forum.opennet.ru - "настойка iptables" (24)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"настойка iptables"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"настойка iptables"
Сообщение от kazak on 04-Окт-04, 13:05 (MSK)
Еще один вопрос по iptables. Не могу определить из-за чего возникает следующая проблема: На серваке с linux стоит squid. Для аутентификации на проксе пользователей из локалки использую программу ncsa_auth. Сейчас понадобилось использовать iptables. Пишу правила: iptables -P INPUT DROP iptables -A INPUT -p all -s 192.170.30/24 -d 192.170.30.10 -j ACCEPT После этого пользователи не могут попасть в инет через squid Подскажите, что не так.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

настойка iptables, Владимир, 13:12 , 04-Окт-04, (1)
- настойка iptables, kazak, 13:45 , 04-Окт-04, (2)
  - настойка iptables, Владимир, 14:03 , 04-Окт-04, (4)
настойка iptables, open, 13:59 , 04-Окт-04, (3)
- настойка iptables, kazak, 14:39 , 04-Окт-04, (5)
  - настойка iptables, StSphinx, 15:33 , 04-Окт-04, (6)
    - настойка iptables, open, 15:35 , 04-Окт-04, (8)
      - настойка iptables, StSphinx, 15:43 , 04-Окт-04, (9)
  - настойка iptables, open, 15:34 , 04-Окт-04, (7)
    - настойка iptables, StSphinx, 15:59 , 04-Окт-04, (10)
      - настойка iptables, kazak, 16:16 , 04-Окт-04, (12)
    - настойка iptables, kazak, 16:05 , 04-Окт-04, (11)
      - настойка iptables, StSphinx, 16:21 , 04-Окт-04, (13)
        
        настойка iptables, kazak, 16:25 , 04-Окт-04, (14)
        
        настойка iptables, StSphinx, 16:29 , 04-Окт-04, (15)
        
        настойка iptables, kazak, 16:31 , 04-Окт-04, (16)
        
        настойка iptables, kazak, 16:37 , 04-Окт-04, (17)
        настойка iptables, StSphinx, 16:38 , 04-Окт-04, (18)
        
        настойка iptables, kazak, 16:49 , 04-Окт-04, (20)
настойка iptables, Gleb, 16:48 , 04-Окт-04, (19)
- настойка iptables, kazak, 17:04 , 04-Окт-04, (21)
  - настойка iptables, open, 17:13 , 04-Окт-04, (22)
    - настойка iptables, kazak, 17:18 , 04-Окт-04, (23)
      - настойка iptables, Gennadi, 23:43 , 04-Окт-04, (24)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "настойка iptables"

Сообщение от Владимир (??) on 04-Окт-04, 13:12  (MSK)

>iptables -A INPUT -p all -s 192.170.30/24 -d 192.170.30.10 -j ACCEPT
А чего это за адрес такой - 192.170.30/24 ?

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "настойка iptables"

Сообщение от kazak on 04-Окт-04, 13:45  (MSK)

>>iptables -A INPUT -p all -s 192.170.30/24 -d 192.170.30.10 -j ACCEPT
>
>А чего это за адрес такой - 192.170.30/24 ?
Это локалка (естественно не настоящая)

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "настойка iptables"

Сообщение от Владимир (??) on 04-Окт-04, 14:03  (MSK)

>>А чего это за адрес такой - 192.170.30/24 ?
>Это локалка (естественно не настоящая)
:) Я понимаю, что локалка. Убираем маску: 192.170.30 - это что такое? :)

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "настойка iptables"

Сообщение от open on 04-Окт-04, 13:59  (MSK)

а если еще добавить
iptables -A INPUT -p all -d 192.170.30/24 -s 192.170.30.10 -j ACCEPT
не помогло?
>Еще один вопрос по iptables. Не могу определить из-за чего возникает следующая
>проблема:
>На серваке с linux стоит squid. Для аутентификации на проксе пользователей из
>локалки использую программу ncsa_auth.
>Сейчас понадобилось использовать iptables. Пишу правила:
>iptables -P INPUT DROP
>iptables -A INPUT -p all -s 192.170.30/24 -d 192.170.30.10 -j ACCEPT
>
>После этого пользователи не могут попасть в инет через squid
>Подскажите, что не так.

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "настойка iptables"

Сообщение от kazak on 04-Окт-04, 14:39  (MSK)

>а если еще добавить
>iptables -A INPUT -p all -d 192.170.30/24 -s 192.170.30.10 -j ACCEPT
>не помогло?
>
>>Еще один вопрос по iptables. Не могу определить из-за чего возникает следующая
>>проблема:
>>На серваке с linux стоит squid. Для аутентификации на проксе пользователей из
>>локалки использую программу ncsa_auth.
>>Сейчас понадобилось использовать iptables. Пишу правила:
>>iptables -P INPUT DROP
>>iptables -A INPUT -p all -s 192.170.30/24 -d 192.170.30.10 -j ACCEPT
>>
>>После этого пользователи не могут попасть в инет через squid
>>Подскажите, что не так.
так ведь  d - это адрес назначения, т.е. сам файервол

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "настойка iptables"

Сообщение от StSphinx (??) on 04-Окт-04, 15:33  (MSK)

