forum.opennet.ru - "firewall и FeeSwan" (3)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"firewall и FeeSwan"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"firewall и FeeSwan"
Сообщение от klez on 07-Окт-03, 21:54 (MSK)
Уважаемые такая ситуация через VPN соединены две сети 192.168.0.0/24 и 192.168.1.0/24 win - linux 1 (vpn)---internet----linux 2(vpn)----win надо поднять firewall так что бы работал vpn 51, 50, 500 прорты и из каждой подсети можно быловыйти в инет, eth0 смотрит в интернет ssh только между Linux 1 и Linux 2 iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -i eth0 -p udp --sport 500 --dport 500 -j ACCEPT iptables -A INPUT -i eth0 -p 50 -j ACCEPT iptables -A INPUT -i eth0 -p 51 -j ACCEPT iptables -A INPUT -i eth0-s ipLinux1 -d ipLinux2 -p 22 -j ACCEPT iptables -A INPUT -i eth0 -j DROP iptables -A INPUT -j LOG iptables -A OUTPUT -i eth0 -p udp --sport 500 --dport 500 -j ACCEPT iptables -A OUTPUT -i eth0 -p 50 -j ACCEPT iptables -A OUTPUT -i eth0 -p 51 -j ACCEPT iptables -A OUTPUT -i eth0 -s ipLinux1 -d ipLinux2 -p 22 -j ACCEPT iptables -A OUTPUT -i eth0 -j DROP iptables -A OUTPUT -j LOG iptables -A FORWARD -p 80 -j ACCEPT iptables -A FORWARD -j DROP iptables -A FORWARD -j LOG подскажите что я зделал не правельно???
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

firewall и FeeSwan, Gennadi, 22:53 , 07-Окт-03, (1)
firewall и FeeSwan, Michael, 10:14 , 08-Окт-03, (2)
- firewall и FeeSwan, klez, 18:02 , 08-Окт-03, (3)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "firewall и FeeSwan"

Сообщение от Gennadi on 07-Окт-03, 22:53  (MSK)

>Уважаемые такая ситуация через VPN соединены две сети 192.168.0.0/24 и 192.168.1.0/24
>win -  linux 1 (vpn)---internet----linux 2(vpn)----win
>надо поднять firewall  так что бы работал vpn 51, 50, 500
>прорты
>и из каждой подсети можно быловыйти в инет, eth0 смотрит в интернет
>
>ssh только между  Linux 1 и Linux 2
>iptables -P INPUT DROP
>iptables -P OUTPUT DROP
>iptables -P FORWARD DROP
>iptables -A INPUT -i eth0 -p udp --sport 500 --dport 500 -j
>ACCEPT
>iptables -A INPUT -i eth0 -p 50 -j ACCEPT
>iptables -A INPUT -i eth0 -p 51 -j ACCEPT
>iptables -A INPUT -i eth0-s ipLinux1 -d ipLinux2 -p 22 -j ACCEPT
>
>iptables -A INPUT -i eth0 -j DROP
> iptables -A INPUT -j LOG
>
>iptables -A OUTPUT -i eth0 -p udp --sport 500 --dport 500 -j
>ACCEPT
>iptables -A OUTPUT -i eth0 -p 50 -j ACCEPT
>iptables -A OUTPUT -i eth0 -p 51 -j ACCEPT
>iptables -A OUTPUT -i eth0 -s ipLinux1 -d ipLinux2 -p 22 -j
>ACCEPT
>iptables -A OUTPUT -i eth0 -j DROP
>iptables -A OUTPUT -j LOG
>
>iptables -A FORWARD -p 80 -j ACCEPT
>iptables -A FORWARD -j DROP
>iptables -A FORWARD -j LOG
>подскажите что я зделал не правельно???

