URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3973
[ Назад ]

Исходное сообщение
"iptables"

Отправлено BearMK , 16-Сен-08 12:18 
Вообщем проблема такая - по локалке хожу, с этой машины доступ к localhost:901 (swat) получить немогу,и немогу выйти с машины в интернет - где ошибка в конфиге
предусматривается использовать эту машину в качестве шлюза...
# Generated by iptables-save v1.3.5 on Tue Sep 16 10:20:54 2008
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [1064:69492]
:allowed - [0:0]
:bad_tcp_packets - [0:0]
:icmp_packets - [0:0]
:tcp_packets - [0:0]
:udp_packets - [0:0]
-A INPUT -p tcp -j bad_tcp_packets
-A INPUT -s 192.168.0.0/255.255.0.0 -i eth0 -j ACCEPT
-A INPUT -s 127.0.0.1 -i lo -j ACCEPT
-A INPUT -s 192.168.2.88 -i lo -j ACCEPT
-A INPUT -s 192.168.2.1 -i lo -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 68 --dport 67 -j ACCEPT
-A INPUT -d 192.168.2.1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -j tcp_packets
-A INPUT -i eth0 -p udp -j udp_packets
-A INPUT -i eth0 -p icmp -j icmp_packets
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT_INPUT_PACKET_DIED:" --log-level 7
-A FORWARD -p tcp -j bad_tcp_packets
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT_INPUT_PACKET_DIED:" --log-level 7
-A OUTPUT -p tcp -j bad_tcp_packets
-A OUTPUT -s 127.0.0.1 -j ACCEPT
-A OUTPUT -s 192.168.2.88 -j ACCEPT
-A OUTPUT -s 192.168.2.1 -j ACCEPT
-A OUTPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT_INPUT_PACKET_DIED:" --log-level 7
-A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A allowed -p tcp -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New_not_syn:"
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A tcp_packets -p tcp -m tcp --dport 21 -j allowed
-A tcp_packets -p tcp -m tcp --dport 22 -j allowed
-A tcp_packets -p tcp -m tcp --dport 80 -j allowed
-A tcp_packets -p tcp -m tcp --dport 81 -j allowed
-A tcp_packets -p tcp -m tcp --dport 53 -j allowed
COMMIT
# Completed on Tue Sep 16 10:20:54 2008

ОС - Red Hat Enterprise Linux 5


Зарание благодарен за помошь!


Содержание

Сообщения в этом обсуждении
"iptables"
Отправлено reader , 16-Сен-08 13:29 
>[оверквотинг удален]
>-A tcp_packets -p tcp -m tcp --dport 80 -j allowed
>-A tcp_packets -p tcp -m tcp --dport 81 -j allowed
>-A tcp_packets -p tcp -m tcp --dport 53 -j allowed
>COMMIT
># Completed on Tue Sep 16 10:20:54 2008
>
>ОС - Red Hat Enterprise Linux 5
>
>
>Зарание благодарен за помошь!

покажите ifconfig и route -n
как подключен интернет?
с выключенным firewall-ом к localhost:901 поключается?


"iptables"
Отправлено BearMK , 16-Сен-08 13:59 
ifconfig
eth0      Link encap:Ethernet  HWaddr 00:0E:2E:99:67:71
          inet addr:192.168.2.88  Bcast:192.168.2.255  Mask:255.255.255.0
          inet6 addr: fe80::20e:2eff:fe99:6771/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:906 errors:0 dropped:0 overruns:0 frame:0
          TX packets:223 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:77456 (75.6 KiB)  TX bytes:30420 (29.7 KiB)
          Interrupt:185 Base address:0x6000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:2048 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2048 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:7539832 (7.1 MiB)  TX bytes:7539832 (7.1 MiB)

route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth0
0.0.0.0         192.168.2.1     0.0.0.0         UG    0      0        0 eth0

Интернет подключен так:
ADSL модем с IP=192.168.2.1
DNS - 82.207.69.34


"iptables"
Отправлено reader , 16-Сен-08 14:26 
>[оверквотинг удален]
> 0      0    
>    0 eth0
>0.0.0.0         192.168.2.1  
>  0.0.0.0        
>UG    0      0
>       0 eth0
>
>Интернет подключен так:
>ADSL модем с IP=192.168.2.1
>DNS - 82.207.69.34