>>а если еще добавить
>>iptables -A INPUT -p all -d 192.170.30/24 -s 192.170.30.10 -j ACCEPT
>>не помогло?
>>
>>>Еще один вопрос по iptables. Не могу определить из-за чего возникает следующая
>>>проблема:
>>>На серваке с linux стоит squid. Для аутентификации на проксе пользователей из
>>>локалки использую программу ncsa_auth.
>>>Сейчас понадобилось использовать iptables. Пишу правила:
>>>iptables -P INPUT DROP
>>>iptables -A INPUT -p all -s 192.170.30/24 -d 192.170.30.10 -j ACCEPT
>>>
>>>После этого пользователи не могут попасть в инет через squid
>>>Подскажите, что не так.
>
>так ведь  d - это адрес назначения, т.е. сам файервол

Попробуйте правила местами поменять. У вас клиенты дропятся по первому правилу. И внимательно читайте о том каким образом пакеты обрабатываются пакетным фильтром.

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "настойка iptables"

Сообщение от open on 04-Окт-04, 15:35  (MSK)

сам бы и почитал для начала, первое правило устанавливает политику по умолчанию
>>>а если еще добавить
>>>iptables -A INPUT -p all -d 192.170.30/24 -s 192.170.30.10 -j ACCEPT
>>>не помогло?
>>>
>>>>Еще один вопрос по iptables. Не могу определить из-за чего возникает следующая
>>>>проблема:
>>>>На серваке с linux стоит squid. Для аутентификации на проксе пользователей из
>>>>локалки использую программу ncsa_auth.
>>>>Сейчас понадобилось использовать iptables. Пишу правила:
>>>>iptables -P INPUT DROP
>>>>iptables -A INPUT -p all -s 192.170.30/24 -d 192.170.30.10 -j ACCEPT
>>>>
>>>>После этого пользователи не могут попасть в инет через squid
>>>>Подскажите, что не так.
>>
>>так ведь  d - это адрес назначения, т.е. сам файервол
>
>
>Попробуйте правила местами поменять. У вас клиенты дропятся по первому правилу. И
>внимательно читайте о том каким образом пакеты обрабатываются пакетным фильтром.

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "настойка iptables"

Сообщение от StSphinx (??) on 04-Окт-04, 15:43  (MSK)

>сам бы и почитал для начала, первое правило устанавливает политику по умолчанию
>
>
>>>>а если еще добавить
>>>>iptables -A INPUT -p all -d 192.170.30/24 -s 192.170.30.10 -j ACCEPT
>>>>не помогло?
>>>>
>>>>>Еще один вопрос по iptables. Не могу определить из-за чего возникает следующая
>>>>>проблема:
>>>>>На серваке с linux стоит squid. Для аутентификации на проксе пользователей из
>>>>>локалки использую программу ncsa_auth.
>>>>>Сейчас понадобилось использовать iptables. Пишу правила:
>>>>>iptables -P INPUT DROP
>>>>>iptables -A INPUT -p all -s 192.170.30/24 -d 192.170.30.10 -j ACCEPT
>>>>>
>>>>>После этого пользователи не могут попасть в инет через squid
>>>>>Подскажите, что не так.
>>>
>>>так ведь  d - это адрес назначения, т.е. сам файервол
>>
>>
>>Попробуйте правила местами поменять. У вас клиенты дропятся по первому правилу. И
>>внимательно читайте о том каким образом пакеты обрабатываются пакетным фильтром.

Да, извиняюсь... Заметил когда уже отправил...8)
Тогда iptables -L в студию...

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "настойка iptables"

Сообщение от open on 04-Окт-04, 15:34  (MSK)

сорри я перепутал, цепочку.
обратные пакеты пойдут через OUTPUT.
iptables -A OUTPUT -p all -d 192.170.30/24 -s 192.170.30.10 -j ACCEPT
>>а если еще добавить
>>iptables -A INPUT -p all -d 192.170.30/24 -s 192.170.30.10 -j ACCEPT
>>не помогло?
>>
>>>Еще один вопрос по iptables. Не могу определить из-за чего возникает следующая
>>>проблема:
>>>На серваке с linux стоит squid. Для аутентификации на проксе пользователей из
>>>локалки использую программу ncsa_auth.
>>>Сейчас понадобилось использовать iptables. Пишу правила:
>>>iptables -P INPUT DROP
>>>iptables -A INPUT -p all -s 192.170.30/24 -d 192.170.30.10 -j ACCEPT
>>>
>>>После этого пользователи не могут попасть в инет через squid
>>>Подскажите, что не так.
>
>так ведь  d - это адрес назначения, т.е. сам файервол

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "настойка iptables"

Сообщение от StSphinx (??) on 04-Окт-04, 15:59  (MSK)

>сорри я перепутал, цепочку.
>обратные пакеты пойдут через OUTPUT.
>iptables -A OUTPUT -p all -d 192.170.30/24 -s 192.170.30.10 -j ACCEPT
>
>>>а если еще добавить
>>>iptables -A INPUT -p all -d 192.170.30/24 -s 192.170.30.10 -j ACCEPT
>>>не помогло?
>>>
>>>>Еще один вопрос по iptables. Не могу определить из-за чего возникает следующая
>>>>проблема:
>>>>На серваке с linux стоит squid. Для аутентификации на проксе пользователей из
>>>>локалки использую программу ncsa_auth.
>>>>Сейчас понадобилось использовать iptables. Пишу правила:
>>>>iptables -P INPUT DROP
>>>>iptables -A INPUT -p all -s 192.170.30/24 -d 192.170.30.10 -j ACCEPT
>>>>
>>>>После этого пользователи не могут попасть в инет через squid
>>>>Подскажите, что не так.
>>
>>так ведь  d - это адрес назначения, т.е. сам файервол
Попробуйте разрешить входящие соединения с localhost.

Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "настойка iptables"

Сообщение от kazak on 04-Окт-04, 16:16  (MSK)

>>сорри я перепутал, цепочку.
>>обратные пакеты пойдут через OUTPUT.
>>iptables -A OUTPUT -p all -d 192.170.30/24 -s 192.170.30.10 -j ACCEPT
>>
>>>>а если еще добавить
>>>>iptables -A INPUT -p all -d 192.170.30/24 -s 192.170.30.10 -j ACCEPT
>>>>не помогло?
>>>>
>>>>>Еще один вопрос по iptables. Не могу определить из-за чего возникает следующая
>>>>>проблема:
>>>>>На серваке с linux стоит squid. Для аутентификации на проксе пользователей из
>>>>>локалки использую программу ncsa_auth.
>>>>>Сейчас понадобилось использовать iptables. Пишу правила:
>>>>>iptables -P INPUT DROP
>>>>>iptables -A INPUT -p all -s 192.170.30/24 -d 192.170.30.10 -j ACCEPT
>>>>>
>>>>>После этого пользователи не могут попасть в инет через squid
>>>>>Подскажите, что не так.
>>>
>>>так ведь  d - это адрес назначения, т.е. сам файервол
>
>Попробуйте разрешить входящие соединения с localhost.
Не помоголо

Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "настойка iptables"

Сообщение от kazak on 04-Окт-04, 16:05  (MSK)

Я думаю проблема в другом, когда я правило пишу:
iptables -p INPUT DROP
iptables -A INPUT -p all -s 192.170.30.0/24 -d 192.170.30.10 -j ACCEPT,
пакеты из локалки идут на squid. Но когда из инета приходяи ответы на squid, то таблица filter их уже не пускает. Например,
iptables -p INPUT DROP
iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -j ACCEPT - все ОК.
Если это так, то непонятно как защиту строить - я фактически всем дал доступ к проксе...

Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "настойка iptables"

Сообщение от StSphinx (??) on 04-Окт-04, 16:21  (MSK)

>Я думаю проблема в другом, когда я правило пишу:
>iptables -p INPUT DROP
>iptables -A INPUT -p all -s 192.170.30.0/24 -d 192.170.30.10 -j ACCEPT,
>
>пакеты из локалки идут на squid. Но когда из инета приходяи ответы
>на squid, то таблица filter их уже не пускает. Например,
>
>iptables -p INPUT DROP
>iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -j ACCEPT -
>все ОК.
>
>Если это так, то непонятно как защиту строить - я фактически всем
>дал доступ к проксе...

А доступ к прокси как раз можно разграничить на самом прокси.

Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "настойка iptables"

Сообщение от kazak on 04-Окт-04, 16:25  (MSK)

>>Я думаю проблема в другом, когда я правило пишу:
>>iptables -p INPUT DROP
>>iptables -A INPUT -p all -s 192.170.30.0/24 -d 192.170.30.10 -j ACCEPT,
>>
>>пакеты из локалки идут на squid. Но когда из инета приходяи ответы
>>на squid, то таблица filter их уже не пускает. Например,
>>
>>iptables -p INPUT DROP
>>iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -j ACCEPT -
>>все ОК.
>>
>>Если это так, то непонятно как защиту строить - я фактически всем
>>дал доступ к проксе...
>
>
>А доступ к прокси как раз можно разграничить на самом прокси.
Значит правильно iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -j ACCEPT и иначе ответные пакеты не дойдут?

Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "настойка iptables"

Сообщение от StSphinx (??) on 04-Окт-04, 16:29  (MSK)

>>>Я думаю проблема в другом, когда я правило пишу:
>>>iptables -p INPUT DROP
>>>iptables -A INPUT -p all -s 192.170.30.0/24 -d 192.170.30.10 -j ACCEPT,
>>>
>>>пакеты из локалки идут на squid. Но когда из инета приходяи ответы
>>>на squid, то таблица filter их уже не пускает. Например,
>>>
>>>iptables -p INPUT DROP
>>>iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -j ACCEPT -
>>>все ОК.
>>>
>>>Если это так, то непонятно как защиту строить - я фактически всем
>>>дал доступ к проксе...
>>
>>
>
>>А доступ к прокси как раз можно разграничить на самом прокси.
>
>Значит правильно iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -j
>ACCEPT и иначе ответные пакеты не дойдут?

Да, но -d <твой_реальный_IP> естественно, тот с которым ты в Инет выходишь.

Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "настойка iptables"

Сообщение от kazak on 04-Окт-04, 16:31  (MSK)

>>>>Я думаю проблема в другом, когда я правило пишу:
>>>>iptables -p INPUT DROP
>>>>iptables -A INPUT -p all -s 192.170.30.0/24 -d 192.170.30.10 -j ACCEPT,
>>>>
>>>>пакеты из локалки идут на squid. Но когда из инета приходяи ответы
>>>>на squid, то таблица filter их уже не пускает. Например,
>>>>
>>>>iptables -p INPUT DROP
>>>>iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -j ACCEPT -
>>>>все ОК.
>>>>
>>>>Если это так, то непонятно как защиту строить - я фактически всем
>>>>дал доступ к проксе...
>>>
>>>
>>
>>>А доступ к прокси как раз можно разграничить на самом прокси.
>>
>>Значит правильно iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -j
>>ACCEPT и иначе ответные пакеты не дойдут?
>
>
>Да, но -d <твой_реальный_IP> естественно, тот с которым ты в Инет выходишь.
Спасибо. Если не трудно еще один вопрос:
iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -sport 3128 -j ACCEPT
ругается на 3128

Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "настойка iptables"

Сообщение от kazak on 04-Окт-04, 16:37  (MSK)

>>>>>Я думаю проблема в другом, когда я правило пишу:
>>>>>iptables -p INPUT DROP
>>>>>iptables -A INPUT -p all -s 192.170.30.0/24 -d 192.170.30.10 -j ACCEPT,
>>>>>
>>>>>пакеты из локалки идут на squid. Но когда из инета приходяи ответы
>>>>>на squid, то таблица filter их уже не пускает. Например,
>>>>>
>>>>>iptables -p INPUT DROP
>>>>>iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -j ACCEPT -
>>>>>все ОК.
>>>>>
>>>>>Если это так, то непонятно как защиту строить - я фактически всем
>>>>>дал доступ к проксе...
>>>>
>>>>
>>>
>>>>А доступ к прокси как раз можно разграничить на самом прокси.
>>>
>>>Значит правильно iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -j
>>>ACCEPT и иначе ответные пакеты не дойдут?
>>
>>
>>Да, но -d <твой_реальный_IP> естественно, тот с которым ты в Инет выходишь.
>
>Спасибо. Если не трудно еще один вопрос:
>iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -sport 3128 -j
>ACCEPT
>ругается на 3128
Сам разобрался -нужно конкретно протокол указывать tcp/udp

Рекомендовать в FAQ | Cообщить модератору | Наверх

18. "настойка iptables"

Сообщение от StSphinx (ok) on 04-Окт-04, 16:38  (MSK)

>>>>>Я думаю проблема в другом, когда я правило пишу:
>>>>>iptables -p INPUT DROP
>>>>>iptables -A INPUT -p all -s 192.170.30.0/24 -d 192.170.30.10 -j ACCEPT,
>>>>>
>>>>>пакеты из локалки идут на squid. Но когда из инета приходяи ответы
>>>>>на squid, то таблица filter их уже не пускает. Например,
>>>>>
>>>>>iptables -p INPUT DROP
>>>>>iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -j ACCEPT -
>>>>>все ОК.
>>>>>
>>>>>Если это так, то непонятно как защиту строить - я фактически всем
>>>>>дал доступ к проксе...
>>>>
>>>>
>>>
>>>>А доступ к прокси как раз можно разграничить на самом прокси.
>>>
>>>Значит правильно iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -j
>>>ACCEPT и иначе ответные пакеты не дойдут?
>>
>>
>>Да, но -d <твой_реальный_IP> естественно, тот с которым ты в Инет выходишь.
>
>Спасибо. Если не трудно еще один вопрос:
>iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -sport 3128 -j
>ACCEPT
>ругается на 3128
--sport 3128

Рекомендовать в FAQ | Cообщить модератору | Наверх

20. "настойка iptables"

Сообщение от kazak on 04-Окт-04, 16:49  (MSK)

>>>>>>Я думаю проблема в другом, когда я правило пишу:
>>>>>>iptables -p INPUT DROP
>>>>>>iptables -A INPUT -p all -s 192.170.30.0/24 -d 192.170.30.10 -j ACCEPT,
>>>>>>
>>>>>>пакеты из локалки идут на squid. Но когда из инета приходяи ответы
>>>>>>на squid, то таблица filter их уже не пускает. Например,
>>>>>>
>>>>>>iptables -p INPUT DROP
>>>>>>iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -j ACCEPT -
>>>>>>все ОК.
>>>>>>
>>>>>>Если это так, то непонятно как защиту строить - я фактически всем
>>>>>>дал доступ к проксе...
>>>>>
>>>>>
>>>>
>>>>>А доступ к прокси как раз можно разграничить на самом прокси.
>>>>
>>>>Значит правильно iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -j
>>>>ACCEPT и иначе ответные пакеты не дойдут?
>>>
>>>
>>>Да, но -d <твой_реальный_IP> естественно, тот с которым ты в Инет выходишь.
>>
>>Спасибо. Если не трудно еще один вопрос:
>>iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -sport 3128 -j
>>ACCEPT
>>ругается на 3128
>
>--sport 3128
Так ведь --sport -это адрес источника, т.е. порта клиента, хотя с -dport - не заработало?

Рекомендовать в FAQ | Cообщить модератору | Наверх

19. "настойка iptables"

Сообщение от Gleb on 04-Окт-04, 16:48  (MSK)

iptables -A INPUT -i lo -j ACCEPT
И все! У тебя сквид не может с lo работать...