Firewall дело тонкое и очень личное

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "firewall и FeeSwan"

Сообщение от Michael on 08-Окт-03, 10:14  (MSK)

>Уважаемые такая ситуация через VPN соединены две сети 192.168.0.0/24 и 192.168.1.0/24
>win -  linux 1 (vpn)---internet----linux 2(vpn)----win
>надо поднять firewall  так что бы работал vpn 51, 50, 500
>прорты
насколько я помню, не 50 и 51 порты, а 50 и 51 протоколы...
>iptables -P INPUT DROP
>iptables -P OUTPUT DROP
>iptables -P FORWARD DROP
>iptables -A INPUT -i eth0 -p udp --sport 500 --dport 500 -j
>ACCEPT
>iptables -A INPUT -i eth0 -p 50 -j ACCEPT
>iptables -A INPUT -i eth0 -p 51 -j ACCEPT
>iptables -A INPUT -i eth0-s ipLinux1 -d ipLinux2 -p 22 -j ACCEPT
>
>iptables -A INPUT -i eth0 -j DROP
> iptables -A INPUT -j LOG
>
>iptables -A OUTPUT -i eth0 -p udp --sport 500 --dport 500 -j
>ACCEPT
>iptables -A OUTPUT -i eth0 -p 50 -j ACCEPT
>iptables -A OUTPUT -i eth0 -p 51 -j ACCEPT
>iptables -A OUTPUT -i eth0 -s ipLinux1 -d ipLinux2 -p 22 -j
>ACCEPT
>iptables -A OUTPUT -i eth0 -j DROP
>iptables -A OUTPUT -j LOG
>
>iptables -A FORWARD -p 80 -j ACCEPT
>iptables -A FORWARD -j DROP
>iptables -A FORWARD -j LOG
имхо действие LOG надоставить выше, чем DROP, иначе в LOG ничего не попадет...
и зачем команда iptables -A FORWARD -j DROP вообще, если действие цепочки по умолчанию DROP?
и что за протоколы 22 и 80 ???
>iptables -A INPUT -i eth0-s ipLinux1 -d ipLinux2 -p 22 -j ACCEPT
>iptables -A OUTPUT -i eth0 -s ipLinux1 -d ipLinux2 -p 22 -j ACCEPT
по идее, адреса ipLinux1 и ipLinux2 в этих двух командах должны быть в противоположном порядке, а не в одном...
и где правила, пропускающие нужные пакеты из внутренней сети?

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "firewall и FeeSwan"

Сообщение от klez on 08-Окт-03, 18:02  (MSK)

>и что за протоколы 22 и 80 ???
это ssh и www
>iptables -A INPUT -i eth0-s ipLinux1 -d ipLinux2 -p 22 -j ACCEPT
>iptables -A OUTPUT -i eth0 -s ipLinux1 -d ipLinux2 -p 22 -j ACCEPT
заменяем на
iptables -A INPUT -i eth0 -s ipLinux1 -d ipLinux2 -p 22 -j ACCEPT
iptables -A OUTPUT -i eth0 -s ipLinux2 -d ipLinux1 -p 22 -j ACCEPT
>iptables -A FORWARD -j DROP
>iptables -A FORWARD -j LOG
имхо действие LOG надоставить выше, чем DROP, иначе в LOG ничего не попадет...
и зачем команда iptables -A FORWARD -j DROP вообще, если действие цепочки по умолчанию DROP?- прочел книгу секреты линукс хакеров

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "firewall и FeeSwan"
Сообщение от Gennadi on 07-Окт-03, 22:53 (MSK)
>Уважаемые такая ситуация через VPN соединены две сети 192.168.0.0/24 и 192.168.1.0/24 >win - linux 1 (vpn)---internet----linux 2(vpn)----win >надо поднять firewall так что бы работал vpn 51, 50, 500 >прорты >и из каждой подсети можно быловыйти в инет, eth0 смотрит в интернет > >ssh только между Linux 1 и Linux 2 >iptables -P INPUT DROP >iptables -P OUTPUT DROP >iptables -P FORWARD DROP >iptables -A INPUT -i eth0 -p udp --sport 500 --dport 500 -j >ACCEPT >iptables -A INPUT -i eth0 -p 50 -j ACCEPT >iptables -A INPUT -i eth0 -p 51 -j ACCEPT >iptables -A INPUT -i eth0-s ipLinux1 -d ipLinux2 -p 22 -j ACCEPT > >iptables -A INPUT -i eth0 -j DROP > iptables -A INPUT -j LOG > >iptables -A OUTPUT -i eth0 -p udp --sport 500 --dport 500 -j >ACCEPT >iptables -A OUTPUT -i eth0 -p 50 -j ACCEPT >iptables -A OUTPUT -i eth0 -p 51 -j ACCEPT >iptables -A OUTPUT -i eth0 -s ipLinux1 -d ipLinux2 -p 22 -j >ACCEPT >iptables -A OUTPUT -i eth0 -j DROP >iptables -A OUTPUT -j LOG > >iptables -A FORWARD -p 80 -j ACCEPT >iptables -A FORWARD -j DROP >iptables -A FORWARD -j LOG >подскажите что я зделал не правельно??? Firewall дело тонкое и очень личное
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

