netfilter и iptables в Linux: принципы работы, настройка netfilter

netfilter (встроенные в ядро linux в отличие от ipchains умеет отслеживать соединения (stateful packet filtering), при этом пакеты обязательно дефрагментриуются; цепочки правил объединяются в таблицы различного назначения (filter, nat, mangle), используются специальные модули для различных протоколов (в т.ч. прикладного уровня). Также позволяет менять заголовки пакетов и помечать пакеты для дальнейшего использования при маршрутизации и управлении трафиком. В основном, работает на межсетевом уровне TCP/IP, но захватывает транспортный уровень (TCP, UDP)и уровень доступа к сети (MAC адреса).Одновременное использование данных из 2 пакетов по-прежнему невозможно, для настоящей фильтрации на прикладном уровне пользуйтесь прокси серверами.

В статье описываются:

• предварительные условия использования netfilter
• основные понятия (таблицы, цепочки, правила) и путь пакета
• отслеживание соединений
• утилита управления цепочками iptables
• действия (target)
• шаблоны (match)
• утилиты iptables-save и iptables-restore
• сервис в Red Hat Linux
• примеры и советы

Настройка NAT по принципу сеть в сеть при помощи iptables NETMAP

 

В этом руководстве я опишу как настроить полный NAT из одной сети в другую, на примере двух офисных сетей. Для настройки данного решения вам понадобится iptables с поддержкой NETMAP и пакет iproute2 для настройки маршрутизации. Я настраивал эту схему на базе Linux ubuntu 8.04 server, iptables v 1.4.7 и iproute2 v ss071016. Кратко опишу, что же такое патч NETMAP для iptables, он позволяет нам делать двухстороннюю трансляцию сетей в другие сети один в один, например транслировать сеть 1.1.1.1/24 в сеть 2.2.2.2/24, и обратно, транслируя айпи адрес 1.1.1.89/32 в айпи 2.2.2.89/32 и тд.

Настройка Прокси сервера + dns сервера на Debian

Поступила задача установить кэширующий прокси сервер(прозрачный) и кэширующий dns сервер.Решил для этой задачи использовать сервер Debian lenny.В качестве прокси сервера squid - довольно простой в настройке и функциональный.Для dns сервера выбрал самый простой - dnsmasq.Ну что ж,как оно было далее.....

Настройка прокси-сервера SQUID+простой контент фильтр на Ubuntu Server 10.04 / 10.10

Использование прокси серверов оправдано в локальный сетях в том случае, если скорость соединения не очень высока или есть необходимость контролировать работу сотрудников в интернет-в общем под эти требования можно подогнать, в принципе, любые задачи. Короче, прокси-серверу быть! SQUID считается огромным монстром, но если его освоить, то он работает как часы, даже в крупных сетях. С его помощью можно крутить сетевые запросы пользователей так, что неподготовленному человеку становится дурно от избытка информации. Переходим от слов к делу

Настраиваем VPN соединение в Linux. VPN для начинающих.

Просто о сложном. VPN для начинающих. Казалось бы — про VPN не говори, про него все сказано. В сети выложено огромное количество настроек и HOW-TO на любой вкус. Скрупулезный анализ показал, что основные проблемы новичков возникают на этапах аутентификации клиента и VPN-сервера, а также настройки роутинга. На них мы остановимся подробно. Попутно выяснилось что настройки VPN-соединения можно сильно упростить и тем самым облегчить понимание ключевых параметров. Именно для облегчения понимания мы рекомендуем всем новичкам настраивать VPN из командной строки и не пользоваться (полу)автоматическими конфигураторами VPN — как показывает практика, от их непрозрачных настроек одни неприятности. Как вы увидите ниже, этих настроек очень небольшое количество, так что незачем вставать на костыли, чтобы бежать стометровку. К тому же командная строка вам сослужит добрую службу, когда пойдет что-то не так. Вы всегда можете запостить свои конфиги и вывод консольных команд, и суровые бородатые дядьки, которые давно на «ты» с линуксом, вам помогут. Потому что вы говорите с ними на одном языке. И наоборот, что-нибудь вроде «в этом окошке я отмечаю галочкой второй снизу пункт» практически гарантирует отсутствие обратной связи.

