URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 69195
[ Назад ]

Исходное сообщение
"проблема с файрволом в ADSL модеме на базе лиункса."
Отправлено vvbash , 28-Сен-06 21:41

Есть такой ADSL-модем "DTE XDSL 831". Внутри - линукс с минимальным набором софта.
Проблема вот в чем: мне нужно сей модем подключить к сети, но доступ дать только двум компам. Вроде бы все просто - включил NAT и IP-фильтрацию. Не работает, пускает всех. Залажу телнетом, смотрю конфиг, вижу:
До подключения с инету:
# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
Chain AskeyChain (0 references)
target     prot opt source               destination
ACCEPT     all  --  10.10.10.181         anywhere
DROP       all  --  anywhere             anywhere           state INVALID,NEW
После подключения:
# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere           state RELATED,ESTABLISHED
LOG        tcp  --  anywhere             anywhere           tcp flags:SYN,RST,ACK/SYN LOG level alert prefix `Intrusion -> '
ACCEPT     tcp  --  anywhere             anywhere           tcp dpts:1863:1864
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:4443
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:5566
ACCEPT     tcp  --  anywhere             anywhere           tcp dpts:40000:40099
DROP       all  --  anywhere             anywhere
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
TCPMSS     tcp  --  anywhere             anywhere           tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
TCPMSS     tcp  --  anywhere             anywhere           tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
Chain AskeyChain (0 references)
target     prot opt source               destination
ACCEPT     all  --  10.10.10.181         anywhere
DROP       all  --  anywhere             anywhere           state INVALID,NEW

Я не силен в юниксах, но у меня почему то ощущение, что фильтрация вообще, в принципе не работает.  Это так?
Может у кого то есть опыт тонкой настройки этих модемов - подскажите, как его заставить фильтровать пакеты?

Содержание

проблема с файрволом в ADSL модеме на базе лиункса.,vvbash, 21:48 , 28-Сен-06
проблема с файрволом в ADSL модеме на базе лиункса.,samson_la, 23:04 , 28-Сен-06

Сообщения в этом обсуждении

"проблема с файрволом в ADSL модеме на базе лиункса."
Отправлено vvbash , 28-Сен-06 21:48

После рестарта модема получилась такая картина:
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
TCPMSS     tcp  --  anywhere             anywhere           tcp flags:SYN,RST/SY
N TCPMSS clamp to PMTU
TCPMSS     tcp  --  anywhere             anywhere           tcp flags:SYN,RST/SY
N TCPMSS clamp to PMTU
AskeyChain  all  --  anywhere             anywhere
Т.е. добавилась строка с ссылкой на правила.  Но, все равно - не работает фильтрация.
Причем, если я вручну, с коммандной строки вношу правило в INPUT, то оно - работает. Но при перезагрузке теряется.  А вот те, что пишутся через веб-интерфейс - не работают.

"проблема с файрволом в ADSL модеме на базе лиункса."
Отправлено samson_la , 28-Сен-06 23:04

# iptables -nL -t nat
что пишет? Именно здесь и надо смотреть правила для NAT (в таблице nat). для SNAT - цепочка POSTROUTING.
1. можно попробывать включить NAT тольо для тех хостов, которые нужно пускать в инет.
есть эта функция в web-интерфейсе или нет, не знаю.
2. можно включить NAT для всех, но запретить в цепочке FORWARD. опаять же, как это сделать с веб интерфейса вашего модема не знаю.
цепочки INPUT и OUTPUT тут совсем не причем не причем.