https://slinkov.ru/openforum/vsluhforumID10/3982.html Вообщем настроена машина шлюзом в интернет под RedHat Enterprise 5 - iptables фаервол<br>Разрешенно определённым машинам (по мак адресам) по определённым портам (80,81,110,25) доступ в интернет<br>Всё работает, но проявляется неприятная ситуация<br>через промежуток времени перестают на клиентских машинах открываться странички и получаться почта<br>В чём может быть проблема? И ещё может конфиг как то усовершенствовать? Зарание благодарен за помощь!<br>Вот конфиг iptables:<br># Generated by iptables-save v1.3.5 on Mon Sep 22 11:05:08 2008<br>*nat<br>:PREROUTING ACCEPT [160:17336]<br>:POSTROUTING ACCEPT [126:7719]<br>:OUTPUT ACCEPT [139:10053]<br>-A POSTROUTING -o eth0 -j MASQUERADE <br>COMMIT<br># Completed on Mon Sep 22 11:05:08 2008<br># Generated by iptables-save v1.3.5 on Mon Sep 22 11:05:08 2008<br>*filter<br>:INPUT DROP [196:22233]<br>:FORWARD DROP [3:136]<br>:OUTPUT DROP [0:0]<br>:allowed - [0:0]<br>:bad_tcp_packets - [0:0]<br>:icmp_packets - [0:0]<br>:tcp_packets - [0:0]<br>:udp_packets - [0:0]<br>-A INPUT -s 192.168.0.0/255.255.0.0 -i eth1 -j ACCEPT https://slinkov.ru/openforum/vsluhforumID10/3982.html#4 Mon, 22 Sep 2008 12:29:12 GMT &gt;&gt;&gt;Разрешенно определённым машинам (по мак адресам) по определённым портам (80,81,110,25) доступ в интернет <br>&gt;&gt;У Вас либо ошибка в конфиге, либо в том, что Вы о нём думате...(--&gt;1)<br>&gt;Тоесть порты у меня открыты все? В чём ошибка? <br><br>Клиентам Вы даёте (в приведённом конфиге) соединяться на любые порты, но говорите, что только на перечисленные. Ошибка либо в конфиге, либо в том, что Вы говорите, как я и написал.<br><br>&gt;&gt;(1--&gt;) Проблема с конфигом или пониманием: "клиентов" пускают наружу вне зависимости от порта назначения. У пользователей есть доступ "к любым портам". (Быстрый фикс, с почти "тем" результатом, - "-j tcp_packets".)<br>&gt;<br>&gt;Тоесть нужно -A FORWARD -i eth1 -m mac --mac-source 00:04:4B:80:80:03 -j tcp_packets <br>&gt;??? <br><br>Как вариант (минимальными исправлениями...) - пользователей шлюз будет пускать только по перечисленным в цепочке tcp_packets tcp портам.<br><br>&gt;&gt;Проблема#2: У Вас tcp_packets "зовётся" из INPUT и по факту открывает доступ <br>&gt;&gt;"из большого плохого интернета" к перечисленным портам на этой маш https://slinkov.ru/openforum/vsluhforumID10/3982.html#3 Mon, 22 Sep 2008 12:06:07 GMT &gt;Вообщем настроена машина шлюзом в интернет под RedHat Enterprise 5 - iptables <br>&gt;фаервол <br>&gt;Разрешенно определённым машинам (по мак адресам) по определённым портам (80,81,110,25) доступ в <br>&gt;интернет <br><br>Кстати %) , google.ru<br>firehol "бесплатные образцы" site:opennet.ru/openforum/<br>ENTER<br>-- я тут--^^^^^ всем советую FireHOL, как средство упрощения настройки фаервола (после того, как "понимание наступило")<br><br>Простейшая (dns "выпал") конфигурация firehol по мотивам Вашей могла бы выглядеть так:<br><br>---8&lt;---<br>version 