The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"простовой вопрос по iptables"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"простовой вопрос по iptables" 
Сообщение от Xmas Искать по авторуВ закладки(??) on 16-Авг-05, 21:15  (MSK)
Подскажите пожалуйста о великие гуру, как мне дать определенному пользователю из домашней сети доступ к внешнему фтп, или мирке? сейчас они могут выходить в интернет только через проксю (стоит сквид) больше никак, но некоторые просят мирку и фтп, напишите плз если не трудно правило для iptables'ов как это можно сделать.
  Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "простовой вопрос по iptables" 
Сообщение от jonatan Искать по авторуВ закладки(ok) on 17-Авг-05, 09:09  (MSK)
Примерно так.

modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
modprobe ip_nat_ftp
modprobe ip_nat_irc

iptables -P FORWARD DROP

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m multiport -p tcp --dport 21,53,194,994 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m multiport -p udp --dport 53,194,994 -j ACCEPT

iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 1.2.3.4

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "простовой вопрос по iptables" 
Сообщение от Xmas emailИскать по авторуВ закладки(??) on 17-Авг-05, 15:11  (MSK)
Замечательно, только вот еще вопросик (ну новичек я еще) а как мне разрешить только определенным айпишникам доступ к определенным сервисам? скажем 192.168.0.1 - SSH, 192.168.0.2 - irc 192.168.0.3 - ftp? вот так подойдет?
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp -s 192.168.0.1 --dport 22 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp -s 192.168.0.2 -m multiport --dport 6660:6669 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -p tcp -s 192.168.0.3 -m multiport --dport 20,21 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 1.2.3.4

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "простовой вопрос по iptables" 
Сообщение от jonatan Искать по авторуВ закладки(ok) on 17-Авг-05, 15:19  (MSK)
>Замечательно, только вот еще вопросик (ну новичек я еще) а как мне
>разрешить только определенным айпишникам доступ к определенным сервисам? скажем 192.168.0.1 -
>SSH, 192.168.0.2 - irc 192.168.0.3 - ftp? вот так подойдет?
>iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>iptables -A FORWARD -i eth0 -o eth1 -p tcp -s 192.168.0.1 --dport
>22 -j ACCEPT
>iptables -A FORWARD -i eth0 -o eth1 -p tcp -s 192.168.0.2 -m
>multiport --dport 6660:6669 -j ACCEPT
>iptables -A FORWARD -i eth0 -o eth1 -p tcp -s 192.168.0.3 -m
>multiport --dport 20,21 -j ACCEPT
tcp порт 20 указывать не нужно, достаточно 21. Читайте спецификацию протокола ftp.
>iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 1.2.3.4
А так все нормально.
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "простовой вопрос по iptables" 
Сообщение от Xmas Искать по авторуВ закладки(??) on 18-Авг-05, 01:29  (MSK)
>iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>iptables -A FORWARD -i eth0 -o eth1 -p tcp -s 192.168.10.15 --dport
>80 -j ACCEPT

НЕ РАБОТАЕТ!!! Все необходимые модули подключил, но все равно, ни ссш ни фтп ни вэб напрямую (т.е. не через проксю) не работают, почему? Привожу целиком и полностью iptables-save (192.168.10.15-тестовый внутренний ip, 1.2.3.4-реальный внешний ip) :

# Generated by iptables-save v1.2.7a on Fri Aug 19 00:51:32 2005
*nat
:PREROUTING ACCEPT [320:20003]
:POSTROUTING ACCEPT [9:601]
:OUTPUT ACCEPT [140:9518]
-A POSTROUTING -o eth1 -j SNAT --to-source 1.2.3.4
COMMIT
# Completed on Fri Aug 19 00:51:32 2005
# Generated by iptables-save v1.2.7a on Fri Aug 19 00:51:32 2005
*mangle
:PREROUTING ACCEPT [3596:1714345]
:INPUT ACCEPT [3518:1700085]
:FORWARD ACCEPT [77:14200]
:OUTPUT ACCEPT [3856:1625975]
:POSTROUTING ACCEPT [3931:1640059]
COMMIT
# Completed on Fri Aug 19 00:51:32 2005
# Generated by iptables-save v1.2.7a on Fri Aug 19 00:51:32 2005
*filter
:INPUT DROP [156:10923]
:FORWARD DROP [0:0]
:OUTPUT DROP [2:116]
:allowed - [0:0]
:icmp_packets - [0:0]
:tcp_packets - [0:0]
:udp_packets - [0:0]
-A INPUT -s 192.168.10.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -s 127.0.0.1 -i lo -j ACCEPT
-A INPUT -s 192.168.10.1 -i lo -j ACCEPT
-A INPUT -s 1.2.3.4 -i lo -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 68 --dport 67 -j ACCEPT
-A INPUT -d 1.2.3.4 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp -j tcp_packets
-A INPUT -i eth1 -p udp -j udp_packets
-A INPUT -i eth1 -p icmp -j icmp_packets
-A INPUT -s 192.168.10.0/255.255.255.0 -i eth0 -p icmp -j ACCEPT
-A INPUT -s 192.168.10.0/255.255.255.0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -p tcp -j bad_tcp_packets
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
**************
-A FORWARD -s 192.168.10.15 -i eth0 -o eth1 -p tcp -m tcp --dport 80 -j ACCEPT
**************
-A OUTPUT -s 127.0.0.1 -j ACCEPT
-A OUTPUT -s 192.168.10.1 -j ACCEPT
-A OUTPUT -s 1.2.3.4 -j ACCEPT
-A allowed -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A allowed -p tcp -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
COMMIT

