Окончательно испортив все, добился положительного результата.

Установка 1С 8.2 сервера, Web сервера Apache на Линукс

     Что такое брандмауэр (firewall)  ...или сетевой экран в Linux


    Что такое сетевой экран

    — это система или комбинация систем, позволяющие разделить сеть на две или более частей и реализовать набор правил, SEO оптимизация определяющих условия прохождения пакетов из одной части в другую. Как правило, зта граница проводится между локальной сетью предприятия и ИНТЕРНЕТ, хотя ее можно провести и внутри локальной сети предприятия. Брандмауэр таким образом пропускает через себя весь трафик. Для каждого проходящего пакета брандмауэр принимает решение пропускать его или отбросить. Для того чтобы брандмауэр мог принимать эти решения, ему необходимо определить набор правил.
iptables — это модуль ядра и набор утилит для фильтрации и изменения сетевого трафика из командной строки, является стандартным интерфейсом управления работой межсетевого экрана (брандмауэра) для ядер Linux, начиная с версии 2.4. iptables — осуществляет фильтрацию входящего, исходящего и проходящего трафика между сетевыми интерфейсами, осуществляет проброс портов и трансляцию сетевых адресов осуществляя контроль сетевого трафика с огромными возможностями. Для использования утилиты iptables требуются привилегии суперпользователя (root). О том, как эти правила описываются и какие параметры используются при их описании речь пойдет ниже.

Файл конфигурации iptables:

/etc/sysconfig/iptables

Сервис командной строки для редактирования iptables через скрипты запуска:

/sbin/service iptables <option>
start - если брендмауэр сконфигурирован (файл /etc/sysconfig/iptables существует), все запущенные iptables полностью останавливаются и затем стартуют снова используя комманду /sbin/iptables-restore.
stop - если брендмауэр запущен, все правила деактивируются (flushed), и модуль iptables выгружается.
status - показывает статус брендмауэра и список активных правил. Если брендмауэр не запущен, либо правила отсутствуют — показывает это.
panic - эта опция заставит удалить все правила и запретить все пакеты (DROP). Полезно, если вы понимаете, что сервер активно взламывают и желаете это остановить.
save - сохраняет активные правила в /etc/sysconfig/iptables используя iptables-save.

Синтаксис iptables следующий:

iptables [-t ТАБЛИЦА] -A ЦЕПОЧКА ПАРАМЕТРЫ -j ДЕЙСТВИЕ

Ключи для работы с цепочками:
-A - добавить новое правило.
-D - удалить правило.
-F - удалить все правила.
-R - замена правила.
-L - вывод списка всех правил.

Параметры:
-p - протокол, можно использовать all,icmp,tcp,udp.
-s - ip адрес/хост источника.
-d - ip адрес/хост назначения.
-i - интерфейс на который пришел пакет.
-o - интерфейс с которого уйдет пакет .

В таблице iptables существуют следующие цепочки:
INPUT - входящий трафик.
OUTPUT - исходящий трафик.
FORWARD - пересылаемый(транзитный) трафик.

Действия в таблице iptables:
ACCEPT - разрешить пакеты.
REJECT - блокировать пакеты с сообщением об отказе.
DROP - блокировать пакеты(более приоритетный вариант, нежели REJECT, т.к для блокируемого ip адреса(или диапазонов) будет аналогичный эффект тому, когда сервер находится в дауне).

Примеры работы с iptables

Блокируем все входящие пакеты с ip адреса 172.168.1.1
iptables -A INPUT -s 172.168.1.1 -j DROP
Блокируем входящие пакеты для диапазона ip адресов c 192.168.0.8 по 192.168.0.25
iptables -I INPUT -m iprange --src-range 192.168.0.8-192.168.0.25 -j DROP
Блокируем весь входящий трафик на 80 порт (http)
iptables -A INPUT -p tcp --sport 80 -j DROP
Блокируем домен vk.com (вконтакте).
iptables -I INPUT -m iprange --src-range 192.168.0.8-192.168.0.25 -j DROP
Блокируем входящие пакеты от домена vk.com
iptables -A INPUT -s vk.com -j DROP
Блокируем исходящие пакеты домену vk.com
iptables -A OUTPUT -d vk.com -j DROP
Запрет любых обращений к серверу Linux
iptables -P INPUT DROP
Запрещаем доступ к FTP серверу
iptables -A INPUT -s 0/0 -d localhost \-p tcp --drop 21 DROP

Можно журналировать обращения добавив в сетевой экран фильтр
iptables -A INPUT -j LOG
Не рекоммендуется использовать для публичных Web серверов, т. к. в случае выполнения цикла бесконечного обращения на запрещенный порт сервер может пасть от воздействия DOS-атаки.

Запрещаем доступ к системному файлу /etc/passwd по протоколу http
iptables -A INPUT -m string --string "/etc/passwd" \-s 0/0 -d localhost -p tcp --drop 80 -j DROP

Очень удобной особенностью iptables является возможность проверки содержимого пакета. Для этого можно запретить пакеты в которых есть к примеру текст "/etc/passwd".


Почитать о безопасности и настройках по умолчанию, а также о том, как сбросить пароль в Linux и получить права root, можно здесь.

Пример установки прокси сервера Squid и настройки iptables на правильную роботу с прокси, можно посмотреть тут. В статье подробно описан алгоритм разграничения прав доступа в интернет на примере черных и белых списков в squid.conf.

 

 
X