Ustawienie bramy w Linux Ubuntu z iptables pomoshchju

Jak ja tylko nie nastrayval bramy do Linux Ubuntu oraz z pomoshchju UFW, kalmary, c pomoshchju INNEJ prohrammnыh fayervolov. Ale doświadczenie pokazuje, że większość эffektyvnыy sposób – Ustawienie z funduszy vstroennыh pomoshchju – z iptables pomoshchju. Co najważniejsze w Ustawieniach dannoy – napysanye skrypt predopredelennoho i ego Korzystanie projekty różne.

Od ilości Internet negot prohrammnыh realyzatsyy skryptów podobnыh. Ja też yspolzuyu skrypt kotorыy opisać poniżej i kotorыy òîæå kiedyś nashel w internecie :).

W zasadzie neobhodimo zauważyć, że jeśli neobhodimo, Aby rabotal bramy sieciowej wewnątrz, neobhodimo ustanawia program “maskaradynha”:
zainstalować umiejętności dnsmasq

Zwykle te same iptables już zainstalowane w wersji poslednyh Linux Ubuntu zatem ego nie trzeba Zaawansowane ustanavlyvat.

Jeśli neobhodimo sam, Aby bind9 rabotaly jednocześnie i dnsmasq, następnie neobhodimo Początkowo Uruchom dnsmasq i pot – bind9. Ponieważ W przeciwnym razie, czyjaś nachnut ruhatsya zatrudnienia w portach.
Oto jak ja Sprawy w rc.local:

przystanek bind9 usługi
dnsmasq restart usługi
Usługa początek bind9

Teraz naprawdę skrypt. W Maugham sluchae, skrypt DANE pracuje na bramce, kotorыy wisi na jednym interfejsie używane setevom – dla serwerów vyrtualnыh na serwerze. W przypadkach Standart samej sieci – neobhodimo prostu dekret sieć wewnętrzną w Network ynterefeys.

#! / Bin / bash
# Można w zasadzie, a nie na эtoho vsego ale nie pomeha
# Nagle jakiś moduł jest podhruzhen spedycja ili nie wliczone
echo “1” & gt; / Proc / sys / net / ipv4 / ip_forward
echo “1” & gt; / Proc / sys / net / ipv4 / ip_dynaddr
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

Zmienne # Obъyavlenye
eksport IPT = “iptables”

Smotryt # zastosowania interfejsu kotorыy w internecie
export WAN = eth0

# Lokalnaya sieci (w Maugham sluchae, wszystko wisi na jednej używanych interfejsu. Chesche vsego samo tutaj zamenyaete na eth1)
export LAN = eth0: 1
LAN_IP_RANGE eksport = 10.0.2.0 / 24,

# Clean vseh tsepochek iptables
$ IPT -F
$ IPT -F -t nat
$ IPT -F -t mangle
$ IPT-X
$ IPT -t nat -X
$ IPT -t mangle -X

# Zakrыvaem yznachalno Wszystko (tj yznachalno nie jest czymś razresheno – jest zakazane):
### $ IPT -P INPUT, DROP
### $ IPT -P OUTPUT DROP
### $ IPT -P FORWARD DROP

# Razreshaem lokalnыy traffyk dla sprzężenia zwrotnego i wewnętrznej sieci
$ IPT -A INPUT, -i lo -j ACCEPT
$ IPT -A INPUT -i $ LAN -j ACCEPT
$ IPT -A OUTPUT -o lo -j ACCEPT
$ IPT -A OUTPUT -o $ LAN -j ACCEPT

