https://www.opennet.me/openforum/vsluhforumID10/3764.html Добрый день, помогите разобраться, необходимо ограничить юзерам доступ к шлюзу, причем есть 2 группы пользователей, с разными открытыми портами Например для бол-ва пользователей "лан" 80 порт должен быть закрыт и открыт лишь для вип-юзеров Немного изменил найденный в сети скрипт, но есть проблемма:<br><br>Всем юзерам доступен 80 порт (возможно и другие) даже если его нет с списке разрешенных портов, помогите токрыть юзерам одной подсети доступ к разным портам!<br><br>#!/bin/bash<br>ipt=/sbin/iptables<br>lan=192.168.0.0/24 #Локалка<br>vpn=192.168.1.0/24 #VPN<br>lan_ip=192.168.0.1 # аипи сервера<br>net_ip=х.х.х.х #инет айпи<br>vpn_ip=192.168.1.1 # Vpn serv<br>lan_ports=`cat /etc/iptables/lan_ports` # порты доступные для лан<br>vpn_ports=`cat /etc/iptables/vpn_ports` #порты доступные для впн<br>net_ports=`cat /etc/iptables/net_ports` #порты доступные для инета<br>vip_ports=`cat /etc/iptables/vip_ports` #порты доступные для вип юзеров<br>lan_dev=eth0 <br>net_dev=eth1 <br>vpn_dev=tun0 # VPN dev<br>vip=`cat /etc/iptables/vip` # айпишники вип юзеров<br> https://www.opennet.me/openforum/vsluhforumID10/3764.html#13 Mon, 28 Apr 2008 14:42:26 GMT &gt;Добрый день, помогите разобраться, необходимо ограничить юзерам доступ к шлюзу, причем есть <br>&gt;2 группы пользователей, с разными открытыми портами Например для бол-ва пользователей <br>&gt;"лан" 80 порт должен быть закрыт и открыт лишь для вип-юзеров <br>&gt;Немного изменил найденный в сети скрипт, но есть проблемма: <br><br>[CODE]# -- /etc/firehol/firehol.conf --<br>version 5<br><br># 449 - "as"? 1488 - docstor? нет 445?<br>all_svcs="webcache netbios_ns netbios_dgm netbios_ssn as smtp pop3 docstor dns"<br>## определения "сервисов" в нотации firehol<br>server_dmware_ports="tcp/5001"; client_dmware_ports="default"<br>server_salesw_ports="tcp/5800"; client_salesw_ports="default"<br>server_docstor_ports="tcp/1488 udp/1488"; client_docstor_ports="default"<br>server_as_ports="tcp/449 udp/449"; client_as_ports="default"<br><br>lan_dev=eth0<br>lan_ip=192.168.0.1 # аипи сервера<br>lan=192.168.0.0/24 #Локалка<br>#lan_ports=`cat /etc/iptables/lan_ports` # порты доступные для лан #+$all_svcs !<br>lan_svcs="https ldap ldaps microsoft_ds rdp"<br>vip=`cat /etc/iptable https://www.opennet.me/openforum/vsluhforumID10/3764.html#12 Mon, 28 Apr 2008 12:51:01 GMT вобщем лучше как посоветовали выше либо учить/<br>либо как сказал Andrey Mitrofanov какой-нибудь билдер.<br> https://www.opennet.me/openforum/vsluhforumID10/3764.html#11 Mon, 28 Apr 2008 12:43:40 GMT &gt;&#124;&#124; iptables-save не судьба ? -- если реально человеку помогать -- то не так ведь?<br><br>Перевожу: помогающим читать и писать _удобнее_ на одном "языке". Вывод iptables-save больше похож на вводимые (в скрипте~) правила == он более удобен для. Независимо от того, что думал себе %) автор -L.<br><br>Кроме того, в выводе -L нет таблицы nat, даже если в ней есть правила, присутстуют "localnet/" и числовые адреса вперемешку и проч.<br><br>Показывай вывод iptables-save -- быстрее ответят.<br><br>&gt;&gt;тогда понятно почему forward хоть и drop -- но всё равно accept <br>&gt;В смысле? <br><br>В смысле в церочке FORWARD у тебя стоит ACCEPT-ото_всех-ко_всем. Первой строкой: ни до второй-третьей старательно "выписанных" строк этой цепочки, ни до политики DROP дело не доходит никогда. Это к вопросу, почему у тебя всем везде "можно".