Линуксоиды есть?

Разговоры на любые темы: вы можете обсудить здесь какой-либо сайт, найти единомышленников или просто пообщаться...
alibek
Большой Человек
Большой Человек
 
Сообщения: 14205
Зарегистрирован: 19.04.2002 (Пт) 11:40
Откуда: Russia

Линуксоиды есть?

Сообщение alibek » 04.02.2005 (Пт) 13:46

Доброго времени суток читающим :)
Есть среди обитателей линуксоиды?
Может кто подскажет, как лучше всего сделать следующее.

Есть Red Hat Linux 7.3.
Есть четыре группы IP-адресов (IP1, IP2, IP3, IP4).
Нужно настроить файрвол Linux (iptables или ipchains) следующим образом:
IP1: Доступ по Web-интерфейсу (HTTP)
IP2: Доступ по терминалу (ssh2) и FTP
IP3: Доступ по терминалу
IP4: Доступ по RADIUS и FTP
Все остальное запретить полностью.

Т.к. с линухами не работал, то не знаю, как это лучше сделать.
Lasciate ogni speranza, voi ch'entrate.

RayShade
Scarmarked
Scarmarked
Аватара пользователя
 
Сообщения: 5511
Зарегистрирован: 02.12.2002 (Пн) 17:11
Откуда: Russia, Saint-Petersburg

Сообщение RayShade » 04.02.2005 (Пт) 13:49

Значит, делаем так: сносим линух и ставим виндовс. После чего задача сводится к тривиальной :)
I don't understand. Sorry.

Sebas
Неуловимый Джо
Неуловимый Джо
Аватара пользователя
 
Сообщения: 3626
Зарегистрирован: 12.02.2002 (Вт) 17:25
Откуда: столько наглости такие вопросы задавать

Сообщение Sebas » 04.02.2005 (Пт) 13:58

RayShade писал(а):Значит, делаем так: сносим линух и ставим виндовс. После чего задача сводится к тривиальной :)


дауж, самопал маздай! (
- Я никогда не понимал, почему они приходят ко мне чтобы умирать?

sebas<-@->mail.ru

GSerg
Шаман
Шаман
 
Сообщения: 14286
Зарегистрирован: 14.12.2002 (Сб) 5:25
Откуда: Магадан

Сообщение GSerg » 04.02.2005 (Пт) 14:05

alibek, а как же картинка? Ведь от тебя исходит :)
Как только вы переберёте все варианты решения и не найдёте нужного, тут же обнаружится решение, простое и очевидное для всех, кроме вас

alibek
Большой Человек
Большой Человек
 
Сообщения: 14205
Зарегистрирован: 19.04.2002 (Пт) 11:40
Откуда: Russia

Сообщение alibek » 04.02.2005 (Пт) 14:13

RayShade писал(а):Значит, делаем так: сносим линух и ставим виндовс. После чего задача сводится к тривиальной :)

Да я бы с радостью :)
Но та фигня, которую надо запустить, выпускается только под Linux и под Windows не портируется. А стало быть, придется разбираться :)
Lasciate ogni speranza, voi ch'entrate.

RayShade
Scarmarked
Scarmarked
Аватара пользователя
 
Сообщения: 5511
Зарегистрирован: 02.12.2002 (Пн) 17:11
Откуда: Russia, Saint-Petersburg

Сообщение RayShade » 04.02.2005 (Пт) 14:46

VMWare не поможет?
I don't understand. Sorry.

Sedge
Alternative Choice
Alternative Choice
Аватара пользователя
 
Сообщения: 1049
Зарегистрирован: 16.05.2002 (Чт) 18:23
Откуда: Somewhere-In-The-Net

Сообщение Sedge » 04.02.2005 (Пт) 14:50

Кажется я понимаю, почему поиск на этом форуме не заработает никогда :D

alibek
Большой Человек
Большой Человек
 
Сообщения: 14205
Зарегистрирован: 19.04.2002 (Пт) 11:40
Откуда: Russia

Сообщение alibek » 04.02.2005 (Пт) 15:09

Я вот такое наделал, прошу заценить :)
Код: Выделить всё
#!/bin/sh

# default interface
INET_IFACE="eth0"

# path to IPTABLES
IPTABLES="/sbin/iptables"

# IP-groups
IP_CISCO="---.---.---.27"
IP_ADMIN="---.---.---.8"
IP_MANAGER="---.---.---.18"
IP_CLIENTS="---.---.---.0/255.255.255.0"