попровуйте изменить
-A INPUT -d 192.168.2.1 -m state --state RELATED,ESTABLISHED -j ACCEPT
на
-A INPUT -d 192.168.2.88 -m state --state RELATED,ESTABLISHED -j ACCEPT


"iptables"
Отправлено BearMK , 16-Сен-08 15:01 
reader!
Спасибо большое интернет начал работать!
SWAT нехочет работать...
И непускает через эту машину в сеть другие компьютеры
Вопрос:
Можно ли реализовать доступ в интернет через данный шлюз определённым ай-пи в локале и ещё хотелось бы реализовать этот доступ по мак адресам сетевых карт.
Каким может быть решение защиты от проникновения троянов и вирусов в сеть на windows машины



"iptables"
Отправлено reader , 16-Сен-08 15:38 
>reader!
>Спасибо большое интернет начал работать!
>SWAT нехочет работать...

не работает и при выключении firewall-а? если да, то копайте swat и его настройки

>И непускает через эту машину в сеть другие компьютеры

в FORWARD у вас разрешены входящие и установленные соединения, а исходящие - нет.
так же похоже придется всем транзитным делать SNAT, что бы пакеты возвращались по тому же пути.

>Вопрос:
>Можно ли реализовать доступ в интернет через данный шлюз определённым ай-пи в

на клиентах шлюзом 192.168.2.88, и в FORWARD рулить ими, только кто помешает клиенту изменить адрес шлюза у себя на 192.168.2.1 :)

http://www.opennet.me/docs/RUS/iptables/

>локале и ещё хотелось бы реализовать этот доступ по мак адресам
>сетевых карт.

можно, только мак меняется не сложнее чем ip

>Каким может быть решение защиты от проникновения троянов и вирусов в сеть
>на windows машины

проверка http , почтового, ... трафика, но их наличие и соответственно блокировка его
вариантов куча, но не 100% гарантия, поисковики вам в помощь.


"iptables"
Отправлено BearMK , 16-Сен-08 16:00 
Спасибо!
>
>на клиентах шлюзом 192.168.2.88, и в FORWARD рулить ими, только кто помешает
>клиенту изменить адрес шлюза у себя на 192.168.2.1 :)

Хотелось бы подкинуть сетевую карту ещё одну и к ней напрямую повесить модем

Как лучше всётаки организовать доступ по mak адресам?


"iptables"
Отправлено reader , 16-Сен-08 16:17 
>Спасибо!
>>
>>на клиентах шлюзом 192.168.2.88, и в FORWARD рулить ими, только кто помешает
>>клиенту изменить адрес шлюза у себя на 192.168.2.1 :)
>
>Хотелось бы подкинуть сетевую карту ещё одну и к ней напрямую повесить
>модем

это лучше

>
>Как лучше всётаки организовать доступ по mak адресам?

-m mac --mac-source 00:70:70:70:70:70 -j ACCEPT


"iptables"
Отправлено BearMK , 16-Сен-08 16:38 
>>Как лучше всётаки организовать доступ по mak адресам?
>
>-m mac --mac-source 00:70:70:70:70:70 -j ACCEPT

ясненько буду пробовать
чтобы добавтить в форвард доступ с локалки мне нужно сделать
iptables -A FORWARD -i $LAN_IP -j ACCEPT ?
Извиняюсь за такие вопросы - только учусь



"iptables"
Отправлено reader , 16-Сен-08 17:11 
>>>Как лучше всётаки организовать доступ по mak адресам?
>>
>>-m mac --mac-source 00:70:70:70:70:70 -j ACCEPT
>
>ясненько буду пробовать
>чтобы добавтить в форвард доступ с локалки мне нужно сделать
>iptables -A FORWARD -i $LAN_IP -j ACCEPT ?
>Извиняюсь за такие вопросы - только учусь

в FORWARD попадет то что идет транзитом, в INPUT то что к машине, прочитайте то что было по ссылке , там описаны грабли по которым вам предстоит пройти.