welinux.ru/Есть вопрос! — Как закрыть всё на свете линуксовым фаерволом кроме xmpp?

10.08.10 16:12 exelens

Есть вопрос! — Как закрыть всё на свете линуксовым фаерволом кроме xmpp?

Пару минут назад состоялся такой диалог:

(16:07:41) [email protected]/BBC09A9E: Жопорез дорого сидеть?
(16:08:20) [email protected]: :-) Очень((( Я считай только сидя в жабе в день рублей 40-50 проматываю...
(16:08:46) [email protected]: Ты не вкурсах ак мне закрыть всё на свете линуксовым фаерволом кроме xmpp ?
(16:09:24) [email protected]: JOKINGLY а патом открыть соответственно))))))
(16:09:48) [email protected]/BBC09A9E: Давай зададим этот вопрос на вилинуксе?
(16:09:56) [email protected]/BBC09A9E: Поясни какой Линукс юзаешь
(16:10:04) [email protected]: Арч)
(16:10:07) [email protected]/BBC09A9E: сек
(16:10:15) [email protected]: Оки)
(16:10:43) [email protected]: Задай там плз, а то у меня странное впечатление что пару сотен ккилобайт что то левое съедает)

Ждём Ваши советы

Похожие +5–

Теги: фаервол xmpp

Ch00k 10.08.10 16:27 # +-1–

http://ubuntuforums.org/showpost.php?p=5208515&postcount=4
Как-то так наверное.

exelens 10.08.10 16:34 # ↑ +1–

Тут не принято урлами тыкать
И разве не понятно, что у того кто просил спросить проблемы с доступом в инет?

: Ch00k 10.08.10 16:38 # ↑ +1–

Кстати, если уж постали за того, у кого проблемы с доступом в инет, то могли бы за него и погуглить :)

: alff31 10.08.10 22:40 # ↑ +0–

Если у него проблема с доступом в инет, то как он прочитает коменты? По ссылке не такой уж и трафик, несколько строк текста.

karp 10.08.10 16:36 # +13–

Как-то так:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25 #!/bin/bash IPT="/sbin/iptables" IF="eth0" # сбрасываем все старые правила и цепочки $IPT -F $IPT -X $IPT -F -t nat $IPT -P INPUT DROP $IPT -P OUTPUT DROP $IPT -P FORWARD DROP $IPT -A INPUT -i lo -j ACCEPT $IPT -A OUTPUT -o lo -j ACCEPT $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # Разрешаем цепляться на порт 5222 $IPT -A INPUT -p tcp --dport 5222 -i $IF -j ACCEPT

Где-то в тетрадочке было записано... Тетрадочку найти не смог...

: stasikos 11.08.10 10:47 # ↑ +0–

Дык это входящий траффик с XMPP разрешит.

iptables -F
iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 5222 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 5223 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -P OUTPUT DROP
iptables -P INPUT DROP

DNS + xmpp only - вполне достаточно для жаббера.

Ch00k 10.08.10 16:36 # +6–

Ну тогда так:

1
2
3
4
5
6
7
8 iptables -F iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P INPUT DROP iptables -A INPUT -p udp -m udp --sport 53 -j ACCEPT iptables -A INPUT -p tcp -m tcp --sport 5222 -j ACCEPT iptables -A INPUT -p tcp -m tcp --sport 5223 -j ACCEPT

cthscr 10.08.10 16:42 # +2–

Вопрос не ясен. Есть желание на лету определять тип трафика? С этим непросто (хотя в патч-о-матике было.)
Покормл^WЧто заказывали, для стандартных портов:
iptables -P INPUT DROP
iptables -A INPUT -p tcp --sport 5222 -j ACCEPT
iptables -A INPUT -p udp --sport 5222 -j ACCEPT
iptables -A INPUT -p tcp --sport 5223 -j ACCEPT
iptables -A INPUT -p udp --sport 5223 -j ACCEPT
iptables -P OUTPUT DROP
iptables -A OUTPUT -p tcp --dport 5222 -j ACCEPT
iptables -A OUTPUT -p udp --dport 5222 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 5223 -j ACCEPT
iptables -A OUTPUT -p udp --dport 5223 -j ACCEPT

А вообще - `netstat -nap`, `tcpdump -nni not port 5222 and not port 5223`.

