Вообщем проблема такая - по локалке хожу, с этой машины доступ к localhost:901 (swat) получить немогу,и немогу выйти с машины в интернет - где ошибка в конфиге
предусматривается использовать эту машину в качестве шлюза...
# Generated by iptables-save v1.3.5 on Tue Sep 16 10:20:54 2008
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [1064:69492]
:allowed - [0:0]
:bad_tcp_packets - [0:0]
:icmp_packets - [0:0]
:tcp_packets - [0:0]
:udp_packets - [0:0]
-A INPUT -p tcp -j bad_tcp_packets
-A INPUT -s 192.168.0.0/255.255.0.0 -i eth0 -j ACCEPT
-A INPUT -s 127.0.0.1 -i lo -j ACCEPT
-A INPUT -s 192.168.2.88 -i lo -j ACCEPT
-A INPUT -s 192.168.2.1 -i lo -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 68 --dport 67 -j ACCEPT
-A INPUT -d 192.168.2.1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -j tcp_packets
-A INPUT -i eth0 -p udp -j udp_packets
-A INPUT -i eth0 -p icmp -j icmp_packets
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT_INPUT_PACKET_DIED:" --log-level 7
-A FORWARD -p tcp -j bad_tcp_packets
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT_INPUT_PACKET_DIED:" --log-level 7
-A OUTPUT -p tcp -j bad_tcp_packets
-A OUTPUT -s 127.0.0.1 -j ACCEPT
-A OUTPUT -s 192.168.2.88 -j ACCEPT
-A OUTPUT -s 192.168.2.1 -j ACCEPT
-A OUTPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT_INPUT_PACKET_DIED:" --log-level 7
-A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A allowed -p tcp -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New_not_syn:"
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A tcp_packets -p tcp -m tcp --dport 21 -j allowed
-A tcp_packets -p tcp -m tcp --dport 22 -j allowed
-A tcp_packets -p tcp -m tcp --dport 80 -j allowed
-A tcp_packets -p tcp -m tcp --dport 81 -j allowed
-A tcp_packets -p tcp -m tcp --dport 53 -j allowed
COMMIT
# Completed on Tue Sep 16 10:20:54 2008ОС - Red Hat Enterprise Linux 5
Зарание благодарен за помошь!
>[оверквотинг удален]
>-A tcp_packets -p tcp -m tcp --dport 80 -j allowed
>-A tcp_packets -p tcp -m tcp --dport 81 -j allowed
>-A tcp_packets -p tcp -m tcp --dport 53 -j allowed
>COMMIT
># Completed on Tue Sep 16 10:20:54 2008
>
>ОС - Red Hat Enterprise Linux 5
>
>
>Зарание благодарен за помошь!покажите ifconfig и route -n
как подключен интернет?
с выключенным firewall-ом к localhost:901 поключается?
ifconfig
eth0 Link encap:Ethernet HWaddr 00:0E:2E:99:67:71
inet addr:192.168.2.88 Bcast:192.168.2.255 Mask:255.255.255.0
inet6 addr: fe80::20e:2eff:fe99:6771/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:906 errors:0 dropped:0 overruns:0 frame:0
TX packets:223 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:77456 (75.6 KiB) TX bytes:30420 (29.7 KiB)
Interrupt:185 Base address:0x6000lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:2048 errors:0 dropped:0 overruns:0 frame:0
TX packets:2048 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:7539832 (7.1 MiB) TX bytes:7539832 (7.1 MiB)route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
0.0.0.0 192.168.2.1 0.0.0.0 UG 0 0 0 eth0Интернет подключен так:
ADSL модем с IP=192.168.2.1
DNS - 82.207.69.34
>[оверквотинг удален]
> 0 0
> 0 eth0
>0.0.0.0 192.168.2.1
> 0.0.0.0
>UG 0 0
> 0 eth0
>
>Интернет подключен так:
>ADSL модем с IP=192.168.2.1
>DNS - 82.207.69.34попровуйте изменить
-A INPUT -d 192.168.2.1 -m state --state RELATED,ESTABLISHED -j ACCEPT
на
-A INPUT -d 192.168.2.88 -m state --state RELATED,ESTABLISHED -j ACCEPT
reader!
Спасибо большое интернет начал работать!
SWAT нехочет работать...
И непускает через эту машину в сеть другие компьютеры
Вопрос:
Можно ли реализовать доступ в интернет через данный шлюз определённым ай-пи в локале и ещё хотелось бы реализовать этот доступ по мак адресам сетевых карт.
Каким может быть решение защиты от проникновения троянов и вирусов в сеть на windows машины
>reader!
>Спасибо большое интернет начал работать!
>SWAT нехочет работать...не работает и при выключении firewall-а? если да, то копайте swat и его настройки
>И непускает через эту машину в сеть другие компьютеры
в FORWARD у вас разрешены входящие и установленные соединения, а исходящие - нет.
так же похоже придется всем транзитным делать SNAT, что бы пакеты возвращались по тому же пути.>Вопрос:
>Можно ли реализовать доступ в интернет через данный шлюз определённым ай-пи вна клиентах шлюзом 192.168.2.88, и в FORWARD рулить ими, только кто помешает клиенту изменить адрес шлюза у себя на 192.168.2.1 :)
http://www.opennet.me/docs/RUS/iptables/
>локале и ещё хотелось бы реализовать этот доступ по мак адресам
>сетевых карт.можно, только мак меняется не сложнее чем ip
>Каким может быть решение защиты от проникновения троянов и вирусов в сеть
>на windows машиныпроверка http , почтового, ... трафика, но их наличие и соответственно блокировка его
вариантов куча, но не 100% гарантия, поисковики вам в помощь.
Спасибо!
>
>на клиентах шлюзом 192.168.2.88, и в FORWARD рулить ими, только кто помешает
>клиенту изменить адрес шлюза у себя на 192.168.2.1 :)Хотелось бы подкинуть сетевую карту ещё одну и к ней напрямую повесить модем
Как лучше всётаки организовать доступ по mak адресам?
>Спасибо!
>>
>>на клиентах шлюзом 192.168.2.88, и в FORWARD рулить ими, только кто помешает
>>клиенту изменить адрес шлюза у себя на 192.168.2.1 :)
>
>Хотелось бы подкинуть сетевую карту ещё одну и к ней напрямую повесить
>модемэто лучше
>
>Как лучше всётаки организовать доступ по mak адресам?-m mac --mac-source 00:70:70:70:70:70 -j ACCEPT
>>Как лучше всётаки организовать доступ по mak адресам?
>
>-m mac --mac-source 00:70:70:70:70:70 -j ACCEPTясненько буду пробовать
чтобы добавтить в форвард доступ с локалки мне нужно сделать
iptables -A FORWARD -i $LAN_IP -j ACCEPT ?
Извиняюсь за такие вопросы - только учусь
>>>Как лучше всётаки организовать доступ по mak адресам?
>>
>>-m mac --mac-source 00:70:70:70:70:70 -j ACCEPT
>
>ясненько буду пробовать
>чтобы добавтить в форвард доступ с локалки мне нужно сделать
>iptables -A FORWARD -i $LAN_IP -j ACCEPT ?
>Извиняюсь за такие вопросы - только учусьв FORWARD попадет то что идет транзитом, в INPUT то что к машине, прочитайте то что было по ссылке , там описаны грабли по которым вам предстоит пройти.