forum.opennet.ru - "Iptables + ssl" (5)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Iptables + ssl"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Iptables + ssl"
Сообщение от Hawk (??) on 06-Сен-05, 15:15 (MSK)
Возникла проблема сервер арасне + ssl, находится в 192.168.0.0/24 сети. В сети на адресе 192.168.0.7 сидит шлюз для другой (192.168.10.0/24) сети. Сеть 192.168.10.0 прекрасно видит 192.168.0.0, и по http я на сервер захожу. Более того, на нем же поднят pptp vpn сервер, и из 10-й сети я к нему спокойно впн-юсь. Но как только я пытаюсь зайти на 443 порт сервера (https) - все встает колом. Если останавливаю iptables - все работает как надо. Из 192.168.0.0 сети все так же спокойно ходит независимо от настроек фаервола. Есть идеи?
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Iptables + ssl, jonatan, 15:52 , 06-Сен-05, (1)
Iptables + ssl, Hawk, 16:05 , 06-Сен-05, (2)
- Iptables + ssl, Hawk, 16:10 , 06-Сен-05, (3)
  - Iptables + ssl, jonatan, 17:44 , 06-Сен-05, (4)
    - Iptables + ssl, Hawk, 12:10 , 07-Сен-05, (5)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Iptables + ssl"

Сообщение от jonatan (ok) on 06-Сен-05, 15:52  (MSK)

Похоже в iptables не разрешен 443 порт tcp.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Iptables + ssl"

Сообщение от Hawk (??) on 06-Сен-05, 16:05  (MSK)

в том тои дело - со 192.168.0.0/24 все ок
чтоб не быть голословным:
iptables-save>>
# Generated by iptables-save v1.2.7a on Tue Sep  6 18:00:36 2005
*mangle
:PREROUTING ACCEPT [2386864:433364046]
:INPUT ACCEPT [1436095:158545647]
:FORWARD ACCEPT [838147:269039375]
:OUTPUT ACCEPT [1364176:360960415]
:POSTROUTING ACCEPT [2144251:626449337]
COMMIT
# Completed on Tue Sep  6 18:00:36 2005
# Generated by iptables-save v1.2.7a on Tue Sep  6 18:00:36 2005
*nat
:PREROUTING ACCEPT [276481:17880144]
:POSTROUTING ACCEPT [69896:3856914]
:OUTPUT ACCEPT [32563:1958978]
COMMIT
# Completed on Tue Sep  6 18:00:36 2005
# Generated by iptables-save v1.2.7a on Tue Sep  6 18:00:36 2005
*filter
:INPUT DROP [106783:8656963]
:FORWARD DROP [54010:3044927]
:OUTPUT ACCEPT [580086:263414814]
:allowed - [0:0]
:bad_tcp_packets - [0:0]
:icmp_packets - [0:0]
:tcp_packets - [0:0]
:udp_packets - [0:0]
-A INPUT -p 47 -j ACCEPT
-A INPUT -p tcp -j bad_tcp_packets
-A INPUT -s 127.0.0.1 -i lo -j ACCEPT
-A INPUT -s 10.10.0.4 -i lo -j ACCEPT
-A INPUT -s 192.168.0.4 -i lo -j ACCEPT
-A INPUT -s 172.16.0.2 -i lo -j ACCEPT
-A INPUT -d 172.16.0.2 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -j tcp_packets
-A INPUT -p udp -j udp_packets
-A INPUT -p icmp -j icmp_packets
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT INPUT packet died: " --log-level debug
-A FORWARD -p tcp -j bad_tcp_packets
-A FORWARD -i ppp+ -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT FORWARD packet died: " --log-level debug
-A OUTPUT -s 127.0.0.1 -j ACCEPT
-A OUTPUT -s 10.10.0.4 -j ACCEPT
-A OUTPUT -s 172.16.0.2 -j ACCEPT
-A OUTPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT OUTPUT packet died: " --log-level debug
-A allowed -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A allowed -p tcp -j DROP
-A bad_tcp_packets -p tcp -m state --state NEW -m tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT --reject-with tcp-reset
-A bad_tcp_packets -p tcp -m state --state NEW -m tcp ! --tcp-flags SYN,RST,ACK SYN -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A tcp_packets -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 22 -j allowed
-A tcp_packets -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 47 -j allowed
-A tcp_packets -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 80 -j allowed
-A tcp_packets -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 443 -j allowed
-A tcp_packets -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 1723 -j allowed
COMMIT
# Completed on Tue Sep  6 18:00:36 2005

