форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"к знатокам iptables"
Сообщение от Vladimir (??) on 21-Мрт-05, 11:41  (MSK)
имею настроенную и работающую netams version 3.1(1829.1) в конфигурации прописано .... policy acct oid 031949 name all-ip target ip           policy acct oid 032AE8 name www target tcp-http 80 8080 81 3128 443 .... service data-source 1 type ip-traffic rule 10 "INPUT -p all -j QUEUE" rule 11 "FORWARD -p all -j QUEUE" rule 12 "OUTPUT -p all -j QUEUE" .... service quota 2 policy www notify soft   notify hard  01327B notify return   storage 1 при таких правилах при достижении квоты блокируется почта, хочу чтобы почта при наступлении квоты не блокировалась а продолжала ходить, для этого меняю настройки iptables на rule 10 "FORWARD -p tcp -m multiport --port 25,110 -j ACCEPT" rule 15 "INPUT -p all -j QUEUE" rule 20 "FORWARD -p all -j QUEUE" rule 25 "OUTPUT -p all -j QUEUE" все равно при достижении квоты с такими правилами блокируется почта, пытаюсь сделать так, чтобы в очередь попадали только пакеты для сквид (все юзеры идут в инет через сквид), в расчте ена то, что почта в очередь попадать не будет все правила rule  заменяю на два rule 15 "INPUT -i eth1 -p tcp -s 192.168.178.0 --sport 1024:63353 -d 192.168.178.2 --dport 3128 -j QUEUE" rule 20 "OUTPUT -o eth1 -p tcp -s 192.168.178.2 --sport 3128 -d 192.168.178.0 --dport 1024:63353 -j QUEUE" где eth1 -внутренний интерфейс, 192.168.178.0 сеть, кот. надо обсчитывать. при таких правилах вообще ничего не считает. Поправьте знатоки iptables, пожалуйста.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "к знатокам iptables"
Сообщение от jonatan (??) on 21-Мрт-05, 12:22  (MSK)
>rule 10 "FORWARD -p tcp -m multiport --port 25,110 -j ACCEPT" >rule 15 "INPUT -p all -j QUEUE" >rule 20 "FORWARD -p all -j QUEUE" >rule 25 "OUTPUT -p all -j QUEUE" > Покажи правила iptables после этого.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "к знатокам iptables"
	Сообщение от Vladimir (??) on 21-Мрт-05, 12:47  (MSK)
	>Покажи правила iptables после этого. вообщем правил особых нет, есть только маскарад: iptables -t nat -A POSTROUTING -s 192.168.178.4 -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.178.40 -o eth0 -p tcp --dport 25 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.178.40 -o eth0 -p tcp --dport 110 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.178.30 -o eth0 -p tcp --dport 25 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.178.30 -o eth0 -p tcp --dport 110 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.178.30 -o eth0 -p tcp --dport 119 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.178.30 -o eth0 -p udp --dport 119 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.178.81 -o eth0 -p tcp --dport 25 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.178.81 -o eth0 -p tcp --dport 110 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.178.81 -o eth0 -p tcp --dport 389 -j MASQUERADE iptables -t nat -A POSTROUTING -s 192.168.178.81 -o eth0 -p udp --dport 389 -j MASQUERADE проверял с машины, кот. имеет адрес 192.168.178.81
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "к знатокам iptables"
	Сообщение от jonatan (??) on 21-Мрт-05, 12:52  (MSK)
	Меня интересуют правила в таблице filter после запуска netams с указанными настройками. ipfilter -nvL -t filter
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "к знатокам iptables"
	Сообщение от Vladimir (??) on 21-Мрт-05, 13:27  (MSK)
	результат вывода iptables -nvL -t filter Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target     prot opt in     out     source               destination         9649 2431K QUEUE      all  --  *      *       0.0.0.0/0            0.0.0.0/0           318K   88M RH-Firewall-1-INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target     prot opt in     out     source               destination           684 43571 QUEUE      all  --  *      *       0.0.0.0/0            0.0.0.0/0               0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           multiport ports 25,110 78665   11M RH-Firewall-1-INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           Chain OUTPUT (policy ACCEPT 258K packets, 103M bytes) pkts bytes target     prot opt in     out     source               destination         8583 3574K QUEUE      all  --  *      *       0.0.0.0/0            0.0.0.0/0           Chain RH-Firewall-1-INPUT (2 references) pkts bytes target     prot opt in     out     source               destination         32088 7466K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           114K   65M ACCEPT     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0           