Вы просматриваете старую версию данной страницы. Смотрите текущую версию.
Сравнить с текущим |
просмотр истории страницы
Иногда необходимо добавить дополнительные правила для работы дополнительного софта или по иным причинам (например безопасность или особенности маршрутизации).
Это можно сделать следующим образом:
touch /app/reductor/cfg/userinfo/hooks/firewall.sh chmod a+x /app/reductor/cfg/userinfo/hooks/firewall.sh vim /app/reductor/cfg/userinfo/hooks/firewall.sh
и туда просто пишите любые нужные вам правила внутрь проверки того что хук вызвался при старте.
Вместо vim можете использовать любой удобный Вам редактор.
Этот скрипт будет вызываться после старта файрвола Reductor.
Стоит учитывать, что в цепочках уже есть правила.
iptables -A добавляет в конец цепочки, iptables -I в начало.
Синтаксис отличается от того что в /etc/sysconfig/iptables, это просто bash скрипт в который вы помещаете команды, например:
#!/bin/bash if [ "$1" = 'start' ]; then iptables -I INPUT 1 -p tcp --dport 80 -i eth0 -j DROP iptables -I INPUT 2 -p tcp --dport 80 -i eth0.144 -j ACCEPT fi
за удаление правил не беспокойтесь, их редуктор при рестарте удалит сам (он чистит весь файрвол)
Примеры
Разрешить доступ к порту
Разрешить доступ к порту для определённого IP
Разрешить доступ к порту для определённого списка IP
Добавить NAT для конкретного IP
Что можно делать без хуков
- Отключить фильтрацию для конкретного IP абонента
- Добавить дополнительные правила фильтрации для подсети
- Сделать определённый IP неблокируемым по HTTPS или HTTP, даже если попадёт в списки для блокировки