# Stan USTANOWIONA mówić o wielkości, że nie jest to pierwszy pakiet w związku.
# Przełęcz mają związki ynytsyyrovannыe, jak również dochernye nich tutaj
$ IPT -A INPUT, -p wszystkich stanie -m –state siedzibę, DOTYCZY -j ACCEPT
# uchwalenia nowych projektów, jak i już ynytsyyrovannыe i ich związki dochernye
$ IPT -A OUTPUT -p -m –state cały stan NOWY, siedzibę, DOTYCZY -j ACCEPT
# Pozwolić na przekazywanie przez novyh, jak już ynytsyyrovannыh
# I ich związki filial
$ IPT -A FORWARD -p -m –state cały stan NOWY, siedzibę, DOTYCZY -j ACCEPT

# Zawiera frahmentatsyyu pakiety. Neobhodimo wartości raznыh dla MTU
$ IPT -I Dalej w -p tcp-flags SYN –tcp, RST SYN -j TCPMSS –clamp-mss-to-pmtu

# Otbrasыvat wszystkich pakietów, nie kotorыe mogut bыt ydentyfytsyrovanы
# W związku z tym, a na pewno nie mogut stan ymet.
$ IPT -A INPUT -m państwowej –state nieważne -j DROP
Stan $ IPT -A FORWARD -m –state nieważne -j DROP

# K Skok svyazыvanyyu systemnыh zasoby, więc coś rzeczywistego
# Dannыmy stanovytsya wymiana nie jest niemożliwe.
$ IPT -A INPUT, -p tcp! –syn Działnie stan -m –state nowych -j DROP
$ IPT -A OUTPUT -p tcp! –syn Działnie -m państwa –state NOWEGO -j DROP

dostępu # Razreshaem wewnętrznej naruzhu sieci
$ IPT -A FORWARD -i $ LAN -o $ WAN -j ACCEPT

# Zapreschaem dostęp snaruzhy t vnutrennyuyu sieci
$ IPT -A FORWARD -i $ -o $ LAN WAN -j REJECT

# Maskaradynh
$ IPT -t nat -A POSTROUTING -o $ WAN -s $ LAN_IP_RANGE -j MASQUERADE

# Następnie podane porty Przykład otwarcia yzvne kak:
# ************************************************* *********************
# Otkrыvaem port dla ssh
$ IPT -A INPUT, -i $ WAN -p tcp –dport 22220 -j ACCEPT

# Otwieranie portów dla torrentov (sam dekret w torrencie-klyente)
# $ IPT -A INPUT -i $ WAN -p tcp -m wieloportowe –ports czterdzieści dziewięć tysięcy sto pięćdziesiąt dwie: 65535 -j ACCEPT

Otwarcie portu 443 #
$ IPT -A INPUT, -p TCP -j ACCEPT –dport 443

# 80 portów Otkrыvaem dla stron internetowych
$ IPT -A INPUT -i $ WAN -p tcp -j ACCEPT –dport 80
$ IPT -A INPUT -i $ WAN -p udp -j ACCEPT –dport 80

# Otwieranie portów dla serwerów yhrovыh
# $ IPT -A INPUT -i $ WAN -p tcp –dport 27010: 27030 -j ACCEPT
# $ IPT -A INPUT, -i $ WAN -p udp –dport 27010: 27030 -j ACCEPT

# Otwarcia portów dla serwerów głosowych zespołu Speak
# $ IPT -A INPUT, -i $ WAN -p TCP –dport dziewięciu tysięcy dziewięćset osiemdziesiąt siedem -j ACCEPT
# $ IPT -A INPUT, -i $ WAN -p udp –dport 9987 -j ACCEPT
# ************************************************* *********************
,
# Informacja o stanie tabel wyjściowych.
-n trasa
$ IPT -L
$ IPT -L -v -n
$ IPT -L -v -n -t nat

Istnieje możliwość nagrywania danych Jak fw.sh Script i pot ego vыzыvat rc.local w chwili załadunku. Na przykład tak:
/usr/fw/fw.sh

© 2014, https:. Все права защищены. Rudyuk Sergey. К2®

Leave a Comment

Ваша пошт@ не публікуватиметься. Обов’язкові поля позначені *

Можна використовувати XHTML теґи та атрибути: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Shares
Translate »
Menu Title