Jump to content
Local
Oleg2018

Ubuntu особенности настройки фаервола

Recommended Posts

 Перешел с Freebsd на Ubuntu поставил биллинг по инструкции через скрипт. Вопрос теперь касается кто может объяснить как в убунту настраивать фаервол для моих пулов ип адресов и если возможно и примеры сетевых интерфейсов. Freebsd использовалась в фаерволе таблички, а как здесь?

Share this post


Link to post
Share on other sites
50 minutes ago, Oleg2018 said:

 Перешел с Freebsd на Ubuntu поставил биллинг по инструкции через скрипт. Вопрос теперь касается кто может объяснить как в убунту настраивать фаервол для моих пулов ип адресов и если возможно и примеры сетевых интерфейсов. Freebsd использовалась в фаерволе таблички, а как здесь?

 

http://wiki.ubilling.net.ua/doku.php?id=faq

Quote

Q: А как же Linux? У нас тут Debian/Ubuntu/Gentoo/Centos/Slackware/Arch/OpenSUSE/Fedora[ну или еще какой-то из сотни популярных дистрибутивов]
A: Да, пожалуйста без проблем - у многих вполне себе отлично все работает на Linux. В самом Ubilling платформозависимого кода практически нет. Но вникать в «особенности» каждого конкретного дистрибутива у нас нету никакого желания. Поэтому рекомендуемой и поддерживаемой нами системой все равно остается только FreeBSD. Все специфичные проблемы, возникающие на Linux - будут вашими личными проблемами.

 

http://wiki.ubilling.net.ua/doku.php?id=setuplinux
 

Quote

В очередной раз стоит заметить, что в текущий момент ни один из дистрибутивов Linux не является официально поддерживаемым и рекомендуемым для установки Ubilling. Стоит отдавать себе отчет, что все платформо-специфичные проблемы, которые у вас могут возникнуть будут вашими личными проблемами, и на какую-либо помощь с нашей стороны вы можете не рассчитывать.

 

Share this post


Link to post
Share on other sites
30 minutes ago, a_n_h said:

ТС вроде претензий не предъявлял, просит помочь...

Ну и вопрос далеко не биллинговый.

 

PS Хотя, может кто поможет своими настройками.

Edited by vop

Share this post


Link to post
Share on other sites
2 часа назад, a_n_h сказал:

ТС вроде претензий не предъявлял, просит помочь...

Учить его как с фаерволом обращаться? 

Share this post


Link to post
Share on other sites
1 час назад, l1ght сказал:

Учить его как с фаерволом обращаться? 

нет, с линуксом :)

 

Share this post


Link to post
Share on other sites

Блин почему на самый простой вопрос идет наброс  "доброжелателей",это уже наверное менталитет

Share this post


Link to post
Share on other sites
24 минуты назад, Oleg2018 сказал:

Блин почему на самый простой вопрос идет наброс  "доброжелателей",это уже наверное менталитет

 

пора привыкнуть к этому "проф" форуму, тут или на фак(от инглиша) посылают или еще куда подальше

по теме, я в линуксе не спец, не подскажу

Share this post


Link to post
Share on other sites

Да здесь дело даже не в линуксе а в особенностях конфигов двух служб сети и фаервола, фо фрибсд настроено и все четко работает. Просто переход под линукс обусловлен задачами которые я не могу реализовать во фрибсд

Share this post


Link to post
Share on other sites
58 минут назад, Oleg2018 сказал:

Просто переход под линукс обусловлен задачами которые я не могу реализовать во фрибсд

Я даже не хочу спрашивать чего такого вы хотели "реализовавывать" на фре... на биллинговом сервере...

Очевидно на линуксе вы тоже не можете реализовать, другие, базовые задачи. Переход на систему, где вы даже не представляете как работает фаер.... Умно.

Edited by nightfly

Share this post


Link to post
Share on other sites
54 минуты назад, Oleg2018 сказал:

Да здесь дело даже не в линуксе а в особенностях конфигов двух служб сети и фаервола, фо фрибсд настроено и все четко работает. Просто переход под линукс обусловлен задачами которые я не могу реализовать во фрибсд

Ну в линуксе вы их тоже не можете реализовать, тогда в чем смысл?

Если вы не понимаете банальных вещей и даже не способны загуглить как настроить фаервол + tc\sc?

Или как настроить сеть?

  • Like 1

Share this post


Link to post
Share on other sites

Если во фре использовались таблички, то в линуксе, видимо, есть смысл использовать... ipset?

 

Ну и надо не забывать, что во фре фаер линейный, в линуксе - "древовидно-процедруный".

Share this post


Link to post
Share on other sites

Спасибо за помощь хоть кому - то. А к остальным прежде чем набрасываться,внимательно читайте вопросы,и не судите о опыте других по вопросам.Только глупцы знают все,умные учатся постоянно.Это так к предисловию. А теперь по сути , все развернул на платформе ubuntu 16.04 server ubilling стал ,все строго по инструкции. Теперь к вопросам. Необходимо создать алиасы на интерфейсах смотрящих во внутреннюю сеть .Делаю так

 

auto eth1  
iface eth1 inet static 
address 10.78.10.1 
netmask 255.255.255.0 


auto eth1:1 
iface eth1:1 inet static 
address 10.78.11.1 
netmask 255.255.255.0 

 

  Не работает в логах DHCP сервера ругается на интерфейс Interface eth1 matches multiple shared network этот у меня указан для DHCP сервера. Как здесь правильно будет внести изменения чтобы согласовать алиасы интерфейсов с DHCP .