<br><br>Туда же относятся и опять же старательно выписанные правила в INPUT/OUTPUT и их подцепочках: если тебя удивляло, почему доступ к Инету _не_ ограничивается этой кучей правил, --<br><br>&gt;&gt;&#124; Что я сейчас имею: н https://www.opennet.me/openforum/vsluhforumID10/3764.html#10 Mon, 28 Apr 2008 12:25:09 GMT &gt;&gt;&gt;iptables-save не судьба ? -- если реально человеку помогать -- то не <br>&gt;&gt;&gt;так ведь? <br>&gt;&gt;<br>&gt;&gt;а... вот оно что... <br>&gt;&gt;тогда понятно почему forward хоть и drop -- но всё равно accept <br>&gt;&gt;<br>&gt;<br>&gt;В смысле? <br><br>в прямом<br> https://www.opennet.me/openforum/vsluhforumID10/3764.html#9 Mon, 28 Apr 2008 11:43:39 GMT &gt;&gt;iptables-save не судьба ? -- если реально человеку помогать -- то не <br>&gt;&gt;так ведь? <br>&gt;<br>&gt;а... вот оно что... <br>&gt;тогда понятно почему forward хоть и drop -- но всё равно accept <br>&gt;<br><br>В смысле?<br> https://www.opennet.me/openforum/vsluhforumID10/3764.html#8 Mon, 28 Apr 2008 11:22:16 GMT &gt;iptables-save не судьба ? -- если реально человеку помогать -- то не <br>&gt;так ведь? <br><br>а... вот оно что...<br>тогда понятно почему forward хоть и drop -- но всё равно accept<br> https://www.opennet.me/openforum/vsluhforumID10/3764.html#7 Mon, 28 Apr 2008 11:20:06 GMT iptables-save не судьба ? -- если реально человеку помогать -- то не так ведь?<br><br> https://www.opennet.me/openforum/vsluhforumID10/3764.html#6 Mon, 28 Apr 2008 11:15:25 GMT debian:/home/makar# iptables -L --line-numbers<br>Chain INPUT (policy DROP)<br>num target prot opt source destination<br>1 ACCEPT 0 -- localhost anywhere<br>2 ACCEPT 0 -- anywhere localhost<br>3 ACCEPT 0 -- debian.unit.ru anywhere<br>4 ACCEPT 0 -- xxx anywhere<br>5 ACCEPT 0 -- 192.168.1.1 anywhere<br>6 ACCEPT 0 -- 192.168.1.0/24 anywhere<br>7 ACCEPT icmp -- localnet/24 anywhere<br>8 vip_input 0 -- terminalserver.unit.ru anywhere<br>9 vip_input 0 -- mainserver.unit.ru anywhere<br>10 vip_input 0 -- pdc.unit.ru anywhere<br>11 lan_input 0 -- anywhere anywhere<br>12 vpn_input 0 -- anywhere anywhere<br>13 all_input 0 -- anywhere anywhere<br><br>Chain FORWARD (policy DROP)<br>num target prot opt source destination<br>1 ACCEPT 0 -- anywhere anywhere<br>2 ACCEPT https://www.opennet.me/openforum/vsluhforumID10/3764.html#5 Mon, 28 Apr 2008 11:02:00 GMT &gt;Может вы сначала доку почитаете? А то скрипт похоже сделан по принципу <br>&gt;"с мира по нитке". Заодно это поможет вам четко сформулировать вопрос. <br>&gt;Очень хорошая дока есть на этом сайте. <br><br>Доку на сайте давно обнаружил и читаю, скрипт действительно собран с миру монитке, точнее чужой скрипт + то что мне нужно дописаное мною Все же хотелось бы получить помощь гуру :)<br><br>По поводу точнее сформулировать вопрос:<br><br>Машина используется в кач-ве роутера+прокси, бол-ву пользователей запрещен 80 порт (а так же 21 и тд,что бы не ходили в обход SQUID), соответвенно в файле lan_ports его нет Что я хочу от этого скрипта, что бы пользователи имели доступ только к тем портам, которые указанны в файле, независимо от того находятся ли они на сервере (pop, smtp) или за ним (80, smtp, pop И тд) Так же в сети есть неск пользователей с айпи адресами из той же подсети что и "простые смертные", котрые будут иметь доступ к большему кол-ву портов Что я сейчас имею: независимо от указанных портов в файла юзеры могут пользоваться вс