Справка:Debian:Устанока firewall в debian 5.0
Материал из ABOUTMARI.COM
Содержание |
Установка Debian 5.0
( Инструкция для личного использования )
Установка производится с диска, устанавливаем только стандартную конфигурацию, без окружения рабочего стола.
Ставим пока в составе сети с интернетом, после настройки поставим шлюзом.
Настройки сетевых интерфейсов
$ nano /etc/network/interfaces
eth0 - смотрит в локальную сеть.
eth1 - смотрит в интернет (пока не нужен)
auto lo iface lo inet loopback auto eth0 iface eth0 inet static address 192.168.25.100 netmask 255.255.255.0 gateway 192.168.25.1
Применяем установленные значения:
$ /etc/init.d/networking force-reload
Установка SSH и mc
Обновление репозитория:
$ nano /etc/apt/sources.list
Добавить репозитарии:
deb http://ftp.ru.debian.org/debian/ lenny main contrib non-free deb-src http://ftp.ru.debian.org/debian/ lenny main contrib non-free deb http://security.debian.org/ lenny/updates main contrib
Обновим репозитарии, установим ssh, mc - файл менеджер, pppoeconf - настройщик PPPOE соединения и также обновим debian
$ apt-get update $ apt-get dist-upgrade $ apt-get install ssh $ apt-get install mc $ apt-get install pppoeconf
Переключение сервера в боевой режим
Настройка сетевых интерфейсов
$ nano /etc/network/interfaces
eth0 - смотрит в локальную сеть.
eth1 - смотрит в интернет (модем настроен бриджем)
auto lo iface lo inet loopback auto eth0 iface eth0 inet static address 192.168.25.1 netmask 255.255.255.0 auto eth1 iface eth1 inet static address 192.168.1.2 netmask 255.255.255.0 gateway 192.168.1.1
Применяем установленные значения:
$ /etc/init.d/networking force-reload
Настраиваем PPPOE соединение отвечая на вопросы и вводя логин и пароль.
$ pppoeconf
После настройки сетевые интерфейсы выглядят так:
auto lo iface lo inet loopback iface eth0 inet static address 192.168.25.1 netmask 255.255.255.0 auto eth1 iface eth1 inet static address 192.168.1.2 netmask 255.255.255.0 gateway 192.168.1.1 auto dsl-provider iface dsl-provider inet ppp pre-up /sbin/ifconfig eth1 up # line maintained by pppoeconf provider dsl-provider
iptables
В файле /etc/sysctl.conf расскомментировать строку:
net.ipv4.ip_forward=1
Далее настраиваем фаервол на основе iptables
# Удаляются старые настройки iptables -F iptables -t nat -F iptables -t mangle -F iptables -X # Always accept loopback traffic iptables -A INPUT -i lo -j ACCEPT # Allow established connections, and those not coming from the outside iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -m state --state NEW -i ! ppp0 -j ACCEPT iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT # Allow outgoing connections from the LAN side. iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT # Masquerade. iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE # Don't forward from the outside to the inside. iptables -A FORWARD -i ppp0 -o ppp0 -j REJECT iptables -A FORWARD -i eth1 -o ppp0 -j REJECT # открыть порт 22 для доступа из интернета iptables -A INPUT -i ppp0 -p tcp --dport 22 --syn -m conntrack --ctstate NEW -j ACCEPT
Сохраним настройки
$ iptables-save > /etc/firewall.conf $ mcedit /etc/network/if-up.d/00-iptables
файл /etc/network/if-up.d/00-iptables:
#!/bin/sh iptables-restore < /etc/firewall.conf
и делаем его исполняемым
chmod +x /etc/network/if-up.d/00-iptables
Теперь при перезагрузке правила не пропадут.
http://suvan.ru/page/celi-iptables.html http://www.linuxshare.ru/docs/security/iptables/iptables-tutorial.html
Итог
Теперь в локалке есть инет, можно пойти за свое рабочее место и там настраивать через ssh.