Alterator/AlteratorNetIptables

Материал из ALT Linux Wiki

alterator-net-iptables >= 1.0

Модуль хранит свое состояние в отдельном файле и из него настраивает систему "в одну сторону".

Имеется скрипт iptables_helper (с достаточно человеколюбивым интерфейсом) умеющий читать и писать конфигурацию и настраивать систему, а также тривиальный модуль альтератора, который его использует.

Мы работаем со следующими параметрами:

  • режим работы (firewall/gateway)
  • список внешних интерфейсов
  • список открытых снаружи сервисов
  • список открытых снаружи портов
  • дополнительные опции (сейчас поддерживается только запись правил для ulogd)

В соответствии с этими параметрами производятся следующие настройки системы:

  • iptables -- включен всегда
  • forwarding -- включен всегда
  • /etc/net/ifaces/default/fw/iptables/filter/INPUT перезаписывается:
-P DROP
-f -j DROP
-m state --state ESTABLISHED,RELATED -j ACCEPT
-i lo -j ACCEPT
-i <интейрфейс> -p <протокол> --dport <порт> -j ACCEPT # для всех открытых сервисов и 
                                              # портов, для всех внешних интерфейсов
-i <интерфейс> -j DROP # для всех внешних интерфейсов
  • /etc/net/ifaces/default/fw/iptables/filter/OUTPUT перезаписывается:
-P ACCEPT
-f -j DROP
-m state --state ESTABLISHED,RELATED -j ACCEPT
  • для каждой пары внутренних интерфейсов в /etc/net/ifaces/default/fw/iptables/filter/FORWARDING:
-i $i1 -o $i2 -j DROP
  • если режим работы gateway, то в /etc/net/ifaces/default/fw/iptables/nat/POSTROUTING:

-o <внешн.интерфейс> -j MASQUERADE # для каждой пары внутненний-внешний интерфейс

Кроме того

  • service iptables не существует, все работает через etcnet + efw.