URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 293
[ Назад ]
Исходное сообщение
"(+)Подскажите как в iptables запретить входящие роутящиеся соединения"
Отправлено Samson , 29-Окт-02 13:46 
Есть сервак с двумя интерфейсами
192.168.1.1/24
192.168.0.246/24

Из сети 192.168.1.0/24 хосты выходят в сеть 192.168.0.0/24 через NAT.
Хочу запретить соединения инициированные из сети 192.168.0.0/24 на хосты
сети 192.168.1.0/24. Но при этом соединения из сети 192.168.1.0/24 в сеть 192.168.0.0/24 должны проходить. На сколько я понял надо править цепочку forward только как не знаю.

Содержание
Сообщения в этом обсуждении
"RE: (+)Подскажите как в iptables запретить входящие роутящиеся соединения"
Отправлено Alex Korshunov , 29-Окт-02 13:55 
>Есть сервак с двумя интерфейсами
>192.168.1.1/24
>192.168.0.246/24
>
>Из сети 192.168.1.0/24 хосты выходят в сеть 192.168.0.0/24 через NAT.
>Хочу запретить соединения инициированные из сети 192.168.0.0/24 на хосты
>сети 192.168.1.0/24. Но при этом соединения из сети 192.168.1.0/24 в сеть 192.168.0.0/24
>должны проходить. На сколько я понял надо править цепочку forward только
>как не знаю.

iptables -A FORWARD -p tcp -s 192.168.0.0/24 -j REJECT
iptables -A FORWARD -p tcp -d 192.168.0.0/24 -j ACCEPT

или что-то очень на это похожее...

"RE: (+)Подскажите как в iptables запретить входящие роутящиеся соединения"
Отправлено Samson , 29-Окт-02 16:56 
>
>iptables -A FORWARD -p tcp -s 192.168.0.0/24 -j REJECT
>iptables -A FORWARD -p tcp -d 192.168.0.0/24 -j ACCEPT
>
>или что-то очень на это похожее...

Как я вижу, тут нет ничего касабельно разбора входящего/исходящего соединения, значит эти правила похерят всеь роутинг, не так?


"RE: (+)Подскажите как в iptables запретить входящие роутящиеся соединения"
Отправлено J , 30-Окт-02 11:12 
>>
>>iptables -A FORWARD -p tcp -s 192.168.0.0/24 -j REJECT
>>iptables -A FORWARD -p tcp -d 192.168.0.0/24 -j ACCEPT
>>
>>или что-то очень на это похожее...
>
>Как я вижу, тут нет ничего касабельно разбора входящего/исходящего соединения, значит эти
>правила похерят всеь роутинг, не так?

ну можно еще интерфейс указать

"RE: (+)Подскажите как в iptables запретить входящие роутящиеся соединения"
Отправлено Samson , 29-Окт-02 17:12 
>iptables -A FORWARD -p tcp -s 192.168.0.0/24 -j REJECT
>iptables -A FORWARD -p tcp -d 192.168.0.0/24 -j ACCEPT
>
>или что-то очень на это похожее...


Я кажется понял как, наверно так
eth0 -192.168.0.0/24
eth1 -192.168.1.0/24

iptables -A FORWARD -i eth0 -o eth1 -p tcp --syn -d 192.168.1.0/24 -j DROP

Таким образом отрубаем все попытки соединений из вне с сетью 192.168.1.0
Ворос к гуру, будет работать? На рабочем серваке гадать не хочется.

"RE: (+)Подскажите как в iptables запретить входящие роутящиеся соединения"
Отправлено Alex Korshunov , 30-Окт-02 11:19 

>Таким образом отрубаем все попытки соединений из вне с сетью 192.168.1.0
>Ворос к гуру, будет работать? На рабочем серваке гадать не хочется.

Можно указывать конкретные интерфесы, но вообще ключик -s и ключик -d не просто так существуют. Они как раз и указывают, кто в данном случае source, а кто destination.

"RE: (+)Подскажите как в iptables запретить входящие роутящиеся соединения"
Отправлено Alex Korshunov , 30-Окт-02 11:20 
>
>>Таким образом отрубаем все попытки соединений из вне с сетью 192.168.1.0
>>Ворос к гуру, будет работать? На рабочем серваке гадать не хочется.
>
>Можно указывать конкретные интерфесы, но вообще ключик -s и ключик -d не
>просто так существуют. Они как раз и указывают, кто в данном
>случае source, а кто destination.

А в принципе, человек уже написал самое верное правило - сначала все позапрещать, а уже потом разрешать, что нужно. И гадать тут нечего - простой телнет спасет отца русского файрвола ;)

"RE: (+)Подскажите как в iptables запретить входящие роутящиеся соединения"
Отправлено ovix , 29-Окт-02 21:26 
Вообще-то, все правила в межсетевых экранах пишутся в основном исходя из одного правила: запрещенно все, что не разрешено.
Запрети в начале вообще все:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
а потом своим правилом разреши только нужный трафик "в сеть 192.168.0.0/24 через NAT"

"RE: (+)Подскажите как в iptables запретить входящие роутящиеся соединения"
Отправлено Behemoth , 31-Окт-02 13:26 
Вообще то для запрета форвардинга в одном направлении можно написать что-то вроде:

iptables -t filter -A FORWARD -i eth0 -m state --state NEW -j DROP


"RE: (+)Подскажите как в iptables запретить входящие роутящиеся соединения"
Отправлено Sampan , 17-Ноя-02 22:38 
>Есть сервак с двумя интерфейсами
>192.168.1.1/24
>192.168.0.246/24
>
>Из сети 192.168.1.0/24 хосты выходят в сеть 192.168.0.0/24 через NAT.
>Хочу запретить соединения инициированные из сети 192.168.0.0/24 на хосты
>сети 192.168.1.0/24. Но при этом соединения из сети 192.168.1.0/24 в сеть 192.168.0.0/24
>должны проходить. На сколько я понял надо править цепочку forward только
>как не знаю.

Предположим
192.168.1.1/24             - eth0
192.168.0.246/24          - eth1

# Вначале все запрещаем
iptables -P FORWARD REJECT

# Из сети 192.168.1.1/24 в 192.168.0.246/24 разрешено все
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

# Обратно разрешены только пакеты, соответствующие уже установленному соединению,
# или устанавливающие новое соединение по запросу изнутри (FTP)
# Если FTP между сетями не нужен, RELATED лучше выкинуть
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Ну и, естественно, загрузить необходимые модули - ipt_state, ipt_conntrack, ip_conntrack_ftp и т.п. (сахар, соль - по вкусу)