https://slinkov.ru/openforum/vsluhforumID10/3973.html Вообщем проблема такая - по локалке хожу, с этой машины доступ к localhost:901 (swat) получить немогу,и немогу выйти с машины в интернет - где ошибка в конфиге<br>предусматривается использовать эту машину в качестве шлюза...<br># Generated by iptables-save v1.3.5 on Tue Sep 16 10:20:54 2008<br>*filter<br>:INPUT DROP [0:0]<br>:FORWARD DROP [0:0]<br>:OUTPUT DROP [1064:69492]<br>:allowed - [0:0]<br>:bad_tcp_packets - [0:0]<br>:icmp_packets - [0:0]<br>:tcp_packets - [0:0]<br>:udp_packets - [0:0]<br>-A INPUT -p tcp -j bad_tcp_packets <br>-A INPUT -s 192.168.0.0/255.255.0.0 -i eth0 -j ACCEPT <br>-A INPUT -s 127.0.0.1 -i lo -j ACCEPT <br>-A INPUT -s 192.168.2.88 -i lo -j ACCEPT <br>-A INPUT -s 192.168.2.1 -i lo -j ACCEPT <br>-A INPUT -i eth0 -p udp -m udp --sport 68 --dport 67 -j ACCEPT <br>-A INPUT -d 192.168.2.1 -m state --state RELATED,ESTABLISHED -j ACCEPT <br>-A INPUT -i eth0 -p tcp -j tcp_packets <br>-A INPUT -i eth0 -p udp -j udp_packets <br>-A INPUT -i eth0 -p icmp -j icmp_packets <br>-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix https://slinkov.ru/openforum/vsluhforumID10/3973.html#9 Tue, 16 Sep 2008 13:11:12 GMT &gt;&gt;&gt;Как лучше всётаки организовать доступ по mak адресам? <br>&gt;&gt;<br>&gt;&gt;-m mac --mac-source 00:70:70:70:70:70 -j ACCEPT <br>&gt;<br>&gt;ясненько буду пробовать <br>&gt;чтобы добавтить в форвард доступ с локалки мне нужно сделать <br>&gt;iptables -A FORWARD -i $LAN_IP -j ACCEPT ? <br>&gt;Извиняюсь за такие вопросы - только учусь <br><br>в FORWARD попадет то что идет транзитом, в INPUT то что к машине, прочитайте то что было по ссылке , там описаны грабли по которым вам предстоит пройти.<br> https://slinkov.ru/openforum/vsluhforumID10/3973.html#8 Tue, 16 Sep 2008 12:38:00 GMT &gt;&gt;Как лучше всётаки организовать доступ по mak адресам? <br>&gt;<br>&gt;-m mac --mac-source 00:70:70:70:70:70 -j ACCEPT <br><br>ясненько буду пробовать<br>чтобы добавтить в форвард доступ с локалки мне нужно сделать<br>iptables -A FORWARD -i $LAN_IP -j ACCEPT ?<br>Извиняюсь за такие вопросы - только учусь<br><br><br> https://slinkov.ru/openforum/vsluhforumID10/3973.html#7 Tue, 16 Sep 2008 12:17:12 GMT &gt;Спасибо! <br>&gt;&gt;<br>&gt;&gt;на клиентах шлюзом 192.168.2.88, и в FORWARD рулить ими, только кто помешает <br>&gt;&gt;клиенту изменить адрес шлюза у себя на 192.168.2.1 :) <br>&gt;<br>&gt;Хотелось бы подкинуть сетевую карту ещё одну и к ней напрямую повесить <br>&gt;модем <br><br>это лучше<br><br>&gt;<br>&gt;Как лучше всётаки организовать доступ по mak адресам? <br><br>-m mac --mac-source 00:70:70:70:70:70 -j ACCEPT <br><br> https://slinkov.ru/openforum/vsluhforumID10/3973.html#6 Tue, 16 Sep 2008 12:00:45 GMT Спасибо!<br>&gt;<br>&gt;на клиентах шлюзом 192.168.2.88, и в FORWARD рулить ими, только кто помешает <br>&gt;клиенту изменить адрес шлюза у себя на 192.168.2.1 :) <br><br>Хотелось бы подкинуть сетевую карту ещё одну и к ней напрямую повесить модем<br><br>Как лучше всётаки организовать доступ по mak адресам? <br><br> https://slinkov.ru/openforum/vsluhforumID10/3973.html#5 Tue, 16 Sep 2008 11:38:14 GMT &gt;reader! <br>&gt;Спасибо большое интернет начал работать! <br>&gt;SWAT нехочет работать... <br><br>не работает и при выключении firewall-а? если да, то копайте swat и его настройки<br><br>&gt;И непускает через эту машину в сеть другие компьютеры <br><br>в FORWARD у вас разрешены входящие и установленные соединения, а исходящие - нет.<br>так же похоже придется всем транзитным делать SNAT, что бы пакеты возвращались по тому же пути.<br><br>&gt;Вопрос: <br>&gt;Можно ли реализовать доступ в интернет через данный шлюз определённым ай-пи в<br><br>на клиентах шлюзом 192.168.2.88, и в FORWARD рулить ими, только кто помешает клиенту изменить адрес шлюза у себя на 192.168.2.1 :)<br><br>http://www.opennet.ru/docs/RUS/iptables/<br><br>&gt;локале и ещё хотелось бы реализовать этот доступ по мак адресам <br>&gt;сетевых карт. <br><br>можно, только мак меняется не сложнее чем ip<br><br>&gt;Каким может быть решение защиты от проникновения троянов и вирусов в сеть <br>&gt;на windows машины <br><br>проверка http , почтового, ... трафика, но их наличие и соответственно блокировка его<br>вариантов куча, но не 100% https://slinkov.ru/openforum/vsluhforumID10/3973.html#4 Tue, 16 Sep 2008 11:01:03 GMT reader!<br>Спасибо большое интернет начал работать!<br>SWAT нехочет работать... <br>И непускает через эту машину в сеть другие компьютеры<br>Вопрос:<br>Можно ли реализовать доступ в интернет через данный шлюз определённым ай-пи в локале и ещё хотелось бы реализовать этот доступ по мак адресам сетевых карт.<br>Каким может быть решение защиты от проникновения троянов и вирусов в сеть на windows машины<br><br><br> https://slinkov.ru/openforum/vsluhforumID10/3973.html#3 Tue, 16 Sep 2008 10:26:25 GMT &gt;[оверквотинг удален]<br>&gt; 0 0 <br>&gt; 0 eth0 <br>&gt;0.0.0.0 192.168.2.1 <br>&gt; 0.0.0.0 <br>&gt;UG 0 0 <br>&gt; 0 eth0 <br>&gt;<br>&gt;Интернет подключен так: <br>&gt;ADSL модем с IP=192.168.2.1 <br>&gt;DNS - 82.207.69.34 <br><br>попровуйте изменить <br>-A INPUT -d 192.168.2.1 -m state --state RELATED,ESTABLISHED -j ACCEPT <br>на <br>-A INPUT -d 192.168.2.88 -m state --state RELATED,ESTABLISHED -j ACCEPT <br> https://slinkov.ru/openforum/vsluhforumID10/3973.html#2 Tue, 16 Sep 2008 09:59:53 GMT ifconfig<br>eth0 Link encap:Ethernet HWaddr 00:0E:2E:99:67:71<br> inet addr:192.168.2.88 Bcast:192.168.2.255 Mask:255.255.255.0<br> inet6 addr: fe80::20e:2eff:fe99:6771/64 Scope:Link<br> UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1<br> RX packets:906 errors:0 dropped:0 overruns:0 frame:0<br> TX packets:223 errors:0 dropped:0 overruns:0 carrier:0<br> collisions:0 txqueuelen:1000<br> RX bytes:77456 (75.6 KiB) TX bytes:30420 (29.7 KiB)<br> Interrupt:185 Base address:0x6000<br><br>lo Link encap:Local Loopback<br> inet addr:127.0.0.1 Mask:255.0.0.0<br> inet6 addr: ::1/128 Scope:Host<br> UP LOOPBACK RUNNING MTU:16436 Metric:1<br> RX packets:2048 errors:0 dropped:0 overruns:0 frame:0<br> TX packets:2048 errors:0 dropped:0 overruns:0 carrier:0<br> collisions:0 txqueuelen:0<br> RX bytes:7539832 (7.1 MiB) TX bytes:7539832 (7.1 MiB)<br><br>route -n<br>Kernel IP routing table<br>Destination Gateway https://slinkov.ru/openforum/vsluhforumID10/3973.html#1 Tue, 16 Sep 2008 09:29:14 GMT &gt;[оверквотинг удален]<br>&gt;-A tcp_packets -p tcp -m tcp --dport 80 -j allowed <br>&gt;-A tcp_packets -p tcp -m tcp --dport 81 -j allowed <br>&gt;-A tcp_packets -p tcp -m tcp --dport 53 -j allowed <br>&gt;COMMIT <br>&gt;# Completed on Tue Sep 16 10:20:54 2008 <br>&gt;<br>&gt;ОС - Red Hat Enterprise Linux 5 <br>&gt;<br>&gt;<br>&gt;Зарание благодарен за помошь! <br><br>покажите ifconfig и route -n <br>как подключен интернет?<br>с выключенным firewall-ом к localhost:901 поключается?<br><br>