Настраивать VPN-соединение мы будем по шагам. В конце каждого шага — шаг проверки. Все команды в командной строке вводятся от имени суперпользователя (root). Готовы? Тогда вперед! 

Наглядная схема работы iptables

На днях настраивал iptables и «заблудился в трех соснах». До такой степени, что пришлось обращаться за помощью к знатокам. Не буду вдаваться в суть проблемы, но выложенная в ответ на мой вопрос схема фильтрации пакетов в Linux заслуживает перепостинга. Давно хотел обзавестись такой. Прям из разряда «вырежи и сохрани»

Динамический IP от провайдера, и проброс портов в Iptables

Наверняка многие из Вас, как и я, сталкивались с той самой проблемой, когда нам нужно прокинуть порт(ы) через Iptables на наши с Вами виртуальные \ физические машины, но наш провайдер выдает нам реальный (не серый) динамический IP адрес, как например в случаях с VPN или PPPoE.
У меня PPPoE, и IP меняется провайдером раз в трое суток. При этом тестовый сервер должен быть доступен всегда в независимости от того, какой у меня внешний IP.
Предлагаю свой вариант решения данной проблемы.

Итак, имеем: сервер на Ubuntu 10.04: (Linux nwserver 2.6.32-40-server #87-Ubuntu SMP Tue Mar 6 02:10:02 UTC 2012 x86_64 GNU/Linux, iptables v1.4.4) и второй сервер, которому мы должны прокинуть порты.

Squid и SARG создание отчётности в Windows

Сводка недоступна. Нажмите эту ссылку, чтобы открыть запись.

Настраиваем UPnP в iptables в Debian Linux

Задача: поднять и настроить систему UPnP на базе iptables в Linux Debian, дабы автоматически добавлялись для пользователей внутренней сети порты, разрешенные на выход во-вне. Например, для софта с динамическими портами.
Таким видом деятельности занимается технология UPnP, которую мы сейчас реализуем на базе файервола де-факто в Linux - iptables.

Проверка трафика при помощи DansGuardian. Установка и настройка

Сегодня использование интернет-ресурсов стало жизненной необходимостью для большинства компаний. Это и глобальная справочно-информационная система, и способ доступа к технологиям, и транспорт для передачи данных, и, наконец, оперативное и доступное средство коммуникации.

Поскольку интернет является каналом во внешний мир, он и стал источником опасности для компаний. Именно с его помощью сегодня распространяются черви, вирусы и прочий вредоносный код. Так же, зачастую, с его же помощью происходит утечка конфиденциальных данных за пределы офиса.

Автоматизируем создание VPN пользователей в PFSense

Мне очень нравится PFSense 2.0. Особенно хороша у него стала функция OpenVPN сервера. Сам сервер настраивается в несколько кликов ( www.youtube.com/watch?v=odjviG-KDq8 ).

VPN на 50+ филиалов на коленке

Появилась потребность сделать VPN для аутсорсинговой компании — организовать связь с сетями компаний клиентов таким образом, чтобы админы заказчика и собственной сети видели каждый хост клиента за NATом и не было возможно обратное. Аппаратные решения в принципе не рассматривались ввиду стоимости, да и все проприетарные программные решения отсеялись по этой же причине. Остался только свободный софт. Благо свободных решений более чем достаточно

Вышел pfSense 2.0 форк FreeBSD для создания межсетевых экранов

 После 3-х лет разработки, доступен релиз мини-дистрибутива для создания межсетевых экранов и сетевых шлюзов pfSense 2.0, в котором переработаны и улучшены практически все подсистемы. Дистрибутив основан на кодовой базе FreeBSD 8.1 с задействованием наработок проекта m0n0wall и активным использованием pf и ALTQ. Для загрузки доступны несколько образов для архитектур i386 и amd64, размером от 100 до 150 Мб, включая Live CD и образ для установки на USB Flash.

