Лфз википедия: HTTP 429 — too many requests, слишком много запросов
Ломоносовский фарфоровый завод | это… Что такое Ломоносовский фарфоровый завод?
Толкование
- Ломоносовский фарфоровый завод
Координаты: 59°52′49″ с. ш. 30°26′30″ в. д. / 59.880278° с. ш. 30.441667° в. д. (G)59.880278, 30.441667
«Кобальтовая сетка» — фирменный стиль ЛФЗ.
Импера́торский фарфо́ровый заво́д — одно из старейших в Европе, первое и одно из крупнейших в России предприятий по производству художественных фарфоровых изделий. Расположен в Санкт-Петербурге.
Содержание
- 1 Названия
- 2 История
- 3 Продукция
- 4 Примечания
- 5 Ссылки
Названия
Первоначально именовался «Порцелиновой мануфактурой», с 1765 – Императорский фарфоровый завод, с 1917 – Государственный фарфоровый завод (ГФЗ — аббревиатура клейма), в 1925 году заводу в связи с 200-летием Российской Академии наук было присвоено имя М.
История
Фарфор ЛФЗ.
Фарфор ЛФЗ.
В XVIII веке в России отмечался высокий интерес к фарфору. 1 февраля 1744 года камергер императрицы Елизаветы Петровны, барон Николай Корф, находившийся с дипломатическим поручением в Стокгольме, заключил по поручению императрицы договор с Христофором Гунгером, который обязался организовать в Санкт-Петербурге производства фарфора. Организация будущей Порцелиновой мануфактуры и надзор за ней были поручены управляющему кабинета Её Императорского Величества барону Ивану Черкасову.
Гунгер получил материальную поддержку и свободу действий, но не был настолько сведущ, чтобы организовать производство фарфора с нуля.
За всё время пребывания в России (1744—1748) он изготовил лишь полдюжины чашек сомнительного качества: они имели искривлённую форму, а цвет их был тёмен. Перед Черкасовым встала проблема: искать нового мастера за границей или доверить производство Дмитрию Виноградову, русскому химику, сподвижнику М. Ломоносова, зачисленному на мануфактуру именным указом императрицы в ноябре 1744 года и с самого начала приставленного к Гунгеру для обучения. Выбор Черкасова оказался удачным: Виноградов смог наладить в Санкт-Петербурге производство высококачественного фарфора.Изначально имел статус Императорской фарфоровой мануфактуры и располагался в 10 верстах от Петербурга. В настоящее время находится в черте города (пр. Обуховской обороны, 151).
В конце XIX века император Александр III распорядился, чтобы все заказы императорской семьи исполнялись на заводе в двух экземплярах — один должен был оставаться в музее завода. Традиция регулярного пополнения заводского музея была сохранена и в XX веке, в том числе в советскую эпоху.
Коллекция музея дважды эвакуировалась, первый раз — осенью 1917 г. ее вывезли в Петрозаводск (до 1918 г.), второй — в 1941 г., когда экспонаты были вывезены в Ирбит (Урал).
В 1920-х на заводе творили известные художники-супрематисты — К. Малевич, Чашник, Н. Суетин.
В течение более чем 60 лет на заводе работал виртуоз русского традиционного стиля Алексей Воробьевский. С 2002 года завод — собственность московской семьи Цветковых. В 2005 году по решению акционеров был вновь переименован в «Императорский фарфоровый завод».
Продукция
С 2005 года ИФЗ ориентируется на выпуск высокохудожественных авторских произведений класса «люкс» под брендом «Императорский фарфор». Фарфор ИФЗ представлен в Эрмитаже, московском Историческом музее, лондонском музее Виктории и Альберта, нью-йоркском Метрополитен-музее и др.
Примечания
- ↑ Императорский Фарфоровый Завод. 1744-1904. Под научной редакцией В. В. Знаменова. «Глобал Вью», «Оркестр». Санкт-Петербург. 2008
- ↑ Советский фарфор. Искусство Ленинградского фарфорового завода им. М. В. Ломоносова, Ленинград. 1974
Ссылки
- Официальный сайт
За всё время пребывания в России (1744—1748) он изготовил лишь полдюжины чашек сомнительного качества: они имели искривлённую форму, а цвет их был тёмен. Перед Черкасовым встала проблема: искать нового мастера за границей или доверить производство Дмитрию Виноградову, русскому химику, сподвижнику М. Ломоносова, зачисленному на мануфактуру именным указом императрицы в ноябре 1744 года и с самого начала приставленного к Гунгеру для обучения. Выбор Черкасова оказался удачным: Виноградов смог наладить в Санкт-Петербурге производство высококачественного фарфора.
2008Wikimedia Foundation. 2010.
Игры ⚽ Поможем написать курсовую
- Виноградов
- Российский государственный гуманитарный университет
Полезное
Рисунок блокады: история «Кобальтовой сетки» Императорского фарфорового завода
Своеобразным символом блокадного Ленинграда стала легендарная «Кобальтовая сетка». Сервизы в бело-синей стилистике впервые появились в 44 году и стали визитной карточкой Императорского фарфорового завода. Узор придумала ленинградская художница Анна Яцкевич именно в годы блокады. Дмитрий Копытов расскажет, как появилась идея рисунка.
— «Сначала линии проводятся, затем на перекрестьях этих линий ставятся эти «жучки»».
Один и тот же незатейливый рисунок на чашки, чайники и блюдца Валентина Семахина наносит уже почти 40 лет. Каждый день вручную расписывает по 80 предметов из фарфора. Монотонная работа женщине совсем не надоела. Живописец с гордостью рассказывает: её сервизы сейчас украшают кухни по всему миру. Визитная карточка Императорского фарфорового завода — синяя «Кобальтовая сетка» на посуде впервые появилась в 1944-м. Сервиз из 5-ти предметов в холодный, но притягательный, северный цвет раскрасила ленинградская художница Анна Яцкевич. В заводском музее сохранились несколько её фотографий.