Рекомендовать в FAQ | Cообщить модератору | Наверх

21. "настойка iptables"

Сообщение от kazak on 04-Окт-04, 17:04  (MSK)

>iptables -A INPUT -i lo -j ACCEPT
>И все! У тебя сквид не может с lo работать...
не помогло

Рекомендовать в FAQ | Cообщить модератору | Наверх

22. "настойка iptables"

Сообщение от open on 04-Окт-04, 17:13  (MSK)

слушай может тебе уже tcpdump'ом слить
обмен трафиком между проксей и твоим хостом
по всем интерфейсам и посмотреть чего не хватает ?

>>iptables -A INPUT -i lo -j ACCEPT
>>И все! У тебя сквид не может с lo работать...
>
>не помогло

Рекомендовать в FAQ | Cообщить модератору | Наверх

23. "настойка iptables"

Сообщение от kazak on 04-Окт-04, 17:18  (MSK)

>слушай может тебе уже tcpdump'ом слить
>обмен трафиком между проксей и твоим хостом
>по всем интерфейсам и посмотреть чего не хватает ?
>
>
>>>iptables -A INPUT -i lo -j ACCEPT
>>>И все! У тебя сквид не может с lo работать...
>>
>>не помогло
Если ничего не получится буду пакеты разбирать

Рекомендовать в FAQ | Cообщить модератору | Наверх

24. "настойка iptables"

Сообщение от Gennadi (ok) on 04-Окт-04, 23:43  (MSK)

>>слушай может тебе уже tcpdump'ом слить
>>обмен трафиком между проксей и твоим хостом
>>по всем интерфейсам и посмотреть чего не хватает ?
>>
>>
>>>>iptables -A INPUT -i lo -j ACCEPT
>>>>И все! У тебя сквид не может с lo работать...
>>>
>>>не помогло
>
>Если ничего не получится буду пакеты разбирать

Открой доступ из локалки к сетевой карте которая смотрит в локалку:
iptables -A INPUT -m state --state NEW -i eth1 -j ACCEPT
где eth1 - сетевая карта локалки...

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "настойка iptables"
Сообщение от Владимир (??) on 04-Окт-04, 13:12 (MSK)
>iptables -A INPUT -p all -s 192.170.30/24 -d 192.170.30.10 -j ACCEPT А чего это за адрес такой - 192.170.30/24 ?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "настойка iptables"
	Сообщение от kazak on 04-Окт-04, 13:45 (MSK)
	>>iptables -A INPUT -p all -s 192.170.30/24 -d 192.170.30.10 -j ACCEPT > >А чего это за адрес такой - 192.170.30/24 ? Это локалка (естественно не настоящая)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "настойка iptables"
	Сообщение от Владимир (??) on 04-Окт-04, 14:03 (MSK)
	>>А чего это за адрес такой - 192.170.30/24 ? >Это локалка (естественно не настоящая) :) Я понимаю, что локалка. Убираем маску: 192.170.30 - это что такое? :)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