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Iptables + ssl"

Сообщение от Hawk (??) on 06-Сен-05, 16:10  (MSK)

да, и еще
10.10.0.0/24 - адреса раздаваемые клиентам по ВПН для доступа в инет
172.16.0.0 - DMZ, там маршрутизатор с NAT и выходом в инет

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Iptables + ssl"

Сообщение от jonatan (ok) on 06-Сен-05, 17:44  (MSK)

Сори, но я запутался. Опишите еще раз, только с конкретными адресами, кто (ip), куда (ip), через кого (ip, vpn или без) соединяется.
Несколько советов по правилам.
>-A OUTPUT -s 127.0.0.1 -j ACCEPT
>-A OUTPUT -s 10.10.0.4 -j ACCEPT
>-A OUTPUT -s 172.16.0.2 -j ACCEPT
Зачем? Ведь :OUTPUT ACCEPT.
>-A INPUT -s 127.0.0.1 -i lo -j ACCEPT
>-A INPUT -s 10.10.0.4 -i lo -j ACCEPT
>-A INPUT -s 192.168.0.4 -i lo -j ACCEPT
>-A INPUT -s 172.16.0.2 -i lo -j ACCEPT
Можно просто написать
-A INPUT -i lo -j ACCEPT
>-A tcp_packets -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 22 -j allowed
>-A tcp_packets -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 47 -j allowed
>-A tcp_packets -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 80 -j allowed
>-A tcp_packets -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 443 -j allowed
>-A tcp_packets -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 1723 -j allowed
А что такое -m tcp?
--dport 47 Это зачем? 47 - протокол GRE, а не порт tcp.
Пишем одной строкой
-A tcp_packets -s 192.168.0.0/255.255.0.0 -p tcp -m multiport --dport 22,80,443,1723 -j allowed
Лучше проверяйте действующие правила через iptables -nvL.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Iptables + ssl"

Сообщение от Hawk (??) on 07-Сен-05, 12:10  (MSK)

что касается правил - я в курсе, там кое - что дублируется, но это мелочи, получившиеся в результате настройки, да так и сохранившиеся в конфиге.
Насчет GRE тож в курсе, однако щас причешу и снова попробую

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Iptables + ssl"
Сообщение от jonatan (ok) on 06-Сен-05, 15:52 (MSK)
Похоже в iptables не разрешен 443 порт tcp.
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