Александр Кучеров, советник генерального директора Императорского фарфорового завода: «Это снимок 1945 года. Здесь она уже запечатлена с двумя государственными наградами: медалью «За оборону Ленинграда», которую она получила в 1943 году и «Орденом Красного Знамени», который она получила летом 1944 года. Я считаю, что боевой орден Красного Знамени — это очень высокая оценка её труда».
Боевой орден хрупкая от природы, интеллигентная женщина получила, конечно, не за новый вид росписи фарфора. Все 900 дней блокады она провела в родном Ленинграде, на заводе. Ехать вместе с коллегами на Урал в эвакуацию отказалась. Приближала Победу. По-своему.
Страшные годы удалось пережить лишь благодаря любимой работе. И книгам. Заводскую библиотеку эвакуировать не успели. Собранная в стопки литература так и осталась лежать в заснеженных железнодорожных вагонах. Каждый день на санках Анна Яцкевич привозила книги обратно. В 43-м, после прорыва блокады, на заводе вновь открыли художественную лабораторию.
А ещё спустя год на фарфоровой посуде появилась первая «Кобальтовая сетка».
Александр Кучеров, советник генерального директора Императорского фарфорового завода:
«Сказать, что именно легло в основу этого рисунка не может никто. Возможно, это было навеяно и окнами блокадного города, поскольку здесь жила её мама, здесь жила её сестра, которые в 1942 году умерли, она их похоронила. Возможно, это перекрещивание этих бумажных лент».Бумажными лентами в Ленинграде заклеивали окна, чтобы стёкла не трескались и не вылетали от бомбёжек. На кадрах блокадной хроники видно: белые кресты тогда появились почти на всех центральных улицах города на Неве.
Дмитрий Копытов, корреспондент: «Версию о том, что знаменитую «Кобальтовую сетку» её создательница придумала, вспоминая о блокадных днях, подтверждает факт: изначально раскрашенные чашки и чайники такого вот серо-белого цвета, что вполне в тональности ленинградской зимы».
Есть и другие версии появления «Кобальтовой сетки», тоже связанные с блокадой.
Наталья Бордей, руководитель пресс-службы Императорского фарфорового завода: «Существует теория, что художник Анна Яцкевич ходила в блокадные годы на Неву зимой долбить прорубь в реке, чтобы иметь под рукой воду на случай пожара на заводе. От голода, от усталости трещины на льду, золотые снежинки в ярких солнечных лучах — всё в её воображении скрестилось и это навеяло её декор «Кобальтовая сетка»».
Впервые похожая сеточка на чайниках и чашках завода появилась ещё при императрице Елизавете Петровне. Орнамент создан мастером Дмитрием Виноградовым. Но полоски тогда были розовыми. За «Кобальтовую сетку» фарфоровый завод получил несколько престижных медалей. Сейчас в бело-синей стилистике здесь изготавливают уже более ста видов посуды. С 70-х годов о необычном русском орнаменте узнал весь мир. В посольстве России в Париже до сих пор гостей угощают именно из сетчатой посуды. Свой привычный синий цвет кобальт приобретает после обжига при температуре больше тысячи градусов.
Александра Горохова, живописец-штамповщик Императорского фарфорового завода: «Эта лужица черная — это золотосодержащий препарат, 12-процентное золото. После обжига начинает сверкать, до обжига внешний вид неприглядный».
Подделать технологию сложно, хотя умельцы из Китая несколько раз пытались. Секрет в том, что роспись подглазурная, ручной работы. У её автора, Анны Яцкевич, после войны совсем не осталось наследников. Племянница, которая тоже работала на фарфоровом заводе, умерла вскоре после самой художницы. Но их дело живёт до сих пор. И тысячи обладателей легендарных сервизов с кобальтовой сеткой считали и считают эту посуду своеобразным символом ленинградской Победы.
Свободная зона Лагоса — предприятие Толарам
Подать заявку
- Инфраструктура мирового уровня
- Легкость ведения бизнеса
- Интегрирован с глубоководным портом Лекки.
- Привлекательные
поощрения
LFZ
с первого взгляда
Имея ключевое стратегическое расположение в коридоре Лекки, LFZ имеет хорошие возможности для легкого доступа к ключевым центрам спроса.
Расположен в коммерческом центре крупнейшей экономики Африки.
LFZ
с первого взгляда
План поэтапного развития направлен на создание превосходной инфраструктуры, такой как глубоководный порт Лекки, современные складские помещения и производственный учебный центр
Задействованный капитал — 820 млн долларов США
LFZ
с первого взгляда
Мастер-планируется как интегрированная многокластерная промышленная зона для обслуживания потенциально быстрорастущих секторов, таких как товары народного потребления, фармацевтика, химия, машиностроение, неметаллические полезные ископаемые, логистика и смешанное использование
Назначенные промышленные кластеры
Предыдущий Следующий
Свободная зона Лагоса не только стратегически расположена рядом с портом Лекки, но и может похвастаться превосходными планами для эффективной работы.
- Кластерный подход Возможности для нескольких секторов
- Интегрированное сообщество Жить. Работа. Играть. Среда
- Глубоководный порт Развитие торговли и бизнеса
- Региональное подключение Доступность и охват
- Инфраструктура мирового класса Поддержка бизнес-операций
Африка предлагает невероятные возможности для роста, и наш опыт партнерства с Tolaram за последние пару лет подтвердил, что у нас прочные отношения, привлекательные бренды, местный опыт и проверенная бизнес-модель.
