Iptables (فایروال)
|
2012-07-28, 04:29 PM,
ارسال : #1
|
|||
|
|||
Iptables (فایروال)
سلام بر همه دوستان..خوبید؟؟؟؟
خسته نباشید. رفقا من دارم iptables رو کانفیگ میکنم و میخوام پورت 80 رو تست کنم..یعنی فقط IP خودم مثلا بتونه apache رو ببینه...و نمیخوام باقی IPها apache رو ببینن... حالا rule ای رو که من add کردم به صورت زیر هست اما جواب نمیده:::: البته IPهاش واقعی نیست(ببخشید) A INPUT -s 169.254.109.100 -m state --state NEW -p tcp --dport 80 -j ACCEPT A INPUT -s ! 169.254.109.100 -m state --state NEW -p tcp --dport 80 -j DROP قبل از A هم - گذاشتم... چرا یا همه IP ها دسترسیشون به apache یا باهم وصل میشه یا با هم قطع میشه؟؟ ممنون میشم کمکم کنید ... یا علی <!-- m --><a class="postlink" href="http://net-ict.blogfa.com/">http://net-ict.blogfa.com/</a><!-- m --> اللهم عجل لولیک الفرج |
|||
2012-07-28, 09:28 PM,
ارسال : #2
|
|||
|
|||
Re: Iptables (فایروال)
فکر کنم اگه رول اول رو به این صورت تغییر بدید کار کنه (فرض بر اینه که آپاچی و فایروال بر روی یک سرور هستند)
کد : iptables -A OUTPUT -p tcp -s 169.254.109.100 -m state --state NEW,ESTABLISHED,RELATED --dport 80 -j ACCEPT یا اینکه به سادگی این رول ها رو بنویسید: کد : iptables -A OUTPUT -p tcp -s 169.254.109.100 --dport 80 -j ACCEPT اگر هم آپاچی روی یه سرور دیگه هست از زنجیره FORWARD استفاده کنید. البته قبلش جدول filter رو flush کنید. گروه کاربران ایرانی BSD |
|||
2012-07-29, 12:31 PM,
ارسال : #3
|
|||
|
|||
Re: Iptables (فایروال)
سلام بر شما دوست عزیز
ببخشید خط اول یا دو خط بعد ر میزنم وبعد میزنم service iptables restart خطا میده...بعد هم هیچ page رو باز نمیکنه/// سرور apache هم روی سرور فایروال هست.. <!-- m --><a class="postlink" href="http://net-ict.blogfa.com/">http://net-ict.blogfa.com/</a><!-- m --> اللهم عجل لولیک الفرج |
|||
2012-07-29, 02:14 PM,
ارسال : #4
|
|||
|
|||
Re: Iptables (فایروال)
لطفا پیغام خطا رو در اینجا قرار دهید. برای این کار از تگ [code] استفاده کنید. در ضمن دستورات رو مستقیما در خط فرمان copy & paste و با کاربر root اجرا کنید، نیازی به restart کردن iptables نیست. هر چند امتحان نکردم ولی فکر نمیکنم rule ها مشکلی داشته باشه.
گروه کاربران ایرانی BSD |
|||
2012-07-29, 04:32 PM,
ارسال : #5
|
|||
|
|||
Re: Iptables (فایروال)
ممنون از لطفتون
<!-- m --><a class="postlink" href="http://net-ict.blogfa.com/">http://net-ict.blogfa.com/</a><!-- m --> اللهم عجل لولیک الفرج |
|||
2012-07-29, 09:37 PM,
ارسال : #6
|
|||
|
|||
Re: Iptables (فایروال)
دوست عزیز Iptables رو وقتی ریست میکنه ، سیستم از دوباره میره و رول های خودش رو روی سیستم ست میکنه !
۱) با iptables رول های مورد نظر خودت رو بنویس . نکته :سیستم در همان لحظه بدون اینکه سرویسی رو ریست کنی رول ها رو اجرا میکنه ۲) سرویس مورد نظر خودت رو تست کن و ببن آیا رول هایی که نوشتی به درستی کار میکنه ؟ ۳) اگه درست کار میکنه اونوقت از فایروال خودت به این صورت یک بک آپ بگیر : کد : iptables-save > /etc/sysconfig/iptables نکته : شما از CentOS با Fedora , ... استفاده میکنید . این توزیع ها به صورت پیشفرض یک سری رول فایروال رو به صورت پبشفرض روی خودشون دارند . با دستور زیر اونها رو بررسی کن : کد : iptables -L -n کد : iptables -F Debian GNU/Linux System Administrator |
|||
2012-07-30, 12:47 AM,
ارسال : #7
|
|||
|
|||
Re: Iptables (فایروال)
سلام دوستان
یک سوال از طرف یک تازه وارد: 1-یک قانون برای اینکه ای پی تیبل اجازه بده همه ارتباط های لوکال 127.0.0.1 یا ای پی ست شده دیگه روی سرور از هر پرتکلی اجازه ورود و خروج و غیره داشته باشه چیه؟ 2- وقتی که تعریف میکنیم کد : sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT 3-برای سیو کردن این رولز ها چه کنم که سرور ریست میشه قوانین باز ثابت بمونند؟ 4- با فرض 2 اگر دستور کد : sudo iptables -A INPUT -p tcp --dport ssh -j ACCEPT و کلی سوال newbie دیگه که فعلا پسر خاله نشدم. |
|||
2012-07-30, 02:52 AM,
ارسال : #8
|
|||
|
|||
Re: Iptables (فایروال)
