Alterator/AlteratorNetIptables: различия между версиями

Материал из ALT Linux Wiki
Перейти к навигации Перейти к поиску
Строка 3: Строка 3:
'''Проект, по результатам разговора с vitty@'''
'''Проект, по результатам разговора с vitty@'''


Процедура сброса состояния системы (в частности, при инсталяции):
=== Процедура сброса состояния системы (в частности, при инсталяции)===
* из /etc/net/ifaces/default/fw/iptables/filter/{INPUT/OUTPUT} стираются строчки, соделжащие '-P' '-j DROP', '-j ACCEPT' (строчка ULOGD при этом сохраняется, интересно, нужно ли тут сохранять какие-то еще чужие строчки?)
* из /etc/net/ifaces/default/fw/iptables/filter/{INPUT/OUTPUT} стираются строчки, соделжащие '-P' '-j DROP', '-j ACCEPT' (строчка ULOGD при этом сохраняется, интересно, нужно ли тут сохранять какие-то еще чужие строчки?)
* в /etc/net/ifaces/default/fw/iptables/filter/INPUT дописывается:
* в /etc/net/ifaces/default/fw/iptables/filter/INPUT дописывается:
Строка 22: Строка 22:
* таким образом все интерфейсы считаются внешними, firewall включен
* таким образом все интерфейсы считаются внешними, firewall включен


Модуль определяет текущее состояние:
=== Модуль определяет текущее состояние ===
* определяется default policy (сперва из /etc/net/ifaces/default/fw/options, потом из /etc/net/ifaces/default/fw/iptables/filter/INPUT).  
* определяется default policy (сперва из /etc/net/ifaces/default/fw/options, потом из /etc/net/ifaces/default/fw/iptables/filter/INPUT).  
** Если ACCEPT - все интерфейсы считаются внутренними
** Если ACCEPT - все интерфейсы считаются внутренними
Строка 28: Строка 28:
* определяем дополнительно открытые сервисы (группы портов) и отдельные порты - по строчкам вида '-p <протокол> --dport <порт> -j ACCEPT' (это уже есть в существующем модуле)
* определяем дополнительно открытые сервисы (группы портов) и отдельные порты - по строчкам вида '-p <протокол> --dport <порт> -j ACCEPT' (это уже есть в существующем модуле)


Модуль перезаписывает состояние:
=== Модуль перезаписывает состояние ===
* происходит сброс конфигурационных файлов в начальное состояние (см. выше)
* происходит сброс конфигурационных файлов в начальное состояние (см. выше)
* для всех внутренних интерфейсов пишется '-i <имя> -j ACCEPT'
* для всех внутренних интерфейсов пишется '-i <имя> -j ACCEPT'
Строка 34: Строка 34:
* перезагружаем правила: 'efw restart'
* перезагружаем правила: 'efw restart'


Интерфейс:
=== Интерфейс ===
* выбор внутренних интерфейсов
* выбор внутренних интерфейсов
* выбор открытых наружу сервисов
* выбор открытых наружу сервисов
Строка 40: Строка 40:
[[category:sisyphus]]
[[category:sisyphus]]


Кроме того:
=== Кроме того ===
* service iptables не существует, все работает через etcnet + efw.
* service iptables не существует, все работает через etcnet + efw.

Версия от 11:57, 30 января 2009

alterator-net-iptables

Проект, по результатам разговора с vitty@

Процедура сброса состояния системы (в частности, при инсталяции)

  • из /etc/net/ifaces/default/fw/iptables/filter/{INPUT/OUTPUT} стираются строчки, соделжащие '-P' '-j DROP', '-j ACCEPT' (строчка ULOGD при этом сохраняется, интересно, нужно ли тут сохранять какие-то еще чужие строчки?)
  • в /etc/net/ifaces/default/fw/iptables/filter/INPUT дописывается:
-P DROP
-i lo -j ACCEPT
-f -j DROP
-m state --state ESTABLISHED,RELATED -j ACCEPT
что-то еще, кажется надо было открыть
  • в /etc/net/ifaces/default/fw/iptables/filter/OUTPUT:
-P ACCEPT
-f -j DROP
-m state --state ESTABLISHED,RELATED -j ACCEPT (или такого тут не надо?)
  • в /etc/net/ifaces/default/fw/options перезаписываются параметры:
FW_TYPE="iptables"
IPTABLES_HUMAN_SYNTAX=no
  • в /etc/net/ifaces/default/options:
CONFIG_FW=yes
  • таким образом все интерфейсы считаются внешними, firewall включен

Модуль определяет текущее состояние

  • определяется default policy (сперва из /etc/net/ifaces/default/fw/options, потом из /etc/net/ifaces/default/fw/iptables/filter/INPUT).
    • Если ACCEPT - все интерфейсы считаются внутренними
    • Если DROP - дополнительно определяем внутренние интерфейсы по строчкам -i <имя> -j ACCEPT
  • определяем дополнительно открытые сервисы (группы портов) и отдельные порты - по строчкам вида '-p <протокол> --dport <порт> -j ACCEPT' (это уже есть в существующем модуле)

Модуль перезаписывает состояние

  • происходит сброс конфигурационных файлов в начальное состояние (см. выше)
  • для всех внутренних интерфейсов пишется '-i <имя> -j ACCEPT'
  • записываются строчки для всех дополнительно открытых наружу сервисов (без указания интерфейсов) '-p <протокол> --dport <порт> -j ACCEPT'
  • перезагружаем правила: 'efw restart'

Интерфейс

  • выбор внутренних интерфейсов
  • выбор открытых наружу сервисов
  • ввод открытых наружу дополнительных портов

Кроме того

  • service iptables не существует, все работает через etcnet + efw.