Стив Кахиллейн Председатель и главный исполнительный директор Kellogg
Colgate гордится тем, что сотрудничает с Tolaram для увеличения своих инвестиций в Нигерию. Мы видим много ярких возможностей впереди для этого нового предприятия и для потребителей на этом динамичном и растущем рынке.
Джон Хэзлин Президент Африка-Евразия компании Colgate-Palmolive
Наша операция FZE в Лагосе была самой быстрой организацией бизнеса в рамках BASF. Этому достижению способствовало наличие качественной инфраструктуры в Зоне и глубокие знания, которыми располагала команда Tolaram.
Тайво Илесанми Управляющий директор, BASF Operations FZE
Руководство LFZ предвосхищает потребности инвесторов и предоставляет необходимые медицинские учреждения, площадки для стоянки грузовиков и т. д., а также жилье в соответствии с профессионально управляемой деловой средой; близость к строящемуся глубоководному порту Лекки дает нам стратегические и коммерческие преимущества.
Кен Кригер Президент SBS FZE
КомандаIptables — DD-WRT Wiki
Из вики DD-WRT
Перейти к: навигация, поиск
Вы здесь: Главная страница вики DD-WRT / Сценарии / SSH/Telnet и интерфейс командной строки / iptables
Iptables — мощный инструмент администрирования для фильтрации пакетов IPv4 и NAT.
Он используется для настройки, обслуживания и проверки таблиц правил фильтрации IP-пакетов в ядре Linux.
Команды Iptables можно вводить через интерфейс командной строки и/или сохранять как сценарий брандмауэра в панели администрирования dd-wrt. Я обычно рекомендую сначала протестировать и подтвердить ваши правила в командной строке. Таким образом, если вы совершите большую ошибку (например, заблокируете доступ к маршрутизатору), простая перезагрузка маршрутизатора должна исправить это, а не выполнять полную перезагрузку. Чтобы ваши правила сохранялись после перезагрузки маршрутизатора, сохраните их в сценарии брандмауэра, как упоминалось ранее.
Я думаю, что на этой странице нужно что-то рассказать о Firewall Builder, так как они вроде как связаны…
Содержимое
|
1 Таблицы
1 Пример перенаправления портов[править] Основное использование
iptables -[AD] спецификация правила цепочки [опции] iptables -[RI] chain rulenum спецификация правила [опции] iptables -D цепочка правил [параметры] iptables -[LFZ] [цепочка] [опции] iptables - [NX] цепочка iptables -E имя-старой-цепочки имя-новой-цепочки iptables -P цель цепочки [параметры] iptables -h (распечатать эту справочную информацию)
[править] Команды
--append -цепочка Добавить в цепочку
--delete -D chain Удалить соответствующее правило из цепочки
--delete -D цепочка правил
Удалить правило rulenum (1 = первое) из цепочки
--insert -I цепочка [руленум]
Вставить в цепочку как rulenum (по умолчанию 1=первый)
--replace -R цепочка правил
Заменить правило rulenum (1 = первое) в цепочке
--list -L [цепочка] Вывести список правил в цепочке или во всех цепочках
--flush -F [цепочка] Удалить все правила в цепочке или все цепочки
--zero -Z [цепочка] Обнулить счетчики в цепочке или во всех цепочках
--new -N chain Создать новую пользовательскую цепочку
--delete-цепочка
-X [цепочка] Удалить пользовательскую цепочку
--policy -P целевая цепочка
Изменить политику в цепочке на целевую
--rename-цепочка
-E старая цепочка новая цепочка
Изменить имя цепочки (перемещение любых ссылок)
[править] Опции
--proto -p [!] прото
протокол: по номеру или имени, например. TCP
--source -s [!] адрес[/маска]
исходная спецификация. Маска может быть либо маской сети, либо обычным номером,
указание количества единиц в левой части сетевой маски. Таким образом, маска 24 есть
эквивалентно 255.255.255.0. А "!" аргумент перед спецификацией адреса инвертирует
смысл адреса.
--destination -d [!] адрес[/маска]
спецификация пункта назначения
--sport [!] порт[:endport]
исходный порт (используйте `:' при указании диапазона)
--dport [!] порт[:endport]
порт назначения
--in-interface -i [!] имя ввода[+]
имя сетевого интерфейса ([+] для подстановочного знака)
--jump -j цель
цель для правила (может загрузить целевое расширение)
--match -m совпадение
расширенное соответствие (может загрузить расширение)
--state состояние
состояния подключения для соответствия:
НЕДЕЙСТВИТЕЛЬНЫЙ НОВЫЙ УСТАНОВЛЕННЫЙ СВЯЗАННЫЙ
--tcp-flags [!] маска
совпадают, когда флаги TCP соответствуют указанным:
SYN ACK FIN RST URG PSH ВСЕ НЕТ
--numeric -n числовой вывод адресов и портов
--out-interface -o [!] имя выхода[+]
имя сетевого интерфейса ([+] для подстановочного знака)
--table -t table таблица для управления (по умолчанию: `фильтр')
--verbose -v подробный режим
--line-numbers печатать номера строк при перечислении
--exact -x расширить числа (отобразить точные значения)
--fragment -f соответствует только второму или последующим фрагментам
--modprobe=<команда> попытаться вставить модули с помощью этой команды
--set-counters PKTS BYTES установить счетчик во время вставки/добавления
--version -V распечатать версию пакета
Опции MAC v1. 3.7:
--mac-источник [!] ХХ:ХХ:ХХ:ХХ:ХХ:ХХ
Совпадение MAC-адреса источника
TCP
--source -s [!] адрес[/маска]
исходная спецификация. Маска может быть либо маской сети, либо обычным номером,
указание количества единиц в левой части сетевой маски. Таким образом, маска 24 есть
эквивалентно 255.255.255.0. А "!" аргумент перед спецификацией адреса инвертирует
смысл адреса.
--destination -d [!] адрес[/маска]
спецификация пункта назначения
--sport [!] порт[:endport]
исходный порт (используйте `:' при указании диапазона)
--dport [!] порт[:endport]
порт назначения
--in-interface -i [!] имя ввода[+]
имя сетевого интерфейса ([+] для подстановочного знака)
--jump -j цель
цель для правила (может загрузить целевое расширение)
--match -m совпадение
расширенное соответствие (может загрузить расширение)
--state состояние
состояния подключения для соответствия:
НЕДЕЙСТВИТЕЛЬНЫЙ НОВЫЙ УСТАНОВЛЕННЫЙ СВЯЗАННЫЙ
--tcp-flags [!] маска
совпадают, когда флаги TCP соответствуют указанным:
SYN ACK FIN RST URG PSH ВСЕ НЕТ
--numeric -n числовой вывод адресов и портов
--out-interface -o [!] имя выхода[+]
имя сетевого интерфейса ([+] для подстановочного знака)
--table -t table таблица для управления (по умолчанию: `фильтр')
--verbose -v подробный режим
--line-numbers печатать номера строк при перечислении
--exact -x расширить числа (отобразить точные значения)
--fragment -f соответствует только второму или последующим фрагментам
--modprobe=<команда> попытаться вставить модули с помощью этой команды
--set-counters PKTS BYTES установить счетчик во время вставки/добавления
--version -V распечатать версию пакета
Опции MAC v1.
3.7:
--mac-источник [!] ХХ:ХХ:ХХ:ХХ:ХХ:ХХ
Совпадение MAC-адреса источника
[править] Интерфейсы
При использовании -i или -o для определения физических интерфейсов помните, что по умолчанию:
vlan0 — 4 порта LAN (только K24) только) или 4 порта LAN (K26 и K3.x) (ppp0 — это интерфейс WAN при использовании PPPoE)
vlan2 — порт WAN (K26 и K3.x)
eth2 — это WIFI
eth3 -3 — это WIFI (двойные радиомаршрутизаторы)
br0 — это мост, соединяющий 4 LAN и WIFI вместе
Примечание: ppp0 — это интерфейс WAN при использовании PPPoE. Это также для соединений PPTP VPN. Эта информация взята со страницы IPv6 и приведена здесь: «Подробные шаги настройки предназначены для пользователей с базовым DHCP-подключением для части WAN. Таким образом, при использовании PPPoE потребуется замена vlan1 на ppp0 в каждом случае. Другие типы подключения будут различаться. »
Совет: Чтобы получить список сетевых интерфейсов на маршрутизаторе, используйте ‘ifconfig’ в командной строке.
[править] Таблицы, цепочки и цели
[править] Таблицы
Основными таблицами, которые нас интересуют, являются таблица «filter» и таблица «nat». Чтобы просмотреть содержимое любой таблицы, выполните
iptables -t фильтр -L iptables -t физ -L
Таблица фильтров используется по умолчанию и включает такие цепочки, как INPUT, OUTPUT и FORWARD. Таблица nat предназначена для преобразования сетевых адресов и включает цепочки PREROUTING и POSTROUTING.
[править] Цепочки
INPUT предназначен для пакетов, предназначенных или входящих в локальные сокеты маршрутизатора.
ВЫВОД предназначен для пакетов, исходящих из локальных сокетов маршрутизатора или исходящих из них.
FORWARD предназначен для пакетов, пересылаемых через маршрутизатор (например, пакеты, не обязательно предназначенные для локальных сокетов).
PREROUTING предназначен для управления пакетами до их маршрутизации.
POSTROUTING предназначен для управления пакетами после их маршрутизации.
[править] Targets
ACCEPT — пакеты принимаются/разрешаются
DROP — пакеты отбрасываются/отклоняются (маршрутизатор НЕ отправляет ответ обратно)
REJECT — пакеты отклоняются/отклоняются (маршрутизатор ОТПРАВЛЯЕТ ответ обратно)
logaccept — пакеты принимаются и регистрируются в /tmp/var/log/messages
logdrop — пакеты отбрасываются и регистрируются в /tmp/var/log/messages
logreject — пакеты отклоняются и регистрируются в /tmp/var/log/messages
DNAT предназначен для изменения адреса назначения пакета.
SNAT предназначен для изменения исходного адреса пакета.
TRIGGER — динамическое перенаправление входных портов на основе исходящего трафика (также известное как срабатывание порта)
[править] Параметры цели триггера
Цель триггера имеет дополнительные параметры, которые должны отображаться сразу после нее в командной строке.
--trigger-type [dnat|in|out] --trigger-proto [tcp|udp|all] (если этот параметр не указан, по умолчанию используется all) --trigger-match [port[-port]] (порт или диапазон портов, которые использует исходящее соединение) --trigger-relate [port[-port]] (порт или диапазон портов для открытия на входящей стороне)
[править] Примеры
Я думаю, что примеры — лучший способ продемонстрировать использование iptables.
(Обратите внимание, цепочки должны быть набраны заглавными буквами, как показано!)
[править] Список правил в цепочке
Сначала я хочу просмотреть правила в моей цепочке INPUT, это первая цепочка трафик, поступающий на мой маршрутизатор, попадет.
iptables -L ВХОД
Вы обнаружите, что очень медленно перечислять все многочисленные правила после того, как вы введете приведенную выше команду iptables, поскольку она выполняет обратный поиск DNS для преобразования IP-адресов в имена хостов. Вы можете добавить опцию -n, чтобы видеть только числовые адреса. Примечание: «0.0.0.0/0» = «откуда» (любой IP-адрес), а «0» prot = «любой» протокол.
iptables -nL ВВОД
Чтобы получить более подробный список с фактическими номерами IP и количеством пакетов для каждого правила, сделайте следующее.
iptables -vnL ВХОД
Пожалуйста, всегда используйте -vnL при устранении неполадок, особенно если вы обращаетесь за помощью на форумах.
Все, что меньше, скрывает ценную информацию и объясняется на этой странице только для справки.
Предположим, мне нужно добавить правило, позволяющее подключиться к маршрутизатору по ssh с определенного хост/адрес снаружи. Затем я мог бы ввести следующее:
iptables -A INPUT -p tcp -s 123.45.67.89 --dport 22 -j logaccept
Итак, я говорю: добавьте к цепочке INPUT правило, разрешающее протокол tcp, с исходным адресом 123.45.67.89. <мой внешний IP-адрес, к которому я хочу получить доступ> трафик, предназначенный для порта 22 на моем маршрутизаторе, перейти к logaccept. Я мог бы использовать -j ACCEPT, который просто переходит к ACCEPT, но в этом случае я хочу зарегистрировать его просто для отслеживания, поэтому я использую logaccept, который представляет собой цепочку, которую мы установили для этой цели.
Примечание. Простого добавления правила в цепочку INPUT может быть достаточно, чтобы разрешить удаленный доступ по SSH из глобальной сети.
Однако, если ваш маршрутизатор все еще находится в режиме NAT/Gateway и вы хотите переназначить порт SSH на что-то менее традиционное на стороне WAN (например, порт 2222), вы можете вместо этого вставить правило PREROUTING. На самом деле это то, как GUI делает это, когда вы включаете удаленное управление WAN SSH.
iptables -I INPUT -p tcp -m tcp -d `nvram get lan_ipaddr` --dport 22 -j logaccept iptables -t nat -I PREROUTING -p tcp -m tcp -d `nvram get wan_ipaddr` --dport 2222 -j DNAT --to-destination `nvram get lan_ipaddr`:22
Теперь, если я наберу
iptables -vnL ВХОД
Я вижу, что мое новое блестящее правило добавлено к цепочке INPUT. Однако это нехорошо, потому что в моем случае У меня есть правило, блокирующее этот трафик, которое выполняется ДО правила, разрешающего его.
Как его изменить? Простой.
Сначала давайте удалим только что созданное правило
iptables -vnL ВВОД --номера строк
перечислит правила с их номерами правил.
Допустим, наше правило номер 11.
iptables -D ВХОД 11
Ясно, что это Удаляет правило номер 11 из цепочки ввода.
Теперь вместо добавления я собираюсь вставить свое правило в позицию номер 1 (по умолчанию).
iptables -I INPUT -p tcp -s 150.100.что угодно.что-то --dport 22 -j logaccept
Итак, теперь правило номер 1 является моим новым правилом, а все остальные правила сдвинулись вниз позиция.
Если бы я хотел изменить IP-адрес или любой другой аспект моего правила ssh, я мог бы использовать параметр -R (Заменить) для определенного номера правила и просто введите новое правило, т.е.
iptables -R ВВОД 1 -p tcp -s 100.100.200.100 --dport 22 -j ПРИНЯТЬ
Это заменит правило номер 1 в цепочке INPUT новым правилом, которое имеет новый исходный IP-адрес и переходит к ACCEPT вместо logaccept.
Еще один пример: я хочу запустить мини-веб-сервер на своем маршрутизаторе. Предположим, что
он уже работает на порту 8000, и я могу получить к нему доступ со стороны локальной сети, но не
со стороны WAN.
С
iptables -I INPUT -p tcp -d 192.168.1.1 --dport 8000 -j logaccept
порт 8000 будет открыт. Но я также должен настроить NAT PREROUTING, чтобы ядро пересылает все пакеты на порт 8000 извне на себя, 192.168.1.1:
iptables -t nat -I PREROUTING -p tcp -d $(nvram get wan_ipaddr) --dport 8000 -j DNAT --to 192.168.1.1:8000
[править] Переадресация портов на определенный IP-адрес локальной сети
Переадресация портов может быть выполнена из веб-интерфейса здесь. Однако то же самое можно сделать немного по-другому (проверено и работает) через командную строку. —u3gyxap: Пример с портом 443 и IP 192.168.1.2
iptables -t nat -I PREROUTING -p tcp -d $(nvram get wan_ipaddr) --dport 443 -j DNAT --to 192.168.1.2:443 iptables -I FORWARD -p tcp -d 192.168.1.2 --dport 443 -j ПРИНЯТЬ
Если вы хотите ограничить исходный IP-адрес (вопрос, который часто задают на форумах), добавьте -s 123.45.67.89 в одно из ваших правил (конечно, заменив IP-адрес на реальный).
iptables -t nat -I PREROUTING -p tcp -s 123.45.67.89 -d $(nvram get wan_ipaddr) --dport 443 -j DNAT --to 192.168.1.2:443 iptables -I FORWARD -p tcp -d 192.168.1.2 --dport 443 -j ПРИНЯТЬ
Это должно сделать так, чтобы только один IP-адрес мог получить доступ к вашему переадресованному порту из Интернета.
Чтобы заставить это работать (v.24), мне нужно было также указать «-s 123.45.67.89» в команде «iptables -I FORWARD». Когда это было только в команде PREROUTING, я все еще был возможность доступа к внутреннему ресурсу с любого IP адреса!
