 CentOS настройка IPTABLES | |
| <<< linux menu. | |
| Селинукс гасим!))) # cat /selinux/enforce 1 # echo 0 > /selinux/enforce # cat /selinux/enforce 0 ну а потом еще в /etc/selinux/config добиваем! Kак настроить iptables на CentOS /sbin/service iptables {option} — Комманда, с помощью которой root может включать, выключать, и настраивать дополнительные функции iptables через скрипты запуска. Замените {option} сдледующими коммандами: start — если брендмауэр сконфигурирован (файл /etc/sysconfig/iptables существует), все запущенные iptables полностью останавливаются и затем стартуют снова используя комманду /sbin/iptables-restore. stop — если брендмауэр запущен, все правила деактивируются (flushed), и модуль iptables выгружается. Если директива IPTABLES_SAVE_ON_STOP в файле /etc/sysconfig/iptables-config изменяется со значения по умолчанию на yes, текущие правила брендмауэра сохраняются в /etc/sysconfig/iptables, старые правила сохраняются в /etc/sysconfig/iptables.save. restart — если брендмауэр запущен, правила удаляются из памяти (flushed), и брендмауэр стартует снова, если сконфигурирован /etc/sysconfig/iptables. Если директива IPTABLES_SAVE_ON_RESTART в файле /etc/sysconfig/iptables-config изменяется со значения по умолчанию на yes, текущие правила брендмауэра сохраняются в /etc/sysconfig/iptables, старые правила сохраняются в /etc/sysconfig/iptables.save. status — показывает статус брендмауэра и список активных правил. Если брендмауэр не запущен, либо правила отсутствуют — показывает это. Список активных правил будет показывать IP-адреса, пока IPTABLES_STATUS_NUMERIC в файле /etc/sysconfig/iptables-config не будет изменено. Тогда будут отображаться доменные имена (FQDN). panic — Эта опция заставит удалить все правила и запретить все пакеты (DROP). Полезно, если вы понимаете, что сервер активно взламывают и желаете это остановить. save — сохраняет активные правила в /etc/sysconfig/iptables используя iptables-save. Настройки в /etc/sysconfig/iptables Здесь все закрыто: [root@MZtest ~]# cat /etc/sysconfig/iptables # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT Здесь открыты SSH, порт 8081, порты для доступа к ресурсам самба: [root@mz400 ~]# cat /etc/sysconfig/iptables # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -p tcp -m tcp --dport 8081 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p udp -m multiport --ports 135,136,137,138,139,445 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p tcp -m multiport --ports 135,136,137,138,139,445 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT Чтобы открыть порт 80 (HTTP-сервер) добавить до COMMIT: -A INPUT -m tcp -p tcp --dport 80 -j ACCEPT Чтобы открыть порт 53 (DNS-сервер) добавить до COMMIT: -A INPUT -m tcp -p tcp --dport 53 -j ACCEPT -A INPUT -m udp -p tcp --dport 53 -j ACCEPT Чтобы открыть порт 443 (HTTPS-сервер) добавить следующие линии до COMMIT: -A INPUT -m tcp -p tcp --dport 443 -j ACCEPT Чтобы открыть порт 25 (SMTP-сервер) добавить следующие линии до COMMIT: -A INPUT -m tcp -p tcp --dport 25 -j ACCEPT Разрешить только трафик SSH из 192.168.1.0/24 -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 22 -j ACCEPT Разрешить доступ в печати для 192.168.1.0/24 -A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 631 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 631 -j ACCEPT Разрешить доступа для клиентов NTP к серверу -A INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 123 -j ACCEPT Открыть FTP порт 21 (FTP) -A INPUT -m state --state NEW -p tcp --dport 21 -j ACCEPT Открыть порты для доступа к ресурсамSAMBA -A INPUT -s 192.168.1.0/24 -p udp -m multiport --ports 135,136,137,138,139,445 -j ACCEPT -A INPUT -s 192.168.1.0/24 -p tcp -m multiport --ports 135,136,137,138,139,445 -j ACCEPT ____________________________________________ прокинуть порт # Change destination addresses of web traffic to 5.6.7.8, port 8080. iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to 5.6.7.8:8080 # Allow traffic from outside to 5.6.7.8:8080 if you have restrictive firewall ruleset iptables -A FORWARD -p tcp -i eth0 -d 5.6.7.8 --dport 8080 -j ACCEPT ____________________________________________ ТАКЖЕ /etc/rc.d/rc.local Код if [ -e /etc/iptables-save.conf ]; then iptables-restore < /etc/iptables-save.conf fi; iptables-save.conf создаётся через iptables-save | |