Страница 1 из 3
Firewall (iptables)
Добавлено: 27.07.2004 11:24
danamond
Помогите пожалуйста разобраться в том, как работает критерий limit и limit-burst в iptables. Документацию читал, но ни черта в ней не понял.
Re: Firewall (iptables)
Добавлено: 27.07.2004 11:44
flook
Все время бъется на промежутки опр. длины (параметр rate).
burst-number определяет макс. кол-во событий, которые могут произойти в каждый промежуток, но с тем условием, что каждое произошедшее событие уменьшает число разрешенных событий на след. промежуток, а каждое не произошедшее - увеличивает. На пальцах - так.
Re: Firewall (iptables)
Добавлено: 27.07.2004 11:53
Vladislav
Под документацией имеловсь в виду- iptables-tutorial (
http://gazette.linux.ru.net/rus/articles/i...s-tutorial.html ) ?
А если в кратце, как описано в iptables-tutorial, критерий limit устанавливает максимальное количество пакетов пропускаемое через данное правило, за указанный временной интервал.
Re: Firewall (iptables)
Добавлено: 27.07.2004 12:19
flook
Не просто максимальное число пакетов.
Тот алгоритм, который сидит внутри обеспечивает проход не более чем max*(1-time/tnt) пакетов за время time, позволяя непродолжительные "вспышки".
Re: Firewall (iptables)
Добавлено: 27.07.2004 12:29
danamond
Так, построим вопрос по другому. Имеем:
iptables -P INPUT DROP
iptables -A INPUT -p TCP --dport 80 -m limit --limit 10/minute --limit-burst 100 -j ACCEPT
Это означает, что каждый пакет приходящий на 80 порт увеличивает счетчик (burst). Из этого-же счетчика каждую минуту вычитается 10 (--limit 10/minute). Пока счетчик не равен 100 (--limit-burst 100) приминяется -j ACCEPT.
А когда счетчик достигнет 100?
Или может я не прав в корне?
Re: Firewall (iptables)
Добавлено: 27.07.2004 12:55
flook
ну не то чтобы каждую минуту. На самом деле на проверках вычитается (time - prev_time) / 10min * 10, но вобщем ты прав - каждую минуту вычитают 10.
Re: Firewall (iptables)
Добавлено: 28.07.2004 21:44
danamond
Въехал таки!
Всем спасибо!
Тему можно закрыть.
Re: Firewall (iptables)
Добавлено: 02.09.2004 17:01
danamond
Это что-то клиническое. Не работает FTP через firewall (iptables). Точнее работает, но только в активном режиме. Подскажите, люди добрые, а то скоро с ума сойду.
iptables выставил так:
Код: Выделить всё
iptables -A FORWARD -p TCP -d 192.168.2.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p TCP -s 192.168.2.0/24 -m multiport --dport 20,21 -j ACCEPT
Еще, естественно, стоит трансляция адресов в табличке POSTROUTING
ip_nat_ftp, ip_conntrack_ftp подгружены.
Re: Firewall (iptables)
Добавлено: 02.09.2004 17:32
flook
Ессно в пассивном не пашет. В пассивном клиент коннектится не только на 21 и 22 порты
Re: Firewall (iptables)
Добавлено: 02.09.2004 17:59
danamond
Всё. Посыпал голову пеплом. Всем спасибо.
Re: Firewall (iptables)
Добавлено: 21.09.2004 15:18
LSN
Доброго всем дня
Имеем сервер на AltLinux 2.3.
Два интерфейса: eth0 - xxx.xxx.xxx.1 - внешний, eth1 - yyy.yyy.yyy.1 - внутренний.
Имеется клиентская машина с адресом yyy.yyy.yyy.2 и игейтевеем yyy.yyy.yyy.1.
На сервере прописываем правило для SNAT:
iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source xxx.xxx.xxx.1
Все политики пока сделал ACCEPT.
Не работает NAT. Т.е. с клиентской машины пакеты не ходят во внешнюю сеть.
В чем может быть проблема?
Спасибо
Re: Firewall (iptables)
Добавлено: 21.09.2004 15:25
Vladislav
(LSN @ Tuesday, 21 September 2004, 14:18) писал(а):Доброго всем дня
Имеем сервер на AltLinux 2.3.
Два интерфейса: eth0 - xxx.xxx.xxx.1 - внешний, eth1 - yyy.yyy.yyy.1 - внутренний.
Имеется клиентская машина с адресом yyy.yyy.yyy.2 и игейтевеем yyy.yyy.yyy.1.
На сервере прописываем правило для SNAT:
iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source xxx.xxx.xxx.1
Все политики пока сделал ACCEPT.
Не работает NAT. Т.е. с клиентской машины пакеты не ходят во внешнюю сеть.
В чем может быть проблема?
Спасибо
А если просто iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source xxx.xxx.xxx.1
т.е. не указывая tcp
Re: Firewall (iptables)
Добавлено: 21.09.2004 15:28
madskull
а как насчет
echo 1 >/proc/sys/net/ipv4/ip_forward
сделано?
Re: Firewall (iptables)
Добавлено: 21.09.2004 15:52
LSN
to madskull
Спасибо.
Забыл просто, что необходимо указывать про маршрутизацию пакетов в sysctl.conf.
Закрыто
Re: Firewall (iptables)
Добавлено: 30.11.2004 05:11
moodperson
Ну приветик всем !!
