Клуб любителей ASPLinux

Он есть, но еще не опубликован и для твоей учетной записи недоступен...
Значит, еще не прошел соответствующую экспертизу ...
Нужно ждать ...

Админ админу - друг, товарищ и ман...
(c) Almaty

Я специально отлогинился что-бы посмотреть...
анонимусу точно недоступен...
Доступен ли обычному пользователю - не знаю.
Нужно завести клон...

Админ админу - друг, товарищ и ман...
(c) Almaty

Слава, я очень надеялся, что перед публикацией скрипт пройдет аудит

Может баги всплывут ...

Админ админу - друг, товарищ и ман...
(c) Almaty

Цитата:

slavaz писал: Сергей, я был в полной уверенности, что аудит не нужен и скрипт виден всем... уверенность испарилась минут 15 назад...

Слава, верить нельзя никому..., даже мне.

Ребята, посмотрите скрипт на досуге, пожалуйста.
Я очень надеюсь получить Ваше заключение как экспертов ...

Админ админу - друг, товарищ и ман...
(c) Almaty

Первые впечатления.
1) В скриптах отсутствуют секции start | stop | save, т.е. средствами самих скриптов правила можно только включить, но не сохранить и не выключить. Это неудобно.
2) Маловато комментариев (т.е. их много, но есть неочевидные вещи, смысл которых неясен из текста).
Так, например, я не понял, что hostname в iptables.hostname.set нужно заменить на имя хоста, пока не запустил стартовый скрипт.
3) Вопреки ожиданиям Сергея правила прекрасно стартуют без всякой правки iptables.hostname.set, хотя на моем хосте вовсе нет 172.16.х.х, а вовсе даже 192.168.х.х, нет интерфейсов sec и gre, и вообще есть один физический интерфейс с двумя дополнительными алиасами на другие сети и tun0 для OpenVPN туннеля. Тем не менее я видел цепочки правил для gre интерфейса. Загадка.

Rem: Загадка разгадана, это не интерфейс, а тип IP пакетов (хотя я в своем файле /etc/protocols не нашел типа sec, а правила для него генерируются).

4) При поверхностном взгляде пока неясно, каким образом можно "на ходу" менять правила, если возникнет такая необходимость. Да и не "на ходу" тоже не совсем очевидно, т.к. поиск где и как взводятся переменные ${PROTO}, ${IFACE}, $SERVICES даже в трех скриптах достаточно труден, если юзер не "на ты" с shell-программами, а уж о совсем слабом пользователе я просто молчу.

Более подробно создавшиеся правила пока не анализировал.

Совершенно непонятно, что означают и для чего предназначены переменные homeLN, homeVOLIA, homeLAN и какие значения там нужно прописывать. По крайней мере изменение
#export homeLAN="xxx.xxx.xxx.0/24,172.16.xxx.xx,172.16.xxx.xx"
export homeLAN="192.168.10.0/24"
не привело к изменению создавшихся правил, по крайней мере я не заметил:
правила
iptables -L | grep 172.1
DROP all -- 172.16.0.0/12 172.16.0.0/12
DROP all -- 172.16.0.0/12 172.16.0.0/12
DROP all -- 172.16.0.0/12 172.16.0.0/12
(зачем трижды?!) создавались при обоих способах, а насчет 192.168... как не было ничего, так и не появилось.
Правила записи значений других переменных в iptables.hostname.set также совсем непонятны, а комментариев нет

Опять же, без серьезного анализа скриптов неясно, что, где и как менять для своих нужд пользователю другого типа VPN (OpenVPN, как у меня, например).

Пожалуй на этом эксперименты пока закончу, т.к. Сергею проще поправить свои скрипты, нежели мне в них разобраться...

Совершенно непонятно, что означают и для чего предназначены переменные homeLN, homeVOLIA, homeLAN и какие значения там нужно прописывать. По крайней мере изменение
#export homeLAN="xxx.xxx.xxx.0/24,172.16.xxx.xx,172.16.xxx.xx"
export homeLAN="192.168.10.0/24"
не привело к изменению создавшихся правил, по крайней мере я не заметил:
правила
iptables -L | grep 172.1
DROP all -- 172.16.0.0/12 172.16.0.0/12
DROP all -- 172.16.0.0/12 172.16.0.0/12
DROP all -- 172.16.0.0/12 172.16.0.0/12
(зачем трижды?!) создавались при обоих способах, а насчет 192.168... как не было ничего, так и не появилось.
Правила записи значений других переменных в iptables.hostname.set также совсем непонятны, а комментариев нет

Опять же, без серьезного анализа скриптов неясно, что, где и как менять для своих нужд пользователю другого типа VPN (OpenVPN, как у меня, например).

Пожалуй на этом эксперименты пока закончу, т.к. Сергею проще поправить свои скрипты, нежели мне в них разобраться...

А если меня не совсем устраивают iptables.rules?
Кроме того, я не увидел (это не значит, что этого нет, но не увидел...) возможности настройки отдельных правил для отдельных хостов в локальной сети (я имею ввиду разрешение/запрещения конкретных сервисов для разных юзеров) и доступа к конкретным сервисам локальной сети для доверенных хостов извне.
И вообще,

tcpClientOfOutside domain,ntp,whois,snmp,www,https,smtp,ssh,pop3,8080,8081
udpClientOfOutside domain,ntp,whois,snmp

Как-то это негибко...

