[+] iptables - brak skryptu zapisuj

Tematy związane z oprogramowaniem, instalacją, konfiguracją
ODPOWIEDZ
lo53r
Posty: 15
Rejestracja: 14 maja 2008, 13:44

[+] iptables - brak skryptu zapisującego ustawienia

Post autor: lo53r »

Witam

Do pełni szczęścia potrzebuję wiedzieć w jaki sposób mogę utworzyć skrypt zapisujący ustawienia. Wiem, że powinien się znaleźć w folderze /etc/init.d i poleceniem:

Kod: Zaznacz cały

/etc/init.d/iptables save
powinienem móc zapisać. Jednak tak się nie dzieje bo jak napisałem tego tam nie posiadam.
A przywracanie regułek poleceniem:

Kod: Zaznacz cały

iptables-restore
mi się już powoli nudzi.

Iptables zainstalowałem poprzez apt-get, jeżeli to cokolwiek zmienia.

Pozdrawiam.
Na górę
Awatar użytkownika
grzesiek
Junior Member
Posty: 932
Rejestracja: 06 stycznia 2008, 10:41
Lokalizacja: Białystok

Post autor: grzesiek »

Ja pisze firewalla i zapisuje go w /etc/init.d/firewall.sh. Potem w /etc/local.rc go dodaje aby był wykonywany. To taka najprostsza metoda, bo są specjalne narzędzia które dodają skrypt startowe. Czytałem kiedyś o tym na stronie http://www.debianusers.pl/articles/63. Można też pisać taki skrypt który przyjmuje parametry... Dobrze mieć też w np. katalogu roota taki skrypt co od razu wyłącza całego firewalla.
Na górę
lo53r
Posty: 15
Rejestracja: 14 maja 2008, 13:44

Post autor: lo53r »

Dzięki za odpowiedź. Czyli mam rozumieć, że mam utworzyć pliczek mniej więcej z taką zawartością:

Kod: Zaznacz cały

#przyklady na potrzeby posta
iptables -A OUTPUT -j DROP
iptables -A INPUT -j ACCEPT
nadać mu prawa do wykonywania i dodać linijke w pliku /etc/rc.local:

Kod: Zaznacz cały

nazwa_skyptu
Dobrze rozumiem ?
Na górę
Awatar użytkownika
ruun
Member
Posty: 1366
Rejestracja: 29 marca 2007, 21:07
Lokalizacja: Kruszwica

Post autor: ruun »

lo53r, zapisz regułki iptables w pliku /etc/init.d/firewall i zrób tak..

Kod: Zaznacz cały

chmod +x /etc/init.d/firewall

Kod: Zaznacz cały

update-rc.d firewall defaults 20
Na górę
stepek
Beginner
Posty: 314
Rejestracja: 19 kwietnia 2007, 07:18
Lokalizacja: Bia³ystok

Post autor: stepek »

I to jest najlepsze rozwiazanie. Szczerze mowiac to nie widzialem innego rozwiazania (auto zapisu i tak dalej). I dodam ze zapisz to w takim katalogu by ktos kto przyjdzie po Tobie nie musial tego szukac. Wszystko powinno byc jasne i klarowne.
Na górę
Diabelko
Posty: 41
Rejestracja: 01 maja 2008, 14:30
Lokalizacja: B³onie

Post autor: Diabelko »

ja mam taki firewall :mrgreen: Diabelnie prosty 8-) używam go od ponad roku
#!/bin/sh
#włączenie w kernelu forwardowania
echo 1 > /proc/sys/net/ipv4/ip_forward

#załadowanie modulu niezbednego dla RELATED
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

#oczyszczenie wszystkich tablic z poprzednio wpisanych reguł
iptables -F
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter

#domyślna polityka działania
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

#wpuszczamy wszystko na interfejsie lokalnym
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

#wpuszczamy pakiety z połączeń wcześniej nawiązanych oraz pakiety RELATED dla FTP w trybie pasywnym
iptables -A INPUT -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p udp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p icmp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p icmp -j ACCEPT -m state --state RELATED
iptables -A FORWARD -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p udp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p icmp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p tcp -j ACCEPT -m state --state RELATED
iptables -A FORWARD -p icmp -j ACCEPT -m state --state RELATED
iptables -A OUTPUT -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A OUTPUT -p udp -j ACCEPT -m state --state ESTABLISHED
iptables -A OUTPUT -p icmp -j ACCEPT -m state --state ESTABLISHED
iptables -A OUTPUT -p tcp -j ACCEPT -m state --state RELATED
iptables -A OUTPUT -p icmp -j ACCEPT -m state --state RELATED

#informacja dla FTP i IRC (odrzucanie połączeń na portach 113 i 1080 - info o braku serwerów IDENT i SOCKS)
iptables -A INPUT -p tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable
iptables -A INPUT -p tcp --dport 1080 -j REJECT --reject-with icmp-port-unreachable

#akceptacja pingów ale tylko 12 na minutę
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 12/minute -j ACCEPT


#odblokowujemy dostęp dla apacha dla wszystkich
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT

#odblokowujemy dostęp dla SSH dla LANu
iptables -A INPUT -i ppp0 -p tcp --dport 22 -m state --state NEW -j ACCEPT

#odblokowujemy dostęp do samby
iptables -I INPUT -i ppp0 -p udp --dport 137:139 -j ACCEPT
iptables -I INPUT -i ppp0 -p tcp --dport 137:139 -j ACCEPT


# Otwarte porty UDP dla serwerów
iptables -I INPUT -i ppp0 -p udp --dport XXX -j ACCEPT

# Otwarte porty TCP dla serwerów
iptables -I INPUT -i ppp0 -p tcp --dport XXX -j ACCEPT


#przekierowanie portu dla shareazy
iptables -A PREROUTING -t nat -i ppp0 -p tcp -d 0/0 --dport 6346 -j DNAT --to-destination 192.168.1.101



# maskarada dla sieci wewn oraz udostępnienie łącza
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
ppp0 mozesz amienić na eth0 lub wifi

ustanowienie reguł do iptebels
forsujemy przez mc lub krusader jako root skrypt iptables w
# chmod 700 iptables
i..... do /etc/init.d/
poleceniem :
# /etc/init.d/iptables save active
:mrgreen:
[zapisuje skrypt iptables]
kolejne polecenie co pozwoli na uruchomienie w momencie startu sytemu na trwałe
# update-rc.d iptables defaults
a sprawdzić te cudeńko :mrgreen: mozna na tym adresie https://www.grc.com/x/ne.dll?bh0bkyd2
pozdrawiam
Na górę
stepek
Beginner
Posty: 314
Rejestracja: 19 kwietnia 2007, 07:18
Lokalizacja: Bia³ystok

Post autor: stepek »

chyba mozna Twojego firewalla troche poprawic by nie powtarzac tych samych (dotyczacych tego samego) wpisow. Mysle ze jak cos robic to nalezy to robic dobrze. Owszem wszystko fajnie opisane (zastanawia mnie tylko ten tryb pasywny ftp bo szczerze mowiac to tam rusza wszystko a nie tylko ftp) ale jak na moj pierwszy rzut oka to jest kilka linijek do poprawy.
Na górę
lo53r
Posty: 15
Rejestracja: 14 maja 2008, 13:44

Post autor: lo53r »

ruun pisze:lo53r, zapisz regułki iptables w pliku /etc/init.d/firewall i zrób tak..

Kod: Zaznacz cały

chmod +x /etc/init.d/firewall

Kod: Zaznacz cały

update-rc.d firewall defaults 20
Dzięki, pomogło ;)
Na górę
Diabelko
Posty: 41
Rejestracja: 01 maja 2008, 14:30
Lokalizacja: B³onie

Post autor: Diabelko »

stepek mówisz o tym wpisie :
#wpuszczamy pakiety z połączeń wcześniej nawiązanych oraz pakiety RELATED dla FTP w trybie pasywnym
iptables -A INPUT -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p udp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p icmp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p icmp -j ACCEPT -m state --state RELATED
iptables -A FORWARD -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p udp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p icmp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p tcp -j ACCEPT -m state --state RELATED
iptables -A FORWARD -p icmp -j ACCEPT -m state --state RELATED
iptables -A OUTPUT -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A OUTPUT -p udp -j ACCEPT -m state --state ESTABLISHED
iptables -A OUTPUT -p icmp -j ACCEPT -m state --state ESTABLISHED
iptables -A OUTPUT -p tcp -j ACCEPT -m state --state RELATED
iptables -A OUTPUT -p icmp -j ACCEPT -m state --state RELATED

w zasadzie mogę powiedzieć że nie robi bałaganu :-P a ma swoje uzasadnienie
Na górę
ODPOWIEDZ

Wróć do „Software”