[править] Запретить доступ к определенному IP-адресу
iptables -I FORWARD -d 123.123.123.123 -j DROP (только K24) iptables -I FORWARD 1 -d 123.123.123.123 -j DROP (K26 и K3.x)
Что приведет к УДАЛЕНИЮ всех пакетов, предназначенных для данного IP. Полезно, чтобы заблокировать доступ к чему угодно. Если вы хотите регистрировать запись, когда IP-адрес заблокирован, вы должны установить место перехода на logdrop вместо DROP.
[править] Запретить доступ к определенной подсети
iptables -I FORWARD -s 192.168.2.0/255.255.255.0 -j DROP
[править] Запретить доступ к определенному диапазону IP-адресов с помощью ведения журнала
iptables -I FORWARD -m iprange --src-range 192.168.1.10-192.168.1.13 -j logdrop
Многие сборки не имеют совпадения iprange, но вы также можете использовать умные маски подсети для достижения чего-то подобного, если диапазон хорошо выравнивается по границам подсети. Вы также можете загрузить версию iptables, которая включает в себя соответствие iprange через Optware.
[править] Запретить доступ к определенному исходящему IP-адресу с ведением журнала
iptables -I ВЫВОД -d 239.255.255.250 -j logdrop
Это становится полезным, если есть программа, которая хочет получить исходящее соединение с определенным адресом, но вы не хотите разрешать это соединение. В этом конкретном примере Windows неправильно использует этот IP-адрес в качестве широковещательного адреса (дополнительную информацию можно найти в Google).
При просмотре журналов вашего маршрутизатора вы увидите, что Windows несколько раз в минуту транслирует на этот IP-адрес. По умолчанию маршрутизатор пропускает широковещательную рассылку и объявляет всем за пределами вашего маршрутизатора, что ваш компьютер существует. Это правило заблокирует трафик на этот конкретный исходящий IP-адрес и добавит запись в журнал маршрутизатора.
редактировать: В этом нет ничего неправильного. Это многоадресный адрес объявления/обнаружения службы, используемый SSDP. Это необходимо для обнаружения устройств на основе uPnP в вашей сети. Если вы удалите их, ваши медиа-серверы DLNA, ushare, minidlna, PS3, Xbox и т. д. не будут видеть друг друга, если они находятся в разных подсетях. Эти пакеты имеют TTL 4, поэтому они не уйдут слишком далеко от вашей сети. 239.x.x.x — это частный диапазон многоадресной рассылки IPv4, поэтому интернет-провайдеры будут удалять его в своих точках входа.
[править] Блокировать SMTP-трафик, за исключением указанных хостов
Простой протокол передачи почты работает на tcp-порту 25.
/usr/sbin/iptables -I FORWARD 1 -p tcp -d safe.server1.com --dport 25 -j logaccept /usr/sbin/iptables -I FORWARD 2 -p tcp -d safe.server2.com --dport 25 -j logaccept /usr/sbin/iptables -I FORWARD 3 -p tcp --dport 25 -j logdrop
Который будет принимать и регистрировать весь smtp-трафик на safe.server1.com и safe.server2.com, блокируя и отбрасывая весь остальной исходящий smtp-трафик.
[править] Блокировать исходящий SMTP-трафик, за исключением указанных хостов
Простой протокол передачи почты работает на tcp-порту 25.
iptables -I FORWARD 1 -p TCP -s 192.168.1.2 --dport 25 -j ПРИНЯТЬ iptables -I FORWARD 2 -p TCP -s 192.168.1.1/24 --dport 25 -j ОТКЛОНИТЬ
Принимает исходящий SMTP-трафик с вашего внутреннего SMTP-сервера (192.168.1.2), но отклоняет исходящий SMTP-трафик со всех других узлов в вашей локальной сети (192.168.1.1/24). Полезно, чтобы заставить всех клиентов вашей локальной сети использовать ваш внутренний SMTP-сервер, а также заблокировать любые вирусы и трояны, генерирующие спам, от отправки почты на удаленные серверы самостоятельно.
Измените «REJECT» на «logdrop» или «ACCEPT» на «logaccept», чтобы добавить ведение журнала.
Внимание! Это также заблокирует внутренних пользователей от использования вашего внешнего IP-адреса в качестве своего SMTP-сервера.
[править] Разрешить HTTP-трафик только для определенных доменов
Аналогично, мы можем использовать описанный выше метод для фильтрации других портов и протоколов, таких как стандартный веб-трафик, работающий на tcp-порту 80.
iptables -I FORWARD 1 -p tcp -d dd-wrt.com --dport 80 -j ПРИНЯТЬ iptables -I ВПЕРЕД 2 -p tcp --dport 80 -j УДАЛИТЬ
Принимающий весь http-трафик на dd-wrt.com и блокирующий исходящий http-трафик куда-либо еще. Если вы хотите разрешить несколько сайтов, вставьте дополнительные правила перед DROP (следя за тем, чтобы они правильно упорядочивались и нумеровались).
[править] Блокировать весь трафик, кроме HTTP, HTTPS и FTP
В этом примере блокируется весь трафик, кроме нашего обычного веб-трафика, зашифрованного (ssl) и протокола передачи файлов.
iptables -I FORWARD 1 -p tcp -m multiport --dports 21,80,443 -j ПРИНЯТЬ iptables -I FORWARD 2 -m состояние --state УСТАНОВЛЕНО,СВЯЗАННО -j ПРИНЯТЬ iptables -I ВПЕРЕД 3 -j УДАЛИТЬ
Внимание! Пользователи по-прежнему могут пройти через брандмауэр, если они достаточно хитры, чтобы использовать эти разрешенные номера портов для своих P2P или других приложений. В этом случае вам следует рассмотреть возможность использования ограничений доступа, чтобы уменьшить вероятность этого.