Вы имеете полное право его изменить.
Я объявляю, что эти скрипты публикуются под GPL

Нужно будет сделать соответствующие правки в заголовках.

Как правило, эти ограничения настраиваются правилами самих сервисов... То есть, от LAN firewall не защищает.
WAN (сети через VPN) не защищает, но протоколирует. INET - полная защита.

Доступ к внутренним хостам LAN - через VPN...

Зато емко ... Смысл: этому хосту разрешено осуществлять клиентские запросы наружу по протоколу TCP для получения
1. разрешения имен.
2. получения точного времени
...

Админ админу - друг, товарищ и ман...
(c) Almaty

Моя исходная посылка - это непонятность скриптов. Право на именение есть, возможности изменить нет, т.к. нет понимания.

Я имел ввиду вовсе не это, хотя и локальные сервисы можно защитить от доступа из LAN. Я имел ввиду ограничение доступа внутренних клиентов к внешним сервисам, например запрет использования аськи для части хостов.

Хе-х, у меня VoIP сервис, и обмен траффиком осуществляется со многими клиентами и партнерами. По-вашему мне нужно создать VPN-туннели ко всем? Думаю, что с одним-двумя удастся договориться. Впрочем, а нахрен мне это? Мне не нужно, чтобы они имели доступ в мои LAN, мне нужно ТОЛЬКО разрешить им определенные сервисы на одном-двух хостах.

Ну, вот видите! А я думал, что эти правила разрешают доступ ИЗВНЕ к этим сервисам...

Приговор (неокончательный, может быть обжалован):
лично мне скрипты, построенные на основе скриптов, приведенных в IptablesTutorial, кажутся более естественными, понятными, более гибкими в тонких настройках/подстройках. Их легче адаптировать к личным нуждам каждого. Правда, они и не претендуют на универсальность.
С другой стороны, они в своей совокупности, ИМХО, оказываются более универсальными, т.к. из их совокупности легче собрать свой скрипт, удовлетворяющий именно частные запросы.

На тестовом хосте я подключен единственным физическим учтройством eth0. Локальная сеть включена в ADSL роутер Dlink DSL-504T.
ifconfig
eth0 Link encap:Ethernet HWaddr 4C:00:10:54:2C:28
inet addr:192.168.10.31 Bcast:192.168.10.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:660 errors:0 dropped:0 overruns:0 frame:0
TX packets:832 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:318954 (311.4 Kb) TX bytes:74897 (73.1 Kb)
Interrupt:3 Base address:0x9c00

eth0:1 Link encap:Ethernet HWaddr 4C:00:10:54:2C:28
inet addr:10.8.8.7 Bcast:10.8.8.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:3 Base address:0x9c00

eth0:2 Link encap:Ethernet HWaddr 4C:00:10:54:2C:28
inet addr:192.168.1.2 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:3 Base address:0x9c00

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:18 errors:0 dropped:0 overruns:0 frame:0
TX packets:18 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1284 (1.2 Kb) TX bytes:1284 (1.2 Kb)

tun0 Link encap:Point-to-Point Protocol
inet addr:10.1.0.2 P-t-P:10.1.0.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:35 errors:0 dropped:0 overruns:0 frame:0
TX packets:36 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:3275 (3.1 Kb) TX bytes:2711 (2.6 Kb)

Почему так много сетей делят одну физическую среду?

Админ админу - друг, товарищ и ман...
(c) Almaty

Цитата:

Archont писал: Для чего 10.8.8.0/24 - сейчас уже не упомню, возможно делал какие-то эксперименты, да и забыл выключить )

Вспомнил! В ADSL модемах от D-Linlk эта подсеть используется для общения со встроенным FTP-сервером. Если прошивка начинает глючить (бывает при экспериментах с прошивками), то реанимировать модем можно только через это FTP-сервер.

Мне кажется, что вы обиделись. Это неконструктивно.
Да, я не высказался по поводу дыр в защите, но это именно потому, что я так и не смог загрузить (и проанализировать) все задуманные вами правила. Конечно, можно прочитать скрипт, но именно это сделать достаточно сложно вследствие вашей позиции - скрипты поставляются as is, и комментировать я ничего не желаю и не собираюсь. Это ваше право.
Что касается идеологии: мне не нравится идея разделения на три скрипта - труднее для анализа, да и механизм script start / script save / script stop мне представляется более удобным, нежели то, что предусмотрено в системе (service iptables save).
Теперь насчет интереса: от того, что лично мне это не слишком нужно, мой интерес к вашей работе не уменьшается. Он уменьшается от тех трудностей, которые вы воздвигли на пути удовлетворения этого интереса, да и на пути почти любого пользователя, у которого это интерес более насущен, нежели у меня.

Для начала поясните, что и как заполняется в конфигурационном скрипте. Желательно с использованием тех переменных, которые там действительно представлены.

OK, но Вы не показали устройство ppp0. Это и есть Ваше внешнее устройство (вместо eth1,eth2)...

Правим iptables.host.set...
- export extIF="eth1,eth2"
+ export extIF="ppp0"

Запуск скрипта должен осуществлятся при поднятом интерфейсе ppp0

Админ админу - друг, товарищ и ман...
(c) Almaty