Сложилась странная ситуация, с iptables - открылся интернет на все айпишники из всех подсетей на которые написаны роуты, конфиг найти не могу (машину настраивал не я), есть дамп, из которого по видимому он и подгружается, в дампе вроде бы все ровно, но думаю там чтото намученно с правилом которое в конфиге стоит в первых строчках и указывает открыт доступ по умолчанию или закрыт где оно указывается в дампе - хз .Подскажите кто нить какой командой оно пишется потому что излазил весь интернет ничего не нашел :( команды на закрытие input, forfarding,output - просто ложат весь инет, их можно не писать :), ссылку на http://www.opennet.me/docs/RUS/iptables/ тоже кидать не надо читал уже может не увидел может не понял :( . заранее спасибо.
>[оверквотинг удален]
>всех подсетей на которые написаны роуты, конфиг найти не могу (машину
>настраивал не я), есть дамп, из которого по видимому он и
>подгружается, в дампе вроде бы все ровно, но думаю там чтото
>намученно с правилом которое в конфиге стоит в первых строчках и
>указывает открыт доступ по умолчанию или закрыт где оно указывается в
>дампе - хз .Подскажите кто нить какой командой оно пишется потому
>что излазил весь интернет ничего не нашел :( команды на закрытие
>input, forfarding,output - просто ложат весь инет, их можно не писать
>:), ссылку на http://www.opennet.me/docs/RUS/iptables/ тоже кидать не надо читал уже может
>не увидел может не понял :( . заранее спасибо.Сколько платим?)
100500 :)
>100500 :)В какой валюте ?)
>>100500 :)
>
>В какой валюте ?)кризис... в какой надо? :)
:(((((
Начните с показа iptables-save и списка интерфейсов/сетей/ip, которым надо разрешить/запретить что-либо.
закрывать никаким подсетям доступ не надо, просто файрвол перестал выполнять свою основную функцию - доступ должен быть по умолчанию закрыт, а потом после команды биллинга на открытие - открыт соответствующему айпишнику, а тут получается что доступ открыт вообще любому айпи в сети на который настроена маршрутизация, тоесть биллинг вообще пошел лесом.
# Generated by iptables-save v1.3.6 on Sat Jan 31 23:05:36 2009
*filter
:INPUT ACCEPT [1770855499:764257275124]
:FORWARD ACCEPT [68023397:23330857691]
:OUTPUT ACCEPT [1845975008:1257879226440]
:NODENY - [0:0]
:POST - [0:0]
:POSTACC - [0:0]
:POSTDEN - [0:0]
:POSTDENGL - [0:0]
:POSTPRE - [0:0]
:PRE - [0:0]
:PREACC - [0:0]
:PREDEN - [0:0]
:PREPOST - [0:0]
[184:9316] -A INPUT -s ! 10.1.3.11 -i eth3 -p tcp -m tcp -m multiport --dports 21,111,137:139,445,2049,3128,6667 -j DROP
[31:1618] -A INPUT -s 75.52.123.0/255.255.255.0 -p tcp -m multiport --dports 21,111,137:139,445,2049,3128,6667 -j ACCEPT
[0:0] -A INPUT -s 10.1.2.17 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A INPUT -s 10.10.10.100 -p tcp -m tcp --dport 21 -j ACCEPT
