Ubuntu особенности настройки фаервола

[Oleg2018 0]

 Перешел с Freebsd на Ubuntu поставил биллинг по инструкции через скрипт. Вопрос теперь касается кто может объяснить как в убунту настраивать фаервол для моих пулов ип адресов и если возможно и примеры сетевых интерфейсов. Freebsd использовалась в фаерволе таблички, а как здесь?

[JohnC 19]

50 minutes ago, Oleg2018 said:

 Перешел с Freebsd на Ubuntu поставил биллинг по инструкции через скрипт. Вопрос теперь касается кто может объяснить как в убунту настраивать фаервол для моих пулов ип адресов и если возможно и примеры сетевых интерфейсов. Freebsd использовалась в фаерволе таблички, а как здесь?

 

http://wiki.ubilling.net.ua/doku.php?id=faq

Quote

Q: А как же Linux? У нас тут Debian/Ubuntu/Gentoo/Centos/Slackware/Arch/OpenSUSE/Fedora[ну или еще какой-то из сотни популярных дистрибутивов]
A: Да, пожалуйста без проблем - у многих вполне себе отлично все работает на Linux. В самом Ubilling платформозависимого кода практически нет. Но вникать в «особенности» каждого конкретного дистрибутива у нас нету никакого желания. Поэтому рекомендуемой и поддерживаемой нами системой все равно остается только FreeBSD. Все специфичные проблемы, возникающие на Linux - будут вашими личными проблемами.

 

http://wiki.ubilling.net.ua/doku.php?id=setuplinux
 

Quote

В очередной раз стоит заметить, что в текущий момент ни один из дистрибутивов Linux не является официально поддерживаемым и рекомендуемым для установки Ubilling. Стоит отдавать себе отчет, что все платформо-специфичные проблемы, которые у вас могут возникнуть будут вашими личными проблемами, и на какую-либо помощь с нашей стороны вы можете не рассчитывать.

 

[a_n_h 600]

1 час назад, JohnC сказал:

 

http://wiki.ubilling.net.ua/doku.php?id=faq

 

http://wiki.ubilling.net.ua/doku.php?id=setuplinux
 

 

ТС вроде претензий не предъявлял, просит помочь...

[vop 370]

30 minutes ago, a_n_h said:

ТС вроде претензий не предъявлял, просит помочь...

Ну и вопрос далеко не биллинговый.

 

PS Хотя, может кто поможет своими настройками.

Edited 2019-06-05 12:59:11 by vop

[l1ght 377]

2 часа назад, a_n_h сказал:

ТС вроде претензий не предъявлял, просит помочь...

Учить его как с фаерволом обращаться? 

[nightfly 1,252]

1 час назад, l1ght сказал:

Учить его как с фаерволом обращаться? 

нет, с линуксом

 

[Oleg2018 0]

Блин почему на самый простой вопрос идет наброс  "доброжелателей",это уже наверное менталитет

[Oleg2018 0]

Да здесь дело даже не в линуксе а в особенностях конфигов двух служб сети и фаервола, фо фрибсд настроено и все четко работает. Просто переход под линукс обусловлен задачами которые я не могу реализовать во фрибсд

[nightfly 1,252]

58 минут назад, Oleg2018 сказал:

Просто переход под линукс обусловлен задачами которые я не могу реализовать во фрибсд

Я даже не хочу спрашивать чего такого вы хотели "реализовавывать" на фре... на биллинговом сервере...

Очевидно на линуксе вы тоже не можете реализовать, другие, базовые задачи. Переход на систему, где вы даже не представляете как работает фаер.... Умно.

Edited 2019-06-06 08:34:07 by nightfly

[l1ght 377]

54 минуты назад, Oleg2018 сказал:

Да здесь дело даже не в линуксе а в особенностях конфигов двух служб сети и фаервола, фо фрибсд настроено и все четко работает. Просто переход под линукс обусловлен задачами которые я не могу реализовать во фрибсд

Ну в линуксе вы их тоже не можете реализовать, тогда в чем смысл?

Если вы не понимаете банальных вещей и даже не способны загуглить как настроить фаервол + tc\sc?

Или как настроить сеть?

[vop 370]

Если во фре использовались таблички, то в линуксе, видимо, есть смысл использовать... ipset?

 

Ну и надо не забывать, что во фре фаер линейный, в линуксе - "древовидно-процедруный".

[Oleg2018 0]

Спасибо за помощь хоть кому - то. А к остальным прежде чем набрасываться,внимательно читайте вопросы,и не судите о опыте других по вопросам.Только глупцы знают все,умные учатся постоянно.Это так к предисловию. А теперь по сути , все развернул на платформе ubuntu 16.04 server ubilling стал ,все строго по инструкции. Теперь к вопросам. Необходимо создать алиасы на интерфейсах смотрящих во внутреннюю сеть .Делаю так : 

 

auto eth1  
iface eth1 inet static 
address 10.78.10.1 
netmask 255.255.255.0 

auto eth1:1 
iface eth1:1 inet static 
address 10.78.11.1 
netmask 255.255.255.0 

 

  Не работает в логах DHCP сервера ругается на интерфейс Interface eth1 matches multiple shared network этот у меня указан для DHCP сервера. Как здесь правильно будет внести изменения чтобы согласовать алиасы интерфейсов с DHCP .

