русс | укр

Программирование:

Языки программирования

ПаскальСиАссемблерJavaMatlabPhpHtmlJavaScriptCSSC#DelphiТурбо Пролог

Компьютерные сетиСистемное программное обеспечениеИнформационные технологииПрограммирование

Все о программировании

Обучение

Linux Unix Алгоритмические языки Аналоговые и гибридные вычислительные устройства Архитектура микроконтроллеров Введение в разработку распределенных информационных систем Введение в численные методы Дискретная математика Информационное обслуживание пользователей Информация и моделирование в управлении производством Компьютерная графика Математическое и компьютерное моделирование Моделирование Нейрокомпьютеры Проектирование программ диагностики компьютерных систем и сетей Проектирование системных программ Системы счисления Теория статистики Теория оптимизации Уроки AutoCAD 3D Уроки базы данных Access Уроки Orcad Цифровые автоматы Шпаргалки по компьютеру Шпаргалки по программированию Экспертные системы Элементы теории информации

Сценарий: Настройка сетевого экрана

Дата добавления: 2014-11-27; просмотров: 506; Нарушение авторских прав

Начальные условия: Командная строка суперпользователя после входа в систему, настроенные сетевой интерфейс и таблица маршрутизации.

1. Для просмотра текущей таблицы правил сетевого экрана воспользуемся командой iptables -L:

2. desktop ~ # iptables -L3. Chain INPUT (policy ACCEPT)4. target prot opt source destination5. 6. Chain FORWARD (policy ACCEPT)7. target prot opt source destination8. 9. Chain OUTPUT (policy ACCEPT)target prot opt source destination

Все три цепочки не содержат правил и имеют политику разрешения всех пакетов по умолчанию.

10. Запретим весь сетевой трафик как на вход, так и на выход командами iptables -P INPUT DROP, iptables -P OUTPUT DROP:

11. desktop ~ # iptables -P INPUT DROP12. desktop ~ # iptables -P OUTPUT DROP13. desktop ~ # iptables -L14. Chain INPUT (policy ACCEPT)15. target prot opt source destination16. 17. Chain FORWARD (policy ACCEPT)18. target prot opt source destination19. 20. Chain OUTPUT (policy ACCEPT)target prot opt source destination

21. Любой сетевой обмен (даже команда ping 127.0.0.1) будет запрещён:

22. desktop ~ # ping 127.0.0.123. PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data.24. ping: sendmsg: Operation not permittedping: sendmsg: Operation not permitted

25. Разрешим вход и выход всем пакетам, связанным с локальным интерфейсом (lo) с помощью команд: iptables -A INPUT -i lo -j ACCEPT и iptables -A OUTPUT -o lo -j ACCEPT.

26. desktop ~ # iptables -A INPUT -i lo -j ACCEPT27. desktop ~ # iptables -A OUTPUT -o lo -j ACCEPT28. desktop ~ # ping 127.0.0.129. PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data.30. 64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.056 ms64 bytes from 127.0.0.1: icmp_seq=2 ttl=64 time=0.043 ms

31. Разрешим вход и выход всем пакетам, относящимся к протоколу ICMP: iptables -A INPUT -p icmp -j ACCEPT и iptables -A OUTPUT -p icmp -j ACCEPT.



 32. desktop ~ # iptables -A INPUT -p icmp -j ACCEPTdesktop ~ # iptables -A OUTPUT -p icmp -j ACCEPT

33. Чтобы пропускать пакеты, относящиеся ко всем установленным соединениям, добавим два правила: iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT и iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT

34. desktop ~ # iptables -A INPUT -m state --state ESTABLISHED -j ACCEPTdesktop ~ # iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT

35. Теперь осталось только разрешить входящие и исходящие соединения на определённые порты. Например, для исходящего доступа по протоколу HTTP выполним iptables -A OUTPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT:

desktop ~ # iptables -A OUTPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT

36. В завершение можно очистить все заданные правила с помощью iptables -F:

37. desktop ~ # iptables -F38. desktop ~ # iptables -L39. Chain INPUT (policy ACCEPT)40. target prot opt source destination41. 42. Chain FORWARD (policy ACCEPT)43. target prot opt source destination44. 45. Chain OUTPUT (policy ACCEPT)target prot opt source destination

Обратите внимание, что это не изменило политики по умолчанию.


<== предыдущая лекция | следующая лекция ==>
Сценарий: Сканирование удалённых хостов | Содержание

Карта сайта Карта сайта укр

Видео
Уроки php mysql Программирование
Онлайн сервисы
Онлайн система счисления Калькулятор онлайн обычный Инженерный калькулятор онлайн Замена русских букв на английские для вебмастеров Замена русских букв на английские
Полезное

Аппаратное и программное обеспечение Графика и компьютерная сфера Интегрированная геоинформационная система Интернет Компьютер Комплектующие компьютера Лекции Методы и средства измерений неэлектрических величин Обслуживание компьютерных и периферийных устройств Операционные системы Параллельное программирование Проектирование электронных средств Периферийные устройства Полезные ресурсы для программистов Программы для программистов Статьи для программистов Cтруктура и организация данных

 


Не нашли то, что искали? Google вам в помощь!

  
 

© life-prog.ru При использовании материалов прямая ссылка на сайт обязательна.
Генерация страницы за: 0.11 сек.