И да, без 53-го порта жить вряд ли будет.

zivot_je_cudo 10.08.10 23:58 # ↑ +1–

В патч-о-матике в качестве расширенного матчинга по содержимому был только стринг, совсем не то. Матч трафика по паттернам реализован только в l7-filter.

demon1981 11.08.10 11:15 # ↑ +0–

он вроде как определяет тип трафика, а что внутри - нет. Например если передать файл через джаббер, то это будет неотличимо от обычных текстовых сообщений. Нет?

zivot_je_cudo 11.08.10 11:19 # ↑ +0–

Отличит, еще и тип файла поймет.

: zivot_je_cudo 11.08.10 11:28 # ↑ +0–

Я ошибаюсь, в xmpp бинарные передаются в base64, так что не определит, но только в этом примере.

: le087 10.08.10 16:42 # +0–

Я когда-то сидел на джпрс. Правда пользовал тогда MOPS 6.1. Не помню такой наглости от моего пингвина, что бы он без моего ведома полез в интернет. Для мониторинга пользовался iptraf вроде. Дозвон был через kppp.

albibek 10.08.10 18:13 # +3–

Когда будете копипейстить скрипт, учтите, что вам нужен не eth0, который сетевой интерфейс, а ppp0, который жопорезный и поднимается только при установлении соединения(возможны вариации в имени интерфейса - смотря как подключается телефон к компьютеру). Так что скрипт надо будет класть куда-то в /etc/ppp/ifup-ppp(название может отличаться) и не забывать всё отменять в ifdown-ppp после сброса этого соединения.

exelens 10.08.10 18:19 # ↑ +-1–

А сам скрипт?

xT 10.08.10 18:30 # ↑ +2–

наверно имелся ввиду скрипт от

karp

: karp 10.08.10 22:45 # ↑ +0–

Верно. ppp0 появится после подключения. Там, кстати нужно открыть порт udp/53 для DNS (по аналогии)...
Вероятно еще что-то...

: h31 10.08.10 22:00 # +1–

Я считай только сидя в жабе в день рублей 40-50 проматываю...

Не забудь выключить шифрование и включить сжатие.

: Username 11.08.10 01:06 # +10–

Вообще стыдно должно быть, товарищи.
exelens и Vzlom должны были задать вопрос намного шире - рассказать про базовую настройку iptables.
Но и товарищи, которые слали в гугль, должны гореть в аду, ящитаю.

Пост-то дельный, мне вот недавно пришлось 87-ой порт в винде открывать, автоматом про пинупс задумался, интересно же, а проблема на велинупсе не ценится - схватила минусцов, при +5 на безынтересной новости про кде.

—

DobrijZmej — « Я рекомендую. / «Переносные» приложения » Aesdana — « Я рекомендую. / «Переносные» приложения » wilful — « Обзор дистрибутивов / Gentoo Linux - Описание И Установка» WiseLord — « Новости / Super OS 10.04» stasikos — « Обзор дистрибутивов / Gentoo Linux - Описание И Установка» vkapas — « Я рекомендую. / «Переносные» приложения » ( 2 ) ZED — « Я рекомендую. / «Переносные» приложения » ( 2 ) s47 — « Новости / Вышел Linux Mint Debian Edition» razum2um — « Есть вопрос! / Как поступить?» cepxuo — « Есть вопрос! / LVM одновременно на SATA и PATA (IDE) винтах.» Minoru — « Я рекомендую. / «Переносные» приложения » ( 2 ) Minoru — « Я рекомендую. / «Переносные» приложения » razum2um — « Обзор дистрибутивов / Gentoo Linux - Описание И Установка» ( 2 ) predator — « Есть вопрос! / LVM одновременно на SATA и PATA (IDE) винтах.» ( 4 ) ZogG — « Обзор дистрибутивов / Gentoo Linux - Описание И Установка» NickNill — « Есть вопрос! / LVM одновременно на SATA и PATA (IDE) винтах.» ( 4 )
Последние посты
Последние комментарии
Изменения
Черновики (все)
Избранное (всё)

Лучшие блоги (все 133) Tips & tricks (30) Есть вопрос! (24) How-to`s (22) Archlinux (22) Vim (21) Мой рабочий стол. (16) Linux Games (15) KDE (15) Скрипты (15) Debian (14)
Элита (все 2564 из 202 городов) muhas (246.6) Username (242.85) Aesdana (130.7) Shtsh (120.8) h0rr0rr_drag0n (119.15) cppmm (117.7) ZogG (109.8) Minoru (97.45) digiwhite (92.9) LeniH (92.45)

В сети: leaf, goblinyara, doraneko, shidoh, iva8653

Новенькие: knicefire, xarvanhorn, AleX83Xpert, PteradakteL, balamyt92