    А теперь вопрос относительно iptables и ipset Хотелось бы получить чуть более развернутую информацию относительно особенностей настроек в биллинге.По полученому конфигу фаевола вижу указаны ipset списки.хотелось из рабочих примеров.Ведь у кого то все это работает.Спасибо заранее.

[vop 370]

По DHCP все написано в ман-ах. Что-то типа такого:

 

shared-network "kuku" {

  subnet 10.78.10.1 netmask 255.255.255.0 {

    ....

  }

  subnet 10.78.11.1 netmask 255.255.255.0 {

    ....

  }

}

 

По рабочим примерам не подскажу. Я как бы от "конкурентов", да и не знаю, как оно там устроено.

 

PS Не понял, зачем огород с алиасами интерфейса.

Edited 2019-06-09 00:25:30 by vop

[Oleg2018 0]

Спасибо алиасы и DHCP заработали, теперь осталось разобраться с фаерволом, а вот здесь пока не понятно

#!/bin/bash

#set -x
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp

# Обьявляем где у нас лежит IPTABLES
IPT="/sbin/iptables"
IPS="/sbin/ipset"
# Включаем пересылку пакетов нашим роутером
case $1 in
start)
# удаляем все имеющиеся правила
$IPT -F
$IPT -X
#$IPS -N blacklist iphash
$IPS -N FORW iphash
$IPS -N DISCON iphash 
# Стандартные действия
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD DROP

#При применении этих правил будет следующий эффект: нельзя в течении одной минуты подключиться на порт SSH более 4х раз. Защита очень простая и эффективная,
$IPT -A INPUT -p tcp --destination-port 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT
$IPT -A INPUT -p tcp --destination-port 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j LOG --log-prefix "SSH_BRUTFORCE: "
$IPT -A INPUT -p tcp --destination-port 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP
####Module conf_sg brut
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -p tcp --destination-port 5555 -m state --state NEW -m recent --set --name SGCONF -j ACCEPT
$IPT -A INPUT -p tcp --destination-port 5555 -m recent --update --seconds 60 --hitcount 5 --rttl --name SGCONF -j LOG --log-prefix "SG_CONF_BRUTFORCE: "
$IPT -A INPUT -p tcp --destination-port 5555 -m recent --update --seconds 60 --hitcount 5 --rttl --name SGCONF -j DROP

#####
$IPT -A INPUT -m state --state INVALID -j DROP

###############################################################
######################## FORWARD ##############################
###############################################################
$IPT -A FORWARD -i lo -j ACCEPT
#$IPT -A FORWARD -m set --match-set blacklist dst -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP
$IPT -A FORWARD -m set --match-set FORW src,dst -j ACCEPT
$IPT -A FORWARD -m set --match-set FORW dst,src -j ACCEPT
$IPT -A FORWARD -m set --match-set DISCON src --dst 193.111.240.6 -j ACCEPT
$IPT -A FORWARD -m set --match-set DISCON dst --src 193.111.240.6 -j ACCEPT

###############################################################
######################## NAT ##################################
###############################################################

######### Все обращения на 80 порт перебрасываем на UHW
#$IPT -t nat -A PREROUTING --src 10.90.90.0/24 --dst 0.0.0.0/0 -p tcp --dport 80 -j DNAT --to-destination 10.90.90.1:80
######### отключенных абонов редиректим на личный кабинет
#$IPT -t nat -A PREROUTING -m set --match-set DISCON src  --dst 0.0.0.0/0 -p tcp --dport 80 -j DNAT --to-destination SERVER_IP:port
$IPT -t nat -A POSTROUTING -s / -o eth1 -j SNAT --to-source 10.79.10.1
#######нат в пул адрессов
#$IPT -t nat -A POSTROUTING -s / -o eth1 -j SNAT --to-source 10.78.10.1-10.78.10.1 --persisten
/etc/shaper.sh start
#$IPS -A FORW 192.168.64.0/24
;;
stop)
# удаляем все имеющиеся правила
$IPT -F
$IPT -X
$IPT -F -t nat
$IPT -F -t mangle
$IPT -F -t filter
#$IPS -F blacklist
#$IPS -X blacklist
$IPS -F FORW 
$IPS -X FORW
$IPS -F DISCON
$IPS -X DISCON
# Стандартные действия
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD DROP
/etc/shaper.sh stop
;;
*)
echo "use start or stop"
esac

[Oleg2018 0]

IPTABLES -t nat -A POSTROUTING -m set --match-set FNAT src -o eth0 -j SNAT --to-source 1.1.1.1  нашел на форумах такой вариант. Ипсет списки я прописал вопрос такого порядка как будет правильно использовать это правило в моем случае. Да и обратил внимание на указанный в примере интерфейс,это сеть пользователей