Установка и использование ipset

ipset — инструмент состоящий из модуля ядра, библиотек и утилиты, позволяющий организовать список сетей, IP или MAC адресов и т.д., который очень удобно использовать например с IPTables.

Блокировка социальных сетей используя iptables

Однажды на одном из NAT серверов мне понадобилось заблокировать некоторые сайты. Если сайты находятся на нескольких IP адресах, то необходимо узнать эти диапазоны IP адресов, например поищем VKontakte на bgp.he.net, вот к примеру список подсетей для одной из AS принадлежащей ВКонтакте «http://bgp.he.net/AS47541#_prefixes». Когда сети или хосты известны, добавим в iptables правила для них, например: Таким […]

IPTables правила для DNS

Допустим на сервере по умолчанию INPUT DROP и установлен DNS сервер, теперь приведу пример IPTables правил чтобы к DNS серверу могли обращайся клиенты. Чтобы открыть порт DNS в IPTables выполним правило:

IPTables правила для DHCP

Допустим на сервере по умолчанию INPUT DROP, теперь приведу пример простого правила разрешающего DHCP запросы к серверу, этого будет достаточно чтобы клиенты получили IP от сервера (где em1 — сетевой интерфейс на котором запущен DHCP сервер): Чтобы удалить правило укажем ту же команду, заменив -A на -D, например: Ограничить доступ по IP строго не получится, […]

Решение ошибки «Another app is currently holding the xtables lock»

Недавно заметил на одном сервере с биллинговой системой ABillS, что при массовом выполнении скрипта /etc/ppp/ip-up возникает ошибка: Another app is currently holding the xtables lock. Perhaps you want to use the -w option? Посмотрев код скрипта обнаружил, что среди iptables правил есть два, которые могут тормозить работу, а именно выполнялся поиск ipoe интерфейсов двумя командами: […]

IPTables правила для веб-сервера

Чтобы открыть порт веб-сервера в IPTables выполним команду: Если используется HTTPS, то выполним также: Чтобы открыть доступ только конкретной сети, например 192.168.0.0/24: Можно также ограничить доступ по IP конфигурацией самого веб сервера, например как я описывал для Apache2 в этой статье — Контроль доступа Apache2. Чтобы установить лимит подключений на порт 80: Чтобы удалить правило […]

IPTables правила для SSH

Чтобы открыть доступ к SSH серверу в IPTables необходимо добавить правило: Чтобы открыть доступ только конкретной сети, например 192.168.0.0/24: Можно также ограничить доступ по IP конфигурацией самого SSH. Чтобы удалить правило укажем ту же команду, заменив -A на -D, например: Посмотреть список правил можно командой: Смотри также: Установка и настройка SSH Настройка IPTables

IPTables правила для Iperf

Посмотрим текущие правила IPTables: Чтобы открыть порт серверу Iperf добавим правило: Чтобы открыть порт конкретному IP или сети: Смотри также мои статьи: Настройка IPTables Тестируем пропускную способности сети с помошью Iperf

IPTables правила для ntopng

Первым делом посмотрим текущие правила IPTables: Чтобы открыть порт ntopng добавим правило: Чтобы открыть порт ntopng только для конкретной сети или IP: Смотри также мои статьи: Настройка IPTables Установка и настройка ntopng