[0:0] -A INPUT -s 10.1.2.58 -p tcp -m tcp --dport 25 -j ACCEPT
[211756:13429646] -A INPUT -s 76.227.12.0/255.255.255.0 -p tcp -m multiport --dports 21,111,137:139,445,2049,3128,6667 -j ACCEPT
[134:6600] -A INPUT -s 189.80.0.0/255.252.0.0 -p tcp -m tcp --dport 25 -j DROP
[2059:98900] -A INPUT -s 75.36.231.0/255.255.255.0 -p tcp -m tcp --dport 21 -j ACCEPT
[267944:22912538] -A INPUT -s 75.36.231.0/255.255.255.0 -p tcp -m tcp --dport 3128 -j ACCEPT
[0:0] -A INPUT -s 10.1.0.2 -j ACCEPT
[0:0] -A INPUT -s 10.1.0.1 -j ACCEPT
[81:19538] -A INPUT -s 10.1.3.241 -j ACCEPT
[0:0] -A INPUT -s 10.1.1.15 -p tcp -m tcp --dport 25 -j ACCEPT
[4219:5873647] -A INPUT -s 10.1.3.201 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A INPUT -s 10.1.3.17 -p tcp -m tcp --dport 25 -j ACCEPT
[2466:940035] -A INPUT -s 10.1.2.100 -p tcp -m tcp --dport 25 -j ACCEPT
[1325:488560] -A INPUT -s 10.10.10.100 -p tcp -m tcp --dport 25 -j ACCEPT
[19011:3340571] -A INPUT -s 10.1.2.200 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A INPUT -s 91.194.162.2 -p tcp -m tcp --dport 25 -j ACCEPT
[100:10512] -A INPUT -s 10.1.3.11 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A INPUT -s 10.1.2.236 -p tcp -m tcp --dport 25 -j ACCEPT
[47302:2300540] -A INPUT -i eth1 -p tcp -m tcp -m multiport --dports 21,111,137:139,445,3128,6667 -j DROP
[1593:76600] -A INPUT -s ! 10.1.3.11 -i eth2 -p tcp -m tcp -m multiport --dports 21,111,137:139,445,2049,3128,6667 -j DROP
[1323:1501925] -A INPUT -s 10.1.8.22 -p tcp -m tcp --dport 25 -j ACCEPT
[1645226:72846072] -A INPUT -s 10.1.0.0/255.255.0.0 -p tcp -m tcp --dport 25 -j DROP
[1482082:138913378] -A INPUT -s 193.238.110.237 -j ACCEPT
[6:288] -A INPUT -s 10.1.1.77 -p tcp -m tcp --dport 6665:6669 -j REJECT --reject-with icmp-port-unreachable
[444331:39518158] -A INPUT -p udp -m udp --dport 137 -j DROP
[140239958685:90772302635555] -A FORWARD -j PRE
[140239958679:90772302635275] -A FORWARD -j PREACC
[126644032457:80561474506792] -A FORWARD -j PREDEN
[126583411394:80557149808851] -A FORWARD -j PREPOST
[126583411394:80557149808851] -A FORWARD -j NODENY
[22920543773:14749469272859] -A FORWARD -j POSTPRE
[22920543773:14749469272859] -A FORWARD -j POSTDEN
[22920049571:14749441107359] -A FORWARD -j POSTACC
[827204705:64618508670] -A FORWARD -j POSTDENGL
[18365361:1020686127] -A FORWARD -j POST
[0:0] -A OUTPUT -d 10.1.2.17 -p tcp -m tcp --sport 25 -j ACCEPT
[0:0] -A OUTPUT -d 10.1.2.58 -p tcp -m tcp --sport 25 -j ACCEPT
[0:0] -A OUTPUT -d 10.1.0.1 -j ACCEPT
[0:0] -A OUTPUT -d 10.1.0.2 -j ACCEPT
[0:0] -A OUTPUT -d 10.1.1.15 -p tcp -m tcp --sport 25 -j ACCEPT
[2458:98812] -A OUTPUT -d 10.1.3.201 -p tcp -m tcp --sport 25 -j ACCEPT
[0:0] -A OUTPUT -d 10.1.3.17 -p tcp -m tcp --sport 25 -j ACCEPT
[2154:326899] -A OUTPUT -d 10.1.2.100 -p tcp -m tcp --sport 25 -j ACCEPT
[1118:183026] -A OUTPUT -d 10.10.10.100 -p tcp -m tcp --sport 25 -j ACCEPT
[15517:2700781] -A OUTPUT -d 10.1.2.200 -p tcp -m tcp --sport 25 -j ACCEPT
[0:0] -A OUTPUT -d 91.194.162.2 -p tcp -m tcp --sport 25 -j ACCEPT
[108:6525] -A OUTPUT -d 10.1.3.11 -p tcp -m tcp --sport 25 -j ACCEPT
[0:0] -A OUTPUT -d 10.1.2.236 -p tcp -m tcp --sport 25 -j ACCEPT
[876:40704] -A OUTPUT -d 10.1.8.22 -p tcp -m tcp --sport 25 -j ACCEPT
[1458751:135507656] -A OUTPUT -d 193.238.110.237 -j ACCEPT
[0:0] -A OUTPUT -d 10.1.0.0/255.255.0.0 -p tcp -m tcp --sport 25 -j DROP
[17819:1707958] -A POSTACC -s 193.238.110.236/255.255.255.252 -j ACCEPT
[16686:1602736] -A POSTACC -d 193.238.110.236/255.255.255.252 -j ACCEPT
[1011720876:1250650969801] -A POSTACC -s 194.9.27.0/255.255.255.252 -j ACCEPT
[757273576:285808174462] -A POSTACC -d 194.9.27.0/255.255.255.252 -j ACCEPT
[40308:2906457] -A POSTACC -j ACCEPT
[0:0] -A POSTDENGL -s 194.9.27.0/255.255.255.0 -j DROP
[7726838:760047644] -A POSTDENGL -d 194.9.27.0/255.255.255.0 -j DROP
[9350459:453130284] -A POSTDENGL -s 91.194.162.0/255.255.254.0 -j DROP
[182526700:13183779914] -A POSTDENGL -d 91.194.162.0/255.255.254.0 -j DROP
[62717897:4203864302] -A POSTDENGL -d 10.0.0.0/255.0.0.0 -j DROP
[61825346:4349025238] -A POSTDENGL -s 10.0.0.0/255.0.0.0 -j DROP
[423409:21836517] -A POSTDENGL -j LOG
[423409:21836517] -A POSTDENGL -j DROP
[6:288] -A PRE -s 10.1.1.77 -p tcp -m tcp --dport 6665:6669 -j REJECT --reject-with icmp-port-unreachable
[1:56] -A PREACC -s 10.1.0.1 -j ACCEPT
[0:0] -A PREACC -s 10.1.0.2 -j ACCEPT
[364728:17875532] -A PREACC -d 10.1.0.2 -j ACCEPT
[370697:18141862] -A PREACC -d 10.1.0.1 -j ACCEPT
[176027232:179582207578] -A PREACC -d 10.1.1.2 -j ACCEPT
[120809386:28574860496] -A PREACC -s 10.1.1.2 -j ACCEPT
[7198797:3891315963] -A PREACC -d 194.9.27.90 -j ACCEPT
[6481831:2418111358] -A PREACC -s 194.9.27.90 -j ACCEPT
[653699421:693420863465] -A PREACC -s 10.1.3.11 -j ACCEPT
[470194607:186133656368] -A PREACC -d 10.1.3.11 -j ACCEPT
[38753120:5282327026] -A PREACC -s 194.9.27.12 -j ACCEPT
[69236896:73503199652] -A PREACC -d 194.9.27.12 -j ACCEPT
[372:17856] -A PREACC -s 194.9.27.93 -j ACCEPT
[94166:11278824] -A PREACC -d 194.9.27.93 -j ACCEPT
[122788018:52907967173] -A PREACC -s 194.9.27.92 -j ACCEPT
[129593816:83760008207] -A PREACC -d 194.9.27.92 -j ACCEPT
[22642559:28644074951] -A PREACC -s 194.9.27.94 -j ACCEPT
[13922047:1106695934] -A PREACC -d 194.9.27.94 -j ACCEPT
[245101:25257834] -A PREACC -s 10.10.10.100 -j ACCEPT
[143936:202899952] -A PREACC -d 10.10.10.100 -j ACCEPT
[1295541:72789984] -A PREACC -s 10.10.10.30 -j ACCEPT
[9766:742216] -A PREACC -d 10.10.10.30 -j ACCEPT
[356326:21238494] -A PREACC -s 10.1.2.100 -j ACCEPT
[519728:760033549] -A PREACC -d 10.1.2.100 -j ACCEPT
[212880460:275481927628] -A PREACC -s 10.1.2.200 -j ACCEPT
[122986499:28222855646] -A PREACC -d 10.1.2.200 -j ACCEPT
[220630964:194013165914] -A PREACC -s 10.1.3.17 -j ACCEPT
[180165856:76273260645] -A PREACC -d 10.1.3.17 -j ACCEPT
[2272:2895114] -A PREDEN -s 10.1.2.17 -p tcp -m tcp --dport 25 -j ACCEPT
[6:288] -A PREDEN -s 10.1.2.58 -p tcp -m tcp --dport 25 -j ACCEPT
[109756:154881571] -A PREDEN -s 10.1.1.15 -p tcp -m tcp --dport 25 -j ACCEPT
[27536:36420370] -A PREDEN -s 10.1.3.201 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A PREDEN -s 10.1.3.17 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A PREDEN -s 10.1.2.100 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A PREDEN -s 10.10.10.100 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A PREDEN -s 10.1.2.200 -p tcp -m tcp --dport 25 -j ACCEPT
[154804:207898012] -A PREDEN -s 91.194.162.2 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A PREDEN -s 10.1.3.11 -p tcp -m tcp --dport 25 -j ACCEPT
[0:0] -A PREDEN -s 10.1.2.236 -p tcp -m tcp --dport 25 -j ACCEPT
[1631719:82161887] -A PREDEN -d 10.1.0.0/255.255.255.0 -j DROP
[2204998:127878230] -A PREDEN -d 192.168.0.0/255.255.0.0 -j DROP
[5116820:338236254] -A PREDEN -d 10.1.11.0/255.255.255.0 -j DROP
[20033621:1320439047] -A PREDEN -d 10.1.12.0/255.255.252.0 -j DROP
[291227:378797475] -A PREDEN -s 10.1.8.22 -p tcp -m tcp --dport 25 -j ACCEPT
[17690099:802740568] -A PREDEN -s 10.1.0.0/255.255.0.0 -p tcp -m tcp --dport 25 -j DROP
[0:0] -A PREDEN -d 192.168.0.0/255.255.0.0 -o eth1 -j DROP
[881598:43519800] -A PREDEN -d 10.0.0.0/255.0.0.0 -o eth1 -j DROP
COMMIT
# Completed on Sat Jan 31 23:05:36 2009
# Generated by iptables-save v1.3.6 on Sat Jan 31 23:05:36 2009
*nat
:PREROUTING ACCEPT [2653195609:186797048898]
:POSTROUTING ACCEPT [788741493:53610269809]
:OUTPUT ACCEPT [109143163:6713273909]
[34882:1740649] -A PREROUTING -d 194.9.27.0 -p tcp -m tcp -m multiport --dports 6000,36471 -j DNAT --to-destination 10.1.3.11
[730035:91562669] -A PREROUTING -d 194.9.27.0 -p udp -m multiport --dports 10000:65500 -j DNAT --to-destination 10.1.3.11
[848:46158] -A PREROUTING -d 193.238.110.238 -p tcp -m tcp --dport 16711 -j DNAT --to-destination 10.1.2.200
[262:12376] -A PREROUTING -d 10.10.10.10 -p tcp -m tcp --dport 8000:8020 -j DNAT --to-destination 193.238.111.5
[5804140:532286318] -A PREROUTING -d 194.9.27.52 -j DNAT --to-destination 10.1.3.17
[0:0] -A POSTROUTING -s 10.1.0.2 -j MASQUERADE
[0:0] -A POSTROUTING -s 10.1.0.1 -j MASQUERADE
[601043:57802118] -A POSTROUTING -s 10.1.3.11 -d ! 10.0.0.0/255.0.0.0 -j SNAT --to-source 194.9.27.0
