Страница 1 из 2
айпитаблы или заблочить внешку
Добавлено: 23 май 2010, 16:44
sim
Re: айпитаблы или заблочить внешку
Добавлено: 23 май 2010, 17:36
Infernal Flame
sim
именно под альт? иль автоустановщик бинарников сойдет?
насчет блока внехи - не ко мне... у меня такой задачи никогда не стояло
Re: айпитаблы или заблочить внешку
Добавлено: 23 май 2010, 17:55
Infernal Flame
Re: айпитаблы или заблочить внешку
Добавлено: 23 май 2010, 18:41
ИМХО
а по теме блока внешки:
У меня так остро с ентим дело не абстоит, я 80% времени в инете за бугром, и мне гораздо дешевше 1300, чем когда за 3000 переваливает.
Кажись raven у нас на голодном пайке , что касается внешки - он тут спец
Re: айпитаблы или заблочить внешку
Добавлено: 23 май 2010, 18:44
Infernal Flame
ИМХО писал(а):Кажись raven у нас на голодном пайке , что касается внешки - он тут спец
да-да.. это есть...
в свое время вроде бы еще Gen1us2k сочинения писал как лочить внешку
Re: айпитаблы или заблочить внешку
Добавлено: 23 май 2010, 23:47
Gen1us2k
можно роутами залочить, можно таблами на OUTPUT. конфиг Raven'a
[spoiler]
Код: Выделить всё
#!/bin/bash
IPT=/sbin/iptables
EXT=eth2 #Мой интерфейс смотрящий в инет
start_fw()
{
$IPT -F
$IPT -t nat -F
$IPT -t mangle -F
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP
$IPT -A INPUT -f -i $EXT -j DROP
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A INPUT --fragment -p ICMP -j LOG --log-prefix "FRAG-ICMP-IN " --log-tcp-options --log-ip-options
$IPT -A INPUT --fragment -p ICMP -j DROP
$IPT -A OUTPUT --fragment -p ICMP -j LOG --log-prefix "FRAG-ICMP-OUT " --log-tcp-options --log-ip-options
$IPT -A OUTPUT --fragment -p ICMP -j DROP
$IPT -A INPUT -p icmp -m icmp -i $EXT --icmp-type source-quench -j ACCEPT
$IPT -A OUTPUT -p icmp -m icmp -o $EXT --icmp-type source-quench -j ACCEPT
$IPT -A INPUT -p icmp -m icmp -i $EXT --icmp-type echo-reply -j ACCEPT
$IPT -A OUTPUT -p icmp -m icmp -o $EXT --icmp-type echo-request -j ACCEPT
$IPT -A INPUT -i $EXT -p udp -m udp --dport 53 -j LOG --log-prefix "DNS " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -p udp -m udp --dport 53 -j ACCEPT
$IPT -A INPUT -i $EXT -p tcp -m tcp --dport 53 -j LOG --log-prefix "DNS " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -p tcp -m tcp --dport 53 -j ACCEPT
$IPT -A INPUT -i $EXT -p tcp -m tcp --dport 22 -j LOG --log-prefix "SSHD " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -p tcp -m tcp --dport 22 -j ACCEPT
$IPT -A INPUT -i $EXT -p tcp --dport 22 --syn -m state --state NEW -j LOG --log-prefix "SSHD " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -p tcp --dport 22 --syn -m state --state NEW -j ACCEPT
$IPT -A INPUT -i $EXT -p tcp -s 212.112.96.0/19 -m multiport --dports 80 -j LOG --log-prefix "AKNET " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -p tcp -s 212.112.96.0/19 -m multiport --dports 80 -j ACCEPT
$IPT -A INPUT -i $EXT -p tcp -s 85.115.192.0/19 -m multiport --dports 80 -j LOG --log-prefix "TOTEL " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -p tcp -s 85.115.192.0/19 -m multiport --dports 80 -j ACCEPT
$IPT -A INPUT -i $EXT -p tcp -s 195.38.160.0/19 -m multiport --dport 80 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -p tcp -s 195.38.160.0/19 -m multiport --dport 80 -j ACCEPT
$IPT -A INPUT -i $EXT -p tcp -s 194.176.111.0/24 -m multiport --dports 80 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -p tcp -s 194.176.111.0/24 -m multiport --dports 80 -j ACCEPT
$IPT -A INPUT -i $EXT -p tcp -s 85.26.220.0/22 -m multiport --dports 80 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -p tcp -s 85.26.220.0/22 -m multiport --dports 80 -j ACCEPT