# enable IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

# default action
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP

# clear current rules
$IPTABLES -F
$IPTABLES -X

# create rules

# block invalid TCP
$IPTABLES -N bad_tcp_packets
# allow valid TCP
$IPTABLES -N allowed
# all protocol packets
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets

# allow local interface (localhost, 127.0.0.1)
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT

# block all suspicious packets (w/ NEW flag, but w/o SYN,ACK flags and so on)
$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP

# allow already connected
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT

# block other
$IPTABLES -A allowed -j DROP

# open ports

# open FTP (TCP)
#$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
# open DNS (UDP)
$IPTABLES -A udp_packets -p UDP -s 0/0 --sport 53 -j ACCEPT

# open CISCO - FTP (21), RADIUS (1812,1813)
$IPTABLES -A tcp_packets -p TCP -s $IP_CISCO --dport 21 -j allowed
$IPTABLES -A tcp_packets -p TCP -s $IP_CISCO --dport 1812 -j allowed
$IPTABLES -A tcp_packets -p TCP -s $IP_CISCO --dport 1813 -j allowed

# open ADMIN - FTP (21), SSH2 (22), HTTP (80)
$IPTABLES -A tcp_packets -p TCP -s $IP_ADMIN --dport 21 -j allowed
$IPTABLES -A tcp_packets -p TCP -s $IP_ADMIN --dport 22 -j allowed
$IPTABLES -A tcp_packets -p TCP -s $IP_ADMIN --dport 80 -j allowed

# open MANAGER - SSH2 (22), HTTP (80)
$IPTABLES -A tcp_packets -p TCP -s $IP_MANAGER --dport 22 -j allowed
$IPTABLES -A tcp_packets -p TCP -s $IP_MANAGER --dport 80 -j allowed

# open CLIENTS - HTTP (80)
$IPTABLES -A tcp_packets -p TCP -s $IP_CLIENTS --dport 80 -j allowed

# ICMP rules

# allow necessary types
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 3 -j ACCEPT # Dest unreachable
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT # Time exceeded
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 12 -j ACCEPT # Parameter problem

# block PING - mask PING ('Host unreachable') - allow PING
#$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j DROP
#$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j REJECT --reject-with icmp-host-unreachable
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT


# continue check up
# additional check up for TCP
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets
# repeat; allow already connected
$IPTABLES -A INPUT -p ALL -i $INET_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
Lasciate ogni speranza, voi ch'entrate.

GSerg
Шаман
Шаман
 
Сообщения: 14286
Зарегистрирован: 14.12.2002 (Сб) 5:25
Откуда: Магадан

Сообщение GSerg » 04.02.2005 (Пт) 15:19

"225 тысяч конфигов вместо одного реестра - это сильно" (c) RayShade :)
Как только вы переберёте все варианты решения и не найдёте нужного, тут же обнаружится решение, простое и очевидное для всех, кроме вас

moderator
Модератор
Модератор
 
Сообщения: 1896
Зарегистрирован: 10.12.2001 (Пн) 18:11
Откуда: Украина, Харьков

Сообщение moderator » 04.02.2005 (Пт) 15:37

GSerg писал(а):"225 тысяч конфигов вместо одного реестра - это сильно" (c) RayShade :)


Угу, зато реестр имеет склонность расти как на дрожжах. Да и вообще, лично у меня как у пользователя, нет ощущения того, что Винду я контролирую так, как могу контролировать Линух. И это немного смущает :wink:

Упс, я ушёл в оффтоп :wink:
Модератор
http://www.vbstreets.ru / moderator@vbstreets.ru

... Почетные награды: [*], [+], [!]. Все еще впереди...

alibek
Большой Человек
Большой Человек
 
Сообщения: 14205
Зарегистрирован: 19.04.2002 (Пт) 11:40
Откуда: Russia

Сообщение alibek » 04.02.2005 (Пт) 16:20

Хе :)
Вот что мне один товарищ ответил, когда я попросил его проверить конфиг :)
Такие вещи необходимо тестировать самому.
Основные принципы:
- проверять каждое правило
- иметь прямой доступ к монитору сервера(т.е. прямой доступ, а не по сети)
- не изменять правила вечером в пятницу


Мне особенно последний пункт понравился :)
Lasciate ogni speranza, voi ch'entrate.

Ramzes
Скромный человек
Скромный человек
Аватара пользователя
 
Сообщения: 5004
Зарегистрирован: 12.04.2003 (Сб) 11:59
Откуда: Из гробницы :)

Сообщение Ramzes » 04.02.2005 (Пт) 17:37

alibek писал(а):
Такие вещи необходимо тестировать самому.
- не изменять правила вечером в пятницу

Мне особенно последний пункт понравился :)


И я кажеться понимаю почему :lol:

alibek
Большой Человек
Большой Человек
 
Сообщения: 14205
Зарегистрирован: 19.04.2002 (Пт) 11:40
Откуда: Russia

Сообщение alibek » 05.02.2005 (Сб) 21:02

GSerg писал(а):"225 тысяч конфигов вместо одного реестра - это сильно" (c) RayShade :)

В защиту линуха скажу следующее :)
1. Все конфиги лежат в одном из двух мест - либо в глобальном конфиг-дире (/etc/sysconfig), либо в каталоге программы.
2. Все конфиги представляют собою обыкновенные текстовые файлы. А это означает:
- для их редактирования можно использовать любую понравившуюся утилиту;
- конфиги легко переносить с места на места и переносить блоки настроек из одного конфига в другой (копировать-вставить);
- можно пользоваться всем арсеналом утилит для работы с текстами -- фильтрация, регулярные выражение и т.п.


З.Ы. Я не саботажник, я просто правду люблю :)
Lasciate ogni speranza, voi ch'entrate.

EvilCoder
Посланец джихада
Посланец джихада
Аватара пользователя
 
Сообщения: 706
Зарегистрирован: 25.01.2004 (Вс) 15:08

Сообщение EvilCoder » 05.02.2005 (Сб) 22:22

Ужасно Хочу Линух поставить вот только найти немогу... :oops: А реально с ИНЕТА скачать по Диалу?
<<------- EvilCoder ------->>

A.A.Z.
Член-корреспондент академии VBStreets
Член-корреспондент академии VBStreets
 
Сообщения: 3035
Зарегистрирован: 30.06.2003 (Пн) 13:38

Сообщение A.A.Z. » 05.02.2005 (Сб) 22:28

1) Ссылок в инете на линух полно, могу в личку отправить линки :roll:
2) А что значит "реально"? В смысле, какой максимальный размер можно тебе скачать? :roll:

EvilCoder
Посланец джихада
Посланец джихада
Аватара пользователя
 
Сообщения: 706
Зарегистрирован: 25.01.2004 (Вс) 15:08

Сообщение EvilCoder » 05.02.2005 (Сб) 22:39

1) Отправь если не трудно...
2) Реально? ну незнаю Может я псих :twisted: но СервисПук2 под ХР я за 260мб=21 час Скачивал. :twisted: :twisted: Конечно не средствами самой винды. :!:
<<------- EvilCoder ------->>

EvilCoder
Посланец джихада
Посланец джихада
Аватара пользователя
 
Сообщения: 706
Зарегистрирован: 25.01.2004 (Вс) 15:08

Сообщение EvilCoder » 05.02.2005 (Сб) 23:22

A.A.Z
Это ШО? на 5 дисках? :shock:

Ужас! мне такое до конца жизни инета не скачать...

Но все же Большое спасибо за ссылки! А какую версию *nix`а Лучше установить для новичка?
<<------- EvilCoder ------->>

alibek
Большой Человек
Большой Человек
 
Сообщения: 14205
Зарегистрирован: 19.04.2002 (Пт) 11:40
Откуда: Russia

Сообщение alibek » 05.02.2005 (Сб) 23:48

Зачем тебе это скачивать?
Лучше поищи у приятелей или купи на крайний случай - и дешевле будет, и быстрее.
Я слышал, что кореловские продукты (мандрэйк) довольно просты в установке; там даже графический интерфейс ставится автоматом.
Lasciate ogni speranza, voi ch'entrate.


Вернуться в Народный треп

Кто сейчас на конференции

Сейчас этот форум просматривают: SemrushBot и гости: 89

    TopList  
cron