    А теперь вопрос относительно iptables и ipset Хотелось бы получить чуть более развернутую информацию относительно особенностей настроек в биллинге.По полученому конфигу фаевола вижу указаны ipset списки.хотелось из рабочих примеров.Ведь у кого то все это работает.Спасибо заранее.

Share this post


Link to post
Share on other sites

По DHCP все написано в ман-ах. Что-то типа такого:

 

shared-network "kuku" {

  subnet 10.78.10.1 netmask 255.255.255.0 {

    ....

  }

  subnet 10.78.11.1 netmask 255.255.255.0 {

    ....

  }

}

 

По рабочим примерам не подскажу. Я как бы от "конкурентов", да и не знаю, как оно там устроено.

 

PS Не понял, зачем огород с алиасами интерфейса.

Edited by vop

Share this post


Link to post
Share on other sites

Спасибо алиасы и DHCP заработали, теперь осталось разобраться с фаерволом, а вот здесь пока не понятно

#!/bin/bash

#set -x
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp

# Обьявляем где у нас лежит IPTABLES
IPT="/sbin/iptables"
IPS="/sbin/ipset"
# Включаем пересылку пакетов нашим роутером
case $1 in
start)
# удаляем все имеющиеся правила
$IPT -F
$IPT -X
#$IPS -N blacklist iphash
$IPS -N FORW iphash
$IPS -N DISCON iphash 
# Стандартные действия
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD DROP


#При применении этих правил будет следующий эффект: нельзя в течении одной минуты подключиться на порт SSH более 4х раз. Защита очень простая и эффективная,
$IPT -A INPUT -p tcp --destination-port 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT
$IPT -A INPUT -p tcp --destination-port 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j LOG --log-prefix "SSH_BRUTFORCE: "
$IPT -A INPUT -p tcp --destination-port 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP
####Module conf_sg brut
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -p tcp --destination-port 5555 -m state --state NEW -m recent --set --name SGCONF -j ACCEPT
$IPT -A INPUT -p tcp --destination-port 5555 -m recent --update --seconds 60 --hitcount 5 --rttl --name SGCONF -j LOG --log-prefix "SG_CONF_BRUTFORCE: "
$IPT -A INPUT -p tcp --destination-port 5555 -m recent --update --seconds 60 --hitcount 5 --rttl --name SGCONF -j DROP

#####
$IPT -A INPUT -m state --state INVALID -j DROP

###############################################################
######################## FORWARD ##############################
###############################################################
$IPT -A FORWARD -i lo -j ACCEPT
#$IPT -A FORWARD -m set --match-set blacklist dst -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP
$IPT -A FORWARD -m set --match-set FORW src,dst -j ACCEPT
$IPT -A FORWARD -m set --match-set FORW dst,src -j ACCEPT
$IPT -A FORWARD -m set --match-set DISCON src --dst 193.111.240.6 -j ACCEPT
$IPT -A FORWARD -m set --match-set DISCON dst --src 193.111.240.6 -j ACCEPT

###############################################################
######################## NAT ##################################
###############################################################

######### Все обращения на 80 порт перебрасываем на UHW
#$IPT -t nat -A PREROUTING --src 10.90.90.0/24 --dst 0.0.0.0/0 -p tcp --dport 80 -j DNAT --to-destination 10.90.90.1:80
######### отключенных абонов редиректим на личный кабинет
#$IPT -t nat -A PREROUTING -m set --match-set DISCON src  --dst 0.0.0.0/0 -p tcp --dport 80 -j DNAT --to-destination SERVER_IP:port
$IPT -t nat -A POSTROUTING -s / -o eth1 -j SNAT --to-source 10.79.10.1
#######нат в пул адрессов
#$IPT -t nat -A POSTROUTING -s / -o eth1 -j SNAT --to-source 10.78.10.1-10.78.10.1 --persisten
/etc/shaper.sh start
#$IPS -A FORW 192.168.64.0/24
;;
stop)
# удаляем все имеющиеся правила
$IPT -F
$IPT -X
$IPT -F -t nat
$IPT -F -t mangle
$IPT -F -t filter
#$IPS -F blacklist
#$IPS -X blacklist
$IPS -F FORW 
$IPS -X FORW
$IPS -F DISCON
$IPS -X DISCON
# Стандартные действия
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD DROP
/etc/shaper.sh stop
;;
*)
echo "use start or stop"
esac

Share this post


Link to post
Share on other sites

IPTABLES -t nat -A POSTROUTING -m set --match-set FNAT src -o eth0 -j SNAT --to-source 1.1.1.1  нашел на форумах такой вариант. Ипсет списки я прописал вопрос такого порядка как будет правильно использовать это правило в моем случае. Да и обратил внимание на указанный в примере интерфейс,это сеть пользователей

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×