Как сохранить IPTables правила

В этой статье я опишу несколько вариантов как сохранить IPTables правила, чтобы они загружались при запуске операционной системы.

Читать далее «Как сохранить IPTables правила»

IPTables правила для Asterisk AMI

Допустим по умолчанию «iptables -P INPUT ACCEPT» для всех соединений (а если DROP, что очень желательно, то тогда все DROP правила ниже не используем, выполняем только ACCEPT).

Так как Asterisk AMI обычно работает по TCP порту 5038, то чтобы открыть его выполним:

Читать далее «IPTables правила для Asterisk AMI»

Установка и использование ipset

ipset — инструмент состоящий из модуля ядра, библиотек и утилиты, позволяющий организовать список сетей, IP или MAC адресов и т.д., который очень удобно использовать например с IPTables.

Команда установки в Ubuntu:

Читать далее «Установка и использование ipset»

IPTables правила для FreeRADIUS

Допустим INPUT по умолчанию DROP, приведу примеры IPTables правил для FreeRADIUS:

iptables -A INPUT -p udp --dport 1812 -j ACCEPT
iptables -A INPUT -p udp --dport 1813 -j ACCEPT

Читать далее «IPTables правила для FreeRADIUS»

Блокировка социальных сетей используя iptables

Однажды на одном из NAT серверов мне понадобилось заблокировать некоторые сайты.

Если сайты находятся на нескольких IP адресах, то необходимо узнать эти диапазоны IP адресов, например поищем VKontakte на bgp.he.net, вот к примеру список подсетей для одной из AS принадлежащей ВКонтакте «http://bgp.he.net/AS47541#_prefixes».

Когда сети или хосты известны, добавим в iptables правила для них, например:

/sbin/iptables -A FORWARD -s 87.240.128.0/18 -j DROP
/sbin/iptables -A FORWARD -s 95.142.192.0/20 -j DROP

Таким образом, мы запретим прохождение трафика этих сетей через сервер.

Смотрите также мои статьи:
Блокировка социальных сетей на Cisco
Запрет социальных сетей на маршрутизаторах Mikrotik

IPTables правила для DNS

Допустим на сервере по умолчанию INPUT DROP и установлен DNS сервер, теперь приведу пример IPTables правил чтобы к DNS серверу могли обращайся клиенты.

Чтобы открыть порт DNS в IPTables выполним правило:

Читать далее «IPTables правила для DNS»

IPTables правила для DHCP

Допустим на сервере по умолчанию INPUT DROP, теперь приведу пример простого правила разрешающего DHCP запросы к серверу, этого будет достаточно чтобы клиенты получили IP от сервера (где em1 — сетевой интерфейс на котором запущен DHCP сервер):

iptables -I INPUT -p udp -i em1 --dport 67 -j ACCEPT

Чтобы удалить правило укажем ту же команду, заменив -A на -D, например:

iptables -D INPUT -p udp -i em1 --dport 67 -j ACCEPT

Ограничить доступ по IP строго не получится, так как клиенты не имеющие IP адреса обычно шлют широковещательный запрос от IP адреса 0.0.0.0 на 255.255.255.255, а продлевают уже по unicast со своего полученного IP.

Приведу пример ограничения по IP (где 192.168.5.1 — IP на котором запущен DHCP сервер, а 172.17.0.0/16 — сеть клиентов с которой разрешено продлевать аренду IP):

iptables -t filter -A INPUT -i em1 -p udp -s 0.0.0.0 --sport 68 -d 255.255.255.255 --dport 67 -j ACCEPT
iptables -t filter -A INPUT -i em1 -p udp -s 0.0.0.0 --sport 68 -d 192.168.5.1 --dport 67 -j ACCEPT
iptables -t filter -A INPUT -i em1 -p udp -s 172.17.0.0/16 --sport 68 -d 192.168.5.1 --dport 67 -j ACCEPT

Смотрите также мои статьи:
Настройка IPTables
IPTables правила для TFTP