Правила форума Гаранты форума

Размещение рекламы AMX-X компилятор

Здравствуйте, гость Вход | Регистрация

Наши новости:

14-дек	Добавлена поддержка utf8mb4
24-апр	Telegram группа
10-апр	Обновление PHP
11-апр	Раздача читов

Создание, настройка и продвижение counter-strike 1.6 серверов > > Создание, настройка и продвижение counter-strike 1.6 серверов > Linux > iptables

iptables

L_O_T_U_S	30.7.2011, 14:31 Сообщение #1
Стаж: 17 лет Сообщений: 555 Благодарностей: 32 Полезность: 89	Linux 2.6.38-gentoo-r6 #1 SMP Sun Jul 17 03:18:21 EEST 2011 i686 Intel® Xeon® CPU E31230 @ 3.20GHz GenuineIntel GNU/Linux emerge iptables nano -w /var/lib/iptables/rules-save Код nat :PREROUTING ACCEPT [389:33159] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] COMMIT filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [1291:86671] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p esp -j ACCEPT -A RH-Firewall-1-INPUT -p ah -j ACCEPT -A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 27015 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 27016 -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT rc-update add iptables default И тут такой фокус что на тазике открыты все порты . Я так понял что в ядре нужно было включить поддержку iptables. Так это или нет ??? Отредактировал: L_O_T_U_S, - 30.7.2011, 14:51
	Поблагодарили 0 раз Поблагодарили 0 раз

330863	30.7.2011, 14:55 Сообщение #2
Стаж: 16 лет Сообщений: 4358 Благодарностей: 1079 Полезность: 497	L_O_T_U_S, Код /etc/init.d/iptables start iptables -vnL
	Поблагодарили 0 раз Поблагодарили 0 раз

L_O_T_U_S	30.7.2011, 15:18 Сообщение #3
Стаж: 17 лет Сообщений: 555 Благодарностей: 32 Полезность: 89	Цитата(330863 @ 30.7.2011, 15:55) L_O_T_U_S, Код /etc/init.d/iptables start iptables -vnL ~ # /etc/init.d/iptables start * Loading iptables state and starting firewall ... iptables-restore: line 1 failed [ !! ] * ERROR: iptables failed to start ~ # iptables -vnL Chain INPUT (policy ACCEPT 2705K packets, 176M bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 123M packets, 11G bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 2802K packets, 325M bytes) pkts bytes target prot opt in out source destination
	Поблагодарили 0 раз Поблагодарили 0 раз

330863	30.7.2011, 16:09 Сообщение #4
Стаж: 16 лет Сообщений: 4358 Благодарностей: 1079 Полезность: 497	L_O_T_U_S, Цитата iptables-restore: line 1 failed [ !! ] мой список правил iptables) Код # Generated by iptables-save v1.4.10 on Sun Mar 13 09:34:54 2011 filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :MS-INPUT - [0:0] :HLDS-INPUT - [0:0] :HTTP-INPUT - [0:0] -A INPUT -m set --match-set dropips src -j DROP -A INPUT -m set --match-set dropnets src -j DROP -A INPUT ! -i eth2 -j ACCEPT -A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT -A INPUT -p tcp -m tcp --dport 80:90 -j HTTP-INPUT -A INPUT -p udp -m udp --dport 27010:27011 -j MS-INPUT -A INPUT -p udp -m udp --dport 27009:30001 -j HLDS-INPUT -A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 12 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT -A INPUT -p udp -m udp --dport 53 -j ACCEPT -A INPUT -p tcp -m tcp --dport 953 -j ACCEPT #Minecraft -A INPUT -p tcp -m tcp --dport 8123 -j ACCEPT -A INPUT -p tcp -m tcp --dport 25565 -j ACCEPT -A INPUT -p tcp -m tcp --dport 25578 -j ACCEPT #ssh & ftp -A INPUT -p tcp -m tcp --dport 8022 -s 89.28.9.230 -j ACCEPT -A INPUT -p tcp -m tcp --dport 8022 -s 94.139.0.0/16 -j ACCEPT -A INPUT -p tcp -m tcp --dport 8022 -j DROP -A INPUT -p tcp -m tcp --dport 8021 -j ACCEPT -A INPUT -p tcp -m tcp --dport 60000:65000 -j ACCEPT -A INPUT -p udp -m state --state ESTABLISHED -j ACCEPT -A INPUT -p udp -m state --state RELATED -j ACCEPT #-A INPUT -j LOG --log-prefix " Last Packets in iptables: " -A INPUT -j DROP #HTTP-INPUT -A HTTP-INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 25 --connlimit-mask 32 -m limit --limit 25/hour --limit-burst 1 -j LOG --log-prefix " HTTP Flood: " -A HTTP-INPUT -p tcp -m tcp --dport 80 -m connlimit --connlimit-above 25 --connlimit-mask 32 -j DROP -A HTTP-INPUT -p tcp -m tcp --dport 80 -m conntrack --ctstate ESTABLISHED -j ACCEPT -A HTTP-INPUT -p tcp -m tcp --dport 80 -m conntrack --ctstate NEW -m hashlimit --hashlimit-upto 5/sec --hashlimit-burst 14 --hashlimit-mode srcip --hashlimit-name not_ddos1 -m tcp --dport 80 -j ACCEPT -A HTTP-INPUT -p tcp -m tcp --dport 80 -j DROP -A HTTP-INPUT -p tcp -m tcp --dport 81 -j ACCEPT #MS-INPUT #-A MS-INPUT -p udp -m udp --dport 27010 -j ACCEPT #-A MS-INPUT -p udp -m udp -s 92.46.0.0/16 --dport 27010 -j DROP #-A MS-INPUT -p udp -m udp -s 92.47.0.0/16 --dport 27010 -j DROP #-A MS-INPUT -p udp -m udp -s 95.56.0.0/16 --dport 27010 -j DROP #-A MS-INPUT -p udp -m udp -s 95.57.0.0/16 --dport 27010 -j DROP #-A MS-INPUT -p udp -m udp -s 95.58.0.0/16 --dport 27010 -j DROP #-A MS-INPUT -p udp -m udp -s 95.59.0.0/16 --dport 27010 -j DROP #-A MS-INPUT -p udp -m udp -s 95.71.0.0/16 --dport 27010 -j DROP #-A MS-INPUT -p udp -m udp -s 95.78.0.0/16 --dport 27010 -j DROP #-A MS-INPUT -p udp -m udp -s 95.79.0.0/16 --dport 27010 -j DROP -A MS-INPUT -p udp -m udp --dport 27010 -m connlimit --connlimit-above 10 --connlimit-mask 32 -j REJECT --reject-with icmp-port-unreachable -A MS-INPUT -p udp -m udp --dport 27010 -m hashlimit --hashlimit-upto 10/sec --hashlimit-burst 1 --hashlimit-mode srcip,dstip --hashlimit-name MASTER_NOTFLOOD -j ACCEPT -A MS-INPUT -p udp -m udp --dport 27010 -j DROP -A MS-INPUT -p udp -m udp --dport 27011 -j DROP #HLDS-INPUT ## Block Masters #-A HLDS-INPUT -p udp -m udp ! --dport 27015:27020 -s 209.197.0.0/16 -j DROP -A HLDS-INPUT -p udp -m udp ! --dport 27015:27020 -s 69.28.0.0/16 -j DROP -A HLDS-INPUT -p udp -m udp ! --dport 27015:27020 -s 72.165.0.0/16 -j DROP #-A HLDS-INPUT -p udp -m udp --dport 27009:30001 -m connlimit --connlimit-above 5 --connlimit-mask 32 -j DROP -A HLDS-INPUT -p udp -m udp --dport 27009:30001 --sport 60230:60240 -j DROP -A HLDS-INPUT -p udp -m udp --dport 27009:30001 -m string --algo kmp --string "HLBrute" -j DROP -A HLDS-INPUT -p udp -m udp --dport 27009:30001 -j ACCEPT COMMIT # Completed on Sun Mar 13 09:34:54 2011 # Generated by iptables-save v1.4.10 on Sun Mar 13 09:34:54 2011 mangle :PREROUTING ACCEPT [0:0] :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] COMMIT # Completed on Sun Mar 13 09:34:54 2011 # Generated by iptables-save v1.4.10 on Sun Mar 13 09:34:54 2011 *nat :PREROUTING ACCEPT [0:0] #-A PREROUTING -i eth0 -p udp --dport 27010 -m random --average 50 -j DNAT --to-destination 89.28.42.226:27012 -A PREROUTING -p udp --dport 29000 -j DNAT --to-destination 192.168.30.2:27015 #-A PREROUTING -p udp --dport 28017 -j REDIRECT --to-ports 27017 #-A PREROUTING -p udp --dport 27030 -j REDIRECT --to-ports 27020 #-A PREROUTING -p udp --dport 27022 -j REDIRECT --to-ports 28015 #-A PREROUTING -p udp --dport 27023 -j REDIRECT --to-ports 28015 :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A POSTROUTING -o eth2 -j MASQUERADE COMMIT # Completed on Sun Mar 13 09:34:54 2011
	Поблагодарили 1 раз Поблагодарили 1 раз L_O_T_U_S

L_O_T_U_S	30.7.2011, 16:15 Сообщение #5
Стаж: 17 лет Сообщений: 555 Благодарностей: 32 Полезность: 89	Код * Loading iptables state and starting firewall ... iptables-restore v1.4.10: Kernel module xt_set is not loaded in. [ !! ] * ERROR: iptables failed to start
	Поблагодарили 0 раз Поблагодарили 0 раз

330863	30.7.2011, 16:20 Сообщение #6
Стаж: 16 лет Сообщений: 4358 Благодарностей: 1079 Полезность: 497	L_O_T_U_S, L_O_T_U_S, убери это: Код -A INPUT -m set --match-set dropips src -j DROP -A INPUT -m set --match-set dropnets src -j DROP
	Поблагодарили 2 раз Поблагодарили 2 раз binural, L_O_T_U_S

L_O_T_U_S	30.7.2011, 16:25 Сообщение #7
Стаж: 17 лет Сообщений: 555 Благодарностей: 32 Полезность: 89	и что бы я делал без тебя ) теперь осталось понять что оставить в правилах а что выкинуть.
	Поблагодарили 0 раз Поблагодарили 0 раз

330863	30.7.2011, 16:50 Сообщение #8
Стаж: 16 лет Сообщений: 4358 Благодарностей: 1079 Полезность: 497	L_O_T_U_S, ты лучше сравни свой конфиг и мой и найди отличительные черты :)
	Поблагодарили 0 раз Поблагодарили 0 раз

bravo	31.7.2011, 21:38 Сообщение #9
Стаж: 19 лет Сообщений: 2650 Благодарностей: 865 Полезность: 879 Меценат	лучше бы научиться писать и понимать их. это не занимает много времени. пару дней при определённых способностях или недельку в режиме типа "по вечерам".
	Поблагодарили 0 раз Поблагодарили 0 раз

coolman	1.8.2011, 14:10 Сообщение #10
Стаж: 19 лет Город: Екатеринбург Сообщений: 1220 Благодарностей: 218 Полезность: 149	Цитата(330863 @ 30.7.2011, 20:09) мой список правил iptables -m conntrack --ctstate NEW -m hashlimit --hashlimit-upto 5/sec --hashlimit-burst 14 --hashlimit-mode srcip --hashlimit-name not_ddos1 а это одно из моих старых правил, к гадалке не ходи :biggrin: Отредактировал: coolman, - 1.8.2011, 14:12
	Поблагодарили 0 раз Поблагодарили 0 раз

c0rax	1.8.2011, 16:16 Сообщение #11
Стаж: 18 лет Сообщений: 1077 Благодарностей: 530 Полезность: 884	Цитата(coolman @ 1.8.2011, 15:10) а это одно из моих старых правил, к гадалке не ходи :biggrin: А новые какие? :biggrin:
	Поблагодарили 0 раз Поблагодарили 0 раз

« Предыдущая тема · Linux · Следующая тема »

Тема закрыта

Начать новую тему

0 пользователей и 1 гостей читают эту тему:

Режим отображения: Стандартный · Переключить на: Линейный · Переключить на: Древовидный

Сообщить другу · Версия для печати

Powered By Invision Power Board © 2005-2026
Counter Strike Support Community