форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"простовой вопрос по iptables"
Сообщение от Xmas (??) on 16-Авг-05, 21:15  (MSK)
Подскажите пожалуйста о великие гуру, как мне дать определенному пользователю из домашней сети доступ к внешнему фтп, или мирке? сейчас они могут выходить в интернет только через проксю (стоит сквид) больше никак, но некоторые просят мирку и фтп, напишите плз если не трудно правило для iptables'ов как это можно сделать.
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "простовой вопрос по iptables"
Сообщение от jonatan (ok) on 17-Авг-05, 09:09  (MSK)
Примерно так. modprobe ip_conntrack_ftp modprobe ip_conntrack_irc modprobe ip_nat_ftp modprobe ip_nat_irc iptables -P FORWARD DROP iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -m multiport -p tcp --dport 21,53,194,994 -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -m multiport -p udp --dport 53,194,994 -j ACCEPT iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 1.2.3.4
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "простовой вопрос по iptables"
	Сообщение от Xmas (??) on 17-Авг-05, 15:11  (MSK)
	Замечательно, только вот еще вопросик (ну новичек я еще) а как мне разрешить только определенным айпишникам доступ к определенным сервисам? скажем 192.168.0.1 - SSH, 192.168.0.2 - irc 192.168.0.3 - ftp? вот так подойдет? iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -p tcp -s 192.168.0.1 --dport 22 -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -p tcp -s 192.168.0.2 -m multiport --dport 6660:6669 -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -p tcp -s 192.168.0.3 -m multiport --dport 20,21 -j ACCEPT iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 1.2.3.4
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "простовой вопрос по iptables"
	Сообщение от jonatan (ok) on 17-Авг-05, 15:19  (MSK)
	>Замечательно, только вот еще вопросик (ну новичек я еще) а как мне >разрешить только определенным айпишникам доступ к определенным сервисам? скажем 192.168.0.1 - >SSH, 192.168.0.2 - irc 192.168.0.3 - ftp? вот так подойдет? >iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT >iptables -A FORWARD -i eth0 -o eth1 -p tcp -s 192.168.0.1 --dport >22 -j ACCEPT >iptables -A FORWARD -i eth0 -o eth1 -p tcp -s 192.168.0.2 -m >multiport --dport 6660:6669 -j ACCEPT >iptables -A FORWARD -i eth0 -o eth1 -p tcp -s 192.168.0.3 -m >multiport --dport 20,21 -j ACCEPT tcp порт 20 указывать не нужно, достаточно 21. Читайте спецификацию протокола ftp. >iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 1.2.3.4 А так все нормально.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "простовой вопрос по iptables"
	Сообщение от Xmas (??) on 18-Авг-05, 01:29  (MSK)
	>iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT >iptables -A FORWARD -i eth0 -o eth1 -p tcp -s 192.168.10.15 --dport >80 -j ACCEPT НЕ РАБОТАЕТ!!! Все необходимые модули подключил, но все равно, ни ссш ни фтп ни вэб напрямую (т.е. не через проксю) не работают, почему? Привожу целиком и полностью iptables-save (192.168.10.15-тестовый внутренний ip, 1.2.3.4-реальный внешний ip) : # Generated by iptables-save v1.2.7a on Fri Aug 19 00:51:32 2005 *nat :PREROUTING ACCEPT [320:20003] :POSTROUTING ACCEPT [9:601] :OUTPUT ACCEPT [140:9518] -A POSTROUTING -o eth1 -j SNAT --to-source 1.2.3.4 COMMIT # Completed on Fri Aug 19 00:51:32 2005 # Generated by iptables-save v1.2.7a on Fri Aug 19 00:51:32 2005 *mangle :PREROUTING ACCEPT [3596:1714345] :INPUT ACCEPT [3518:1700085] :FORWARD ACCEPT [77:14200] :OUTPUT ACCEPT [3856:1625975] :POSTROUTING ACCEPT [3931:1640059] COMMIT # Completed on Fri Aug 19 00:51:32 2005 # Generated by iptables-save v1.2.7a on Fri Aug 19 00:51:32 2005 *filter :INPUT DROP [156:10923] :FORWARD DROP [0:0] :OUTPUT DROP [2:116] :allowed - [0:0] :icmp_packets - [0:0] :tcp_packets - [0:0] :udp_packets - [0:0] -A INPUT -s 192.168.10.