Iptables - мережевий екран (netfilter firewall)/Приклади

Матеріал з docs.linux.org.ua — збірника документації з Unix/Linux українською мовою.

< Iptables - мережевий екран (netfilter firewall)

Перейти до: навігація, пошук

Приклади

Приклади скриптів для IPv4

Детальна інформація по використанню: iptables(8).

iptables-lo - мінімальний скрипт iptables для lo. Цей скрипт дозволяє функціональність лише "локальної петлі" (loop). Необхідний в наступних прикладах.

iptables_server - простий приклад скрипта iptables для сервера розміщеного в локальній мережі з однією мережевою картою. Динамічний скрипт котрий може запускатись при включенні якогось інтерфейсу iptables-server <dev> start і при його виключенні iptables-server <dev> stop зачіпає тільки конкретно вказаний інтерфейс, має можливість надавати локальні і глобальні сервіси, примітивне визначення сканерів портів, роботу з заблокованими IP.

iptables_workstation - простий приклад скрипта iptables для захищеної робочої станції. Динамічний скрипт котрий може запускатись при включенні якогось інтерфейсу (наприклад ppp0) iptables-workstation <dev> start і при його виключенні iptables-workstation <dev> stop зачіпає тільки конкретно вказаний інтерфейс, збудований на основі iptables_server тому структурно такий же, але по замовчуванню забороняє надання глобальних сервісів.

Мережевий екран, транслятор адрес між локальною мережею та інтернет, шлюз. DNAT (дозволяє тримати зовнішні сервери у DMZ) та інтернет сервіси з балансуванням навантаження, SNAT, переадресація портів. На шлюзі з боку Інтернета відкрито SSH (порт 22) деякі UDP порти. З боку локалки відкрито багато інших портів так, що цей шлюз зможе нормально працювати в інтранет. Локальній мережі залишено широкі права, вона може в Інтернеті робити все причому не відчуваючи шлюзу, але з Інтернету її зовсім не видно. Журналізація.

Ще один хороший приклад шлюзу в Інтернет для локальної мережі від Gentoo Security Handbook реалізований як ініціалізаційний Gentoo скрипт. До машини екрану можна підєднатись тільки через SSH (порт 22). Локальній мережі дозволяється тільки доступ до HTTP, HTTPS та SSH (DNS також дозволений). ICMP фільтрація. Визначення та журналізація сканування портів. Протидія SYN атаці. Весь інший трафік записується в журнал та відкидається.

Велика збурка скриптів для netfilter/iptables з opennet.ru iptables-all.sh збірка скриптів одним файлом

Дуже багато різних скриптів для netfilter/iptables: http://iptables-tutorial.frozentux.net/scripts/

Приклади реалізації складних систем з використанням netfilter/iptables:

Динамічний iptables з допомогою SAMBA та LDAP. (RU)

Білінгова система на основі PPPoE+Radius+Nacctd+htb+squid+billing і звичайно iptables. (RU)