Решил я всётаки настроить fairwall
После того что я увидил в логах samba server :
[2004/11/30 02:00:03, 0] lib/access.c:check_access(331)
Denied connection from (212.186.96.228)
[2004/11/30 02:30:09, 0] lib/access.c:check_access(331)
Denied connection from (4.8.78.249)
[2004/11/30 03:05:47, 0] lib/access.c:check_access(331)
Denied connection from (24.39.122.165)
[2004/11/30 03:34:07, 0] lib/access.c:check_access(331)
Denied connection from (211.59.34.76)
И так где-то уже подвергаюсь дня 3 атакам ?
Ну больше нравится идея доверенных адрессов !
Вопрос как из dns адресса узнать ip адресс ??
Т.е. нужна прога(или т.п.) обратная dns серверу !!!
Чтобы я указал в firewall доверянные адресса !!
Спасибо !!!
Re: Firewall (iptables)
Добавлено: 30.11.2004 08:34
Warderer
Ты ничего не путаешь? Может тебе просто обратное преобразование провести надо? Тогда man host, man nslookup...
Re: Firewall (iptables)
Добавлено: 30.11.2004 16:19
crez
Зачем лезть в дебри?
В smb.conf добавь строчку:
eth1 - сетевуха, смотрящая в локальную сеть.
А файрволл все равно нужен
Re: Firewall (iptables)
Добавлено: 01.12.2004 00:51
moodperson
Может что - то и путаю !!!???
Пример: есть доменные адресса
http://www.linuxforum.ru
http://www.google.com.ua
И много др.
Как узнать их ip адресса ???
Вот собственно что мне и надо было???
Да !
В smb.conf добавь строчку:
CODE
interfaces = eth1
eth1 - сетевуха, смотрящая в локальную сеть.
Я бы добавил, но увы пока токо модемное соединение к internet
и локалка
Re: Firewall (iptables)
Добавлено: 01.12.2004 08:31
Vladislav
(moodperson @ Среда, 01 Декабря 2004, 0:51) писал(а):Может что - то и путаю !!!???
Пример: есть доменные адресса
http://www.linuxforum.ru
http://www.google.com.ua
И много др.
Как узнать их ip адресса ???
Вот собственно что мне и надо было???
Да !
host www.linuxforum.ru
www.linuxforum.ru A 81.222.134.33
nslookup www.linuxforum.ru
В smb.conf добавь строчку:
CODE
interfaces = eth1
eth1 - сетевуха, смотрящая в локальную сеть.
Я бы добавил, но увы пока токо модемное соединение к internet
и локалка
Я чего то не понимаю - если нет eth1 добавь eth0
Re: Firewall (iptables)
Добавлено: 01.12.2004 09:05
aim
(Vladislav @ Среда, 01 Декабря 2004, 9:31) писал(а):host www.linuxforum.ru
www.linuxforum.ru A 81.222.134.33
nslookup www.linuxforum.ru
я бы добавил что 'nslookup' deprecated (зд.: устарела) и пользоваться надо 'dig'.
Re: Firewall (iptables)
Добавлено: 01.12.2004 11:49
Bolverk
Хм, я то всегда resolve пользуюсь.
Re: Firewall (iptables)
Добавлено: 01.12.2004 18:33
polachok
а я ping пользуюсь! :P
Re: Firewall (iptables)
Добавлено: 01.12.2004 21:59
moodperson
Идея ping это неплохо - тепрь ip адресс не проблема !!!
Из одной большой проблемы вытекает куча малых .
Куча не куча а проблемма появилась следующая.
После создания правил для fairwall и настройки, при запуске скрипта fairwall(а)
получаю следуюющее:
Сбрасываются все текущие правила и пользовательские цепочки:
ipchains: Incompatible with this kernel
[ СБОЙ ]
Очищаются все текущие правила и пользовательские цепочки:
ipchains: Incompatible with this kernel
[ СБОЙ ]
Загружаются правила брандмауэра ipchains: [ ОК ]
как видно причина в
ipchains: Incompatible with this kernel
поначалу думал глюк из-за нового ядра - хотя на старом тоже самое
Значит дело не в ядре тогда в чем ????
Re: Firewall (iptables)
Добавлено: 01.12.2004 22:12
serg_sk
Может стоит поставить iptables а не ipchains???
Re: Firewall (iptables)
Добавлено: 01.12.2004 22:45
Bolverk
(serg_sk @ Среда, 01 Декабря 2004, 21:12) писал(а):Может стоит поставить iptables а не ipchains???
Не можно, а нужно.
Re: Firewall (iptables)
Добавлено: 02.12.2004 03:35
moodperson
А как насчёт толковой документации по iptables да и ещё бы и на русском
А то в нете искал кроме хлама и мути ничего толкового не нашёл
Re: Firewall (iptables)
Добавлено: 02.12.2004 08:10
Vladislav
(moodperson @ Четверг, 02 Декабря 2004, 3:35) писал(а):А как насчёт толковой документации по iptables да и ещё бы и на русском
А то в нете искал кроме хлама и мути ничего толкового не нашёл
http://www.opennet.ru/opennews/art.shtml?num=1602
Re: Firewall (iptables)
Добавлено: 02.12.2004 21:14
Kaster Troy
я вот когда--то с линуксгазетты скачивал отличный док!! просто суперский..
Re: Firewall (iptables)
Добавлено: 03.12.2004 00:28
moodperson
я вот когда--то с линуксгазетты скачивал отличный док!! просто суперский..
Имя сайта не подкинете - Спасибо !
Re: Firewall (iptables)
Добавлено: 03.12.2004 07:58
Vladislav