https://opennet.ru/openforum/vsluhforumID1/96313.html Здравствуйте. <br>Я студент и только начинаю изучать Linux и никак не получается сделать лабу по фильтрации пакетов.<br>Есть виртуальная машина debian, с двумя интерфейсами, за одним сеть eth0(192.168.0.0/24) за другим eth1 (10.0.0.0/24). Машнина с debian - фаервол.<br>Нужно ограничить доступ с хоста 192.168.0.5 к 10.0.0.5 и разрешить к 10.0.0.6 по ftp.<br>А с хоста 192.168.0.3 разрешить и к 10.0.0.5 и 10.0.0.6 по ftp.<br><br> Я птыаюсь сделать так:<br>-A DENY_FTP -s 192.168.0.5 -i eth0 -o eth1 -p tcp -m tcp --dport 21 -g DENY_FTP2<br>-A FORWARD -d 10.0.0.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 21 -j ACCEPT<br>-A FORWARD -d 10.0.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT<br>-A DENY_FTP2 -d 10.0.0.6/32 -i -eth0 eth1 -j ACCEPT<br>-A DENY_FTP2 -d 10.0.0.5/32 -i eth0 -o eth1 -j DROP<br><br>И все получается ровным счетом наоборот. Т.е. 192.168.0.3 имеет доступ толко к 10.0.0.5.<br>А 192.168.0.5 ни к кому.<br>Что я делаю не так?<br> https://opennet.ru/openforum/vsluhforumID1/96313.html#4 Wed, 07 Oct 2015 10:46:21 GMT &gt;&gt; Это и все что есть в IPTables?<br>&gt;&gt; Как мо мне маловато.<br>&gt;&gt; И если пошли по "глобальному" пути - посоздавали под каждое правило свою <br>&gt;&gt; таблицу -- почему тогда входящие пакеты не заварачиваете на обработку по <br>&gt;&gt; этим таблицам?<br>&gt; Я не создавал таблицы. Или я чтото не понимаю.<br>&gt; Таблицы это nat, filter..<br>&gt; Я создал цепочку DENY_FTP и DENY_FTP2 внутри таблицы filter..<br>&gt; А создал я их потому как другого решения не нашел. Подскажите вы <br>&gt; бы как решили эту задачу?<br><br>Да - цепочки (теорию начинаю забывать)<br> https://opennet.ru/openforum/vsluhforumID1/96313.html#3 Wed, 07 Oct 2015 09:05:28 GMT Для простых правил создавать лишние цепочки контрпродуктивно.<br>Пишите сразу откуда\куда -j дроп\акцепт - будет понятнее.<br> https://opennet.ru/openforum/vsluhforumID1/96313.html#2 Wed, 07 Oct 2015 08:59:56 GMT &gt; Это и все что есть в IPTables?<br>&gt; Как мо мне маловато.<br>&gt; И если пошли по "глобальному" пути - посоздавали под каждое правило свою <br>&gt; таблицу -- почему тогда входящие пакеты не заварачиваете на обработку по <br>&gt; этим таблицам?<br><br>Я не создавал таблицы. Или я чтото не понимаю.<br>Таблицы это nat, filter.. <br>Я создал цепочку DENY_FTP и DENY_FTP2 внутри таблицы filter.. <br>А создал я их потому как другого решения не нашел. Подскажите вы бы как решили эту задачу?<br><br> https://opennet.ru/openforum/vsluhforumID1/96313.html#1 Wed, 07 Oct 2015 08:51:24 GMT <br>&gt;[оверквотинг удален]<br>&gt; -A FORWARD -d 10.0.0.0/24 -i eth0 -o eth1 -p tcp -m tcp <br>&gt; --dport 21 -j ACCEPT <br>&gt; -A FORWARD -d 10.0.0.0/24 -i eth1 -o eth0 -p tcp -m tcp <br>&gt; --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT <br>&gt; -A DENY_FTP2 -d 10.0.0.6/32 -i -eth0 eth1 -j ACCEPT <br>&gt; -A DENY_FTP2 -d 10.0.0.5/32 -i eth0 -o eth1 -j DROP <br>&gt; И все получается ровным счетом наоборот. Т.е. 192.168.0.3 имеет доступ толко к <br>&gt; 10.0.0.5.<br>&gt; А 192.168.0.5 ни к кому.<br>&gt; Что я делаю не так?<br><br>Это и все что есть в IPTables?<br>Как мо мне маловато.<br>И если пошли по "глобальному" пути - посоздавали под каждое правило свою таблицу -- почему тогда входящие пакеты не заварачиваете на обработку по этим таблицам?<br><br>