3. "настойка iptables"
Сообщение от open on 04-Окт-04, 13:59 (MSK)
а если еще добавить iptables -A INPUT -p all -d 192.170.30/24 -s 192.170.30.10 -j ACCEPT не помогло? >Еще один вопрос по iptables. Не могу определить из-за чего возникает следующая >проблема: >На серваке с linux стоит squid. Для аутентификации на проксе пользователей из >локалки использую программу ncsa_auth. >Сейчас понадобилось использовать iptables. Пишу правила: >iptables -P INPUT DROP >iptables -A INPUT -p all -s 192.170.30/24 -d 192.170.30.10 -j ACCEPT > >После этого пользователи не могут попасть в инет через squid >Подскажите, что не так.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "настойка iptables"
	Сообщение от kazak on 04-Окт-04, 14:39 (MSK)
	>а если еще добавить >iptables -A INPUT -p all -d 192.170.30/24 -s 192.170.30.10 -j ACCEPT >не помогло? > >>Еще один вопрос по iptables. Не могу определить из-за чего возникает следующая >>проблема: >>На серваке с linux стоит squid. Для аутентификации на проксе пользователей из >>локалки использую программу ncsa_auth. >>Сейчас понадобилось использовать iptables. Пишу правила: >>iptables -P INPUT DROP >>iptables -A INPUT -p all -s 192.170.30/24 -d 192.170.30.10 -j ACCEPT >> >>После этого пользователи не могут попасть в инет через squid >>Подскажите, что не так. так ведь d - это адрес назначения, т.е. сам файервол
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "настойка iptables"
	Сообщение от StSphinx (??) on 04-Окт-04, 15:33 (MSK)
	>>а если еще добавить >>iptables -A INPUT -p all -d 192.170.30/24 -s 192.170.30.10 -j ACCEPT >>не помогло? >> >>>Еще один вопрос по iptables. Не могу определить из-за чего возникает следующая >>>проблема: >>>На серваке с linux стоит squid. Для аутентификации на проксе пользователей из >>>локалки использую программу ncsa_auth. >>>Сейчас понадобилось использовать iptables. Пишу правила: >>>iptables -P INPUT DROP >>>iptables -A INPUT -p all -s 192.170.30/24 -d 192.170.30.10 -j ACCEPT >>> >>>После этого пользователи не могут попасть в инет через squid >>>Подскажите, что не так. > >так ведь d - это адрес назначения, т.е. сам файервол Попробуйте правила местами поменять. У вас клиенты дропятся по первому правилу. И внимательно читайте о том каким образом пакеты обрабатываются пакетным фильтром.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "настойка iptables"
	Сообщение от open on 04-Окт-04, 15:35 (MSK)
	сам бы и почитал для начала, первое правило устанавливает политику по умолчанию >>>а если еще добавить >>>iptables -A INPUT -p all -d 192.170.30/24 -s 192.170.30.10 -j ACCEPT >>>не помогло? >>> >>>>Еще один вопрос по iptables. Не могу определить из-за чего возникает следующая >>>>проблема: >>>>На серваке с linux стоит squid. Для аутентификации на проксе пользователей из >>>>локалки использую программу ncsa_auth. >>>>Сейчас понадобилось использовать iptables. Пишу правила: >>>>iptables -P INPUT DROP >>>>iptables -A INPUT -p all -s 192.170.30/24 -d 192.170.30.10 -j ACCEPT >>>> >>>>После этого пользователи не могут попасть в инет через squid >>>>Подскажите, что не так. >> >>так ведь d - это адрес назначения, т.е. сам файервол > > >Попробуйте правила местами поменять. У вас клиенты дропятся по первому правилу. И >внимательно читайте о том каким образом пакеты обрабатываются пакетным фильтром.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "настойка iptables"
	Сообщение от StSphinx (??) on 04-Окт-04, 15:43 (MSK)
	>сам бы и почитал для начала, первое правило устанавливает политику по умолчанию > > >>>>а если еще добавить >>>>iptables -A INPUT -p all -d 192.170.30/24 -s 192.170.30.10 -j ACCEPT >>>>не помогло? >>>> >>>>>Еще один вопрос по iptables. Не могу определить из-за чего возникает следующая >>>>>проблема: >>>>>На серваке с linux стоит squid. Для аутентификации на проксе пользователей из >>>>>локалки использую программу ncsa_auth. >>>>>Сейчас понадобилось использовать iptables. Пишу правила: >>>>>iptables -P INPUT DROP >>>>>iptables -A INPUT -p all -s 192.170.30/24 -d 192.170.30.10 -j ACCEPT >>>>> >>>>>После этого пользователи не могут попасть в инет через squid >>>>>Подскажите, что не так. >>> >>>так ведь d - это адрес назначения, т.е. сам файервол >> >> >>Попробуйте правила местами поменять. У вас клиенты дропятся по первому правилу. И >>внимательно читайте о том каким образом пакеты обрабатываются пакетным фильтром. Да, извиняюсь... Заметил когда уже отправил...8) Тогда iptables -L в студию...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "настойка iptables"
	Сообщение от open on 04-Окт-04, 15:34 (MSK)
	сорри я перепутал, цепочку. обратные пакеты пойдут через OUTPUT. iptables -A OUTPUT -p all -d 192.170.30/24 -s 192.170.30.10 -j ACCEPT >>а если еще добавить >>iptables -A INPUT -p all -d 192.170.30/24 -s 192.170.30.10 -j ACCEPT >>не помогло? >> >>>Еще один вопрос по iptables. Не могу определить из-за чего возникает следующая >>>проблема: >>>На серваке с linux стоит squid. Для аутентификации на проксе пользователей из >>>локалки использую программу ncsa_auth. >>>Сейчас понадобилось использовать iptables. Пишу правила: >>>iptables -P INPUT DROP >>>iptables -A INPUT -p all -s 192.170.30/24 -d 192.170.30.10 -j ACCEPT >>> >>>После этого пользователи не могут попасть в инет через squid >>>Подскажите, что не так. > >так ведь d - это адрес назначения, т.е. сам файервол
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "настойка iptables"
	Сообщение от StSphinx (??) on 04-Окт-04, 15:59 (MSK)
	>сорри я перепутал, цепочку. >обратные пакеты пойдут через OUTPUT. >iptables -A OUTPUT -p all -d 192.170.30/24 -s 192.170.30.10 -j ACCEPT > >>>а если еще добавить >>>iptables -A INPUT -p all -d 192.170.30/24 -s 192.170.30.10 -j ACCEPT >>>не помогло? >>> >>>>Еще один вопрос по iptables. Не могу определить из-за чего возникает следующая >>>>проблема: >>>>На серваке с linux стоит squid. Для аутентификации на проксе пользователей из >>>>локалки использую программу ncsa_auth. >>>>Сейчас понадобилось использовать iptables. Пишу правила: >>>>iptables -P INPUT DROP >>>>iptables -A INPUT -p all -s 192.170.30/24 -d 192.170.30.10 -j ACCEPT >>>> >>>>После этого пользователи не могут попасть в инет через squid >>>>Подскажите, что не так. >> >>так ведь d - это адрес назначения, т.е. сам файервол Попробуйте разрешить входящие соединения с localhost.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	12. "настойка iptables"
	Сообщение от kazak on 04-Окт-04, 16:16 (MSK)
	>>сорри я перепутал, цепочку. >>обратные пакеты пойдут через OUTPUT. >>iptables -A OUTPUT -p all -d 192.170.30/24 -s 192.170.30.10 -j ACCEPT >> >>>>а если еще добавить >>>>iptables -A INPUT -p all -d 192.170.30/24 -s 192.170.30.10 -j ACCEPT >>>>не помогло? >>>> >>>>>Еще один вопрос по iptables. Не могу определить из-за чего возникает следующая >>>>>проблема: >>>>>На серваке с linux стоит squid. Для аутентификации на проксе пользователей из >>>>>локалки использую программу ncsa_auth. >>>>>Сейчас понадобилось использовать iptables. Пишу правила: >>>>>iptables -P INPUT DROP >>>>>iptables -A INPUT -p all -s 192.170.30/24 -d 192.170.30.10 -j ACCEPT >>>>> >>>>>После этого пользователи не могут попасть в инет через squid >>>>>Подскажите, что не так. >>> >>>так ведь d - это адрес назначения, т.е. сам файервол > >Попробуйте разрешить входящие соединения с localhost. Не помоголо
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "настойка iptables"