5<br><br>interface "eth0" lan src "192.168.0.0/16"<br> protection full<br> client all accept<br><br>interface "eth1" world<br> protection full<br> client all accept<br><br>server_http81_ports="tcp/81"<br>client_http81_ports="default"<br><br>router i inface "eth1" outface "eth0"<br> masquerade reverse<br> server "http http81 pop3 smtp" accept mac "00:04:4B:80:80:03"<br>---&gt;8---<br><br>или... в конце... кривовато и так, и эдак выходит -<br><br>router i inface "eth0" outface "eth1"<br> masquerade<br> client "http http81 pop3 smtp" acce https://slinkov.ru/openforum/vsluhforumID10/3982.html#2 Mon, 22 Sep 2008 11:15:25 GMT &gt;&gt;Разрешенно определённым машинам (по мак адресам) по определённым портам (80,81,110,25) доступ в интернет <br>&gt;<br>&gt;У Вас либо ошибка в конфиге, либо в том, что Вы о нём думате...(--&gt;1)<br>&gt;<br><br>Тоесть порты у меня открыты все? В чём ошибка?<br><br>&gt;Усов.#1: Если внешний адрес статический, -j SNAT --to-source E.X.T.IP -- быстрее, чем <br>&gt;маскарад. <br><br>Переделал на snat работает. спасибо...<br><br>&gt;[оверквотинг удален]<br>&gt;&gt;-j ACCEPT <br>&gt;&gt;-A INPUT -d 192.168.2.3 -m state --state RELATED,ESTABLISHED -j ACCEPT <br>&gt;&gt;-A INPUT -i eth0 -p tcp -j tcp_packets <br>&gt;&gt;-A INPUT -i eth0 -p udp -j udp_packets <br>&gt;&gt;-A INPUT -i eth0 -p icmp -j icmp_packets <br>&gt;&gt;-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT_INPUT_packet_died:" <br>&gt;&gt;--log-level 7 <br>&gt;&gt;-A FORWARD -i eth1 -m mac --mac-source 00:04:4B:80:80:03 -j ACCEPT <br>&gt;<br>&gt;(1--&gt;) Проблема с конфигом или пониманием: "клиентов" пускают наружу вне зависимости от порта назначения. У пользователей есть доступ "к любым портам". (Быстрый фикс, с почти "тем" результатом, - "-j tcp_pa https://slinkov.ru/openforum/vsluhforumID10/3982.html#1 Mon, 22 Sep 2008 11:01:20 GMT &gt;Разрешенно определённым машинам (по мак адресам) по определённым портам (80,81,110,25) доступ в интернет <br><br>У Вас либо ошибка в конфиге, либо в том, что Вы о нём думате...(--&gt;1)<br><br>&gt;через промежуток времени перестают на клиентских машинах открываться странички и получаться почта <br><br>Про это не скажу...<br><br>&gt;И ещё может конфиг как то усовершенствовать?<br><br>...а про это есть пара мыслей.<br><br>&gt;-A POSTROUTING -o eth0 -j MASQUERADE <br><br>Усов.#1: Если внешний адрес статический, -j SNAT --to-source E.X.T.IP -- быстрее, чем маскарад.<br><br>&gt;[оверквотинг удален]<br>&gt;-A INPUT -s 192.168.2.3 -i lo -j ACCEPT <br>&gt;-A INPUT -i eth1 -p udp -m udp --sport 68 --dport 67 <br>&gt;-j ACCEPT <br>&gt;-A INPUT -d 192.168.2.3 -m state --state RELATED,ESTABLISHED -j ACCEPT <br>&gt;-A INPUT -i eth0 -p tcp -j tcp_packets <br>&gt;-A INPUT -i eth0 -p udp -j udp_packets <br>&gt;-A INPUT -i eth0 -p icmp -j icmp_packets <br>&gt;-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT_INPUT_packet_died:" <br>&gt;--log-level 7 <br>&gt;-A FORWARD -i eth1 -m mac --mac-source 00: