Перейти до

Ubuntu особенности настройки фаервола


Рекомендованные сообщения

 Перешел с Freebsd на Ubuntu поставил биллинг по инструкции через скрипт. Вопрос теперь касается кто может объяснить как в убунту настраивать фаервол для моих пулов ип адресов и если возможно и примеры сетевых интерфейсов. Freebsd использовалась в фаерволе таблички, а как здесь?

Ссылка на сообщение
Поделиться на других сайтах
50 minutes ago, Oleg2018 said:

 Перешел с Freebsd на Ubuntu поставил биллинг по инструкции через скрипт. Вопрос теперь касается кто может объяснить как в убунту настраивать фаервол для моих пулов ип адресов и если возможно и примеры сетевых интерфейсов. Freebsd использовалась в фаерволе таблички, а как здесь?

 

http://wiki.ubilling.net.ua/doku.php?id=faq

Quote

Q: А как же Linux? У нас тут Debian/Ubuntu/Gentoo/Centos/Slackware/Arch/OpenSUSE/Fedora[ну или еще какой-то из сотни популярных дистрибутивов]
A: Да, пожалуйста без проблем - у многих вполне себе отлично все работает на Linux. В самом Ubilling платформозависимого кода практически нет. Но вникать в «особенности» каждого конкретного дистрибутива у нас нету никакого желания. Поэтому рекомендуемой и поддерживаемой нами системой все равно остается только FreeBSD. Все специфичные проблемы, возникающие на Linux - будут вашими личными проблемами.

 

http://wiki.ubilling.net.ua/doku.php?id=setuplinux
 

Quote

В очередной раз стоит заметить, что в текущий момент ни один из дистрибутивов Linux не является официально поддерживаемым и рекомендуемым для установки Ubilling. Стоит отдавать себе отчет, что все платформо-специфичные проблемы, которые у вас могут возникнуть будут вашими личными проблемами, и на какую-либо помощь с нашей стороны вы можете не рассчитывать.

 

Ссылка на сообщение
Поделиться на других сайтах
1 час назад, JohnC сказал:

ТС вроде претензий не предъявлял, просит помочь...

Ссылка на сообщение
Поделиться на других сайтах
30 minutes ago, a_n_h said:

ТС вроде претензий не предъявлял, просит помочь...

Ну и вопрос далеко не биллинговый.

 

PS Хотя, может кто поможет своими настройками.

Відредаговано vop
Ссылка на сообщение
Поделиться на других сайтах

Да здесь дело даже не в линуксе а в особенностях конфигов двух служб сети и фаервола, фо фрибсд настроено и все четко работает. Просто переход под линукс обусловлен задачами которые я не могу реализовать во фрибсд

Ссылка на сообщение
Поделиться на других сайтах
58 минут назад, Oleg2018 сказал:

Просто переход под линукс обусловлен задачами которые я не могу реализовать во фрибсд

Я даже не хочу спрашивать чего такого вы хотели "реализовавывать" на фре... на биллинговом сервере...

Очевидно на линуксе вы тоже не можете реализовать, другие, базовые задачи. Переход на систему, где вы даже не представляете как работает фаер.... Умно.

Відредаговано nightfly
Ссылка на сообщение
Поделиться на других сайтах
54 минуты назад, Oleg2018 сказал:

Да здесь дело даже не в линуксе а в особенностях конфигов двух служб сети и фаервола, фо фрибсд настроено и все четко работает. Просто переход под линукс обусловлен задачами которые я не могу реализовать во фрибсд

Ну в линуксе вы их тоже не можете реализовать, тогда в чем смысл?

Если вы не понимаете банальных вещей и даже не способны загуглить как настроить фаервол + tc\sc?

Или как настроить сеть?

  • Like 1
Ссылка на сообщение
Поделиться на других сайтах

Если во фре использовались таблички, то в линуксе, видимо, есть смысл использовать... ipset?

 

Ну и надо не забывать, что во фре фаер линейный, в линуксе - "древовидно-процедруный".

Ссылка на сообщение
Поделиться на других сайтах

Спасибо за помощь хоть кому - то. А к остальным прежде чем набрасываться,внимательно читайте вопросы,и не судите о опыте других по вопросам.Только глупцы знают все,умные учатся постоянно.Это так к предисловию. А теперь по сути , все развернул на платформе ubuntu 16.04 server ubilling стал ,все строго по инструкции. Теперь к вопросам. Необходимо создать алиасы на интерфейсах смотрящих во внутреннюю сеть .Делаю так

 

auto eth1  
iface eth1 inet static 
address 10.78.10.1 
netmask 255.255.255.0 


auto eth1:1 
iface eth1:1 inet static 
address 10.78.11.1 
netmask 255.255.255.0 

 

  Не работает в логах DHCP сервера ругается на интерфейс Interface eth1 matches multiple shared network этот у меня указан для DHCP сервера. Как здесь правильно будет внести изменения чтобы согласовать алиасы интерфейсов с DHCP .

