Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2010-05-28 15:47:42

  karzel88 - Użytkownik

karzel88
Użytkownik
Zarejestrowany: 2007-08-17

iptables skrypt uruchamiający

Witam, ostatnio naszła mnie nieodparta chęć postawienia działającego firewalla. Oparłem się na how-to - http://www.debian.one.pl/howto/iptables/iptables2-pl.html
Tak więc mam skrypcik w bashu

Kod:

 #!/bin/bash 
# zmień tą nazwę na interfejs, jaki łączy Ciebie z Internetem "uplink" 
    UPLINK="eth1" 
# Jeśli ta maszyna jest ruterem ( i powinna przesyłać pakiety pomiędzy interfejsami ) powinieneś powiedzieć ROUTER="yes" w innym wypadku "no"     
    ROUTER="yes" 
# zmień tą linie na statyczny adres IP z twojego interfejsu; dla statycznego SNAT 
# "dynamic" jeśli masz dynamiczny IP. Albo jeśli nie potrzebujesz NAT zmień na "" żeby wyłączyć NAT'a 
    NAT="1.2.3.4" 
# Zmień następną linię tak, żeby ująć wszystkie interfejsy sieciowe włączając lo 
    INTERFACES="lo eth0 eth1" 
# zmień poniższa linię tak, żeby były wymienione wszystkie numery albo symbole ( z /etc/services) wszystkich serwisów, które chcesz udostępnić 
# dla internautów. Jeśli nie chcesz żadnych serwisów wyłącz je przez "" 
    SERVICES="http ftp smtp ssh rsync" 
    if [ "$1" = "start" ]; then 
    echo "Startowanie Firewall..." 
    iptables -P INPUT DROP
     iptables -A INPUT -i ! ${UPLINK} -j ACCEPT
     iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
#dopuszcza internautów do wybranych serwisów
     for x in ${SERVICES}
     do
     iptables -A INPUT -p tcp --dport ${x} -m state --state NEW -j ACCEPT
     done
     iptables -A INPUT -p tcp -i ${UPLINK} -j REJECT --reject-with tcp-reset
     iptables -A INPUT -p udp -i ${UPLINK} -j REJECT --reject-with icmp-port-unreachable 
#wyłączenie ECN
     if [ -e /proc/sys/net/ipv4/tcp_ecn ]; then 
    echo 0 > /proc/sys/net/ipv4/tcp_ecn 
    fi 
#wyłączenie spoofowania na wszystkich interfejsach 
    for x in ${INTERFACES} 
    do 
    echo 1 > /proc/sys/net/ipv4/conf/${x}/rp_filter
    done
     if [ "$ROUTER" = "yes" ]; then
 #jeśli jesteśmy ruterem, włącz IP forwarding 
    echo 1 > /proc/sys/net/ipv4/ip_forward
     if [ "$NAT" = "dynamic" ]; then
 #Dynamiczny IP, użycie maskarady 
    echo "Włączenie maskarady (dynamiczny ip)..." 
    iptables -t nat -A POSTROUTING -o ${UPLINK} -j MASQUERADE 
    elif [ "$NAT" != "" ]; then 
#statyczny IP używa SNAT 
    echo "Włączenie SNAT (statyczny IP)..."
     iptables -t nat -A POSTROUTING -o ${UPLINK} -j SNAT --to ${UPIP}
     fi
     fi 
    elif [    "$1" = "stop" ]; then 
    echo "Zatrzymanie Firewalla..." 
    iptables -F INPUT 
    iptables -P INPUT ACCEPT 
#wyłączenie NAT/maskarady jeśli jest 
    iptables -t nat -F POSTROUTING
    fi

zapisany, prawa wykonalności nadane

Kod:

chmod +x /etc/init.d/firewall

i właśnie, jak sprawdzić czy firewall działa (odpala) - chciałbym by ruszał przy starcie systemu.
Jeszcze jedna sprawa, gdy odpalam skrypt recznie wywala mi coś takiego

Kod:

Startowanie Firewall...
Using intrapositioned negation (`--option ! this`) is deprecated in favor of extrapositioned (`! --option this`).

Offline

 

#2  2010-05-28 16:04:39

  saiqard - Użytkownik

saiqard
Użytkownik
Skąd: Wałbrzych
Zarejestrowany: 2009-07-30

Re: iptables skrypt uruchamiający

Kod:

i właśnie, jak sprawdzić czy firewall działa (odpala) - chciałbym by ruszał przy starcie systemu.

zobacz, czy na podłączonych do niego komputerach jest internet

Offline

 

#3  2010-05-28 16:09:01

  karzel88 - Użytkownik

karzel88
Użytkownik
Zarejestrowany: 2007-08-17

Re: iptables skrypt uruchamiający

internet jest pytanie czy sam proces się uruchomił, wydaje polecenie

Kod:

ps -aux

ale nie moge znaleźć go na liście... chyba że robie to źle... szczerze to średnio wiem jak sprawdzić które deamony są uruchomione

Offline

 

#4  2010-05-28 16:53:11

  saiqard - Użytkownik

saiqard
Użytkownik
Skąd: Wałbrzych
Zarejestrowany: 2009-07-30

Re: iptables skrypt uruchamiający

ten skrypt nie uruchamia procesu, tylko wykonuje kolejne komendy w konsoli

Offline

 

#5  2010-05-28 17:14:11

  karzel88 - Użytkownik

karzel88
Użytkownik
Zarejestrowany: 2007-08-17

Re: iptables skrypt uruchamiający

no ok. pytanie wieć jak sprawdzić czy skrypt wykonał polecenia przy starcie systemu ?

Offline

 

#6  2010-05-28 17:23:37

  winnetou - złodziej wirków ]:->

winnetou
złodziej wirków ]:->
Skąd: Jasło/Rzeszów kiedyś Gdańs
Zarejestrowany: 2008-03-31
Serwis

Re: iptables skrypt uruchamiający

Kod:

iptables -n -L

lub samo

Kod:

iptables -L

i sprawdzić czy polityki w systemie zgadzają się z tymi ustawionymi w skrypcie


LRU: #472938
napisz do mnie: ola@mojmail.eu
Hołmpejdż | Galerie | "Twórczość" || Free Image Hosting

Offline

 

#7  2010-05-28 17:30:52

  karzel88 - Użytkownik

karzel88
Użytkownik
Zarejestrowany: 2007-08-17

Re: iptables skrypt uruchamiający

i się zgadza... dzięki za pomoc

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)