Настройка брандмауера через GUI

[asy]

Но уж как то все просто и не прихотливо.
Просто нет уверенности, что будет работать как надо.

Ну так проверьте посредством просмотра вывода
iptables -vnL
iptables -vnL -t nat

[ksa]

ВО вкладке "Внутренние сети" стоит галочка, дальше в списке идет примерно 150 IP, суть в том, что если я добовляю новый айпи в этот лист, то приходится ждать примерно минуты 3, пока он добавит сам айпи в лист, потом еще минут 10 чтобы добавить привила пропускания портов к этому IP(чем больше IP в списке, тем больше необходимо времени), я так понимаю, что при добавлении каждого айпи этот лист переписывается заного скриптом, и это очень не удобно... чтобы отредактировать уже занесенные 10 айпи из 150, приходится постратить целый час..

Поясните, каким боком "пропускание" портов к этим IP должно быть связанно с сервером, ведь тут вы говорите о правилах для локальной машины-клиента, а не сервера ? Возможно у вас там куча дублирующихся правил получается или вы где-то допустили ошибку, поэтому скрипту памяти и не хватает.

[Tyz]

Опишу все подробно:
Вот скрин вкладки "Внутренние сети":


На нем видно, что выбран один из IP и прописаны правила для портов(поставлены галочки + вписаны вручную порты)

дальше прилагаю лог из модуля "Ручной режим управления":
Выкладываю наверное сотую или тысячную часть, ибо все равно все не влезет:

Код: [Выделить]

# This file was automatically created by alterator-net-iptables.
# If you are using alterator-net-iptables then all changes
# made in this file by hands may lost!
# For more information see alterator-net-iptables(1).

-P ACCEPT
-f -j DROP
-m state --state ESTABLISHED,RELATED -j ACCEPT
-s 87.240.131.104 -j DROP
-s 69.171.237.16 -j DROP
-s 69.171.247.21 -j DROP
-j ULOG --ulog-nlgroup 1 --ulog-cprange 48 --ulog-qthreshold 50 --ulog-prefix "icount"
-i eth0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p icmp -j ACCEPT
-i virbr0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p icmp -j ACCEPT
-i eth0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p tcp --dport 1194 -j ACCEPT
-i virbr0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p tcp --dport 1194 -j ACCEPT
-i eth0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p tcp --dport 137 -j ACCEPT
-i virbr0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p tcp --dport 137 -j ACCEPT
-i eth0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p tcp --dport 138 -j ACCEPT
-i virbr0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p tcp --dport 138 -j ACCEPT
-i eth0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p tcp --dport 139 -j ACCEPT
-i virbr0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p tcp --dport 139 -j ACCEPT
-i eth0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p tcp --dport 20 -j ACCEPT
-i virbr0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p tcp --dport 20 -j ACCEPT
-i eth0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p tcp --dport 21 -j ACCEPT
-i virbr0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p tcp --dport 21 -j ACCEPT
-i eth0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p tcp --dport 22 -j ACCEPT
-i virbr0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p tcp --dport 22 -j ACCEPT
-i eth0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p tcp --dport 3128 -j ACCEPT
-i virbr0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p tcp --dport 3128 -j ACCEPT
-i eth0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p tcp --dport 389 -j ACCEPT
-i virbr0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p tcp --dport 389 -j ACCEPT
-i eth0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p tcp --dport 443 -j ACCEPT
-i virbr0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p tcp --dport 443 -j ACCEPT
-i eth0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p tcp --dport 445 -j ACCEPT
-i virbr0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p tcp --dport 445 -j ACCEPT
-i eth0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p tcp --dport 53 -j ACCEPT
-i virbr0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p tcp --dport 53 -j ACCEPT
-i eth0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p tcp --dport 631 -j ACCEPT
-i virbr0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p tcp --dport 631 -j ACCEPT
-i eth0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p tcp --dport 636 -j ACCEPT
-i virbr0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p tcp --dport 636 -j ACCEPT
-i eth0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p tcp --dport 80 -j ACCEPT
-i virbr0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p tcp --dport 80 -j ACCEPT
-i eth0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p tcp --dport 8080 -j ACCEPT
-i virbr0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p tcp --dport 8080 -j ACCEPT
-i eth0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p tcp --dport 88 -j ACCEPT
-i virbr0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p tcp --dport 88 -j ACCEPT
-i eth0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p udp --dport 1194 -j ACCEPT
-i virbr0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p udp --dport 1194 -j ACCEPT
-i eth0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p udp --dport 137 -j ACCEPT
-i virbr0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p udp --dport 137 -j ACCEPT
-i eth0 -s 192.168.1.234  -m mac --mac-source 38:60:77:08:4c:d9                         -p udp --dport 138 -j ACCEPT

Ну и как я уже сказал, при  очередном добавление IP адреса начал ругаться на память + уж очень долго добавляет IP(до 15 минут доходит)

[ksa]

А что за интерфейс у вас фигурирует "virbr0" в правилах ?
[offtopic]На мой не особо профессиональный взгляд, генерируемый листинг правил не является оптимальным. Имеется дубляж (с точки зрения оптимизации количества правил и выбора политик по умолчанию).[/offtopic]

[Tyz]

А что за интерфейс у вас фигурирует "virbr0" в правилах ?
[offtopic]На мой не особо профессиональный взгляд, генерируемый листинг правил не является оптимальным. Имеется дубляж (с точки зрения оптимизации количества правил и выбора политик по умолчанию).[/offtopic]

"virbr0" - вот этого не знаю, видел, но не вдавался в подробности.. 
посоветуете все это прописовать вручную?

[ksa]

Если искать ошибку, то надо попробовать все эти правила добавить на другой машине. Поглядеть, что выдаст iptables. При отсутствии сообщений о нехватке памяти станет очевидна проблема в модуле альтератора, скорее всего, либо же нехватка памяти - следствие допущенной(ых) ошибки(ок) в самих правилах. Также можно будет оценить скорость добавления списка правил. При адекватной скорости (менее минуты, к примеру) добавления правил вручную, следует пожаловаться в багзиллу, скорее всего. Список добавлять с учетом того, что интерфейса virbr0 на другой машине, скорее всего, не окажется. Вообще же, хорошо было бы понять, что это за интерфейс и почему к нему применяются все правила для интерфейса, смотрящего в локалку (подозреваю, что это как-то связанно с раздачей интернета).

[Tyz]

Если искать ошибку, то надо попробовать все эти правила добавить на другой машине. Поглядеть, что выдаст iptables. При отсутствии сообщений о нехватке памяти станет очевидна проблема в модуле альтератора, скорее всего, либо же нехватка памяти - следствие допущенной(ых) ошибки(ок) в самих правилах. Также можно будет оценить скорость добавления списка правил. При адекватной скорости (менее минуты, к примеру) добавления правил вручную, следует пожаловаться в багзиллу, скорее всего. Список добавлять с учетом того, что интерфейса virbr0 на другой машине, скорее всего, не окажется. Вообще же, хорошо было бы понять, что это за интерфейс и почему к нему применяются все правила для интерфейса, смотрящего в локалку (подозреваю, что это как-то связанно с раздачей интернета).

спасибо, буду пробовать... но когда я ставил эту же систему на бробную машину и также создавал правила, то скорость добавления нового айпи также увеличивалась.... чем больше айпи в списке, тем дольше добавляется...

[ksa]

Главное понять, что и как на вашем сервере настроено, для чего этот интерфейс используется (virbr0).

[Tyz]

Главное понять, что и как на вашем сервере настроено, для чего этот интерфейс используется (virbr0).

Стоит 2 сервака HP, серваки разные, на обоих стоит кентавр 6, и на обоих есть этот интерфейс, буду разбираться откуда он взялся...

[ksa]

но когда я ставил эту же систему на бробную машину и также создавал правила, то скорость добавления нового айпи также увеличивалась.... чем больше айпи в списке, тем дольше добавляется...

Это говорит о каком-то узком месте в модуле альтератора. К примеру, добавление правила вручную (например, в скрипт, который содержит все правила фаерволла) никак не влияет на скорость его исполнения. Ну, может быть, самую малость. Тем не менее, 15 мин. на добавление одного пользователя это как-то многовато, по крайней мере, ИМХО.

[ksa]

Главное понять, что и как на вашем сервере настроено, для чего этот интерфейс используется (virbr0).

Стоит 2 сервака HP, серваки разные, на обоих стоит кентавр 6, и на обоих есть этот интерфейс, буду разбираться откуда он взялся...

Походу, какая-то "хитрая связь" между серверами. Но есть ли смысл в использовании этого интерфейса, не понятно пока. Может быть дубляж правил и само решение вопроса через этот интерфейс и есть причина торможений (чрезмерных, на мой взгляд).

[Tyz]

Главное понять, что и как на вашем сервере настроено, для чего этот интерфейс используется (virbr0).

Стоит 2 сервака HP, серваки разные, на обоих стоит кентавр 6, и на обоих есть этот интерфейс, буду разбираться откуда он взялся...

Походу, какая-то "хитрая связь" между серверами. Но есть ли смысл в использовании этого интерфейса, не понятно пока. Может быть дубляж правил и само решение вопроса через этот интерфейс и есть причина торможений (чрезмерных, на мой взгляд).

Связи по этому интерфейсу нету у них(я сам подымал с нуля эти серваки и этот интерфейс не юзал никогда)
Разобрался с этим Интерфейсом, так как при установке сервера я ставил все пакеты, то и поставился и пакет дл явиртуального моста - libvirt (http://wiki.linuxformat.ru/index.php/LXF137:libvirt)
Удалил этот пакет, ребутнул сервер, пропал интерфейс, правила стали добавляться значительно быстрее, но всеже долго :) Суть в том, что при добавления или изменения существующего правила переписываются и все остальные правила заного(мне кажется это очень неудобно). Поэтому хотелось бы попросить разработчиков переписать этот момент в альтераторе, чтобы скрипт записывал не все правила заного, а тока те, в которых производились изменения(все равно в один момент можно менять только правила на одном хосте). Спасибо.

[PSV]

Файлик типа (с правами на исполнение) rc.firewall в /etc/rc.d -- c правилами и все будет нормально. Главное при этом добавлять комментарии, чтобы и самому понятно было и чтобы в будущем не заплутать. Не привязывайте себя гуем -- в сложной ситауции при отсутствии этого самого гуя что будете делать ? Один раз настроив скрипт (rc.firewall, к примеру) его потом можно перетаскивать на другие машины с небольшими правками по ситуации.
PS Никогда не доверял гуям и веб-мордам. Все в консоли (локально или по ssh).

Во первых: не хотелось бы быть некрофилом, но вопрос возник. Перехожу на р7 платформу. Дай думаю, упрощу себе жизнь, загоню все правила в скрипт, выложу в /etc/rc.d/rc.firewall. Сделал, выложил, все отрабатывается на отлично. Если что-то надо поменять, поменял, скрипт подправил, все пучком.
Но появился вопрос: а чем данный механизм запуска идеологически правильнее, чем запуск в кроне при @reboot? Куда идеологически правильнее положить данный скрипт?
Во вторых: большое спасибо за саму идею положить правила в кучку!
И третье: а можно как-то выводить на экран более полную информацию об активных правилах?
[root@vmbase5 ~]# service iptables status

Код: [Выделить]

Table: filter
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere
ACCEPT     all  --  192.168.1.13         anywhere
Т.е. в вывод не входят интерфейсы! Только адреса. Хотя многие вещи проще разрешить именно через интерфейсы, без детализации.

[ksa]

И третье: а можно как-то выводить на экран более полную информацию об активных правилах?

Выше посмотрите по теме http://forum.altlinux.org/index.php/topic,26409.msg187266.html#msg187266, уже было. А вообще смотрите помощь по команде(ам) через

Код: [Выделить]

комманда --help (например, iptables --help).

Но появился вопрос: а чем данный механизм запуска идеологически правильнее, чем запуск в кроне при @reboot? Куда идеологически правильнее положить данный скрипт?

Туда, где он будет работать

[PSV]

И третье: а можно как-то выводить на экран более полную информацию об активных правилах?

Выше посмотрите по теме http://forum.altlinux.org/index.php/topic,26409.msg187266.html#msg187266, уже было. А вообще смотрите помощь по команде(ам) через

Код: [Выделить]

комманда --help (например, iptables --help).

Но появился вопрос: а чем данный механизм запуска идеологически правильнее, чем запуск в кроне при @reboot? Куда идеологически правильнее положить данный скрипт?

Туда, где он будет работать

Он везде будет работать. Поэтому и уточняю. Но за идею с правилами в фаил большое спасибо! Век живи век учись! :)