    А теперь вопрос относительно iptables и ipset Хотелось бы получить чуть более развернутую информацию относительно особенностей настроек в биллинге.По полученому конфигу фаевола вижу указаны ipset списки.хотелось из рабочих примеров.Ведь у кого то все это работает.Спасибо заранее.

Ссылка на сообщение
Поделиться на других сайтах

По DHCP все написано в ман-ах. Что-то типа такого:

 

shared-network "kuku" {

  subnet 10.78.10.1 netmask 255.255.255.0 {

    ....

  }

  subnet 10.78.11.1 netmask 255.255.255.0 {

    ....

  }

}

 

По рабочим примерам не подскажу. Я как бы от "конкурентов", да и не знаю, как оно там устроено.

 

PS Не понял, зачем огород с алиасами интерфейса.

Відредаговано vop
Ссылка на сообщение
Поделиться на других сайтах

Спасибо алиасы и DHCP заработали, теперь осталось разобраться с фаерволом, а вот здесь пока не понятно

#!/bin/bash

#set -x
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp

# Обьявляем где у нас лежит IPTABLES
IPT="/sbin/iptables"
IPS="/sbin/ipset"
# Включаем пересылку пакетов нашим роутером
case $1 in
start)
# удаляем все имеющиеся правила
$IPT -F
$IPT -X
#$IPS -N blacklist iphash
$IPS -N FORW iphash
$IPS -N DISCON iphash 
# Стандартные действия
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD DROP


#При применении этих правил будет следующий эффект: нельзя в течении одной минуты подключиться на порт SSH более 4х раз. Защита очень простая и эффективная,
$IPT -A INPUT -p tcp --destination-port 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT
$IPT -A INPUT -p tcp --destination-port 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j LOG --log-prefix "SSH_BRUTFORCE: "
$IPT -A INPUT -p tcp --destination-port 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP
####Module conf_sg brut
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -p tcp --destination-port 5555 -m state --state NEW -m recent --set --name SGCONF -j ACCEPT
$IPT -A INPUT -p tcp --destination-port 5555 -m recent --update --seconds 60 --hitcount 5 --rttl --name SGCONF -j LOG --log-prefix "SG_CONF_BRUTFORCE: "
$IPT -A INPUT -p tcp --destination-port 5555 -m recent --update --seconds 60 --hitcount 5 --rttl --name SGCONF -j DROP

#####
$IPT -A INPUT -m state --state INVALID -j DROP

###############################################################
######################## FORWARD ##############################
###############################################################
$IPT -A FORWARD -i lo -j ACCEPT
#$IPT -A FORWARD -m set --match-set blacklist dst -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP
$IPT -A FORWARD -m set --match-set FORW src,dst -j ACCEPT
$IPT -A FORWARD -m set --match-set FORW dst,src -j ACCEPT
$IPT -A FORWARD -m set --match-set DISCON src --dst 193.111.240.6 -j ACCEPT
$IPT -A FORWARD -m set --match-set DISCON dst --src 193.111.240.6 -j ACCEPT

###############################################################
######################## NAT ##################################
###############################################################

######### Все обращения на 80 порт перебрасываем на UHW
#$IPT -t nat -A PREROUTING --src 10.90.90.0/24 --dst 0.0.0.0/0 -p tcp --dport 80 -j DNAT --to-destination 10.90.90.1:80
######### отключенных абонов редиректим на личный кабинет
#$IPT -t nat -A PREROUTING -m set --match-set DISCON src  --dst 0.0.0.0/0 -p tcp --dport 80 -j DNAT --to-destination SERVER_IP:port
$IPT -t nat -A POSTROUTING -s / -o eth1 -j SNAT --to-source 10.79.10.1
#######нат в пул адрессов
#$IPT -t nat -A POSTROUTING -s / -o eth1 -j SNAT --to-source 10.78.10.1-10.78.10.1 --persisten
/etc/shaper.sh start
#$IPS -A FORW 192.168.64.0/24
;;
stop)
# удаляем все имеющиеся правила
$IPT -F
$IPT -X
$IPT -F -t nat
$IPT -F -t mangle
$IPT -F -t filter
#$IPS -F blacklist
#$IPS -X blacklist
$IPS -F FORW 
$IPS -X FORW
$IPS -F DISCON
$IPS -X DISCON
# Стандартные действия
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD DROP
/etc/shaper.sh stop
;;
*)
echo "use start or stop"
esac

Ссылка на сообщение
Поделиться на других сайтах

IPTABLES -t nat -A POSTROUTING -m set --match-set FNAT src -o eth0 -j SNAT --to-source 1.1.1.1  нашел на форумах такой вариант. Ипсет списки я прописал вопрос такого порядка как будет правильно использовать это правило в моем случае. Да и обратил внимание на указанный в примере интерфейс,это сеть пользователей

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...