	Сообщение от kazak on 04-Окт-04, 16:05 (MSK)
	Я думаю проблема в другом, когда я правило пишу: iptables -p INPUT DROP iptables -A INPUT -p all -s 192.170.30.0/24 -d 192.170.30.10 -j ACCEPT, пакеты из локалки идут на squid. Но когда из инета приходяи ответы на squid, то таблица filter их уже не пускает. Например, iptables -p INPUT DROP iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -j ACCEPT - все ОК. Если это так, то непонятно как защиту строить - я фактически всем дал доступ к проксе...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	13. "настойка iptables"
	Сообщение от StSphinx (??) on 04-Окт-04, 16:21 (MSK)
	>Я думаю проблема в другом, когда я правило пишу: >iptables -p INPUT DROP >iptables -A INPUT -p all -s 192.170.30.0/24 -d 192.170.30.10 -j ACCEPT, > >пакеты из локалки идут на squid. Но когда из инета приходяи ответы >на squid, то таблица filter их уже не пускает. Например, > >iptables -p INPUT DROP >iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -j ACCEPT - >все ОК. > >Если это так, то непонятно как защиту строить - я фактически всем >дал доступ к проксе... А доступ к прокси как раз можно разграничить на самом прокси.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	14. "настойка iptables"
	Сообщение от kazak on 04-Окт-04, 16:25 (MSK)
	>>Я думаю проблема в другом, когда я правило пишу: >>iptables -p INPUT DROP >>iptables -A INPUT -p all -s 192.170.30.0/24 -d 192.170.30.10 -j ACCEPT, >> >>пакеты из локалки идут на squid. Но когда из инета приходяи ответы >>на squid, то таблица filter их уже не пускает. Например, >> >>iptables -p INPUT DROP >>iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -j ACCEPT - >>все ОК. >> >>Если это так, то непонятно как защиту строить - я фактически всем >>дал доступ к проксе... > > >А доступ к прокси как раз можно разграничить на самом прокси. Значит правильно iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -j ACCEPT и иначе ответные пакеты не дойдут?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	15. "настойка iptables"
	Сообщение от StSphinx (??) on 04-Окт-04, 16:29 (MSK)
	>>>Я думаю проблема в другом, когда я правило пишу: >>>iptables -p INPUT DROP >>>iptables -A INPUT -p all -s 192.170.30.0/24 -d 192.170.30.10 -j ACCEPT, >>> >>>пакеты из локалки идут на squid. Но когда из инета приходяи ответы >>>на squid, то таблица filter их уже не пускает. Например, >>> >>>iptables -p INPUT DROP >>>iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -j ACCEPT - >>>все ОК. >>> >>>Если это так, то непонятно как защиту строить - я фактически всем >>>дал доступ к проксе... >> >> > >>А доступ к прокси как раз можно разграничить на самом прокси. > >Значит правильно iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -j >ACCEPT и иначе ответные пакеты не дойдут? Да, но -d <твой_реальный_IP> естественно, тот с которым ты в Инет выходишь.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	16. "настойка iptables"
	Сообщение от kazak on 04-Окт-04, 16:31 (MSK)
	>>>>Я думаю проблема в другом, когда я правило пишу: >>>>iptables -p INPUT DROP >>>>iptables -A INPUT -p all -s 192.170.30.0/24 -d 192.170.30.10 -j ACCEPT, >>>> >>>>пакеты из локалки идут на squid. Но когда из инета приходяи ответы >>>>на squid, то таблица filter их уже не пускает. Например, >>>> >>>>iptables -p INPUT DROP >>>>iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -j ACCEPT - >>>>все ОК. >>>> >>>>Если это так, то непонятно как защиту строить - я фактически всем >>>>дал доступ к проксе... >>> >>> >> >>>А доступ к прокси как раз можно разграничить на самом прокси. >> >>Значит правильно iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -j >>ACCEPT и иначе ответные пакеты не дойдут? > > >Да, но -d <твой_реальный_IP> естественно, тот с которым ты в Инет выходишь. Спасибо. Если не трудно еще один вопрос: iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -sport 3128 -j ACCEPT ругается на 3128
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	17. "настойка iptables"
	Сообщение от kazak on 04-Окт-04, 16:37 (MSK)
	>>>>>Я думаю проблема в другом, когда я правило пишу: >>>>>iptables -p INPUT DROP >>>>>iptables -A INPUT -p all -s 192.170.30.0/24 -d 192.170.30.10 -j ACCEPT, >>>>> >>>>>пакеты из локалки идут на squid. Но когда из инета приходяи ответы >>>>>на squid, то таблица filter их уже не пускает. Например, >>>>> >>>>>iptables -p INPUT DROP >>>>>iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -j ACCEPT - >>>>>все ОК. >>>>> >>>>>Если это так, то непонятно как защиту строить - я фактически всем >>>>>дал доступ к проксе... >>>> >>>> >>> >>>>А доступ к прокси как раз можно разграничить на самом прокси. >>> >>>Значит правильно iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -j >>>ACCEPT и иначе ответные пакеты не дойдут? >> >> >>Да, но -d <твой_реальный_IP> естественно, тот с которым ты в Инет выходишь. > >Спасибо. Если не трудно еще один вопрос: >iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -sport 3128 -j >ACCEPT >ругается на 3128 Сам разобрался -нужно конкретно протокол указывать tcp/udp
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	18. "настойка iptables"
	Сообщение от StSphinx (ok) on 04-Окт-04, 16:38 (MSK)
	>>>>>Я думаю проблема в другом, когда я правило пишу: >>>>>iptables -p INPUT DROP >>>>>iptables -A INPUT -p all -s 192.170.30.0/24 -d 192.170.30.10 -j ACCEPT, >>>>> >>>>>пакеты из локалки идут на squid. Но когда из инета приходяи ответы >>>>>на squid, то таблица filter их уже не пускает. Например, >>>>> >>>>>iptables -p INPUT DROP >>>>>iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -j ACCEPT - >>>>>все ОК. >>>>> >>>>>Если это так, то непонятно как защиту строить - я фактически всем >>>>>дал доступ к проксе... >>>> >>>> >>> >>>>А доступ к прокси как раз можно разграничить на самом прокси. >>> >>>Значит правильно iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -j >>>ACCEPT и иначе ответные пакеты не дойдут? >> >> >>Да, но -d <твой_реальный_IP> естественно, тот с которым ты в Инет выходишь. > >Спасибо. Если не трудно еще один вопрос: >iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -sport 3128 -j >ACCEPT >ругается на 3128 --sport 3128
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	20. "настойка iptables"
	Сообщение от kazak on 04-Окт-04, 16:49 (MSK)
	>>>>>>Я думаю проблема в другом, когда я правило пишу: >>>>>>iptables -p INPUT DROP >>>>>>iptables -A INPUT -p all -s 192.170.30.0/24 -d 192.170.30.10 -j ACCEPT, >>>>>> >>>>>>пакеты из локалки идут на squid. Но когда из инета приходяи ответы >>>>>>на squid, то таблица filter их уже не пускает. Например, >>>>>> >>>>>>iptables -p INPUT DROP >>>>>>iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -j ACCEPT - >>>>>>все ОК. >>>>>> >>>>>>Если это так, то непонятно как защиту строить - я фактически всем >>>>>>дал доступ к проксе... >>>>> >>>>> >>>> >>>>>А доступ к прокси как раз можно разграничить на самом прокси. >>>> >>>>Значит правильно iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -j >>>>ACCEPT и иначе ответные пакеты не дойдут? >>> >>> >>>Да, но -d <твой_реальный_IP> естественно, тот с которым ты в Инет выходишь. >> >>Спасибо. Если не трудно еще один вопрос: >>iptables -A INPUT -p all -s 0/0 -d 192.170.30.10 -sport 3128 -j >>ACCEPT >>ругается на 3128 > >--sport 3128 Так ведь --sport -это адрес источника, т.е. порта клиента, хотя с -dport - не заработало?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