$IPT -A INPUT -i $EXT -p tcp -s 212.2.224.0/19 -m multiport --dports 80 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -p tcp -s 212.2.224.0/19 -m multiport --dports 80 -j ACCEPT
$IPT -A INPUT -i $EXT -p tcp -s 81.20.16.0/20 -m multiport --dports 80 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -p tcp -s 81.20.16.0/20 -m multiport --dports 80 -j ACCEPT
$IPT -A INPUT -i $EXT -p tcp -s 212.42.96.0/19 -m multiport --dports 80 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -p tcp -s 212.42.96.0/19 -m multiport --dports 80 -j ACCEPT
$IPT -A INPUT -i $EXT -p tcp -s 77.95.56.0/21 -m multiport --dports 80 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -p tcp -s 77.95.56.0/21 -m multiport --dports 80 -j ACCEPT
$IPT -A INPUT -i $EXT -p tcp -s 94.143.192.0/21 -m multiport --dports 80 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -p tcp -s 94.143.192.0/21 -m multiport --dports 80 -j ACCEPT
$IPT -A INPUT -i $EXT -p tcp -s 212.241.0.0/19 -m multiport --dports 80 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -p tcp -s 212.241.0.0/19 -m multiport --dports 80 -j ACCEPT
$IPT -A INPUT -i $EXT -p tcp -s 213.145.128.0/19 -m multiport --dports 80 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -p tcp -s 213.145.128.0/19 -m multiport --dports 80 -j ACCEPT
$IPT -A INPUT -i $EXT -p tcp -s 85.113.0.0/19 -m multiport --dports 80 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -p tcp -s 85.113.0.0/19 -m multiport --dports 80 -j ACCEPT
$IPT -A INPUT -i $EXT -p tcp -s 77.235.0.0/19 -m multiport --dports 80 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -p tcp -s 77.235.0.0/19 -m multiport --dports 80 -j ACCEPT
$IPT -A INPUT -i $EXT -p tcp -s 92.245.96.0/19 -m multiport --dports 80 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -p tcp -s 92.245.96.0/19 -m multiport --dports 80 -j ACCEPT
$IPT -A INPUT -i $EXT -p tcp -s 194.152.36.0/24 -m multiport --dports 80 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -p tcp -s 194.152.36.0/24 -m multiport --dports 80 -j ACCEPT
$IPT -A INPUT -i $EXT -p tcp -s 194.152.37.0/24 -m multiport --dports 80 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -p tcp -s 194.152.37.0/24 -m multiport --dports 80 -j ACCEPT
$IPT -A INPUT -i $EXT -p tcp -s 91.205.48.0/22 -m multiport --dports 80 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -p tcp -s 91.205.48.0/22 -m multiport --dports 80 -j ACCEPT
$IPT -A INPUT -i $EXT -p tcp -s 95.215.244.0/22 -m multiport --dports 80 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -p tcp -s 95.215.244.0/22 -m multiport --dports 80 -j ACCEPT
$IPT -A INPUT -i $EXT -p tcp -s 217.29.16.0/20 -m multiport --dports 80 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -p tcp -s 217.29.16.0/20 -m multiport --dports 80 -j ACCEPT
$IPT -A INPUT -i $EXT -p tcp -s 81.88.192.0/20 -m multiport --dports 80 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -p tcp -s 81.88.192.0/20 -m multiport --dports 80 -j ACCEPT
$IPT -A INPUT -i $EXT -p tcp -s 89.237.192.0/18 -m multiport --dports 80 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -p tcp -s 89.237.192.0/18 -m multiport --dports 80 -j ACCEPT
$IPT -A INPUT -i $EXT -p tcp -s 194.152.37.0/24 -m multiport --dports 80 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -p tcp -s 194.152.37.0/24 -m multiport --dports 80 -j ACCEPT
$IPT -A INPUT -i $EXT -p tcp -s 92.62.64.0/20 -m multiport --dports 80 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -p tcp -s 92.62.64.0/20 -m multiport --dports 80 -j ACCEPT
$IPT -A INPUT -i $EXT -p tcp -s 212.97.0.0/19 -m multiport --dports 80 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -p tcp -s 212.97.0.0/19 -m multiport --dports 80 -j ACCEPT
$IPT -A INPUT -i $EXT -p tcp -s 109.201.160.0/19 -m multiport --dports 80 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -p tcp -s 109.201.160.0/19 -m multiport --dports 80 -j ACCEPT
$IPT -A INPUT -i $EXT -p tcp -s 193.106.48.0/22 -m multiport --dports 80 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -p tcp -s 193.106.48.0/22 -m multiport --dports 80 -j ACCEPT
$IPT -A INPUT -i $EXT -p tcp -s 91.213.233.0/24 -m multiport --dports 80 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -p tcp -s 91.213.233.0/24 -m multiport --dports 80 -j ACCEPT
$IPT -A INPUT -i $EXT -p tcp -s 109.71.224.0/21 -m multiport --dports 80 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -p tcp -s 109.71.224.0/21 -m multiport --dports 80 -j ACCEPT
$IPT -A INPUT -i $EXT -p tcp -s 91.192.64.0/22 -m multiport --dports 80 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -p tcp -s 91.192.64.0/22 -m multiport --dports 80 -j ACCEPT
$IPT -A INPUT -i $EXT -p tcp -s 91.192.64.0/22 -m multiport --dports 80 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A INPUT -i $EXT -j DROP
$IPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -d 85.115.192.0/19 -j LOG --log-prefix "TOTEL " --log-tcp-options --log-ip-options
$IPT -A OUTPUT -d 85.115.192.0/19 -j ACCEPT
$IPT -A OUTPUT -d 212.112.96.0/19 -j LOG --log-prefix "AKNET " --log-tcp-options --log-ip-options
$IPT -A OUTPUT -d 212.112.96.0/19 -j ACCEPT
$IPT -A OUTPUT -d 195.38.160.0/19 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A OUTPUT -d 195.38.160.0/19 -j ACCEPT
$IPT -A OUTPUT -d 194.176.111.0/24 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A OUTPUT -d 194.176.111.0/24 -j ACCEPT
$IPT -A OUTPUT -d 85.26.220.0/22 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A OUTPUT -d 85.26.220.0/22 -j ACCEPT
$IPT -A OUTPUT -d 212.2.224.0/19 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A OUTPUT -d 212.2.224.0/19 -j ACCEPT
$IPT -A OUTPUT -d 81.20.16.0/20 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A OUTPUT -d 81.20.16.0/20 -j ACCEPT
$IPT -A OUTPUT -d 212.42.96.0/19 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A OUTPUT -d 212.42.96.0/19 -j ACCEPT
$IPT -A OUTPUT -d 77.95.56.0/21 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A OUTPUT -d 77.95.56.0/21 -j ACCEPT
$IPT -A OUTPUT -d 94.143.192.0/21 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A OUTPUT -d 94.143.192.0/21 -j ACCEPT
$IPT -A OUTPUT -d 212.241.0.0/19 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A OUTPUT -d 212.241.0.0/19 -j ACCEPT
$IPT -A OUTPUT -d 213.145.128.0/19 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A OUTPUT -d 213.145.128.0/19 -j ACCEPT
$IPT -A OUTPUT -d 85.113.0.0/19 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A OUTPUT -d 85.113.0.0/19 -j ACCEPT
$IPT -A OUTPUT -d 77.235.0.0/19 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A OUTPUT -d 77.235.0.0/19 -j ACCEPT
$IPT -A OUTPUT -d 92.245.96.0/19 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A OUTPUT -d 92.245.96.0/19 -j ACCEPT
$IPT -A OUTPUT -d 194.152.36.0/24 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A OUTPUT -d 194.152.36.0/24 -j ACCEPT
$IPT -A OUTPUT -d 194.152.37.0/24 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A OUTPUT -d 194.152.37.0/24 -j ACCEPT
$IPT -A OUTPUT -d 91.205.48.0/22 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A OUTPUT -d 91.205.48.0/22 -j ACCEPT
$IPT -A OUTPUT -d 95.215.244.0/22 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A OUTPUT -d 95.215.244.0/22 -j ACCEPT
$IPT -A OUTPUT -d 217.29.16.0/20 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A OUTPUT -d 217.29.16.0/20 -j ACCEPT
$IPT -A OUTPUT -d 81.88.192.0/20 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A OUTPUT -d 81.88.192.0/20 -j ACCEPT
$IPT -A OUTPUT -d 89.237.192.0/18 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A OUTPUT -d 89.237.192.0/18 -j ACCEPT
$IPT -A OUTPUT -d 194.152.37.0/24 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A OUTPUT -d 194.152.37.0/24 -j ACCEPT
$IPT -A OUTPUT -d 92.62.64.0/20 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A OUTPUT -d 92.62.64.0/20 -j ACCEPT
$IPT -A OUTPUT -d 212.97.0.0/19 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A OUTPUT -d 212.97.0.0/19 -j ACCEPT
$IPT -A OUTPUT -d 109.201.160.0/19 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A OUTPUT -d 109.201.160.0/19 -j ACCEPT
$IPT -A OUTPUT -d 193.106.48.0/22 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A OUTPUT -d 193.106.48.0/22 -j ACCEPT
$IPT -A OUTPUT -d 91.213.233.0/24 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A OUTPUT -d 91.213.233.0/24 -j ACCEPT
$IPT -A OUTPUT -d 109.71.224.0/21 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A OUTPUT -d 109.71.224.0/21 -j ACCEPT
$IPT -A OUTPUT -d 91.192.64.0/22 -j LOG --log-prefix "KG " --log-tcp-options --log-ip-options
$IPT -A OUTPUT -d 91.192.64.0/22 -j ACCEPT
$IPT -A OUTPUT -o $EXT -p tcp -s $EXT_IP --dport 5190 --syn -m state --state NEW -j LOG --log-prefix "ICQ " --log-tcp-options --log-ip-options
$IPT -A OUTPUT -o $EXT -p tcp -s $EXT_IP --dport 5190 --syn -m state --state NEW -j ACCEPT
$IPT -A OUTPUT -f -j LOG --log-prefix "DROPPED " --log-tcp-options --log-ip-options
$IPT -A OUTPUT -f -j DROP
}
case "$1" in
start) echo -n "Starting firewall: iptables"
start_fw
echo "."
;;
stop) echo -n "Stopping firewall: iptables"
$IPT -F
$IPT -X
$IPT -t nat -F
$IPT -P ACCEPT
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
echo "."
;;
block) echo -n "Locking firewall: iptables"
$IPT -F
$IPT -X
$IPT -t nat -F
$IPT -P FORWARD DROP
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
echo "."
;;
save) echo -n "Saving firewall: iptables"
iptables-save > /etc/rules-save
echo "."
;;
restart) echo -n "Restarting firewall: iptables"
iptables-save > /etc/rules-save
iptables -F
iptables -X
cat /etc/rules-save | iptables-restore
echo "."
;;
reload|force-reload) echo -n "Reloading configuration files for firewall: iptables"
echo "."
;;
*) echo "Usage: /etc/init.d/rules start|stop|block|restart|reload|force-reload"
exit 1
;;
esac
exit 0
[/spoiler]
его закинуть в /etc/init.d и вызывать как /etc/init.d/iptables start|stop
можно роут методом. чтобы не говорили, но роут метод хоть и действенный, но не всегда правильный.
что то вроде этого
[spoiler]
Код: Выделить всё
#!/bin/bash
IPS=http://www.elcat.kg/ip/kg-nets.txt
IPS_FILE=~/.kg_nets
iface=ppp0
wget -O $IPS_FILE $IPS
while read DATA; do
net=`echo $DATA | awk '{print $1}'`
route add -net $net dev $iface
done < $IPS_FILE
route del default
[/spoiler]
Re: айпитаблы или заблочить внешку
Добавлено: 24 май 2010, 09:13
Raven
Gen1us2k писал(а):конфиг Raven'a
Где взял? ни на линукс ли кг?
Там он немного другой, нежели тот, что использую я, но работоспособный на 100% (кстати именно от Альта).
sim
Порт 80 в инпутах можешь заменить на порт твоего torrent-клиента.
Re: айпитаблы или заблочить внешку
Добавлено: 24 май 2010, 09:20
Gen1us2k
Raven
угу, там скопип**ил
саму функцию старта фаервола почистить и все
Re: айпитаблы или заблочить внешку
Добавлено: 24 май 2010, 14:39
sim
люди скиньте суда ktorrent или какой торрент клиент вы посоветуете?
люди пускай все порты будут открыты, как сделать? так и в айпитаблы прописывать как заменить? или дописать?
мну надо залочить тока внеху, из внехи открыть тока асю
кг - весь
Re: айпитаблы или заблочить внешку
Добавлено: 24 май 2010, 15:08
Gen1us2k
sim
man iptables
я тут выкладывал