Alterator/AlteratorNetIptables: различия между версиями

Материал из ALT Linux Wiki
Нет описания правки
Строка 1: Строка 1:
== alterator-net-iptables ==
'''alterator-net-iptables'''


'''Проект, по результатам разговора с vitty@'''
''Проект, по результатам разговора с vitty@''


=== Процедура сброса состояния системы (в частности, при инсталляции)===
=== Процедура сброса состояния системы (в частности, при инсталляции) ===
* из {{path|/etc/net/ifaces/default/fw/iptables/filter/{INPUT/OUTPUT{{)}}}} стираются строчки, содержащие {{term|"-P"}}, {{term|"-j DROP"}}, {{term|"-j ACCEPT"}}' (строчка {{term|"ULOGD"}} при этом сохраняется, интересно, нужно ли тут сохранять какие-то ещё чужие строчки?)
* из {{path|/etc/net/ifaces/default/fw/iptables/filter/{INPUT/OUTPUT{{)}}}} стираются строчки, содержащие {{term|"-P"}}, {{term|"-j DROP"}}, {{term|"-j ACCEPT"}}' (строчка {{term|"ULOGD"}} при этом сохраняется, интересно, нужно ли тут сохранять какие-то ещё чужие строчки?)
* в {{path|/etc/net/ifaces/default/fw/iptables/filter/INPUT}} дописывается:
* в {{path|/etc/net/ifaces/default/fw/iptables/filter/INPUT}} дописывается:
Строка 20: Строка 20:
* в {{path|/etc/net/ifaces/default/options}}:
* в {{path|/etc/net/ifaces/default/options}}:
  CONFIG_FW=yes
  CONFIG_FW=yes
* таким образом все порты на всех интерфейсах закрыты, firewall включён
* таким образом все порты на всех интерфейсах закрыты, firewall включён


=== Модуль определяет текущее состояние ===
=== Модуль определяет текущее состояние ===
* определяется default policy (сперва из /etc/net/ifaces/default/fw/options, потом из /etc/net/ifaces/default/fw/iptables/filter/INPUT).  
* определяется default policy (сперва из {{path|/etc/net/ifaces/default/fw/options}}, потом из {{path|/etc/net/ifaces/default/fw/iptables/filter/INPUT}}).
** Если ACCEPT - все интерфейсы считаются внутренними
** Если {{term|ACCEPT}} — все интерфейсы считаются внутренними
** Если DROP - дополнительно определяем внутренние интерфейсы по строчкам -i <имя> -j ACCEPT
** Если {{term|DROP}} — дополнительно определяем внутренние интерфейсы по строчкам {{term|-i <имя> -j ACCEPT}}
* определяем дополнительно открытые сервисы (группы портов) и отдельные порты - по строчкам вида '-p <протокол> --dport <порт> -j ACCEPT' (это уже есть в существующем модуле)
* определяем дополнительно открытые сервисы (группы портов) и отдельные порты — по строчкам вида '{{term|-p <протокол> --dport <порт> -j ACCEPT}}' (это уже есть в существующем модуле)


=== Модуль перезаписывает состояние ===
=== Модуль перезаписывает состояние ===
* происходит сброс конфигурационных файлов в начальное состояние (см. выше)
* происходит сброс конфигурационных файлов в начальное состояние (см. выше)
* в INPUT для всех внутренних интерфейсов пишется '-i <имя> -j ACCEPT'
* в INPUT для всех внутренних интерфейсов пишется '{{term|-i <имя> -j ACCEPT}}'
* в INPUT записываются строчки для всех дополнительно открытых наружу сервисов (без указания интерфейсa) '-p <протокол> --dport <порт> -j ACCEPT'
* в INPUT записываются строчки для всех дополнительно открытых наружу сервисов (без указания интерфейсa) '{{term|-p <протокол> --dport <порт> -j ACCEPT}}'
* перезагружаем правила: 'efw restart'
* перезагружаем правила: {{cmd|efw restart}}


=== Интерфейс ===
=== Интерфейс ===
Строка 38: Строка 38:
* выбор открытых наружу сервисов
* выбор открытых наружу сервисов
* ввод открытых наружу дополнительных портов
* ввод открытых наружу дополнительных портов
[[category:sisyphus]]


=== Кроме того ===
=== Кроме того ===
* service iptables не существует, все работает через etcnet + efw.
* service iptables не существует, все работает через etcnet + efw.
[[Категория:Sisyphus]]

Версия от 13:21, 2 февраля 2009

alterator-net-iptables

Проект, по результатам разговора с vitty@

Процедура сброса состояния системы (в частности, при инсталляции)

  • из /etc/net/ifaces/default/fw/iptables/filter/{INPUT/OUTPUTШаблон:) стираются строчки, содержащие "-P", "-j DROP", "-j ACCEPT"' (строчка "ULOGD" при этом сохраняется, интересно, нужно ли тут сохранять какие-то ещё чужие строчки?)
  • в /etc/net/ifaces/default/fw/iptables/filter/INPUT дописывается:
-P DROP
-i lo -j ACCEPT
-f -j DROP
-m state --state ESTABLISHED,RELATED -j ACCEPT
что-то ещё, кажется надо было открыть
  • в /etc/net/ifaces/default/fw/iptables/filter/OUTPUT:
-P ACCEPT
-f -j DROP
-m state --state ESTABLISHED,RELATED -j ACCEPT (или такого тут не надо?)
  • в /etc/net/ifaces/default/fw/options перезаписываются параметры:
FW_TYPE="iptables"
IPTABLES_HUMAN_SYNTAX=no
  • в /etc/net/ifaces/default/options:
CONFIG_FW=yes
  • таким образом все порты на всех интерфейсах закрыты, firewall включён

Модуль определяет текущее состояние

  • определяется default policy (сперва из /etc/net/ifaces/default/fw/options, потом из /etc/net/ifaces/default/fw/iptables/filter/INPUT).
    • Если ACCEPT — все интерфейсы считаются внутренними
    • Если DROP — дополнительно определяем внутренние интерфейсы по строчкам -i <имя> -j ACCEPT
  • определяем дополнительно открытые сервисы (группы портов) и отдельные порты — по строчкам вида '-p <протокол> --dport <порт> -j ACCEPT' (это уже есть в существующем модуле)

Модуль перезаписывает состояние

  • происходит сброс конфигурационных файлов в начальное состояние (см. выше)
  • в INPUT для всех внутренних интерфейсов пишется '-i <имя> -j ACCEPT'
  • в INPUT записываются строчки для всех дополнительно открытых наружу сервисов (без указания интерфейсa) '-p <протокол> --dport <порт> -j ACCEPT'
  • перезагружаем правила: efw restart

Интерфейс

  • выбор внутренних интерфейсов
  • выбор открытых наружу сервисов
  • ввод открытых наружу дополнительных портов

Кроме того

  • service iptables не существует, все работает через etcnet + efw.