Warning: session_start() [function.session-start]: open(/tmp/sess_1450141de73fda4d25be2ed6f8b76818, O_RDWR) failed: Disc quota exceeded (69) in /home/b/bestcatalog.hut4.ru/WWW/firewall.php on line 2

Warning: session_start() [function.session-start]: Cannot send session cookie - headers already sent by (output started at /home/b/bestcatalog.hut4.ru/WWW/firewall.php:2) in /home/b/bestcatalog.hut4.ru/WWW/firewall.php on line 2

Warning: session_start() [function.session-start]: Cannot send session cache limiter - headers already sent (output started at /home/b/bestcatalog.hut4.ru/WWW/firewall.php:2) in /home/b/bestcatalog.hut4.ru/WWW/firewall.php on line 2

Warning: fopen(count/data/pages/firewall.2017-06-24) [function.fopen]: failed to open stream: Disc quota exceeded in /home/b/bestcatalog.hut4.ru/WWW/count/count.php on line 37

Warning: flock() expects parameter 1 to be resource, boolean given in /home/b/bestcatalog.hut4.ru/WWW/count/count.php on line 38

Warning: fwrite() expects parameter 1 to be resource, boolean given in /home/b/bestcatalog.hut4.ru/WWW/count/count.php on line 39

Warning: flock() expects parameter 1 to be resource, boolean given in /home/b/bestcatalog.hut4.ru/WWW/count/count.php on line 40

Warning: fclose() expects parameter 1 to be resource, boolean given in /home/b/bestcatalog.hut4.ru/WWW/count/count.php on line 41

Warning: fopen(count/data/broz/2017-06-24) [function.fopen]: failed to open stream: Disc quota exceeded in /home/b/bestcatalog.hut4.ru/WWW/count/count.php on line 81

Warning: flock() expects parameter 1 to be resource, boolean given in /home/b/bestcatalog.hut4.ru/WWW/count/count.php on line 82

Warning: fwrite() expects parameter 1 to be resource, boolean given in /home/b/bestcatalog.hut4.ru/WWW/count/count.php on line 83

Warning: flock() expects parameter 1 to be resource, boolean given in /home/b/bestcatalog.hut4.ru/WWW/count/count.php on line 84

Warning: fclose() expects parameter 1 to be resource, boolean given in /home/b/bestcatalog.hut4.ru/WWW/count/count.php on line 85

Warning: fopen(count/data/os/2017-06-24) [function.fopen]: failed to open stream: Disc quota exceeded in /home/b/bestcatalog.hut4.ru/WWW/count/count.php on line 132

Warning: flock() expects parameter 1 to be resource, boolean given in /home/b/bestcatalog.hut4.ru/WWW/count/count.php on line 133

Warning: fwrite() expects parameter 1 to be resource, boolean given in /home/b/bestcatalog.hut4.ru/WWW/count/count.php on line 134

Warning: flock() expects parameter 1 to be resource, boolean given in /home/b/bestcatalog.hut4.ru/WWW/count/count.php on line 135

Warning: fclose() expects parameter 1 to be resource, boolean given in /home/b/bestcatalog.hut4.ru/WWW/count/count.php on line 136

Warning: fopen(count/data/total/2017-06-24) [function.fopen]: failed to open stream: Disc quota exceeded in /home/b/bestcatalog.hut4.ru/WWW/count/count.php on line 259

Warning: flock() expects parameter 1 to be resource, boolean given in /home/b/bestcatalog.hut4.ru/WWW/count/count.php on line 260

Warning: fwrite() expects parameter 1 to be resource, boolean given in /home/b/bestcatalog.hut4.ru/WWW/count/count.php on line 261

Warning: flock() expects parameter 1 to be resource, boolean given in /home/b/bestcatalog.hut4.ru/WWW/count/count.php on line 262

Warning: fclose() expects parameter 1 to be resource, boolean given in /home/b/bestcatalog.hut4.ru/WWW/count/count.php on line 263
Что такое брандмауэр (firewall) сетевой экран в Linux, параметры и настройка iptables в Linux

Жизнь - это та дистанция, на которой глупо спешить к финишу.

Установка 1С 8.2 сервера, Web сервера Apache на Линукс

     Что такое брандмауэр (firewall)  ...или сетевой экран в Linux


    Что такое сетевой экран

    — это система или комбинация систем, позволяющие разделить сеть на две или более частей и реализовать набор правил, SEO оптимизация определяющих условия прохождения пакетов из одной части в другую. Как правило, зта граница проводится между локальной сетью предприятия и ИНТЕРНЕТ, хотя ее можно провести и внутри локальной сети предприятия. Брандмауэр таким образом пропускает через себя весь трафик. Для каждого проходящего пакета брандмауэр принимает решение пропускать его или отбросить. Для того чтобы брандмауэр мог принимать эти решения, ему необходимо определить набор правил.
iptables — это модуль ядра и набор утилит для фильтрации и изменения сетевого трафика из командной строки, является стандартным интерфейсом управления работой межсетевого экрана (брандмауэра) для ядер Linux, начиная с версии 2.4. iptables — осуществляет фильтрацию входящего, исходящего и проходящего трафика между сетевыми интерфейсами, осуществляет проброс портов и трансляцию сетевых адресов осуществляя контроль сетевого трафика с огромными возможностями. Для использования утилиты iptables требуются привилегии суперпользователя (root). О том, как эти правила описываются и какие параметры используются при их описании речь пойдет ниже.