251K   26M ACCEPT     all  --  eth1   *       0.0.0.0/0            0.0.0.0/0               0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 255     0     0 ACCEPT     esp  --  *      *       0.0.0.0/0            0.0.0.0/0               0     0 ACCEPT     ah   --  *      *       0.0.0.0/0            0.0.0.0/0               0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED     0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:25     0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80     0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:21     0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22     0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:23     0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "к знатокам iptables"
	Сообщение от jonatan (??) on 21-Мрт-05, 13:41  (MSK)
	>Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) > pkts bytes target     prot opt in   >   out     source   >           > destination >  684 43571 QUEUE      all   >--  *      *   >    0.0.0.0/0       >     0.0.0.0/0 >    0     0 ACCEPT   >   tcp  --  *     >  *       0.0.0.0/0   >          0.0.0.0/0 >          multiport >ports 25,110 >78665   11M RH-Firewall-1-INPUT  all  --  *   >    *       >0.0.0.0/0           > 0.0.0.0/0 > Вот ответ на твой вопрос. Правило, разрешающее 25,110 tcp-порты, стоит после QUEUE. Не уверен, но можно попробовать rule 10 "INPUT -p all -j QUEUE" rule 15 "FORWARD -p all -j QUEUE" rule 20 "OUTPUT -p all -j QUEUE" rule 25 "FORWARD -p tcp -m multiport --port 25,110 -j ACCEPT" Лично я вообще отказался от использования правил через netams.cfg. Просто в правилах iptables вместо ACCEPT пишу QUEUE где нужно (обратный трафик тоже нужно не забыть). На форуме www.netams.com эта тема давно уже обсуждалась.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "к знатокам iptables"
	Сообщение от Vladimir (??) on 21-Мрт-05, 14:10  (MSK)
	>Не уверен, но можно попробовать > >rule 10 "INPUT -p all -j QUEUE" >rule 15 "FORWARD -p all -j QUEUE" >rule 20 "OUTPUT -p all -j QUEUE" >rule 25 "FORWARD -p tcp -m multiport --port 25,110 -j ACCEPT" попробовал после этого результат вывода iptables - nvL -t filter изменился: Правило, разрешающее 25,110 tcp-порты, стоит теперь перед QUEUE. но все равно при достижении квоты почта блокируется >Лично я вообще отказался от использования правил через netams.cfg. Просто в правилах >iptables вместо ACCEPT пишу QUEUE где нужно (обратный трафик тоже нужно >не забыть). На форуме www.netams.com эта тема давно уже обсуждалась. но  у меня пользователи ходят в Инет через сквид, что менять в правилах? Форум netams.com весь излазил, ответа на свой вопрос не нашел. Советуют обновляться до новой версии. Но это еще вместе с установкой новых версий софта (мускул и т.п.), и настройкой конфигов займет много времени. и надо быть уверенным, что это работает в новой версии.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "к знатокам iptables"
	Сообщение от jonatan (??) on 21-Мрт-05, 15:37  (MSK)
	>>rule 10 "INPUT -p all -j QUEUE" >>rule 15 "FORWARD -p all -j QUEUE" >>rule 20 "OUTPUT -p all -j QUEUE" >>rule 25 "FORWARD -p tcp -m multiport --port 25,110 -j ACCEPT" >попробовал после этого результат вывода iptables - nvL -t filter изменился: >Правило, разрешающее 25,110 tcp-порты, стоит теперь перед QUEUE. >но все равно при достижении квоты почта блокируется Сори, я просмотрел. Под правило FORWARD -p tcp -m multiport --port 25,110 -j ACCEPT попадут только пакеты, идущие с 25 на 25 порт (110 на 110 соответсвенно). Клиенты делают запросы с портов >1023. Поэтому должно быть: rule 25 "FORWARD -p tcp -m multiport --destination-port 25,110 -j ACCEPT" rule 30 "FORWARD -p tcp -m multiport --source-port 25,110 -j ACCEPT" Но с такими правилами почтовый трафик вообще не будет попадать в netams и, соответсвенно, учитываться. > но  у меня пользователи ходят в Инет через сквид, что >менять в правилах? Я уже сказал. Направляй в netams только тот трафик, который необходимо считать. Есть еще системы учета и блокирования трафика для squid (SAMS, SAcc и т.п.). >Форум netams.com весь излазил, ответа на свой вопрос не нашел. Советуют обновляться >до новой версии. Но это еще вместе с установкой новых версий >софта (мускул и т.п.), и настройкой конфигов займет много времени. и >надо быть уверенным, что это работает в новой версии. В STABLE-версии netams квота работает только для всего трафика, о чем авторы тебе и сказали.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "к знатокам iptables"
	Сообщение от Vladimir (??) on 21-Мрт-05, 16:27  (MSK)
	спасибо за ответы, проверю -напишу
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.