19. "настойка iptables"
Сообщение от Gleb on 04-Окт-04, 16:48 (MSK)
iptables -A INPUT -i lo -j ACCEPT И все! У тебя сквид не может с lo работать...
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	21. "настойка iptables"
	Сообщение от kazak on 04-Окт-04, 17:04 (MSK)
	>iptables -A INPUT -i lo -j ACCEPT >И все! У тебя сквид не может с lo работать... не помогло
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	22. "настойка iptables"
	Сообщение от open on 04-Окт-04, 17:13 (MSK)
	слушай может тебе уже tcpdump'ом слить обмен трафиком между проксей и твоим хостом по всем интерфейсам и посмотреть чего не хватает ? >>iptables -A INPUT -i lo -j ACCEPT >>И все! У тебя сквид не может с lo работать... > >не помогло
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	23. "настойка iptables"
	Сообщение от kazak on 04-Окт-04, 17:18 (MSK)
	>слушай может тебе уже tcpdump'ом слить >обмен трафиком между проксей и твоим хостом >по всем интерфейсам и посмотреть чего не хватает ? > > >>>iptables -A INPUT -i lo -j ACCEPT >>>И все! У тебя сквид не может с lo работать... >> >>не помогло Если ничего не получится буду пакеты разбирать
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	24. "настойка iptables"
	Сообщение от Gennadi (ok) on 04-Окт-04, 23:43 (MSK)
	>>слушай может тебе уже tcpdump'ом слить >>обмен трафиком между проксей и твоим хостом >>по всем интерфейсам и посмотреть чего не хватает ? >> >> >>>>iptables -A INPUT -i lo -j ACCEPT >>>>И все! У тебя сквид не может с lo работать... >>> >>>не помогло > >Если ничего не получится буду пакеты разбирать Открой доступ из локалки к сетевой карте которая смотрит в локалку: iptables -A INPUT -m state --state NEW -i eth1 -j ACCEPT где eth1 - сетевая карта локалки...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх