URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 96313
[ Назад ]

Исходное сообщение
"Iptables не получается"
Отправлено linlin , 07-Окт-15 09:13

Здравствуйте.
Я студент и только начинаю изучать Linux и никак не получается сделать лабу по фильтрации пакетов.
Есть виртуальная машина debian, с двумя интерфейсами, за одним сеть eth0(192.168.0.0/24) за другим eth1 (10.0.0.0/24). Машнина с debian - фаервол.
Нужно ограничить доступ с хоста 192.168.0.5 к 10.0.0.5 и разрешить к 10.0.0.6 по ftp.
А с хоста 192.168.0.3 разрешить и к 10.0.0.5 и 10.0.0.6 по ftp.
Я птыаюсь сделать так:
-A DENY_FTP -s 192.168.0.5 -i eth0 -o eth1 -p tcp -m tcp --dport 21 -g DENY_FTP2
-A FORWARD -d 10.0.0.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 21 -j ACCEPT
-A FORWARD -d 10.0.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
-A DENY_FTP2 -d 10.0.0.6/32 -i -eth0 eth1 -j ACCEPT
-A DENY_FTP2 -d 10.0.0.5/32 -i eth0 -o eth1 -j DROP
И все получается ровным счетом наоборот. Т.е. 192.168.0.3 имеет доступ толко к 10.0.0.5.
А 192.168.0.5 ни к кому.
Что я делаю не так?

Содержание

Iptables не получается,serdyksn, 11:51 , 07-Окт-15
- Iptables не получается,linlin, 11:59 , 07-Окт-15
  - Iptables не получается,serdyksn, 13:46 , 07-Окт-15
Iptables не получается,DeerFriend, 12:05 , 07-Окт-15

Сообщения в этом обсуждении

"Iptables не получается"
Отправлено serdyksn , 07-Окт-15 11:51

>[оверквотинг удален]
> -A FORWARD -d 10.0.0.0/24 -i eth0 -o eth1 -p tcp -m tcp
> --dport 21 -j ACCEPT
> -A FORWARD -d 10.0.0.0/24 -i eth1 -o eth0 -p tcp -m tcp
> --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
> -A DENY_FTP2 -d 10.0.0.6/32 -i -eth0 eth1 -j ACCEPT
> -A DENY_FTP2 -d 10.0.0.5/32 -i eth0 -o eth1 -j DROP
> И все получается ровным счетом наоборот. Т.е. 192.168.0.3 имеет доступ толко к
> 10.0.0.5.
> А 192.168.0.5 ни к кому.
> Что я делаю не так?
Это и все что есть в IPTables?
Как мо мне маловато.
И если пошли по "глобальному" пути - посоздавали под каждое правило свою таблицу -- почему тогда входящие пакеты не заварачиваете на обработку по этим таблицам?

"Iptables не получается"
Отправлено linlin , 07-Окт-15 11:59

> Это и все что есть в IPTables?
> Как мо мне маловато.
> И если пошли по "глобальному" пути - посоздавали под каждое правило свою
> таблицу -- почему тогда входящие пакеты не заварачиваете на обработку по
> этим таблицам?
Я не создавал таблицы. Или я чтото не понимаю.
Таблицы это nat, filter..
Я создал цепочку DENY_FTP и DENY_FTP2 внутри таблицы filter..
А создал я их потому как другого решения не нашел. Подскажите вы бы как решили эту задачу?

"Iptables не получается"
Отправлено serdyksn , 07-Окт-15 13:46

>> Это и все что есть в IPTables?
>> Как мо мне маловато.
>> И если пошли по "глобальному" пути - посоздавали под каждое правило свою
>> таблицу -- почему тогда входящие пакеты не заварачиваете на обработку по
>> этим таблицам?
> Я не создавал таблицы. Или я чтото не понимаю.
> Таблицы это nat, filter..
> Я создал цепочку DENY_FTP и DENY_FTP2 внутри таблицы filter..
> А создал я их потому как другого решения не нашел. Подскажите вы
> бы как решили эту задачу?
Да - цепочки (теорию начинаю забывать)

"Iptables не получается"
Отправлено DeerFriend , 07-Окт-15 12:05

Для простых правил создавать лишние цепочки контрпродуктивно.
Пишите сразу откуда\куда -j дроп\акцепт - будет понятнее.