1-دقیق نمی دونم منظورتون چیه ولی این rule ها رو ببینید:
کد : iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT حالا میتونید rule هایی بنویسید که بسته های مورد نظرتون DROP بشه. 2- با دستورات iptable-save و iptable-restore 3- اگه از روش شماره 1 استفاده کنید مشکلی برای هیچ پروتکلی پیش نمیاد. گروه کاربران ایرانی BSD |
|||
2012-07-30, 05:29 AM,
ارسال : #9
|
|||
|
|||
Re: Iptables (فایروال)
ببینید نرم افزاری داریم که نیاز داره از لوکال هاست بر روی پرت 200 مثلا ارتباط داشته باشه ( فکر کنم 2 اینترفیس دارم حد اقل با ifconfig کشف کردم! ) ایا ای پی تیبل روی این انتقال داده که لوکال هست هم با دستور آخر قسمت 2 سوال قبلی بنده (iptables -A INPUT -j DROP)سرو کار داره و میتونه این ارتباط رو طبق اون دستور بلوکه کنه؟
صورت مسله ومشکل بنده این هست که به علت حمله هایی که دوستان گل انجام میدن بنده نیاز دارم همه پرت ها رو ببندم بغیر از : 2 پرت خارج از شبکه خودم و از هرکجا و پرت هایی که توسط هر نرم افزاری به صورت محلی استفاده میشه ، برای این کار دنبال anti ddos یا یه همچین چیزی بودم که ...به اینجا رسیدیم داخل Quote عرض کنم که نقل قول :حال برای این کار دوستانی که تمایل دارند:برای خذف کردن بعضی موارد نصب شده.... وکلی سوال که ارتبات لحظه ای بیشتر کمک خواهد کرد به بنده. با سپاس از همراهی عزیزان. |
|||
2012-07-30, 07:19 AM,
ارسال : #10
|
|||
|
|||
Re: Iptables (فایروال)
عرض سلام مجدد ...
رفقا ممنونم از کمک هاتون بسیار عالی بود و استفاده کردم..دیشب بالاخره جواب گرفتم... بله با iptables باید rule ها رو add کرد... فقط نکته ای که باعث شد من جواب بگیرم (هم روی پورت 80 هم 22) این بود که من از -A استفاده نکردم و از -I یا همون insert استفاده کردم... کسی source خوب سراغ داره راجع به این قضیه خوم نفهمیدم چر اینطوری فقط داره جواب میده.. thanks in advance <!-- m --><a class="postlink" href="http://net-ict.blogfa.com/">http://net-ict.blogfa.com/</a><!-- m --> اللهم عجل لولیک الفرج |
|||
2012-07-31, 12:11 AM,
ارسال : #11
|
|||
|
|||
Re: Iptables (فایروال)
کسی از دوستان نیست کمکی بکنه؟
مخصوصا اجازه عبور (سند/رسیو) بر روی لوکال رو ؟ |
|||
2012-08-03, 11:12 AM,
ارسال : #12
|
|||
|
|||
Re: Iptables (فایروال)
خیلی خوب .
یک راهنمای کلی میکنم . برای اطلاعات بیشتر به سایت netfilter مراجعه کنید : ببینید : سیستم قبل از اینکه رول های فایروال رو اجرا کنه policy موجود در فایروال رو بررسی میکنه : کد : Chain INPUT (policy ACCEPT) حال شما شروع می کنید به نوشتن رول های مورد نیاز خودتون : برای مثال ما فرض رو بر این میگیریم که این سیستم یک سرور Apache و SSH هست و می خواهیم یک سرور امن برای پورت های این دو سرویس داشته باشیم . از آنحایی که در خواست ها به Destination این سیستم ارسال می شوند . یعنی Destination همین سرور هست . پس رول ها رو به این صورت می نویسیم : کد : iptables -A INPUT -p tcp --dport 80 -j ACCEPT خیلی خوب حالا شما می خواهید مثلا پورت 3306 سرویس MySQL رو هم روی سیستم تایید کنید . چیزی که کاربران تازه کار در موردش اشتباه می کنند . اینجاست : من این رول رو اجرا میکنم : iptables -A INPUT -p tcp --dport 3306 -j ACCEPT خوب مشکل اینجاست که این رول بعد از رول REJECT نوشته میشه و سیستم نمیتونه این رول رو اجرا کنه . نکته :سیستم عامل لینوکس رول ها رو به ترتیب از بالا به پایین اجرا میکنه : ببینید : کد : iptables -L -n برای حل این مشکل یا باید رول Reject رو پاک کرده و بعد از گذاشتن رول MySQL اون رو از دوباره اجرا کنید . راه حل دوم هم استفاده از گزینه I- (آی بزرگ) هست . کد : iptables -I INPUT -p tcp --dport 3306 -j ACCEPT کد : iptables -D INPUT -j REJECT راهنما و داکیومنت های مورد نیازتون رو هم نیتونید از google و یا سایت netfilter تهیه کنید . Debian GNU/Linux System Administrator |
|||
2012-08-04, 09:27 AM,
ارسال : #13
|
|||
|
|||
Re: Iptables (فایروال)
سلام...خیییییلی عالی بود ..ممنونم ازتون دوست عزیز..
یا علی <!-- m --><a class="postlink" href="http://net-ict.blogfa.com/">http://net-ict.blogfa.com/</a><!-- m --> اللهم عجل لولیک الفرج |
|||
|