, а всего-лишь навсего установка политики разрешения прохождения пакетов в цепочках INPUT, OUTPUT и FORWARD, т.е. если ниже ты что-то для этих цепочек разрешаешь ACCEPT, то писать далее: 

iptables -A FORWARD -j DROP
для блокировки уже не нужно.

# Блочим пакеты без статуса
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP

Они и так уже заблокированы посредством политики DROP для всего что не разрешено правилами с политикой ACCEPT, так что писать эти строки большого смысла нет.

Если используется политика DROP, т.е. 

iptables -P INPUT DROP
iptables -P OUTPUT DROP

Ну а так, думай по смыслу, если выше есть правило, под которое подпадает пакет и это правило разрешает ACCEPT или запрещает DROP продвижение пакета в цепочке, то все ниже стоящие правила с DROP после ACCEPT или ACCEPT после DROP бессмысленны. Так же бессмысленны и правила для маркировки пакетов (MARK), логирования (LOG), перенаправления (REDIRECT) и прочего после правил DROP или ACCEPT.

kostik87 ★★★★★
()
Последнее исправление: kostik87 (всего исправлений: 3)
Ответ на: комментарий от kostik87

Понял. Постараюсь осмыслить. Спасибо за помощь.

Nehtez
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin