(13:36:29) > В скрипт инициализации файервола добавляем следующее:
---
IPT="/sbin/iptables -t nat"
IPTA="$IPT -A NegDeposit"
ABILLS_PORT='9443'
# Порты в формате 'port[,port|,port:port]...' (port:port - это диапазон)
HTTP_PORTS='80,8080'
# Если вебморда на данном хосте
REDIRECT="-j REDIRECT --to-ports $ABILLS_PORT"
# Если на другом - то предыдущее комментируем, а это раскомментируем
# ABILLS_HOST='10.0.0.1'
# REDIRECT="-j DNAT --to-destination ${ABILLS_HOST}:$ABILLS_PORT"
$IPT -N NegDeposit
$IPTA -p tcp -m tcp -m multiport --dports $HTTP_PORTS $REDIRECT
$IPTA -p tcp -m tcp -j REJECT --reject-with tcp-reset
$IPTA -j REJECT --reject-with icmp-admin-prohibited
---
В скрипт поднятия ппп (я подобные вещи делаю в /etc/ppp/ip-pre-up) добавляем:
---
если фильтр УСТАНОВЛЕН, то выполняем следующее:
IPT="/sbin/iptables -t nat -I PREROUTING"
$IPT -i $IFNAME -j NegDeposit
---
В скрипт /etc/ppp/ip-down.local добавляем:
---
если фильтр УСТАНОВЛЕН, то выполняем следующее:
IPT="/sbin/iptables -t nat -D PREROUTING"
$IPT -i $IFNAME -j NegDeposit
---
(13:44:45) > общая суть: в таблице nat создаём цепочку NegDeposit, в которую добавляем правило редиректа http портов назначения на вебморду и правила, культурно блокирующие всё остальное (можно и просто дропать но неспортивно это
). Затем в скрипте поднятия ппп траф с фильтрованных ифейсов направляем в цепочку NegDeposit. В скрипте закрытия ппп - удаляем
(14:02:46) < это при старте системы ?
IPT="/sbin/iptables -t nat"
IPTA="$IPT -A NegDeposit"
ABILLS_PORT='9443'
# Порты в формате 'port[,port|,port:port]...' (port:port - это диапазон)
HTTP_PORTS='80,8080'
# Если вебморда на данном хосте
REDIRECT="-j REDIRECT --to-ports $ABILLS_PORT"
# Если на другом - то предыдущее комментируем, а это раскомментируем
# ABILLS_HOST='10.0.0.1'
# REDIRECT="-j DNAT --to-destination ${ABILLS_HOST}:$ABILLS_PORT"
$IPT -N NegDeposit
$IPTA -p tcp -m tcp -m multiport --dports $HTTP_PORTS $REDIRECT
$IPTA -p tcp -m tcp -j REJECT --reject-with tcp-reset
$IPTA -j REJECT --reject-with icmp-admin-prohibited
(14:03:02) > да
(14:03:24) > остальное - динамические правила
(14:04:28) > ну апач я думаю сам подпилишь если нада
(14:05:29) > там в случае https думаю нада редирект на другой протокол делать как-то
(14:05:46) > в самом апаче
(14:07:17) < в случае шттпс нужно на шттп делать
(14:10:47) > не... я имею ввиду что если вебморда через шттпс работает то когда обращение во внений мир на 80 порт (протокол шттп) то редирект (файерволом на вебморду) приведёт к тому что обращение на вебморду пойдёт по протоколу ШТТП а не ШТТПС... поэтому в самом апаче нада сделать видимо редирект на протокол шттпс
(14:11:10) < да да
(14:11:30) < я стараюсь всегда выделять под веб отдельный ип
(14:12:02) > ну понятно виртуальный сервер любым из способов