Ubuntu Server- ograniczenie dostępu z zewnątrz

[djent]

Witam.

Mam postawiony serwer www/ftp do użytku prywatnego na Ubuntu server 10.04.

Postawiony jest na publicznym IP. Potrzebowałbym ograniczyć dostęp do niego jedynie do trzech konkretnych sieci.
W związku z tym mam dwa pytanka:
- w jaki sposób najlepiej ograniczyć dostęp? iptables? Jeśli tak to jak to powinno wyglądać?
- jak wyłuskać pule odwzorowujące sieć (nie jestem ich administratorem) tak żeby nikt w sieci nie miał problemu żeby się zalogować oraz żeby nikt z poza tych sieci się nie dobił?

Chodzi o całkowite ograniczenie lub dopuszczenie do wszystkich usług.

[soulreaver1]

http://wiki.centos.org/HowTos/Network/IPTables punkt 5.

Dla sieci 192.168.0.0 z maską 255.255.255.0 będzie tak:

Kod: Zaznacz cały

iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT  # using standard slash notation
iptables -A INPUT -j REJECT  # Reject all

[djent]

A jeśli mam sieć wewnętrzną, gdzie komputery prezentują się z adresem 192.168.0.1 a na zewnątrz jest adres publiczny to skąd mam wziąć maskę tego adresu?

[soulreaver1]

Nie jest ci potrzebna maska zewnętrznej sieci. Najpierw tworzysz reguły wpuszczające pakiety z sieci 192.168.0.1 i ewentualnie z innych, a na końcu zawsze odrzucasz wszelkie inne pakiety ze wszystkich sieci.

edit: maski sieci na poszczególnych interfejsach znajdziesz za pomocą polecenia:

Kod: Zaznacz cały

ifconfig

[djent]

Nie jest ci potrzebna maska zewnętrznej sieci. Najpierw tworzysz reguły wpuszczające pakiety z sieci 192.168.0.1 i ewentualnie z innych, a na końcu zawsze odrzucasz wszelkie inne pakiety ze wszystkich sieci.

Nie no, chyba jest potrzebna, bo serwer stoi poza siecią, więc do niego nie będę się dobijał jako 192.168.0.1 tylko właśnie z tym zewnętrznym adresem.

A w ifconfig nie mam maski dla tej sieci - to zwykła osiedlówka, więc nawet sprawdzać IP muszę przez strony ala whatismyip.

[soulreaver1]

A w ifconfig nie mam maski dla tej sieci - to zwykła osiedlówka, więc nawet sprawdzać IP muszę przez strony ala whatismyip.

Jeśli nie masz dostępu do tej danej sieci (a jeśli nie masz tej sieci w ipconfig to znaczy że nie masz) to nie możesz nic z nią zrobić tzn. musisz mieć daną sieć na interfejsie w twoim serwerze. Z tego co piszesz to twój serwer jest już za jakimś NAT-em (APC? ruter?) więc nie możesz filtrować zewnętrznych adresów, ponieważ twój serwer nie ma do nich dostępu.

[djent]

To nie chodzi o to, że serwer nie ma dostępu tylko o to, że te hosty mają mieć dostęp do serwera.
Jak wspomniałem - publiczne IP.
W tej sytuacji chyba nie muszę mieć danej sieci na interfejsie żeby ją przepuścić / odrzucić?

[soulreaver1]

To nie chodzi o to, że serwer nie ma dostępu tylko o to, że te hosty mają mieć dostęp do serwera.
Jak wspomniałem - publiczne IP.
W tej sytuacji chyba nie muszę mieć danej sieci na interfejsie żeby ją przepuścić / odrzucić?

Z kąd w takim razie linux ma wiedzieć z kąd pochodzą pakiety? Jeśli jest za NAT-em to pakiety z internetu są dla niego takie same jak te lokalne.

[djent]

Ale przychodzą z konkretnej sieci, więc żeby na nie zezwolić muszę mieć tą pulę.

[Linuxoholic]

Skorzystaj z polecenia:

Kod: Zaznacz cały

whois IP_Zdalnej_Sieci

Wyświetli Ci informacje o sieci i pule adresów IP.