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "простовой вопрос по iptables" 
Сообщение от jonatan Искать по авторуВ закладки(ok) on 18-Авг-05, 09:18  (MSK)
>*filter
>:INPUT DROP [156:10923]
>:FORWARD DROP [0:0]
>:OUTPUT DROP [2:116]
>:allowed - [0:0]
>:icmp_packets - [0:0]
>:tcp_packets - [0:0]
>:udp_packets - [0:0]
>-A INPUT -s 192.168.10.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 3128
>-j ACCEPT
Что значит -m tcp?
>-A INPUT -s 127.0.0.1 -i lo -j ACCEPT
>-A INPUT -s 192.168.10.1 -i lo -j ACCEPT
>-A INPUT -s 1.2.3.4 -i lo -j ACCEPT
>-A INPUT -i eth0 -p udp -m udp --sport 68 --dport 67
>-j ACCEPT
>-A INPUT -d 1.2.3.4 -m state --state RELATED,ESTABLISHED -j ACCEPT
>-A INPUT -i eth1 -p tcp -j tcp_packets
>-A INPUT -i eth1 -p udp -j udp_packets
>-A INPUT -i eth1 -p icmp -j icmp_packets
>-A INPUT -s 192.168.10.0/255.255.255.0 -i eth0 -p icmp -j ACCEPT
>-A INPUT -s 192.168.10.0/255.255.255.0 -p tcp -m tcp --dport 80 -j ACCEPT
>
>-A FORWARD -p tcp -j bad_tcp_packets
Где правила цепочки bad_tcp_packets?
>-A FORWARD -i eth0 -j ACCEPT
Остальные правила после этого не имеют смысла.
>-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
>**************
>-A FORWARD -s 192.168.10.15 -i eth0 -o eth1 -p tcp -m tcp
>--dport 80 -j ACCEPT
>**************
>-A OUTPUT -s 127.0.0.1 -j ACCEPT
>-A OUTPUT -s 192.168.10.1 -j ACCEPT
>-A OUTPUT -s 1.2.3.4 -j ACCEPT
>-A allowed -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT
>-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
>-A allowed -p tcp -j DROP
>-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
>-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
>COMMIT
Сюдя по всему этому Вам сначала нужно подробно изучить, например, Iptables Tutorial. Обучать Вас основам у меня нет ни времени, ни желания.
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "простовой вопрос по iptables" 
Сообщение от dimus Искать по авторуВ закладки(??) on 17-Авг-05, 15:18  (MSK)
>Подскажите пожалуйста о великие гуру, как мне дать определенному пользователю из домашней
>сети доступ к внешнему фтп, или мирке? сейчас они могут выходить
>в интернет только через проксю (стоит сквид) больше никак, но некоторые
>просят мирку и фтп, напишите плз если не трудно правило для
>iptables'ов как это можно сделать.

Вообще-то сквид прекрасно работает и как ФТП-прокси. И так как он ведет при этом логи, которые потом можно подвергнуть анализу, то стоит хорошо подумать: а вам это точно надо?

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "простовой вопрос по iptables" 
Сообщение от Xmas emailИскать по авторуВ закладки(??) on 17-Авг-05, 16:55  (MSK)
>Вообще-то сквид прекрасно работает и как ФТП-прокси. И так как он ведет
>при этом логи, которые потом можно подвергнуть анализу, то стоит хорошо
>подумать: а вам это точно надо?
Вот этого не знал, спасибо, я думал сквид есть только хттп прокси и больше ни с чем он работать не умеет, буду разбираться. Но все равно мне еще нужен ssh и мирка, а тут без iptables'ов вроде бы никак...

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру