Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

[+] iptables - brak skryptu zapisuj

https://www.debian.pl/viewtopic.php?t=8202

Strona 1 z 1

[+] iptables - brak skryptu zapisującego ustawienia

: 26 maja 2008, 11:05
autor: lo53r
Witam

Do pełni szczęścia potrzebuję wiedzieć w jaki sposób mogę utworzyć skrypt zapisujący ustawienia. Wiem, że powinien się znaleźć w folderze /etc/init.d i poleceniem:

Kod: Zaznacz cały

/etc/init.d/iptables save
powinienem móc zapisać. Jednak tak się nie dzieje bo jak napisałem tego tam nie posiadam.
A przywracanie regułek poleceniem:

Kod: Zaznacz cały

iptables-restore
mi się już powoli nudzi.

Iptables zainstalowałem poprzez apt-get, jeżeli to cokolwiek zmienia.

Pozdrawiam.

: 26 maja 2008, 13:17
autor: grzesiek
Ja pisze firewalla i zapisuje go w /etc/init.d/firewall.sh. Potem w /etc/local.rc go dodaje aby był wykonywany. To taka najprostsza metoda, bo są specjalne narzędzia które dodają skrypt startowe. Czytałem kiedyś o tym na stronie http://www.debianusers.pl/articles/63. Można też pisać taki skrypt który przyjmuje parametry... Dobrze mieć też w np. katalogu roota taki skrypt co od razu wyłącza całego firewalla.

: 26 maja 2008, 14:24
autor: lo53r
Dzięki za odpowiedź. Czyli mam rozumieć, że mam utworzyć pliczek mniej więcej z taką zawartością:

Kod: Zaznacz cały

#przyklady na potrzeby posta
iptables -A OUTPUT -j DROP
iptables -A INPUT -j ACCEPT
nadać mu prawa do wykonywania i dodać linijke w pliku /etc/rc.local:

Kod: Zaznacz cały

nazwa_skyptu
Dobrze rozumiem ?

: 26 maja 2008, 14:44
autor: ruun
lo53r, zapisz regułki iptables w pliku /etc/init.d/firewall i zrób tak..

Kod: Zaznacz cały

chmod +x /etc/init.d/firewall

Kod: Zaznacz cały

update-rc.d firewall defaults 20

: 27 maja 2008, 14:05
autor: stepek
I to jest najlepsze rozwiazanie. Szczerze mowiac to nie widzialem innego rozwiazania (auto zapisu i tak dalej). I dodam ze zapisz to w takim katalogu by ktos kto przyjdzie po Tobie nie musial tego szukac. Wszystko powinno byc jasne i klarowne.

: 27 maja 2008, 16:54
autor: Diabelko
ja mam taki firewall :mrgreen: Diabelnie prosty 8-) używam go od ponad roku
#!/bin/sh
#włączenie w kernelu forwardowania
echo 1 > /proc/sys/net/ipv4/ip_forward

#załadowanie modulu niezbednego dla RELATED
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

#oczyszczenie wszystkich tablic z poprzednio wpisanych reguł
iptables -F
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter

#domyślna polityka działania
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

#wpuszczamy wszystko na interfejsie lokalnym
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

#wpuszczamy pakiety z połączeń wcześniej nawiązanych oraz pakiety RELATED dla FTP w trybie pasywnym
iptables -A INPUT -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p udp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p icmp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p icmp -j ACCEPT -m state --state RELATED
iptables -A FORWARD -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p udp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p icmp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p tcp -j ACCEPT -m state --state RELATED
iptables -A FORWARD -p icmp -j ACCEPT -m state --state RELATED
iptables -A OUTPUT -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A OUTPUT -p udp -j ACCEPT -m state --state ESTABLISHED
iptables -A OUTPUT -p icmp -j ACCEPT -m state --state ESTABLISHED
iptables -A OUTPUT -p tcp -j ACCEPT -m state --state RELATED
iptables -A OUTPUT -p icmp -j ACCEPT -m state --state RELATED

#informacja dla FTP i IRC (odrzucanie połączeń na portach 113 i 1080 - info o braku serwerów IDENT i SOCKS)
iptables -A INPUT -p tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable
iptables -A INPUT -p tcp --dport 1080 -j REJECT --reject-with icmp-port-unreachable

#akceptacja pingów ale tylko 12 na minutę
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 12/minute -j ACCEPT


#odblokowujemy dostęp dla apacha dla wszystkich
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT

#odblokowujemy dostęp dla SSH dla LANu
iptables -A INPUT -i ppp0 -p tcp --dport 22 -m state --state NEW -j ACCEPT

#odblokowujemy dostęp do samby
iptables -I INPUT -i ppp0 -p udp --dport 137:139 -j ACCEPT
iptables -I INPUT -i ppp0 -p tcp --dport 137:139 -j ACCEPT


# Otwarte porty UDP dla serwerów
iptables -I INPUT -i ppp0 -p udp --dport XXX -j ACCEPT

# Otwarte porty TCP dla serwerów
iptables -I INPUT -i ppp0 -p tcp --dport XXX -j ACCEPT


#przekierowanie portu dla shareazy
iptables -A PREROUTING -t nat -i ppp0 -p tcp -d 0/0 --dport 6346 -j DNAT --to-destination 192.168.1.101



# maskarada dla sieci wewn oraz udostępnienie łącza
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
ppp0 mozesz amienić na eth0 lub wifi

ustanowienie reguł do iptebels
forsujemy przez mc lub krusader jako root skrypt iptables w
# chmod 700 iptables
i..... do /etc/init.d/
poleceniem :
# /etc/init.d/iptables save active
:mrgreen:
[zapisuje skrypt iptables]
kolejne polecenie co pozwoli na uruchomienie w momencie startu sytemu na trwałe
# update-rc.d iptables defaults
a sprawdzić te cudeńko :mrgreen: mozna na tym adresie https://www.grc.com/x/ne.dll?bh0bkyd2
pozdrawiam

: 28 maja 2008, 07:10
autor: stepek
chyba mozna Twojego firewalla troche poprawic by nie powtarzac tych samych (dotyczacych tego samego) wpisow. Mysle ze jak cos robic to nalezy to robic dobrze. Owszem wszystko fajnie opisane (zastanawia mnie tylko ten tryb pasywny ftp bo szczerze mowiac to tam rusza wszystko a nie tylko ftp) ale jak na moj pierwszy rzut oka to jest kilka linijek do poprawy.

: 28 maja 2008, 13:32
autor: lo53r
ruun pisze:lo53r, zapisz regułki iptables w pliku /etc/init.d/firewall i zrób tak..

Kod: Zaznacz cały

chmod +x /etc/init.d/firewall

Kod: Zaznacz cały

update-rc.d firewall defaults 20
Dzięki, pomogło ;)

: 28 maja 2008, 20:48
autor: Diabelko
stepek mówisz o tym wpisie :
#wpuszczamy pakiety z połączeń wcześniej nawiązanych oraz pakiety RELATED dla FTP w trybie pasywnym
iptables -A INPUT -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p udp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p icmp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p icmp -j ACCEPT -m state --state RELATED
iptables -A FORWARD -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p udp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p icmp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p tcp -j ACCEPT -m state --state RELATED
iptables -A FORWARD -p icmp -j ACCEPT -m state --state RELATED
iptables -A OUTPUT -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A OUTPUT -p udp -j ACCEPT -m state --state ESTABLISHED
iptables -A OUTPUT -p icmp -j ACCEPT -m state --state ESTABLISHED
iptables -A OUTPUT -p tcp -j ACCEPT -m state --state RELATED
iptables -A OUTPUT -p icmp -j ACCEPT -m state --state RELATED

w zasadzie mogę powiedzieć że nie robi bałaganu :-P a ma swoje uzasadnienie
Strefa czasowa UTC+02:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl