Трафик Контрол решение на Ubuntu 8.10 – 2
16 ноември, 2008 – 7:14 amАвтор: believer
Ползваме същите пакети, като вместо firestarter ползваме пакета webmin и посредством него
Ето и как изглежда при мен конфигурационния файл на защитната стена, който се намира в /etc/iptables.up.rules
Код:
# Generated by webmin *filter :FORWARD ACCEPT [0:0] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A FORWARD -o eth1 -j LOG --log-level 7 --log-prefix BANDWIDTH_OUT: -A OUTPUT -o eth1 -j LOG --log-level 7 --log-prefix BANDWIDTH_OUT: -A INPUT -i eth1 -j LOG --log-level 7 --log-prefix BANDWIDTH_IN: -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -i eth0 -j ACCEPT -A INPUT -i eth1 -j ACCEPT -A INPUT -p tcp -m state -m tcp --dport 21 --state NEW -j ACCEPT -A INPUT -p tcp -m state -m tcp --dport 22 --state NEW -j ACCEPT -A INPUT -p tcp -m state -m tcp --dport 25 --state NEW -j ACCEPT -A INPUT -p tcp -m state -m tcp --dport 53 --state NEW -j ACCEPT -A INPUT -p udp -m state -m udp --dport 53 --state NEW -j ACCEPT -A INPUT -p tcp -m state -m tcp --dport 80 --state NEW -j ACCEPT -A INPUT -p tcp -m tcp -m state --dport 110 --state NEW -j ACCEPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT -A FORWARD -p icmp -j ACCEPT -A FORWARD -i lo -j ACCEPT -A FORWARD -i eth0 -j ACCEPT -A FORWARD -i eth1 -j ACCEPT -A INPUT -p tcp -m state -m tcp --dport 443 --state NEW -j ACCEPT -A FORWARD -j REJECT -A INPUT -p udp -m udp -m state --dport 443 --state NEW -j ACCEPT -A INPUT -p tcp -m tcp -m state --dport 8080 --state NEW -j ACCEPT -A INPUT -j REJECT COMMIT # Generated by webmin *mangle :FORWARD ACCEPT [0:0] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [0:0]REROUTING ACCEPT [0:0]
Тук решението е без DHCP като е разрешен nat само на точно определени IP разрешени са само базовите портове, основните неща. Който иска относно защитата може да се заиграе още.
Ето и как трябва да изглежда /etc/rc.local
Код:
#!/bin/sh -e # # rc.local # # This script is executed at the end of each multiuser runlevel. # Make sure that the script will "exit 0" on success or any other # value on error. # # In order to enable or disable this script just change the execution # bits. # # By default this script does nothing. sysctl -w net.ipv4.ip_forward=1 exit 0
Ето и само най-необходимото в файла upload, който направихме да се стартира с пускането на системата.
Код:
#!/bin/sh TC=/sbin/tc IPT=/sbin/iptables $TC qdisc add dev eth0 root handle 10: cbq bandwidth 10Mbit avpkt 1000 mpu 64 $TC class add dev eth0 parent 10:0 classid 10:1 cbq rate 200kbit weight 20 allot 1514 prio 1 avpkt 1000 bounded $TC filter add dev eth0 parent 10:0 protocol ip handle 3 fw flowid 10:1 $IPT -t mangle -A FORWARD -s 192.168.1.206 -j MARK --set-mark 3 $IPT -t mangle -A FORWARD -s 192.168.1.227 -j MARK --set-mark 3 $IPT -t mangle -A FORWARD -s 192.168.1.228 -j MARK --set-mark 3 $IPT -t mangle -A FORWARD -s 192.168.1.212 -j MARK --set-mark 3 $IPT -t mangle -A FORWARD -s 192.168.1.213 -j MARK --set-mark 3 $IPT -t mangle -A FORWARD -s 192.168.1.214 -j MARK --set-mark 3 $IPT -t mangle -A FORWARD -s 192.168.1.202 -j MARK --set-mark 3 $IPT -t mangle -A FORWARD -s 192.168.1.204 -j MARK --set-mark 3 exit 0
Много ще се радвам ако това е било полезно на някого 
Sorry, comments for this entry are closed at this time.