Alterator/AlteratorNetIptables: различия между версиями

Материал из ALT Linux Wiki
 
(не показано 13 промежуточных версий 2 участников)
Строка 1: Строка 1:
== alterator-net-iptables ==
== alterator-net-iptables >= 1.0 ==


'''Проект, по результатам разговора с vitty@'''


=== Процедура сброса состояния системы (в частности, при инсталяции)===
Модуль хранит свое состояние в отдельном файле и из него настраивает систему "в одну сторону".
* из /etc/net/ifaces/default/fw/iptables/filter/{INPUT/OUTPUT} стираются строчки, соделжащие '-P' '-j DROP', '-j ACCEPT' (строчка ULOGD при этом сохраняется, интересно, нужно ли тут сохранять какие-то еще чужие строчки?)
 
* в /etc/net/ifaces/default/fw/iptables/filter/INPUT дописывается:
Имеется скрипт iptables_helper (с достаточно человеколюбивым интерфейсом) умеющий читать и писать конфигурацию и настраивать систему, а также тривиальный модуль альтератора, который его использует.
  -P DROP
 
-i lo -j ACCEPT
=== Мы работаем со следующими параметрами: ===
 
* режим работы (firewall/gateway)
* список внешних интерфейсов
* список открытых снаружи сервисов
* список открытых снаружи портов
* дополнительные опции (сейчас поддерживается только запись правил для ulogd)
 
=== В соответствии с этими параметрами производятся следующие настройки системы: ===
* iptables   -- включен всегда
* forwarding -- включен всегда
 
* {{path|/etc/net/ifaces/default/fw/iptables/filter/INPUT}}:
  -P ACCEPT
  -f -j DROP
  -f -j DROP
  -m state --state ESTABLISHED,RELATED -j ACCEPT
  -m state --state ESTABLISHED,RELATED -j ACCEPT
  что-то еще, кажется надо было открыть
  -i <интейрфейс> -p <протокол> --dport <порт> -j ACCEPT # для всех открытых сервисов и
* в /etc/net/ifaces/default/fw/iptables/filter/OUTPUT:
                                              # портов, для всех внешних интерфейсов
-i <интерфейс> -j DROP # для всех внешних интерфейсов
 
* {{path|/etc/net/ifaces/default/fw/iptables/filter/OUTPUT}}:
  -P ACCEPT
  -P ACCEPT
  -f -j DROP
  -f -j DROP
  -m state --state ESTABLISHED,RELATED -j ACCEPT (или такого тут не надо?)
  -m state --state ESTABLISHED,RELATED -j ACCEPT
* в /etc/net/ifaces/default/fw/options перезаписываются параметры:
FW_TYPE="iptables"
IPTABLES_HUMAN_SYNTAX=no
* в /etc/net/ifaces/default/options:
CONFIG_FW=yes
* таким образом все порты на всех  интерфейсах закрыты, firewall включен


=== Модуль определяет текущее состояние ===
* для каждой пары внутренних интерфейсов в {{path|/etc/net/ifaces/default/fw/iptables/filter/FORWARDING}}:
* определяется default policy (сперва из /etc/net/ifaces/default/fw/options, потом из /etc/net/ifaces/default/fw/iptables/filter/INPUT).
-i $i1 -o $i2 -j DROP
** Если ACCEPT - все интерфейсы считаются внутренними
** Если DROP - дополнительно определяем внутренние интерфейсы по строчкам -i <имя> -j ACCEPT
* определяем дополнительно открытые сервисы (группы портов) и отдельные порты - по строчкам вида '-p <протокол> --dport <порт> -j ACCEPT' (это уже есть в существующем модуле)


=== Модуль перезаписывает состояние ===
* если режим работы gateway, то в {{path|/etc/net/ifaces/default/fw/iptables/nat/POSTROUTING}}:
* происходит сброс конфигурационных файлов в начальное состояние (см. выше)
-o <внешн.интерфейс> -j MASQUERADE # для каждой пары внутненний-внешний интерфейс
* в INPUT для всех внутренних интерфейсов пишется '-i <имя> -j ACCEPT'
* в INPUT записываются строчки для всех дополнительно открытых наружу сервисов (без указания интерфейсa) '-p <протокол> --dport <порт> -j ACCEPT'
* перезагружаем правила: 'efw restart'
 
=== Интерфейс ===
* выбор внутренних интерфейсов
* выбор открытых наружу сервисов
* ввод открытых наружу дополнительных портов
[[category:sisyphus]]


=== Кроме того ===
=== Кроме того ===
* service iptables не существует, все работает через etcnet + efw.
* service iptables не существует, все работает через etcnet + efw.
[[Категория:Sisyphus]]

Текущая версия от 17:35, 6 февраля 2009

alterator-net-iptables >= 1.0

Модуль хранит свое состояние в отдельном файле и из него настраивает систему "в одну сторону".

Имеется скрипт iptables_helper (с достаточно человеколюбивым интерфейсом) умеющий читать и писать конфигурацию и настраивать систему, а также тривиальный модуль альтератора, который его использует.

Мы работаем со следующими параметрами:

  • режим работы (firewall/gateway)
  • список внешних интерфейсов
  • список открытых снаружи сервисов
  • список открытых снаружи портов
  • дополнительные опции (сейчас поддерживается только запись правил для ulogd)

В соответствии с этими параметрами производятся следующие настройки системы:

  • iptables -- включен всегда
  • forwarding -- включен всегда
  • /etc/net/ifaces/default/fw/iptables/filter/INPUT:
-P ACCEPT
-f -j DROP
-m state --state ESTABLISHED,RELATED -j ACCEPT
-i <интейрфейс> -p <протокол> --dport <порт> -j ACCEPT # для всех открытых сервисов и 
                                              # портов, для всех внешних интерфейсов
-i <интерфейс> -j DROP # для всех внешних интерфейсов
  • /etc/net/ifaces/default/fw/iptables/filter/OUTPUT:
-P ACCEPT
-f -j DROP
-m state --state ESTABLISHED,RELATED -j ACCEPT
  • для каждой пары внутренних интерфейсов в /etc/net/ifaces/default/fw/iptables/filter/FORWARDING:
-i $i1 -o $i2 -j DROP
  • если режим работы gateway, то в /etc/net/ifaces/default/fw/iptables/nat/POSTROUTING:

-o <внешн.интерфейс> -j MASQUERADE # для каждой пары внутненний-внешний интерфейс

Кроме того

  • service iptables не существует, все работает через etcnet + efw.