ipchains –A inet-if –p ICMP —icmp-type pong –j ACCEPT
ipchains –A inet-if –j icmp
ipchains –A inet-if –j DENY
Данные правила разрешают пропинговать любую сеть, использовать программу traceroute для любой сети, доступ к серверу имен, а также получать ICMP-сообщения об ошибках.
Цепочку net2-if определим следующим образом:
ipchains –A net2-if –i ! eth0 –j DENY
ipchains –A net2-if –p TCP ! –y –s 192.168.2.99 53 –j ACCEPT
ipchains –A net2-if –p UDP –s 192.168.2.99 53 –j ACCEPT
ipchains –A net2-if –p ICMP –icmp-type pong –j ACCEPT
ipchains –A net2-if
ipchains –A net2-if –j DENY –l
Правила этой цепочки разрешают те же операции, что и для цепочки inet-if, только в этом случае вместо интерфейса ррр0 используется eth0.
Входящая цепочка net1-if определяется так:
ipchains –A net1-if –i ! eth1 –j DENY
ipchains –A net1-if –p ICMP –icmp-type ping –j ACCEPT
ipchains –A net1-if –p ICMP –icmp-type pong –j ACCEPT
ipchains –A net1-if –j icmp ipchains –A net1-if –j DENY –l
Разрешается доступ к серверам WWW, SMTP, POP3. Можно использовать программы ping, traceroute, ssh.
Теперь осталось удалить правила блокировки:
ipchains –D input l
ipchains –D forward l
ipchains –D output l
В начале этого пункта я обещал объяснить настройку ICQ. Предположим, что сервер SQUID у вас установлен на шлюзе, то есть на той машине, которая обеспечивает пакетную фильтрацию (о прокси-сервере SQUID читайте в следующей главе). В файле конфигурации SQUID разрешите порт 5190. Именно этот порт используется новыми клиентами ICQ.
acl SSL_ports port 443 563 5190
Затем установите сервер socks. Можно, конечно, настроить ICQ, используя маскарадинг, но данный метод, как мне кажется, лучше. В качестве сервера socks я рекомендую использовать сервер dame-socks. В файле конфигурации /etc/socks.conf установите внутренний и внешний адреса шлюза:
internal: 192.168.1.1 port = 1080
external: 111.1.1.1
Затем определите узлы, которые могут использовать socks:
client pass {
from: 192.168.0.0/16 to: 0.0.0.0/0
}
Осталось определить, кто может отвечать клиентам:
pass {
from: 0.0.0.0/0 to: 192.168.0.0/16
command: bindreply udpreply
log: connect error
}
14.5. IPTables
Пакетный фильтр IPChains использовался в ядрах Linux до версии 2.4. В новых версиях ядра (начиная с 2.4) вместо IPChains используется пакетный фильтр IPTables. Практически все основные опции остаются прежними. Только, естественно, в командной строке вместо ipchains следует писать iptables.
В этом пункте будут рассмотрены некоторые новые опции ядра, связанные непосредственно с IPTables. Эти опции для большей наглядности я представил в табл. 14.3. Если вы еще не знакомы с компилированием ядра, то эта информация вам пригодится после прочтения гл. 18.
Опции ядра Таблица 14.3
Вильям Л Саймон , Вильям Саймон , Наталья Владимировна Макеева , Нора Робертс , Юрий Викторович Щербатых
Зарубежная компьютерная, околокомпьютерная литература / ОС и Сети, интернет / Короткие любовные романы / Психология / Прочая справочная литература / Образование и наука / Книги по IT / Словари и Энциклопедии