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 3128 -j ACCEPT -A INPUT -s 127.0.0.1 -i lo -j ACCEPT -A INPUT -s 192.168.10.1 -i lo -j ACCEPT -A INPUT -s 1.2.3.4 -i lo -j ACCEPT -A INPUT -i eth0 -p udp -m udp --sport 68 --dport 67 -j ACCEPT -A INPUT -d 1.2.3.4 -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i eth1 -p tcp -j tcp_packets -A INPUT -i eth1 -p udp -j udp_packets -A INPUT -i eth1 -p icmp -j icmp_packets -A INPUT -s 192.168.10.0/255.255.255.0 -i eth0 -p icmp -j ACCEPT -A INPUT -s 192.168.10.0/255.255.255.0 -p tcp -m tcp --dport 80 -j ACCEPT -A FORWARD -p tcp -j bad_tcp_packets -A FORWARD -i eth0 -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT ************** -A FORWARD -s 192.168.10.15 -i eth0 -o eth1 -p tcp -m tcp --dport 80 -j ACCEPT ************** -A OUTPUT -s 127.0.0.1 -j ACCEPT -A OUTPUT -s 192.168.10.1 -j ACCEPT -A OUTPUT -s 1.2.3.4 -j ACCEPT -A allowed -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT -A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT -A allowed -p tcp -j DROP -A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT -A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT COMMIT
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "простовой вопрос по iptables"
	Сообщение от jonatan (ok) on 18-Авг-05, 09:18  (MSK)
	>*filter >:INPUT DROP [156:10923] >:FORWARD DROP [0:0] >:OUTPUT DROP [2:116] >:allowed - [0:0] >:icmp_packets - [0:0] >:tcp_packets - [0:0] >:udp_packets - [0:0] >-A INPUT -s 192.168.10.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 3128 >-j ACCEPT Что значит -m tcp? >-A INPUT -s 127.0.0.1 -i lo -j ACCEPT >-A INPUT -s 192.168.10.1 -i lo -j ACCEPT >-A INPUT -s 1.2.3.4 -i lo -j ACCEPT >-A INPUT -i eth0 -p udp -m udp --sport 68 --dport 67 >-j ACCEPT >-A INPUT -d 1.2.3.4 -m state --state RELATED,ESTABLISHED -j ACCEPT >-A INPUT -i eth1 -p tcp -j tcp_packets >-A INPUT -i eth1 -p udp -j udp_packets >-A INPUT -i eth1 -p icmp -j icmp_packets >-A INPUT -s 192.168.10.0/255.255.255.0 -i eth0 -p icmp -j ACCEPT >-A INPUT -s 192.168.10.0/255.255.255.0 -p tcp -m tcp --dport 80 -j ACCEPT > >-A FORWARD -p tcp -j bad_tcp_packets Где правила цепочки bad_tcp_packets? >-A FORWARD -i eth0 -j ACCEPT Остальные правила после этого не имеют смысла. >-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT >************** >-A FORWARD -s 192.168.10.15 -i eth0 -o eth1 -p tcp -m tcp >--dport 80 -j ACCEPT >************** >-A OUTPUT -s 127.0.0.1 -j ACCEPT >-A OUTPUT -s 192.168.10.1 -j ACCEPT >-A OUTPUT -s 1.2.3.4 -j ACCEPT >-A allowed -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT >-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT >-A allowed -p tcp -j DROP >-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT >-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT >COMMIT Сюдя по всему этому Вам сначала нужно подробно изучить, например, Iptables Tutorial. Обучать Вас основам у меня нет ни времени, ни желания.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "простовой вопрос по iptables"
Сообщение от dimus (??) on 17-Авг-05, 15:18  (MSK)
>Подскажите пожалуйста о великие гуру, как мне дать определенному пользователю из домашней >сети доступ к внешнему фтп, или мирке? сейчас они могут выходить >в интернет только через проксю (стоит сквид) больше никак, но некоторые >просят мирку и фтп, напишите плз если не трудно правило для >iptables'ов как это можно сделать. Вообще-то сквид прекрасно работает и как ФТП-прокси. И так как он ведет при этом логи, которые потом можно подвергнуть анализу, то стоит хорошо подумать: а вам это точно надо?
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "простовой вопрос по iptables"
	Сообщение от Xmas (??) on 17-Авг-05, 16:55  (MSK)
	>Вообще-то сквид прекрасно работает и как ФТП-прокси. И так как он ведет >при этом логи, которые потом можно подвергнуть анализу, то стоит хорошо >подумать: а вам это точно надо? Вот этого не знал, спасибо, я думал сквид есть только хттп прокси и больше ни с чем он работать не умеет, буду разбираться. Но все равно мне еще нужен ssh и мирка, а тут без iptables'ов вроде бы никак...
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.