форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"iptables - поиогите побороть"
Сообщение от flatciz on 14-Ноя-05, 13:20  (MSK)
привет, помогите юзеры идут через squid... не проходят!! также нужен коннект из "вне"  - работает как пропустить веб запросы?   eth0- внутренняя eth1 - внешняя # Generated by iptables-save v1.2.9 on Mon Nov 14 12:53:34 2005 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -s 217.69.192.135 -d 217.69.202.230 -i eth1 -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT -A INPUT -s 217.69.192.135 -d 217.69.202.230 -i eth1 -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT -A INPUT -s 217.69.192.135 -d 217.69.202.230 -i eth1 -p tcp -m tcp --sport 53 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT -A INPUT -s 217.69.220.221 -d 217.69.202.230 -i eth1 -p tcp -m tcp --sport 513:65535 --dport 22 -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -i eth0 -j ACCEPT -A INPUT -d 217.69.202.230 -i eth1 -p tcp -m tcp --sport 80 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT -A INPUT -d 217.69.202.230 -i eth1 -p tcp -m tcp --sport 443 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT -A INPUT -i eth1 -j DROP -A OUTPUT -s 217.69.202.230 -d 217.69.192.135 -o eth1 -p udp -m udp --sport 1024:65535 --dport 53 -j ACCEPT -A OUTPUT -s 217.69.202.230 -d 217.69.192.135 -o eth1 -p tcp -m tcp --sport 1024:65535 --dport 53 -j ACCEPT -A OUTPUT -s 217.69.202.230 -d 217.69.220.221 -o eth1 -p tcp -m tcp --sport 22 --dport 513:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A OUTPUT -o eth0 -j ACCEPT -A OUTPUT -s 217.69.202.230 -o eth1 -p tcp -m tcp --sport 1024:65535 --dport 80 -j ACCEPT -A OUTPUT -s 217.69.202.230 -o eth1 -p tcp -m tcp --sport 1024:65535 --dport 443 -j ACCEPT -A OUTPUT -o eth1 -j DROP COMMIT # Completed on Mon Nov 14 12:53:34 2005
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Сообщения по теме

[Сортировка по времени, UBB]

1. "iptables - поиогите побороть"
Сообщение от Septima (ok) on 14-Ноя-05, 18:46  (MSK)
>привет, помогите юзеры идут через squid... не проходят!! >также нужен коннект из "вне"  - работает > >как пропустить веб запросы? >eth0- внутренняя >eth1 - внешняя ># Generated by iptables-save v1.2.9 on Mon Nov 14 12:53:34 2005 >*filter >:INPUT ACCEPT [0:0] >:FORWARD ACCEPT [0:0] >:OUTPUT ACCEPT [0:0] >-A INPUT -s 217.69.192.135 -d 217.69.202.230 -i eth1 -p udp -m udp >--sport 53 --dport 1024:65535 -j ACCEPT >-A INPUT -s 217.69.192.135 -d 217.69.202.230 -i eth1 -p udp -m udp >--sport 53 --dport 1024:65535 -j ACCEPT >-A INPUT -s 217.69.192.135 -d 217.69.202.230 -i eth1 -p tcp -m tcp >--sport 53 --dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT >-A INPUT -s 217.69.220.221 -d 217.69.202.230 -i eth1 -p tcp -m tcp >--sport 513:65535 --dport 22 -j ACCEPT >-A INPUT -i lo -j ACCEPT >-A INPUT -i eth0 -j ACCEPT >-A INPUT -d 217.69.202.230 -i eth1 -p tcp -m tcp --sport 80 >--dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT >-A INPUT -d 217.69.202.230 -i eth1 -p tcp -m tcp --sport 443 >--dport 1024:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT >-A INPUT -i eth1 -j DROP > >-A OUTPUT -s 217.69.202.230 -d 217.69.192.135 -o eth1 -p udp -m udp >--sport 1024:65535 --dport 53 -j ACCEPT >-A OUTPUT -s 217.69.202.230 -d 217.69.192.135 -o eth1 -p tcp -m tcp >--sport 1024:65535 --dport 53 -j ACCEPT >-A OUTPUT -s 217.69.202.230 -d 217.69.220.221 -o eth1 -p tcp -m tcp >--sport 22 --dport 513:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT >-A OUTPUT -o lo -j ACCEPT >-A OUTPUT -o eth0 -j ACCEPT >-A OUTPUT -s 217.69.202.230 -o eth1 -p tcp -m tcp --sport 1024:65535 >--dport 80 -j ACCEPT >-A OUTPUT -s 217.69.202.230 -o eth1 -p tcp -m tcp --sport 1024:65535 >--dport 443 -j ACCEPT >-A OUTPUT -o eth1 -j DROP >COMMIT ># Completed on Mon Nov 14 12:53:34 2005 Не совсем понятно, что ты хочешь - у тебя все открыто. Объясни внятно, без спешки - что у тебя работает, а что нет. Если в _таком_ виде оно не работает - смотри настройки прокси. Совет: не используй конструкции вида --*port 1024:65535 - они только запутывают тебя и мешают читабельности. Попробуй использовать конструкцию вида --state RELATED,ESTABLISHED - будет значительно проще писать правила.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "iptables - поиогите побороть"
	Сообщение от flatciz on 14-Ноя-05, 19:10  (MSK)
	я полностью открываю eth0 -внутр.сеть, закрываю eth1 - внешняя сеть хочу чтоб пользователи ходили из внутр.сети в интернет через прокси пишу... (для карты eth1 - внешней) iptables -A INPUT -i eth1 -p tcp ! --syn --source-port 80 -d 213.33.2.2 --destination-port 1024: -j ACCEPT iptables -A OUTPUT -o eth1 -p tcp -s 213.33.2.2 --source-port 1024: --destination-port 80 -j ACCEPT и не работает, я непонимаю почему.... или что нужно прописать??? ситуация то вообщем банальная... без iptables все работает...хелп!!
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "iptables - поиогите побороть"
	Сообщение от Septima (??) on 15-Ноя-05, 11:02  (MSK)
	Еще раз повторяю - используй конструкцию --state! Не лезь ты пока в --syn, если не понимаешь правильно его значение. Перстань без нужды использовать --source-port. Если уж так лень осмысливать советы - вот наверняка работающий вариант (сравни, насколько он проще для понимания): iptables -A OUTPUT -o eth1 -p tcp --dport 80,443 -m state --state NEW -j ACCEPT iptables -A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]