2. "firewall и FeeSwan"
Сообщение от Michael on 08-Окт-03, 10:14 (MSK)
>Уважаемые такая ситуация через VPN соединены две сети 192.168.0.0/24 и 192.168.1.0/24 >win - linux 1 (vpn)---internet----linux 2(vpn)----win >надо поднять firewall так что бы работал vpn 51, 50, 500 >прорты насколько я помню, не 50 и 51 порты, а 50 и 51 протоколы... >iptables -P INPUT DROP >iptables -P OUTPUT DROP >iptables -P FORWARD DROP >iptables -A INPUT -i eth0 -p udp --sport 500 --dport 500 -j >ACCEPT >iptables -A INPUT -i eth0 -p 50 -j ACCEPT >iptables -A INPUT -i eth0 -p 51 -j ACCEPT >iptables -A INPUT -i eth0-s ipLinux1 -d ipLinux2 -p 22 -j ACCEPT > >iptables -A INPUT -i eth0 -j DROP > iptables -A INPUT -j LOG > >iptables -A OUTPUT -i eth0 -p udp --sport 500 --dport 500 -j >ACCEPT >iptables -A OUTPUT -i eth0 -p 50 -j ACCEPT >iptables -A OUTPUT -i eth0 -p 51 -j ACCEPT >iptables -A OUTPUT -i eth0 -s ipLinux1 -d ipLinux2 -p 22 -j >ACCEPT >iptables -A OUTPUT -i eth0 -j DROP >iptables -A OUTPUT -j LOG > >iptables -A FORWARD -p 80 -j ACCEPT >iptables -A FORWARD -j DROP >iptables -A FORWARD -j LOG имхо действие LOG надоставить выше, чем DROP, иначе в LOG ничего не попадет... и зачем команда iptables -A FORWARD -j DROP вообще, если действие цепочки по умолчанию DROP? и что за протоколы 22 и 80 ??? >iptables -A INPUT -i eth0-s ipLinux1 -d ipLinux2 -p 22 -j ACCEPT >iptables -A OUTPUT -i eth0 -s ipLinux1 -d ipLinux2 -p 22 -j ACCEPT по идее, адреса ipLinux1 и ipLinux2 в этих двух командах должны быть в противоположном порядке, а не в одном... и где правила, пропускающие нужные пакеты из внутренней сети?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "firewall и FeeSwan"
	Сообщение от klez on 08-Окт-03, 18:02 (MSK)
	>и что за протоколы 22 и 80 ??? это ssh и www >iptables -A INPUT -i eth0-s ipLinux1 -d ipLinux2 -p 22 -j ACCEPT >iptables -A OUTPUT -i eth0 -s ipLinux1 -d ipLinux2 -p 22 -j ACCEPT заменяем на iptables -A INPUT -i eth0 -s ipLinux1 -d ipLinux2 -p 22 -j ACCEPT iptables -A OUTPUT -i eth0 -s ipLinux2 -d ipLinux1 -p 22 -j ACCEPT >iptables -A FORWARD -j DROP >iptables -A FORWARD -j LOG имхо действие LOG надоставить выше, чем DROP, иначе в LOG ничего не попадет... и зачем команда iptables -A FORWARD -j DROP вообще, если действие цепочки по умолчанию DROP?- прочел книгу секреты линукс хакеров
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх