форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"iptables"
Сообщение от shaman on 21-Окт-02, 11:24  (MSK)
Hi. И опять subj. Поставил ядро 2.4, после чего портировал рабочий firewall через ipchains в firewall через iptables. И вот проблема: в Интернет доступ есть, а к локальным сервисам (которые крутяться на гейте) нет. Т.е. не работают разрешающие правила. Например, следующее правило разрешает доступ через ipchains к локальному www-серверу: ipchains -A input -i $EXTERNAL_INT -p tcp \          -s $ANYWHERE $UNPRIVPORTS \          -d $IPADDR 80 -j ACCEPT ipchains -A output -i $EXTERNAL_INT -p tcp ! -y \          -s $IPADDR 80 \          -d $ANYWHERE $UNPRIVPORTS -j ACCEPT Если же это правило написать через iptables, то доступа не будет: $IPTABLES -A INPUT -i $EXTERNAL_INT -p tcp \          -s $ANYWHERE --sport $UNPRIVPORTS \          -d $IPADDR --dport 80 -j ACCEPT $IPTABLES -A OUTPUT -o $EXTERNAL_INT -p tcp \          -s $IPADDR --sport 80 \          -d $ANYWHERE --dport $UNPRIVPORTS -j ACCEPT В чем проблема?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: iptables"
Сообщение от LinaS on 21-Окт-02, 12:30  (MSK)
>Hi. >И опять subj. >Поставил ядро 2.4, после чего портировал рабочий firewall через ipchains в firewall >через iptables. >И вот проблема: в Интернет доступ есть, а к локальным сервисам (которые >крутяться на гейте) нет. >Т.е. не работают разрешающие правила. >Например, следующее правило разрешает доступ через ipchains к локальному www-серверу: >ipchains -A input -i $EXTERNAL_INT -p tcp \ >         -s $ANYWHERE $UNPRIVPORTS >\ >         -d $IPADDR 80 >-j ACCEPT >ipchains -A output -i $EXTERNAL_INT -p tcp ! -y \ >         -s $IPADDR 80 >\ >         -d $ANYWHERE $UNPRIVPORTS >-j ACCEPT > >Если же это правило написать через iptables, то доступа не будет: >$IPTABLES -A INPUT -i $EXTERNAL_INT -p tcp \ >         -s $ANYWHERE --sport >$UNPRIVPORTS \ >         -d $IPADDR --dport >80 -j ACCEPT >$IPTABLES -A OUTPUT -o $EXTERNAL_INT -p tcp \ >         -s $IPADDR --sport >80 \ >         -d $ANYWHERE --dport >$UNPRIVPORTS -j ACCEPT > >В чем проблема? Насколько я помню, в iptables цепочки input и output относятся к пакетам, прадназначенным именно этому компу. Для тех пакетов, которые приходят на один интерфейс и уходят с другого, надо использовать цепочку forward - попробуй: $IPTABLES -A FORWARD -i $EXTERNAL_INT -p tcp \          -s $ANYWHERE --sport $UNPRIVPORTS \          -d $IPADDR --dport 80 -j ACCEPT $IPTABLES -A FORWARD -o $EXTERNAL_INT -p tcp \          -s $IPADDR --sport 80 \          -d $ANYWHERE --dport $UNPRIVPORTS -j ACCEPT
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: iptables"
	Сообщение от shaman on 21-Окт-02, 12:33  (MSK)
	>>Hi. >>И опять subj. >>Поставил ядро 2.4, после чего портировал рабочий firewall через ipchains в firewall >>через iptables. >>И вот проблема: в Интернет доступ есть, а к локальным сервисам (которые >>крутяться на гейте) нет. >>Т.е. не работают разрешающие правила. >>Например, следующее правило разрешает доступ через ipchains к локальному www-серверу: >>ipchains -A input -i $EXTERNAL_INT -p tcp \ >>         -s $ANYWHERE $UNPRIVPORTS >>\ >>         -d $IPADDR 80 >>-j ACCEPT >>ipchains -A output -i $EXTERNAL_INT -p tcp ! -y \ >>         -s $IPADDR 80 >>\ >>         -d $ANYWHERE $UNPRIVPORTS >>-j ACCEPT >> >>Если же это правило написать через iptables, то доступа не будет: >>$IPTABLES -A INPUT -i $EXTERNAL_INT -p tcp \ >>         -s $ANYWHERE --sport >>$UNPRIVPORTS \ >>         -d $IPADDR --dport >>80 -j ACCEPT >>$IPTABLES -A OUTPUT -o $EXTERNAL_INT -p tcp \ >>         -s $IPADDR --sport >>80 \ >>         -d $ANYWHERE --dport >>$UNPRIVPORTS -j ACCEPT >> >>В чем проблема? > > >Насколько я помню, в iptables цепочки input и output относятся к пакетам, >прадназначенным именно этому компу. Для тех пакетов, которые приходят на один >интерфейс и уходят с другого, надо использовать цепочку forward - >попробуй: >$IPTABLES -A FORWARD -i $EXTERNAL_INT -p tcp \ >         -s $ANYWHERE --sport >$UNPRIVPORTS \ >         -d $IPADDR --dport >80 -j ACCEPT >$IPTABLES -A FORWARD -o $EXTERNAL_INT -p tcp \ >         -s $IPADDR --sport >80 \ >         -d $ANYWHERE --dport >$UNPRIVPORTS -j ACCEPT Так пакеты и должны быть предназначенными этому компу. Речь идет о доступе к сервисам, крутящимся на этом самом компе (который одновременно и гейт в Интернет)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: iptables"
	Сообщение от LinaS on 21-Окт-02, 12:49  (MSK)
	>Так пакеты и должны быть предназначенными этому компу. Речь идет о доступе >к сервисам, крутящимся на этом самом компе (который одновременно и гейт >в Интернет) да, вижу, пардон... а что до этих разрешающих правил? нет ничего запрещающего? в логах у апача есть факт запроса? счетчики что показывают?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: iptables"
	Сообщение от shaman on 21-Окт-02, 12:52  (MSK)
	>>Так пакеты и должны быть предназначенными этому компу. Речь идет о доступе >>к сервисам, крутящимся на этом самом компе (который одновременно и гейт >>в Интернет) > >да, вижу, пардон... >а что до этих разрешающих правил? >нет ничего запрещающего? >в логах у апача есть факт запроса? >счетчики что показывают? Политика по умолчанию - DROP И вот что странно - я ведь портировал рабочий firewall, единственное что изменил - систаксис ( пришлось добавить --sport и --dport). Все остальное как было. Поэтому я и решил, что в iptables такие вещи разрешаются по другому.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.