URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 1530
[ Назад ]

Исходное сообщение
"Iptables"
Отправлено Anton Zubkov , 12-Авг-04 17:47

Здравствуйте!
У меня Gentoo Linux, kernel-2.6.7-rс3
Поставил iptables.
Настроил правила так:
iptables -N ports
iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A ports -p tcp --destination-port 22 -j ACCEPT
iptables -A ports -p udp --destination-port 22 -j ACCEPT
iptables -A ports -p tcp --destination-port 20 -j ACCEPT
iptables -A ports -p udp --destination-port 20 -j ACCEPT
iptables -A ports -p tcp --destination-port 21 -j ACCEPT
iptables -A ports -p udp --destination-port 21 -j ACCEPT
iptables -A ports -p tcp --destination-port 53 -j ACCEPT
iptables -A ports -p udp --destination-port 53 -j ACCEPT
iptables -A ports -p tcp --destination-port 80 -j ACCEPT
iptables -A ports -p udp --destination-port 80 -j ACCEPT
iptables -A ports -p tcp --destination-port 3128 -j ACCEPT
iptables -A ports -p udp --destination-port 3128 -j ACCEPT

iptables -A ports -p tcp --destination-port 110 -j ACCEPT
iptables -A ports -p tcp --destination-port 25 -j ACCEPT

iptables -A ports -p tcp --destination-port 1024: -j ACCEPT
iptables -A ports -p udp --destination-port 1024: -j ACCEPT

iptables -A INPUT   -p icmp -j DROP
iptables -A OUTPUT  -p icmp -j ACCEPT
iptables -A FORWARD -p icmp -j ACCEPT
echo 1 > /proc/sys/net/ipv4/conf/all/forwarding
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 --out-interface eth0 -j
SNAT  --to-source 212.86.245.42
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
При таком раскладе все работает из моей сети, но из внешнего мира никто не может ко мне зайти ни по ftp ни по http

Содержание

Iptables,fantom, 11:50 , 15-Авг-04
- Iptables,DAerMon, 00:46 , 16-Авг-04
Iptables,Arifolth, 10:59 , 16-Авг-04
- Iptables,DAerMon, 00:19 , 17-Авг-04
  - Iptables,Arifolth, 16:17 , 20-Авг-04
    - Iptables,DAerMon, 00:40 , 25-Авг-04
    - Iptables,DAerMon, 00:40 , 25-Авг-04
      - Iptables,Arifolth, 14:15 , 25-Авг-04

Сообщения в этом обсуждении

"Iptables"
Отправлено fantom , 15-Авг-04 11:50

>
>iptables -P INPUT DROP

Вот и непускает

"Iptables"
Отправлено DAerMon , 16-Авг-04 00:46

>
>>
>>iptables -P INPUT DROP
>
>
>Вот и непускает
Согласен, но фишка не в том. Была создана новая цепочка ports но перенаправление на нее не идет. Если добавить правило наподобие:
iptables -A INPUT -j potrs
то все будет ОК.

"Iptables"
Отправлено Arifolth , 16-Авг-04 10:59

>Здравствуйте!
>У меня Gentoo Linux, kernel-2.6.7-rс3
>При таком раскладе все работает из моей сети, но из внешнего мира
>никто не может ко мне зайти ни по ftp ни по
>http
создай правила типа DNAT для проброса соединений извне на сервак во внутренней сети и усё заработает
наверно =)

"Iptables"
Отправлено DAerMon , 17-Авг-04 00:19

>>Здравствуйте!
>>У меня Gentoo Linux, kernel-2.6.7-rс3
>
>>При таком раскладе все работает из моей сети, но из внешнего мира
>>никто не может ко мне зайти ни по ftp ни по
>>http
>создай правила типа DNAT для проброса соединений извне на сервак во внутренней
>сети и усё заработает
>наверно =)
Пример приведи что ты хочешь сделать с DNAT. На сколько я понимаю из перечисленных правил, сервак там с одной стороны подключен к внутренней сети, а с другой - к провайдеру (с помощью SNAT скрывается структура локальной сети). Как мне кажется, DNAT там не нужен, если только какой-то из открытых сервисов не будет предоставлять локальная машина, а не сервер.

"Iptables"
Отправлено Arifolth , 20-Авг-04 16:17

>Пример приведи что ты хочешь сделать с DNAT. На сколько я понимаю
>из перечисленных правил, сервак там с одной стороны подключен к внутренней
>сети, а с другой - к провайдеру (с помощью SNAT скрывается
>структура локальной сети). Как мне кажется, DNAT там не нужен, если
>только какой-то из открытых сервисов не будет предоставлять локальная машина, а
>не сервер.
я не понимаю в чём проблема =)
соединения извне не проходят на софт крутящийся на этой машине или на машине в локальной сети???
пример уже тут на форуме приводил - как DNAT пользовать и не только я
ток что ищите
общая идея таковаЖ
input/output/forward политики должны быть drop/reject
далее разрешать
следует помнить что:
1) соединения идущие во внутреннюю сеть транзитом (я имею ввиду соединения инициированые извне)через этот комп попадают сперва в цепочку PREROUTING(это к слову о DNAT) затем FORWARD & etc
2)соединения идущие на ЭТУ машину попадают в цепочку INPUT
3)соединения идущие наружу через эту машину проходят FORWARDING затем POSTROUTING
исходя из того что я сказал и нада клепать правила
а в приведённом куске сценария непонятно как что-то попадает в ports
чтоб что-то попало в портс его нада -j ports

"Iptables"
Отправлено DAerMon , 25-Авг-04 00:40

<skip>
>исходя из того что я сказал и нада клепать правила
>а в приведённом куске сценария непонятно как что-то попадает в ports
>чтоб что-то попало в портс его нада -j ports
^^^^^^^
Если ты не обратил внимание, то именно такое решение я и предложил ;)

"Iptables"
Отправлено DAerMon , 25-Авг-04 00:40

<skip>
>исходя из того что я сказал и нада клепать правила
>а в приведённом куске сценария непонятно как что-то попадает в ports
>чтоб что-то попало в портс его нада -j ports
^^^^^^^
Если ты не обратил внимание на мое пред предыдущее сообщение, то именно такое решение я и предложил ;)

"Iptables"
Отправлено Arifolth , 25-Авг-04 14:15

><skip>
>>исходя из того что я сказал и нада клепать правила
>>а в приведённом куске сценария непонятно как что-то попадает в ports
>>чтоб что-то попало в портс его нада -j ports
>
>
>
>    ^^^^^^^
>Если ты не обратил внимание на мое пред предыдущее сообщение, то именно
>такое решение я и предложил ;)
ну так я с тобой не спорю =)
ты предложил
непонятно - что автор топика имел ввиду!
соединения извне не проходят на софт крутящийся на этой машине или на машине в локальной сети???
если в сети - DNAT
если на машине - как ты и сказал -j ports
=)