Archive

Posts Tagged ‘iptables’

IPtables и пассивный режим работы FTP-сервера

January 19th, 2010

Чтобы на сервере закрытом iptables заработал пассивный режим на ФТП-сервере надо:
В /etc/sysconfig/iptables-config добавить модуль:

IPTABLES_MODULES="ip_conntrack_ftp"

Рестартим:

/etc/init.d/iptables restart

Конечно среди правил iptables должно быть подобное:

-p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT

ftp, linux ,

Увеличение conntrack таблицы в Linux

October 16th, 2009

Иногда, при повышенной сетевой нагрузке из-за большого количества соединений происходит превышение лимита на conntrack соединения. При этом в системном логе появляются сообщения:

Oct 16 21:40:24 my-host kernel: ip_conntrack: table full, dropping packet.
Oct 16 21:40:29 my-host kernel: printk: 817 messages suppressed.

Посмотрим какое ограничение у нас прописано сейчас:

sysctl -a|grep net.ipv4.netfilter.ip_conntrack_max

И сколько физически используется сейчас:

sysctl -a|grep net.ipv4.netfilter.ip_conntrack_count

Решением этой проблемы является увеличение данного лимита:

sysctl net.ipv4.netfilter.ip_conntrack_max=631072

Не лишне данный параметр записать в sysctl.conf

linux , ,

Базовые вещи в iptables

May 5th, 2009

Применяется первое правило удовлетворяющее критерию. Для действий ACCEPT, DROP, REJECT обработка правил приостанавливается.

Примеры правил:
Посмотреть полный список всех актуальных правил:

iptables-save

ставить в конец цепочки правило блокирующее трафик с IP

iptables -A INPUT -i eth0 -s 1.2.3.1 -j DROP

вставить первым разрешающее правило для подсети

iptables -I INPUT 1 -i eth0 -s 192.168.0.0/24 -j ACCEPT

разрешить весь входящий трафик по loopback

iptables -I INPUT 1 -i lo -j ACCEPT

пример исп-я указания протокола (tcp,udp,icmp,all), адреса назначения, порта источника/назначения

iptables -A INPUT -p tcp -d 1.2.3.1 --sport 3389 --dport 22 -j DROP

разрешить входящие подключения на веб-сервер

iptables -A INPUT -i eth0 -p TCP -m multiport --dports 80,443 -j ACCEPT

разрешить трафик по уже установленным соединениям

iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

разрешаем входящие эхо-запросы

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

удаляем правило по критерю

iptables -D INPUT --dport 80 -j DROP

Листинг правил с номерами:

iptables -L POSTROUTING -t nat -n -v --line-numbers
iptables -L FORWARD -n -v --line-numbers

удаляем правило по номеру (нумеруются с 1, цепочку надо указывать)

iptables -D INPUT 1
iptables -D FORWARD 55
iptables -t nat -D POSTROUTING 15

листинг всех правил во всех цепочках без резолва

iptables -L -n

листинг правил из цепочки

iptables -L INPUT

очистка всех правил

iptables -F

очистка правил в цепочке

iptables -F INPUT

добавление новой цепочки

iptables -N samplechain

удаление заданной цепочки

iptables -X samplechain

Политика по умолчанию для цепочки INPUT устанавливается в ACCEPT

iptables -P INPUT ACCEPT

linux

Базовая настройка IPtables, защита sshd от перебора пароля

April 1st, 2009
chkconfig iptables on
service iptables start
iptables -F
iptables -N SSH_CHECK
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_CHECK
iptables -A SSH_CHECK -m recent --set --name SSH
iptables -A SSH_CHECK -m recent --update --seconds 300 --hitcount 3 --name SSH -j DROP
/etc/init.d/iptables save

На 5 минут будет установлена блокировка ip-адреса подбирающего пароли к sshd через 3 попытки .

linux , ,