[1174:70408] -A POSTROUTING -s 193.238.110.238 -p tcp -m tcp --dport 25 -j SNAT --to-source 91.194.163.255
[0:0] -A POSTROUTING -s 10.0.0.0/255.0.0.0 -d 193.238.110.238 -j ACCEPT
[2152779:109827214] -A POSTROUTING -s 10.1.3.17 -o eth1 -p tcp -m tcp -j SNAT --to-source 194.9.27.52
[1331149:79860890] -A POSTROUTING -s 193.238.110.238 -p tcp -m tcp --dport 25 -j SNAT --to-source 91.194.162.1
[853482:40994817] -A POSTROUTING -s 10.1.8.14 -o eth1 -p tcp -m tcp -j SNAT --to-source 194.9.27.96
[15712838:798762074] -A POSTROUTING -s 10.1.2.236 -o eth1 -p tcp -m tcp -j SNAT --to-source 194.9.27.95
[65921627:4273043880] -A POSTROUTING -s 10.1.1.0/255.255.255.0 -d ! 10.0.0.0/255.0.0.0 -j SNAT --to-source 91.194.163.241
[101592554:7042003130] -A POSTROUTING -s 10.1.2.0/255.255.255.0 -d ! 10.0.0.0/255.0.0.0 -j SNAT --to-source 91.194.163.242
[9121225:755492213] -A POSTROUTING -s 10.1.3.0/255.255.255.0 -d ! 10.0.0.0/255.0.0.0 -j SNAT --to-source 91.194.163.243
[23223426:1419260744] -A POSTROUTING -s 10.1.4.0/255.255.255.0 -d ! 10.0.0.0/255.0.0.0 -j SNAT --to-source 91.194.163.244
[20304790:1333202970] -A POSTROUTING -s 10.1.5.0/255.255.255.0 -d ! 10.0.0.0/255.0.0.0 -j SNAT --to-source 91.194.163.245
[70789714:7215643489] -A POSTROUTING -s 10.1.6.0/255.255.255.0 -d ! 10.0.0.0/255.0.0.0 -j SNAT --to-source 91.194.163.246
[0:0] -A POSTROUTING -s 10.1.7.0/255.255.255.0 -d ! 10.0.0.0/255.0.0.0 -j SNAT --to-source 91.194.163.247
[23636162:1563166714] -A POSTROUTING -s 10.1.8.0/255.255.255.0 -d ! 10.0.0.0/255.0.0.0 -j SNAT --to-source 91.194.163.248
[0:0] -A POSTROUTING -s 10.1.9.0/255.255.255.0 -d ! 10.0.0.0/255.0.0.0 -j SNAT --to-source 91.194.163.249
[0:0] -A POSTROUTING -s 10.1.10.0/255.255.255.0 -d ! 10.0.0.0/255.0.0.0 -j SNAT --to-source 91.194.163.250
[16047:1180360] -A POSTROUTING -s 10.0.0.0/255.0.0.0 -d ! 10.0.0.0/255.0.0.0 -j SNAT --to-source 91.194.163.255
[0:0] -A POSTROUTING -s 10.0.0.0/255.0.0.0 -d ! 10.0.0.0/255.0.0.0 -j MASQUERADE
COMMIT
# Completed on Sat Jan 31 23:05:36 2009
1. Обратитесь к тому, кто эти все правила написал.
2. # Completed on Sat Jan 31 23:05:36 2009 - Нам хочется видеть актуальные данные, а не то, что было месяц назад
3. Чтобы закрыть доступ, попробуйте удалить правило "-A POSTACC -j ACCEPT".
4. См п. 1
>
>1. Обратитесь к тому, кто эти все правила написал.
>2. # Completed on Sat Jan 31 23:05:36 2009 - Нам хочется
>видеть актуальные данные, а не то, что было месяц назад
>3. Чтобы закрыть доступ, попробуйте удалить правило "-A POSTACC -j ACCEPT".
>
>4. См п. 1это дамп с которого подгуржается файрвол, он не менялся месяц.
человек который писал эти правила - совсем недоступен. (в реанимации лежит)
Спасибо огромное - все заработало.
УРАА! :)