2. "Iptables + ssl"
Сообщение от Hawk (??) on 06-Сен-05, 16:05 (MSK)
в том тои дело - со 192.168.0.0/24 все ок чтоб не быть голословным: iptables-save>> # Generated by iptables-save v1.2.7a on Tue Sep 6 18:00:36 2005 mangle :PREROUTING ACCEPT [2386864:433364046] :INPUT ACCEPT [1436095:158545647] :FORWARD ACCEPT [838147:269039375] :OUTPUT ACCEPT [1364176:360960415] :POSTROUTING ACCEPT [2144251:626449337] COMMIT # Completed on Tue Sep 6 18:00:36 2005 # Generated by iptables-save v1.2.7a on Tue Sep 6 18:00:36 2005 nat :PREROUTING ACCEPT [276481:17880144] :POSTROUTING ACCEPT [69896:3856914] :OUTPUT ACCEPT [32563:1958978] COMMIT # Completed on Tue Sep 6 18:00:36 2005 # Generated by iptables-save v1.2.7a on Tue Sep 6 18:00:36 2005 *filter :INPUT DROP [106783:8656963] :FORWARD DROP [54010:3044927] :OUTPUT ACCEPT [580086:263414814] :allowed - [0:0] :bad_tcp_packets - [0:0] :icmp_packets - [0:0] :tcp_packets - [0:0] :udp_packets - [0:0] -A INPUT -p 47 -j ACCEPT -A INPUT -p tcp -j bad_tcp_packets -A INPUT -s 127.0.0.1 -i lo -j ACCEPT -A INPUT -s 10.10.0.4 -i lo -j ACCEPT -A INPUT -s 192.168.0.4 -i lo -j ACCEPT -A INPUT -s 172.16.0.2 -i lo -j ACCEPT -A INPUT -d 172.16.0.2 -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -j tcp_packets -A INPUT -p udp -j udp_packets -A INPUT -p icmp -j icmp_packets -A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT INPUT packet died: " --log-level debug -A FORWARD -p tcp -j bad_tcp_packets -A FORWARD -i ppp+ -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT FORWARD packet died: " --log-level debug -A OUTPUT -s 127.0.0.1 -j ACCEPT -A OUTPUT -s 10.10.0.4 -j ACCEPT -A OUTPUT -s 172.16.0.2 -j ACCEPT -A OUTPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT OUTPUT packet died: " --log-level debug -A allowed -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT -A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT -A allowed -p tcp -j DROP -A bad_tcp_packets -p tcp -m state --state NEW -m tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT --reject-with tcp-reset -A bad_tcp_packets -p tcp -m state --state NEW -m tcp ! --tcp-flags SYN,RST,ACK SYN -j DROP -A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT -A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT -A tcp_packets -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 22 -j allowed -A tcp_packets -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 47 -j allowed -A tcp_packets -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 80 -j allowed -A tcp_packets -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 443 -j allowed -A tcp_packets -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 1723 -j allowed COMMIT # Completed on Tue Sep 6 18:00:36 2005
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Iptables + ssl"
	Сообщение от Hawk (??) on 06-Сен-05, 16:10 (MSK)
	да, и еще 10.10.0.0/24 - адреса раздаваемые клиентам по ВПН для доступа в инет 172.16.0.0 - DMZ, там маршрутизатор с NAT и выходом в инет
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Iptables + ssl"
	Сообщение от jonatan (ok) on 06-Сен-05, 17:44 (MSK)
	Сори, но я запутался. Опишите еще раз, только с конкретными адресами, кто (ip), куда (ip), через кого (ip, vpn или без) соединяется. Несколько советов по правилам. >-A OUTPUT -s 127.0.0.1 -j ACCEPT >-A OUTPUT -s 10.10.0.4 -j ACCEPT >-A OUTPUT -s 172.16.0.2 -j ACCEPT Зачем? Ведь :OUTPUT ACCEPT. >-A INPUT -s 127.0.0.1 -i lo -j ACCEPT >-A INPUT -s 10.10.0.4 -i lo -j ACCEPT >-A INPUT -s 192.168.0.4 -i lo -j ACCEPT >-A INPUT -s 172.16.0.2 -i lo -j ACCEPT Можно просто написать -A INPUT -i lo -j ACCEPT >-A tcp_packets -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 22 -j allowed >-A tcp_packets -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 47 -j allowed >-A tcp_packets -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 80 -j allowed >-A tcp_packets -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 443 -j allowed >-A tcp_packets -s 192.168.0.0/255.255.0.0 -p tcp -m tcp --dport 1723 -j allowed А что такое -m tcp? --dport 47 Это зачем? 47 - протокол GRE, а не порт tcp. Пишем одной строкой -A tcp_packets -s 192.168.0.0/255.255.0.0 -p tcp -m multiport --dport 22,80,443,1723 -j allowed Лучше проверяйте действующие правила через iptables -nvL.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "Iptables + ssl"
	Сообщение от Hawk (??) on 07-Сен-05, 12:10 (MSK)
	что касается правил - я в курсе, там кое - что дублируется, но это мелочи, получившиеся в результате настройки, да так и сохранившиеся в конфиге. Насчет GRE тож в курсе, однако щас причешу и снова попробую
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]