Файл конфигурации iptables:

/etc/sysconfig/iptables

Сервис командной строки для редактирования iptables через скрипты запуска:

/sbin/service iptables <option>
start - если брендмауэр сконфигурирован (файл /etc/sysconfig/iptables существует), все запущенные iptables полностью останавливаются и затем стартуют снова используя комманду /sbin/iptables-restore.
stop - если брендмауэр запущен, все правила деактивируются (flushed), и модуль iptables выгружается.
status - показывает статус брендмауэра и список активных правил. Если брендмауэр не запущен, либо правила отсутствуют — показывает это.
panic - эта опция заставит удалить все правила и запретить все пакеты (DROP). Полезно, если вы понимаете, что сервер активно взламывают и желаете это остановить.
save - сохраняет активные правила в /etc/sysconfig/iptables используя iptables-save.

Синтаксис iptables следующий:

iptables [-t ТАБЛИЦА] -A ЦЕПОЧКА ПАРАМЕТРЫ -j ДЕЙСТВИЕ

Ключи для работы с цепочками:
-A - добавить новое правило.
-D - удалить правило.
-F - удалить все правила.
-R - замена правила.
-L - вывод списка всех правил.

Параметры:
-p - протокол, можно использовать all,icmp,tcp,udp.
-s - ip адрес/хост источника.
-d - ip адрес/хост назначения.
-i - интерфейс на который пришел пакет.
-o - интерфейс с которого уйдет пакет .

В таблице iptables существуют следующие цепочки:
INPUT - входящий трафик.
OUTPUT - исходящий трафик.
FORWARD - пересылаемый(транзитный) трафик.

Действия в таблице iptables:
ACCEPT - разрешить пакеты.
REJECT - блокировать пакеты с сообщением об отказе.
DROP - блокировать пакеты(более приоритетный вариант, нежели REJECT, т.к для блокируемого ip адреса(или диапазонов) будет аналогичный эффект тому, когда сервер находится в дауне).

Примеры работы с iptables

Блокируем все входящие пакеты с ip адреса 172.168.1.1
iptables -A INPUT -s 172.168.1.1 -j DROP
Блокируем входящие пакеты для диапазона ip адресов c 192.168.0.8 по 192.168.0.25
iptables -I INPUT -m iprange --src-range 192.168.0.8-192.168.0.25 -j DROP
Блокируем весь входящий трафик на 80 порт (http)
iptables -A INPUT -p tcp --sport 80 -j DROP
Блокируем домен vk.com (вконтакте).
iptables -I INPUT -m iprange --src-range 192.168.0.8-192.168.0.25 -j DROP
Блокируем входящие пакеты от домена vk.com
iptables -A INPUT -s vk.com -j DROP
Блокируем исходящие пакеты домену vk.com
iptables -A OUTPUT -d vk.com -j DROP
Запрет любых обращений к серверу Linux
iptables -P INPUT DROP
Запрещаем доступ к FTP серверу
iptables -A INPUT -s 0/0 -d localhost \-p tcp --drop 21 DROP

Можно журналировать обращения добавив в сетевой экран фильтр
iptables -A INPUT -j LOG
Не рекоммендуется использовать для публичных Web серверов, т. к. в случае выполнения цикла бесконечного обращения на запрещенный порт сервер может пасть от воздействия DOS-атаки.

Запрещаем доступ к системному файлу /etc/passwd по протоколу http
iptables -A INPUT -m string --string "/etc/passwd" \-s 0/0 -d localhost -p tcp --drop 80 -j DROP

Очень удобной особенностью iptables является возможность проверки содержимого пакета. Для этого можно запретить пакеты в которых есть к примеру текст "/etc/passwd".


Почитать о безопасности и настройках по умолчанию, а также о том, как сбросить пароль в Linux и получить права root, можно здесь.

Пример установки прокси сервера Squid и настройки iptables на правильную роботу с прокси, можно посмотреть тут. В статье подробно описан алгоритм разграничения прав доступа в интернет на примере черных и белых списков в squid.conf.

 

 

Warning: Unknown: open(/tmp/sess_1450141de73fda4d25be2ed6f8b76818, O_RDWR) failed: Disc quota exceeded (69) in Unknown on line 0

Warning: Unknown: Failed to write session data (files). Please verify that the current setting of session.save_path is correct (/tmp) in Unknown on line 0
X