[править] Запретить клиентам доступ к конфигурации маршрутизатора
Это должно предотвратить доступ клиентов в локальной сети (интерфейс br0) к интерфейсу конфигурации маршрутизатора через любой из следующих портов (telnet/23, ssh/22, http/ 80, https/443)
iptables -I INPUT -i br0 -p tcp --dport telnet -j REJECT --reject-with tcp-reset iptables -I INPUT -i br0 -p tcp --dport ssh -j REJECT --reject-with tcp-reset iptables -I INPUT -i br0 -p tcp --dport www -j REJECT --reject-with tcp-reset iptables -I INPUT -i br0 -p tcp --dport https -j REJECT --reject-with tcp-reset
Совет: Если вы отключите управление из локальной сети, обязательно включите удаленное управление через глобальную сеть (или наоборот), иначе вы, вероятно, заблокируете себя от маршрутизатора.
[править] Ограничить доступ по MAC-адресу
В этом примере мы покажем, как ограничить доступ к веб-интерфейсу маршрутизатора по MAC-адресу. Другими словами, только компьютер, имеющий указанный MAC-адрес, должен иметь доступ к веб-интерфейсу из локальной сети.
Во-первых, если нет включенных политик ограничения доступа и фильтрации по MAC-адресам, вам может понадобиться вставить mac-модуль iptables вручную:
insmod xt_mac #k2.6 имя модуля insmod ipt_mac #k2.4 имя модуля iptables -I INPUT -p tcp --dport 80 -m mac ! --mac-источник 00:12:34:56:78:9A -j REJECT --reject-с tcp-reset
Обратите внимание! (взрыв) — еще одна новая концепция, представленная здесь. Это означает «НЕ». Итак, внимательно изучив правило, мы видим, что оно будет ОТКЛОНЯТЬ пакеты, предназначенные для порта 80 маршрутизатора, если они НЕ исходят от нашего компьютера с желаемым MAC-адресом.
Внимание! Как обычно, имея дело с MAC-адресами, имейте в виду, что злоумышленники могут подменить свой MAC-адрес адресом доверенной машины.
Вы можете помочь в борьбе с этим, используя статические записи ARP, VLAN и т. д.
[править] Изменение TTL
Время жизни — это максимальное количество маршрутизаторов, через которые проходит пакет, прежде чем он будет отброшен. В определенных ситуациях может оказаться полезным увеличить его (обычно), чтобы сделать вашу сеть более надежной.
- Пример 1: Установите для входящего TTL значение 10, до того, как маршрутизатор направит его в локальную сеть
iptables -t mangle -I PREROUTING -i $(get_wanface) -j TTL --ttl-set 10
- Пример 2: Установите для исходящего TTL значение 128, как если бы машина Windows была подключена напрямую к модему.
iptables -t mangle -I POSTROUTING -o $(get_wanface) -j TTL --ttl-set 128
- Пример 3: Попробуйте скрыть тот факт, что вы используете привязанный телефон в качестве WAN:
iptables -t mangle -I POSTROUTING -o $(get_wanface) -j TTL --ttl-set 65 iptables -t mangle -I PREROUTING -i $(get_wanface) -j TTL --ttl-set 65
- Пример 4: Попробуйте скрыть факт маршрутизации исходящего пакета, увеличив TTL на единицу.
iptables -t mangle -I POSTROUTING -o $(get_wanface) -j TTL --ttl-inc 1
[править] Переадресованные порты брандмауэра
Если вы включили функцию брандмауэра SPI на DD-WRT, ваш маршрутизатор в значительной степени защищен. Однако одним из практических применений iptables является защита определенных портов, перенаправляемых на внутренние IP-адреса. Самый простой способ сделать это:
- Создать переадресацию портов на внутренние IP-адреса с помощью веб-интерфейса DD-WRT «Переадресация портов».
- Дополните эти правила пользовательскими таблицами iptables в сценарии брандмауэра, который находится в разделе «Администрирование — интерфейс команд», чтобы ограничить, какие хосты могут получить доступ к задействованным портам.
[править] Пример переадресации портов
Текущая настройка переадресации портов через веб-интерфейс будет использоваться в качестве основы для иллюстрации некоторых примеров:
- Приложение: ssh Порт: 4022 Протокол: TCP вперед на IP-адрес: 192. 168.1.5 Порт: 22
- Приложение: ftp Порт: 21 Протокол: TCP вперед на IP-адрес: 192.168.1.6 Порт: 21
168.1.5 Порт: 22В данном примере порт перенаправляет внешний IP-адрес на порт 4022 на внутренний сервер 192.168.1.5:22 для ssh и внешний порт 21 на внутренний сервер 192.168.1.6:21 для ftp.
[править] Примеры правил брандмауэра
Сначала вы можете захотеть ограничить свой ssh-порт только скриптами и предотвратить атаку грубой силы. Таким образом, вы можете ограничить количество НОВЫХ подключений по ssh примерно до 3 попыток в минуту. Любые дальнейшие попытки взломать порт ssh будут прекращены:
iptables -I ВПЕРЕД -p tcp -d 192.168.1.5 --dport 22 -j УДАЛИТЬ iptables -I FORWARD -p tcp --dport 22 -m state --state NEW -m limit --limit 3/мин -j ПРИНЯТЬ iptables -I FORWARD -p tcp --dport 22 -m state --state СВЯЗАННО, УСТАНОВЛЕНО -j ПРИНЯТЬ
Доступ к FTP также может быть ограничен определенной сетью или диапазоном сетей следующим образом:
iptables -I ВПЕРЕД -p tcp -d 192.
