URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 5088
[ Назад ]

Исходное сообщение
"Настроить ipchains"
Отправлено Vint , 25-Окт-00 10:28

Знатоки отзовитесь! Помогите настроить ipchains...
Имеются следующие правила:
>ipchains -N ppp-out
>ipchains -A output -i ppp0 -j ppp-out
>ipchains -A ppp-out -p TCP -d 0.0.0.0/0 ftp-data -t 0x01 0x02
>ipchains -A ppp-out -p TCP -d 0.0.0.0/0 nntp -t 0x01 0x02
>ipchains -A ppp-out -p TCP -d 0.0.0.0/0 pop-3 -t 0x01 0x02
>ipchains -N ppp-inn
>ipchains -A input -i ppp0 -j ppp-inn
>ipchains -A ppp-inn -p UDP -s "MY DNS IP" -d $LOCALIP dns -j ACCEPT
>ipchains -A ppp-inn -p TCP -s 0.0.0.0/0 ftp-data -d $LOCALIP 1024:5999 -j ACCEPT
>ipchains -A ppp-inn -p TCP -s 0.0.0.0/0 ftp-data -d $LOCALIP 6010: -j ACCEPT
>ipchains -A ppp-inn -p TCP -d $LOCALIP ftp -j ACCEPT
>ipchains -A input -i lo -j ACCEPT
>ipchains -A ppp-inn -p TCP -s ! $LOCALIP -d 0.0.0.0/0 telnet -j REJECT
>ipchains -A input -l -p TCP -i ppp0 -d 0.0.0.0/0 80 -j ACCEPT
>ipchains -P input DENY
Не пускает по www, где копать, подскажите... PLEASE...

Содержание

RE: Настроить ipchains,Andr, 22:00 , 25-Окт-00
- RE: Настроить ipchains,Vint, 11:14 , 26-Окт-00
RE: Настроить ipchains,Sciurus, 14:11 , 26-Окт-00
- RE: Настроить ipchains,Andr, 16:20 , 27-Окт-00
  - RE: Настроить ipchains,Sciurus, 19:42 , 27-Окт-00
    - RE: Настроить ipchains,roman, 20:07 , 23-Дек-00

Сообщения в этом обсуждении

"RE: Настроить ipchains"
Отправлено Andr , 25-Окт-00 22:00

Ты заворачиваешь все входящие пакеты ppp0 на ppp-inn цепочку до input они не доходят.
Правило
>ipchains -A input -l -p TCP -i ppp0 -d 0.0.0.0/0 80 -j ACCEPT
Не будет работать
Надо
>ipchains -A ppp-inn -l -p TCP -d 0.0.0.0/0 80 -j ACCEPT
И еще посматри правила по умолчанию для исходячего трафика если DENY, то с таким как у тебя ничего работать не будет открой порты хотя бы выше 1024. Хотя мне кажется DENY для output это лишнее.

"RE: Настроить ipchains"
Отправлено Vint , 26-Окт-00 11:14

Это опять я... Изменил правило:
>ipchains -A input -l -p TCP -i ppp0 -d 0.0.0.0/0 80 -j ACCEPT
на
>ipchains -A ppp-inn -l -p TCP -d 0.0.0.0/0 80 -j ACCEPT
- все равно, ведь, не пускает, зараза. Братцы, помогите... Если можно с обратным адресом, чтобы можно было узнать по подробнее. Мне можно на Casper@barrt.ru. Спасибо заранее...

"RE: Настроить ipchains"
Отправлено Sciurus , 26-Окт-00 14:11

А почему ipchains -P input DENY в самом конце?
У меня наоборот , в самом начале все запрещается, потом кое-что открыватеся, и все работает.
Попробуй эту строку убрать, если все нормализуется, то вперед ее , родимую :)

"RE: Настроить ipchains"
Отправлено Andr , 27-Окт-00 16:20

Извини сразу не заметил есть еще парочку недостатков твоих рулезов
Добавь
>ipchains -A ppp-inn -p TCP -s 0.0.0.0/0 www -d $LOCALIP 1024:5999 -j ACCEPT
>ipchains -A ppp-inn -p TCP -s 0.0.0.0/0 www -d $LOCALIP 6010: -j ACCEPT
И самое главное
>ipchains -A forward -s$LOCALIP -j ACCEPT
А по поводу выше сказанного. Место указания правила по умолчанию не имеет значения.
Надеюсь теперь все заработает.

"RE: Настроить ipchains"
Отправлено Sciurus , 27-Окт-00 19:42

В ipchains-1.3.9 еще как имеет значение место правила: если указать
ipchains ... 0/0 -d my_host_ip -j ACCEPT
а затем
ipchains ... bad_ip -d my_host_ip -j DENY
то будет проверено только первое правило, а так как оно разрешает все, то bad_ip
спокойно будет пропущен.
Проверено.

"RE: Настроить ipchains"
Отправлено roman , 23-Дек-00 20:07

Ну сказали же тебе: правило по умолчанию, т.е.:
ipchains -P