Использование ufw кратко

Автор: Рудюк С . А. https://corp2.net E-Mail: rs@corp2.net ufw enable|disable – вкл. выкл. брендмауэр ufw logging on|off – вкл. выкл. логи ufw default allow|deny – правило по умолчанию ufw allow|deny [service] – вкл. выкл. порт ufw status – статус брендмауэра. ufw allow 21 – статус порта в брендмауэре. ufw delete allow 21 – удаление правила. ufw allow 53/tcp – разрешить 53 порт tcp. ufw allow from 10.123.192.199 – разрешение входа с определенного ip-адреса. ufw deny proto tcp to 72.55.148.21 ufw deny proto tcp from 72.55.148.21 ufw deny 80 from 72.55.148.21 ufw allow|deny|reject|limit [in|out on INTERFACE] [log|log-all] [proto protocol] [from ADDRESS [port PORT]] [to ADDRESS [port PORT]] ufw deny proto udp to any – запрет udp-протокола ufw allow in on eth0 to any port 80 proto tcp ufw delete 3 – удаление правила по номеру ufw status numbered – получение нумерованного списка правил ufw reload – перезагрузка сетевого экрана ufw insert 2 deny proto udp to any Автор: Рудюк С . А. https://corp2.net

Read more

Настройка шлюза в Linux Ubuntu с помощью iptables

Как я только не настраивал шлюз в Linux Ubuntu и с помощью ufw, squid, с помощью различных программных файерволов. Но, практика показала, что наиболее эффективный способ – это настройка с помощью встроенных средств – с помощью iptables. Самое главное в данной настройке – написание предопределенного скрипта и его использование в различных проектах. В интернете огромное количество программных реализаций подобных скриптов. Я же использую скрипт, который опишу ниже и который тоже когда-то нашел в интернет :). Для начала, необходимо отметить, что если необходимо, чтоб работал шлюз внутри сети, то необходимо установить программу для “маскарадинга”: aptitude install dnsmasq iptables же обычно уже установлен в Linux Ubuntu последних версий, поэтому, его нет необходимости дополнительно устанавливать. Если же Вам необходимо, чтоб работали одновременно bind9 и dnsmasq, то необходимо вначале запускать dnsmasq, а потом – bind9. Т.к. иначе, они начнут ругаться на занятость портов. Вот как я делаю в rc.local: service bind9 stop service dnsmasq restart service bind9 start Теперь, собственно скрипт. В моем случае, данный скрипт работает для шлюза, который висит на одном сетевом интерфейсе – для виртуальных серверов на сервере. В случае же обычной сети – необходимо просто указать сетевой интерефейс внутренней сети. #!/bin/bash # Тут в принципе может и не надо этого всего но не помеха # вдруг какой модуль не подгружен или форвардинг не включен echo “1” > /proc/sys/net/ipv4/ip_forward echo “1” > /proc/sys/net/ipv4/ip_dynaddr modprobe iptable_nat modprobe ip_conntrack_ftp modprobe ip_nat_ftp # Объявление переменных export IPT=”iptables” # Интерфейс который смотрит в интернет export WAN=eth0 # Локальная сеть (в моем случае, все висит на […]

Read more