URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 68953
[ Назад ]

Исходное сообщение
"настройка iptables"
Отправлено Евгений , 15-Сен-06 18:14

Доброго времени суток!
Подскажите пожалуйста как правильно написать цепочку,
руки кривые или растут не из того места.
Пробую так:
iptables -A INPUT -p tcp -s 192.168.1.20 -j DROP
iptables -A INPUT -p udp -s 192.168.1.20 -j DROP
iptables -A INPUT -p icmp -s 192.168.1.20 -j DROP
iptables -A INPUT -p tcp -s 192.168.1.20 --dport 25 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.1.20 --dport 110 -j ACCEPT
Словом, нужно закрыть доступ для машины 192.168.1.20
оставить только порты для получения почты.
Исправте плиз. Может я совсем не так делаю?
Заранее спасибо.

Содержание

настройка iptables,_KAV_, 18:28 , 15-Сен-06
настройка iptables,Nimdar, 18:43 , 15-Сен-06
настройка iptables,PavelR, 20:12 , 15-Сен-06
- настройка iptables,Romik, 14:10 , 16-Сен-06
  - настройка iptables,PavelR, 15:06 , 16-Сен-06
    - настройка iptables,malor, 10:46 , 19-Сен-06
      - настройка iptables,_KAV_, 12:25 , 19-Сен-06
        
        настройка iptables,malor, 15:37 , 19-Сен-06
        
        настройка iptables,Zedik, 15:40 , 19-Сен-06
        настройка iptables,_KAV_, 16:36 , 19-Сен-06

Сообщения в этом обсуждении

"настройка iptables"
Отправлено _KAV_ , 15-Сен-06 18:28

Разрешительные правила должны идти первыми

"настройка iptables"
Отправлено Nimdar , 15-Сен-06 18:43

Если у тебя policy DROP, то достаточно прописать только последние две.
А если policy ACCEPT, то
iptables -A INPUT -p tcp -s 192.168.1.20 --dport ! 25 -j DROP
iptables -A INPUT -p tcp -s 192.168.1.20 --dport ! 110 -j DROP

"настройка iptables"
Отправлено PavelR , 15-Сен-06 20:12

>iptables -A INPUT -p tcp -s 192.168.1.20 -j DROP
>iptables -A INPUT -p udp -s 192.168.1.20 -j DROP
>iptables -A INPUT -p icmp -s 192.168.1.20 -j DROP
>
>iptables -A INPUT -p tcp -s 192.168.1.20 --dport 25 -j ACCEPT
>iptables -A INPUT -p tcp -s 192.168.1.20 --dport 110 -j ACCEPT
>
>Словом, нужно закрыть доступ для машины 192.168.1.20
>оставить только порты для получения почты.
>Исправте плиз. Может я совсем не так делаю?
>
>Заранее спасибо.
Не режь ICMP, это неправильно! Отхватишь проблем с MTU тогда поймешь это !

"настройка iptables"
Отправлено Romik , 16-Сен-06 14:10

>
>Не режь ICMP, это неправильно! Отхватишь проблем с MTU тогда поймешь это
>!
поясните пож-ста, связь проблем с mtu и icmp? у меня что-то было страшное с mtu, но справлялся... а при чем тут icmp - понять не могу.

"настройка iptables"
Отправлено PavelR , 16-Сен-06 15:06

При отправке одной из сторон больших пакетов (с установленным флагом DF - Don`t fragment - не фрагментировать) любой маршрутизатор в сети может отправить icmp сообщение о том, что он не может передавать такие большие пакеты - тоесть потребовать у одной из сторон уменьшения размера пакета. Если ICMP закрыть - то такой пакет не дойдет до получателя, и он будет считать что пакеты просто теряются в сети, будет пытаться их переотправлять. Соединение будет просто висеть, а потом отвалится по таймауту.

"настройка iptables"
Отправлено malor , 19-Сен-06 10:46

Почему теряется настройка цепочек после рестарта? Без него веть они не вступают в действие, или я не прав ?(ASPLinux 11)
[root@tev ~]# iptables -A INPUT -s 192.168.0.0/0 -d localhost -p tcp --dport 80 -j ACCEPT
[root@tev ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             localhost.localdomain tcp dpt:http
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
[root@tev ~]# service iptables restart
Сбрасываются правила брандмауэра:                          [  ОК  ]
Политика цепочек брандмауэра устанавливается в ACCEPT: filt[  ОК  ]
Выгружаются модули                                         [  ОК  ]
[root@tev ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

"настройка iptables"
Отправлено _KAV_ , 19-Сен-06 12:25

>Почему теряется настройка цепочек после рестарта? Без него веть они не вступают
>в действие, или я не прав ?(ASPLinux 11)
man iptables_save

"настройка iptables"
Отправлено malor , 19-Сен-06 15:37

В тот момент когда правило было добавлено(iptables -A bla-bla-bla), но еще не проведено сохранение(iptables-save), оно уже в действии? (Slackware 10.2)

"настройка iptables"
Отправлено Zedik , 19-Сен-06 15:40

>В тот момент когда правило было добавлено(iptables -A bla-bla-bla), но еще не
>проведено сохранение(iptables-save), оно уже в действии? (Slackware 10.2)
Да, до 1го рестарта системы(сервиса)

"настройка iptables"
Отправлено _KAV_ , 19-Сен-06 16:36

>В тот момент когда правило было добавлено(iptables -A bla-bla-bla), но еще не
>проведено сохранение(iptables-save), оно уже в действии? (Slackware 10.2)
А в слаке вообще нужно не записывать по iptables_save, а самому писать скрипт инициализации правил. ИМХО, так оно правильнее.