168.1.6 --dport 21 -j УДАЛИТЬ
iptables -I FORWARD -p TCP -s 198.133.219.0/24 --dport 21 -j ПРИНЯТЬ
iptables -I ВПЕРЕД -p tcp -s 69.147.64.0/18 --dport 21 -j ПРИНЯТЬ
iptables -I FORWARD -p tcp --dport 21 -m state --state СВЯЗАННО, УСТАНОВЛЕНО -j ПРИНЯТЬ
Конечно, вы можете комбинировать как ограничение скорости, так и ограничение IP-адресов. В следующем примере ssh-соединение ограничено с 207.171.160.0/19 с тем же ограничением скорости, а также с правилами FTP в одном скрипте:
# ограничить SSH-соединение от детей-скриптов в сети Amazon iptables -I ВПЕРЕД -p tcp -d 192.168.1.5 --dport 22 -j УДАЛИТЬ iptables -I ВПЕРЕД -p TCP -s 207.171.160.0/19--dport 22 -m состояние --state NEW -m limit --limit 3/мин -j ПРИНЯТЬ iptables -I FORWARD -p tcp --dport 22 -m state --state СВЯЗАННО, УСТАНОВЛЕНО -j ПРИНЯТЬ # ограничить FTP-подключение двумя подсетями iptables -I ВПЕРЕД -p tcp -d 192.168.1.6 --dport 21 -j УДАЛИТЬ iptables -I FORWARD -p TCP -s 198.133.219.0/24 --dport 21 -j ПРИНЯТЬ iptables -I FORWARD -p TCP -s 69.
147.64.0/18 --dport 21 -j ПРИНЯТЬ
iptables -I FORWARD -p tcp --dport 21 -m state --state СВЯЗАННО, УСТАНОВЛЕНО -j ПРИНЯТЬ
Для многопортового INPUT (или FORWARD, если вы выберете) ограничение скорости, могут быть установлены следующие правила синтаксиса:
wanf=`get_wanface` iptables -I INPUT 2 -i $wanf -p tcp -m multiport --dports 21,22,80,82 -j logdrop iptables -I INPUT 2 -i $wanf -p tcp -m state --state NEW -m multiport --dports 21,22,80,82 -m limit --limit 3/min --limit-burst 2 -j logaccept
Чтобы убедиться, что правила работают, откройте сеанс терминала и введите iptables -vnL | еще
Если вы добавляете много правил, полезно разделить их комментариями, используя префикс #. Конечно, вы можете использовать основы iptables, описанные в этой статье, чтобы усложнить свои правила в соответствии с вашими потребностями. Однако вместо того, чтобы упорядочивать правила, в приведенных здесь примерах эти новые правила просто вставляются поверх цепочки FORWARD.
Это гарантирует, что правила брандмауэра, ограничивающие трафик, появляются в верхней части цепочки и применяются первыми.
Вы можете проверить эти правила на маршрутизаторе в любое время, войдя в командную строку маршрутизатора и выполнив команду «iptables -vnL».
[править] Ведение журнала
Вы можете рассмотреть возможность временного включения ведения журнала для любого из ваших правил. Это полезно, если вы тестируете новую настройку, чтобы убедиться, что правила делают то, что вы собираетесь блокировать или разрешать. Сначала включите ведение журнала через веб-интерфейс на вкладке «Безопасность» — «Брандмауэр». Затем замените цель перехода или «-j» на цель ведения журнала для каждого из ваших правил iptables:
- DROP с логдропом
- ОТКЛОНИТЬ с logreject
- ПРИНЯТЬ с logaccept
Пример, если вы хотите проверить и подтвердить, правильно ли отброшен трафик, переадресованный на порт 21, вы должны заменить:
iptables -I ВПЕРЕД -d 192.
168.1.6 -p tcp --dport 21 -j УДАЛИТЬ
с
iptables -I FORWARD -d 192.168.1.6 -p tcp --dport 21 -j logdrop
Зарегистрированные данные можно просмотреть в веб-интерфейсе на той же странице или в командной строке в файле «/var/log/messages».
[править] Брандмауэр блокирует ответы на обновление DHCP
iptables -I INPUT -p udp --dport 68 -j ACCEPT
Конфигурация брандмауэра по умолчанию блокирует ответы на обновление DHCP, из-за чего DHCP-клиент маршрутизатора запрашивает новый IP-адрес, а текущие соединения разрываются независимо от того, изменяется адрес или нет. ~phuzi0n Используйте эту команду, чтобы исправить это. Замените ACCEPT на logaccept, чтобы убедиться, что он работает.
[править] Осторожно
Добавление команд iptables в процедуру запуска может привести к тому, что вы заблокируете себя из коробки, и у вас не будет другого выбора, кроме как начать все сначала. Если вы экспериментируете с новыми командами, вы можете застраховаться от этого сценария, вставив команду sleep перед командами iptables.
Таким образом, вы можете дать себе, скажем, пять минут (спать 300), прежде чем ваши команды вступят в силу. Если ваши команды имеют неприятные последствия, и вы не можете войти в свой ящик, просто перезапустите его, выключив и снова включив его, и у вас будет пять минут, чтобы войти.
Другой способ — попробовать выполнить команду с помощью ssh (или командной оболочки с графическим интерфейсом, затем нажать «Выполнить команду»*): если ваша команда не касается nvram, она не переживет перезагрузку, но позволит немедленно добавить/ вставка нового правила брандмауэра для теста. Проверьте это немедленно с
эхо $? # должен выводить 0, но помните, что в случае нескольких команд это только успех последней iptables [t table] -[n]vL [chain] --line-numbers
и посмотрите, работает ли он так, как вы думаете.
* Внимание! В графическом интерфейсе echo $? всегда возвращает 0 независимо от того, была ли команда выполнена успешно или нет.