Блокировка нежелательных URL с помощью iptables

Иногда может возникнуть необходимость заблокировать доступ к некоторым сайтам, и внесение их адресов или даже подсетей в фаервол не приносит желаемых результатов, так как продуманные пользователи продолжают посещать их используя веб прокси количество которых так велико что о блокировке их не может быть и речи…. Есть конечно и явные минусы этого способа, но в моем случае минусы приниматься во внимание не стали. Из плюсов стоит отметить полную блокировку сайтов, они не будут работать даже через веб и обычные прокси сервера, с них не будет доставлятся почта и тд.

Настройка PPPoE с шейпингом трафика для небольшой сети

Однажды возникла задача настроить раздачу интернета на пару десятков компьютеров (офисные и домашние). Коробочные решения оказались либо платными, либо достаточно сложно настраиваемыми, поэтому было принято решение использовать собственное на базе Debian Linux. Опытом его поднятия я хочу поделиться с вами в этом посте, но приведенные здесь версии могли немного устареть с момента написания мануала «для себя», так что нужно проявить некоторую внимательность. Также, нужно учитывать, что приведенное решение далеко от идеального и профессионального. Оно поможет скорее тем, кому нужно быстро поднять у себя сервер, раздающий интернет. В конце у нас будет раздача интернета через PPPoE с назначением внутренних IP клиентам, шейпинг трафика, DNS сервер и простой мониторинг текущих сессий из консоли.

Установка Vuurmuur 0.7 на Debian

Vuurmuur — за таким «кошачьим» именем скрывается довольно мощная GUI надстройка для iptables. Основным отличием от других iptables-надстроек является наличие консольного интерфейса написанного на Ncurses. Поэтому администрирование всё также легко возможно посредством SSH или консоли. Vuurmuur умеет работать с шейпингом, поддерживает функции мониторинга трафика, ведёт отдельные логи, прекрасно работает как на 2.4 так и на 2.6 ядрах и даже «говорит» на русском.

IPtables + Squid

Итак,сегодня мы займемся тем,что будем настраивать firewall на прокси сервере.
Для более удобной настройки и хранения всех правил firewall'а мы напишем небольшой скрипт.Два интерфейса внутренний eth0 и внешний eth1.Настроенный squid.

IPTables и удаленный доступ в сеть

Итак, сеть настроена, пакеты ходят, интернет работает, права режутся — в общем момент, когда можно перевести дух и заняться «доводкой» сервера для удобства не пользователя, но администратора. А что хочется правильному системному администратору? Конечно же! Чтобы его рабочие обязанности отнимали у него как можно меньше свободного времени. А что для этого служит лучше всего — естественно удаленный доступ.

Установка хостинг панели ISPConfig 3 на Ubuntu 9.04

В этой статье описывается как установить панель управления хостингом ISPConfig на Ubuntu 9.04. ISPConfig работает со следующими компонентами:

• Apache 1.3.x/2.0.x/2.2.x
• Proftpd & vsftpd
• Supports The Following Mail Servers: Sendmail & Postfix
• All POP3 & POP3s Servers
• All IMAP & IMAPs Servers
• BIND 8/9 (A, CNAME, MX, SPF Records)
• Firewall Configuration
• Monitoring Of Services And Automatic Restart
• Web FTP
• Web Mail Interface
• phpMyAdmin Integration

Ограничение количества сессий с одного ip адреса

Если у вас вдруг возникнет необходимость ограничить количество сессий для айпи адресов в вашей локальной сети, то после прочтения данной заметки у вас будет готовое решение. Воспользуемся штатными возможностями пакетного фильтра iptables, а именно его модулями connlimit иrecent. Модуль connlimit сильно расходует ресурсы машины, и использовать его рекомендуется только в маленьких сетях, да и работает он только с протоколом TCP.