Alterator/AlteratorNetIptables: различия между версиями
Нет описания правки |
|||
Строка 16: | Строка 16: | ||
* дополнительные опции (сейчас поддерживается только запись правил для ulogd) | * дополнительные опции (сейчас поддерживается только запись правил для ulogd) | ||
=== В соответствии с этими параметрами производятся следующие настройки системы: == | === В соответствии с этими параметрами производятся следующие настройки системы: === | ||
* iptables -- включен всегда | * iptables -- включен всегда | ||
* forwarding -- включен всегда | * forwarding -- включен всегда |
Версия от 17:22, 6 февраля 2009
alterator-net-iptables
Проект, по результатам разговора с vitty@
Модуль хранит свое состояние в отдельном файле и из него настраивается система "в одну сторону".
Имеется скрипт iptables_helper (с достаточно человеколюбивым интерфейсом) умеющий читать и писать конфигурацию и настраивать систему, а также тривиальный модуль альтератора, который его использует.
Мы работаем со следующими параметрами:
- режим работы (firewall/gateway)
- список внешних интерфейсов
- список открытых снаружи сервисов
- список открытых снаружи портов
- дополнительные опции (сейчас поддерживается только запись правил для ulogd)
В соответствии с этими параметрами производятся следующие настройки системы:
- iptables -- включен всегда
- forwarding -- включен всегда
- /etc/net/ifaces/default/fw/iptables/filter/INPUT перезаписывается:
-P DROP -f -j DROP -m state --state ESTABLISHED,RELATED -j ACCEPT -i lo -j ACCEPT -i <интейрфейс> -p <протокол> --dport <порт> -j ACCEPT # для всех открытых сервисов и портов, для всех внешних интерфейсов -i <интерфейс> -j DROP # для всех внутренних интерфейсов
- /etc/net/ifaces/default/fw/iptables/filter/OUTPUT перезаписывается:
-P ACCEPT -f -j DROP -m state --state ESTABLISHED,RELATED -j ACCEPT
- для каждой пары внутренних интерфейсов в /etc/net/ifaces/default/fw/iptables/filter/FORWARDING:
-i $i1 -o $i2 -j DROP
- если режим работы gateway, то в /etc/net/ifaces/default/fw/iptables/nat/POSTROUTING:
-o <внешн.интерфейс> -j MASQUERADE # для каждой пары внутненний-внешний интерфейс
Кроме того
- service iptables не существует, все работает через etcnet + efw.