#iptables -A INPUT -i eth1 -j ACCEPT В результате все что придет на внутренний интерфейс сервера в цепочку INPUT будет направляться в цепочку fromlan и обрабатываться ее правилами, а уж что неполучит ACCEPT в цепочке fromlan, согласно default police для INPUT, будет молча игнорироваться — DROP! Тоесть мы получим еще и полный контроль над траффиком который приходит из внутрисети непосредственно на внутренний интерфейс сервера 🙂 Кроме того, я заморочился, и разрешил forwarding только для одного mac адреса — конечно, клиентского.
Jan 16, 2013. Кучи мануалов с кучей правил который тока забивают сервер, нашел самый просто и быстрый способ создать шлюз на Debian опишу. Jan 28, 2016 - Настройка интернет шлюза на Debian 8. Включает в себя настройку iptables, nat, dhcp, dns, iftop. Учебник сокольникова изобразительное искусство 1 класс скачать. Сделал подробнейшую, полноценную инструкцию по установке и настройке интернет шлюза на Debian. Используя програмное.
Айдеко
Чегото захотелось выпендриться. Можете смело заменить на правило с ip, а то что с mac убрать 🙂 Тоесть, заменяем вот это правило с mac address. Iptables -A FORWARD -s 192.168.0.0 / 24 -j ACCEPT Ну вот и все! Скажу лиш напоследок, что данный набор правил работает у меня дома вполне исправно уже несколько месяцев.
К томуже, написан весьма прозрачно для дополнительных правок, поэтому легко можно модифицировать и под более сложные задачи 😉 Также замечу, что для еще большей безопасности, использую программку fail2ban которая очень эффективно защищает от атак называемых bruteforce. После нескольких неверных попыток авторизации или поиска у нас на сервере чегото непонятно чего (Error 404 в Apache) клиент блочится фаерволом на определенный промежуток времени.
Интернет Шлюз На Debian
Все это достаточно тонко настраивается, может напишу в следующих заметках. Данная утилитка позволяет защищать сервер от какеров которые пытаются сломать ssh, apache, dovecot, разные ftp и много всего (правила для срабатывая блокировки описываются перловыми regexp-ами — это дает нам возможность защитить что угодно при условии наличия логов). За сим все всем удачи и супер-пупер безопасности! И чтобы спалось спокойно. 2010 02 /06 КАТЕГОРИЯ ТЭГИ.
Итак господа, приближается первое августа, поэтому задумался я над тем чтобы заиметь себе ip страны, в которой попроще с законодательством в сфере p2p, а именно Нидерландов. После достаточно долгих поисков нашел провайдера, который обещал два ядра от E3-1230, пару гигов памяти, 460 гигов винта и прекрасный нелимитированный(специально связывался с саппортом по этому вопросу — уверяют что канал не режут и после сотни терабайт) гигабитный канал за какихто 40 с копейками баксов. Единственное но — виртуализация OpenVZ — обычно я настраивал OpenVPN на XEN или KVM, поэтому все прошло не так гладко как обычно и поэтому я решил поделиться полученными знаниями. Дистрибутив ОС — Debian 6 Итак начнем: Устанавливаем OpenVPN и dnsmasq aptitude install openvpn udev dnsmasq Далее копируем скрипты генерации ключей cp -R /usr/share/doc/openvpn/examples/easy-rsa/ /etc/openvpn Потом нам обычно предлагают поправить файл /etc/openvpn/easy-rsa/2.0/vars, но если шлюз делается «для себя», то этот пункт совершенно необязателен.
Интернет Шлюз Айдеко Скачать
Если же хочется красоты то в конце вышеуказанного файла правим следующее: export KEYCOUNTRY='XX' export KEYPROVINCE='XX' export KEYCITY='City' export KEYORG='MyCompany' export KEYEMAIL='habr@habr.ru' После правки vars генерируем корневой сертификат cd /etc/openvpn/easy-rsa/2.0/. /etc/openvpn/easy-rsa/2.0/build-ca Далее генерируем сертификаты сервера и клиента клиентов(вместо cli1,cli2 можно придумывать удобные для себя названия). /etc/openvpn/easy-rsa/2.0/build-key-server server. /etc/openvpn/easy-rsa/2.0/build-key cli1. /etc/openvpn/easy-rsa/2.0/build-key cli2 Потом генерируем параметры Диффи-Хеллмана. /etc/openvpn/easy-rsa/2.0/build-dh Раскладываем ключи, на клиентскую сторону нужно отдать файлы ca.crt cli1.crt cli1.key, а в директорию /etc/openvpn положить файлы ca.crt ca.key dh1024.pem server.crt server.key cd /etc/openvpn/easy-rsa/2.0/keys cp ca.crt ca.key dh1024.pem server.crt server.key /etc/openvpn Теперь скопируем в директорию /etc/openvpn пример конфига, который поставляется вместе с ПО. Cd /usr/share/doc/openvpn/examples/sample-config-files gunzip -d server.conf.gz cp server.conf /etc/openvpn/ Чтобы наш впн сервер раздавал интернет своим клиентам в /etc/openvpn/server.conf допишем push 'redirect-gateway def1' push 'dhcp-option DNS 10.8.0.1' Далее включаем ip-forwarding в файле /etc/sysctl.conf раскомментируем строку net.ipv4.ipforward=1 а в консоли выполним echo 1 /proc/sys/net/ipv4/ipforward чтобы изменения применились без перезагрузки.
Ideco Обои
Далее настраиваем iptables.