13 сообщений / 0 новое
Последнее сообщение
kosikdr
Аватар пользователя kosikdr
Не в сети
Последнее посещение: 9 лет 5 месяцев назад
Регистрация: 24/03/2014 - 10:58
suse 13.1 Закрытие портов

При включении форвардинга на suse 13.1 включается большинство портов для пользователей internet и теперь они безнаказанно пользуются торент-клиентами и играют в игрушки. Как можно закрыть ненужные порты?

Теги: 

Отредактировано: iwtke вкл 26/06/2014 - 12:25
CyberDaemon
Аватар пользователя CyberDaemon
Не в сети
Последнее посещение: 9 лет 1 месяц назад
Регистрация: 07/06/2012 - 15:54
yast -> сетевые службы ->

yast -> сетевые службы -> брэндмауэр

kosikdr
Аватар пользователя kosikdr
Не в сети
Последнее посещение: 9 лет 5 месяцев назад
Регистрация: 24/03/2014 - 10:58
Нет такого ищу в пакетах

Нет такого ищу в пакетах Brandmauer для установки тоже нет Sad

kosikdr
Аватар пользователя kosikdr
Не в сети
Последнее посещение: 9 лет 5 месяцев назад
Регистрация: 24/03/2014 - 10:58
может попробывать так:

может попробывать так:
1. iptables -A FORWARD -i eth0 -m ipp2p --ipp2p -j LOG --log-level info --log-prefix "p2p "
iptables -A FORWARD -i eth0 -m ipp2p --ipp2p -j DROP
или так
2. iptables -I FORWARD -o $INET_IFACE -p udp --sport 1024:65535 --dport 1024:65535 -j DROP

Как правильно правило такого типа написать?

iwtke
Аватар пользователя iwtke
Не в сети
Последнее посещение: 8 лет 10 месяцев назад
Регистрация: 11/04/2014 - 19:09
брандмауэр нужно искать не в

брандмауэр нужно искать не в пакетах, а в yast. он обычно включен в стандартную установку openSUSE.

Русскоязычное сообщество openSUSE
Правильно заданный вопрос – половина ответа.

Serega86
Аватар пользователя Serega86
Не в сети
Последнее посещение: 1 месяц 2 недели назад
Регистрация: 16/05/2012 - 09:18
документация по susefirewall

документация по susefirewall /usr/share/doc/packages/SuSEfirewall2
все свое дописывается сюда:
/etc/sysconfig # cat SuSEfirewall2 |grep CUSTOMRUL
FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom"


Все глюки Windows исправляются установкой Linux!

kosikdr
Аватар пользователя kosikdr
Не в сети
Последнее посещение: 9 лет 5 месяцев назад
Регистрация: 24/03/2014 - 10:58
Так вот правильно ли написать

Так вот правильно ли написать:
1. iptables -A FORWARD -i eth0 -m ipp2p --ipp2p -j LOG --log-level info --log-prefix "p2p "
iptables -A FORWARD -i eth0 -m ipp2p --ipp2p -j DROP
или так
2. iptables -I FORWARD -o $INET_IFACE -p udp --sport 1024:65535 --dport 1024:65535 -j DROP

Serega86
Аватар пользователя Serega86
Не в сети
Последнее посещение: 1 месяц 2 недели назад
Регистрация: 16/05/2012 - 09:18
Для "ipp2p" требуется

Для "ipp2p" требуется поддержка ipp2p в ядре и iptables
Насчет поддержки я не знаю. Думаю второй вариант должен сработать


Все глюки Windows исправляются установкой Linux!

kosikdr
Аватар пользователя kosikdr
Не в сети
Последнее посещение: 9 лет 5 месяцев назад
Регистрация: 24/03/2014 - 10:58
ЗЫ не работает

ЗЫ не работает
iptables -I FORWARD -o eth0 -p udp --sport 1024:65535 --dport 1024:65535 -j DROP

CyberDaemon
Аватар пользователя CyberDaemon
Не в сети
Последнее посещение: 9 лет 1 месяц назад
Регистрация: 07/06/2012 - 15:54
kosikdr wrote:
kosikdr wrote:

ЗЫ не работает
iptables -I FORWARD -o eth0 -p udp --sport 1024:65535 --dport 1024:65535 -j DROP

Как именно не работает, как проверяли?

kosikdr
Аватар пользователя kosikdr
Не в сети
Последнее посещение: 9 лет 5 месяцев назад
Регистрация: 24/03/2014 - 10:58
Скачиваю торент файл на

Подождал минут 10 пока применит правила.
Скачиваю торент файл на виндовской машине, запускаю торент клиент и качается Smile
На данный момент iptables выглядит так: Может что то конфликтует???


#! /bin/sh
#
iptables -F;
iptables -t nat -F;
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE;
iptables -t nat -A POSTROUTING -o enp2s0 -j MASQUERADE;
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128;
iptables -t nat -A PREROUTING -i enp3s0 -p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128;
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT;
iptables -A FORWARD -o eth0 -p tcp -m state --state NEW -m multiport --dport 110,25,465,995 -j ACCEPT;
iptables -A FORWARD -o enp2s0 -p tcp -m state --state NEW -m multiport --dport 110,25,465,995 -j ACCEPT;
iptables -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT;
#################NEW KODE#############################################################
iptables -N LOGDROP > /dev/null 2> /dev/null
iptables -F LOGDROP
iptables -A LOGDROP -j LOG --log-prefix "LOGDROP"
iptables -A LOGDROP -j DROP
#Torrent
iptables -A FORWARD -m string --algo bm --string "BitTorrent" -j LOGDROP
iptables -A FORWARD -m string --algo bm --string "BitTorrent protocol" -j LOGDROP
iptables -A FORWARD -m string --algo bm --string "peer_id=" -j LOGDROP
iptables -A FORWARD -m string --algo bm --string ".torrent" -j LOGDROP
iptables -A FORWARD -m string --algo bm --string "announce.php?passkey=" -j LOGDROP
iptables -A FORWARD -m string --algo bm --string "torrent" -j LOGDROP
iptables -A FORWARD -m string --algo bm --string "announce" -j LOGDROP
iptables -A FORWARD -m string --algo bm --string "info_hash" -j LOGDROP
#DHT keyword
iptables -A FORWARD -m string --string "get_peers" --algo bm -j LOGDROP
iptables -A FORWARD -m string --string "announce_peer" --algo bm -j LOGDROP
iptables -A FORWARD -m string --string "find_node" --algo bm -j LOGDROP

Вызывает сомнение создание лога:
iptables -N LOGDROP > /dev/null 2> /dev/null
И как просмотреть этот лог???
CyberDaemon
Аватар пользователя CyberDaemon
Не в сети
Последнее посещение: 9 лет 1 месяц назад
Регистрация: 07/06/2012 - 15:54
Может с SUSEFirewall

Может с SUSEFirewall конфликтует.

r3d
Аватар пользователя r3d
Не в сети
Последнее посещение: 9 лет 3 месяца назад
Регистрация: 04/09/2012 - 16:52
В OpenSUSE следует

В OpenSUSE следует использовать SUSEFirewall. Не уверен даже, что изменения с помощью iptables будут сохранены.
Впрочем, у меня роутер и брандмауер просто выключен.

13.1 - Xfce