forum.opennet.ru - "Нужна помощь по iptables, не могу добится правильной работы" (6)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Нужна помощь по iptables, не могу добится правильной работы"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Нужна помощь по iptables, не могу добится правильной работы"
Сообщение от NetUser on 11-Апр-06, 20:10
Приветствую Нужна помощь по iptables. Сразу говорю iptables прочитал, возможно что-то не понял убедительная простба не посылать перечитывать, а указать где ошибся и как надо сделать? Задача, сделать из локалки 1. отправку и получение почты с сервера 2. доступ до локального DNS сервера который находится на гейте 3. доступ в Интернет из локальной сети через squid сквид висит стандартно на 3128 4. ping из локальной сети в интерент Из Интернета только проброс портов на 80 порт в локальную сеть на ip 192.168.1.200 Имеется Linux в качестве гейта в инет с двумя сетевыми картами eth0 – смотрит в локальную сеть, eth1 смотрит на провайдера Вот мои правила iptables -t filter -A INPUT -p icmp -j ACCEPT iptables -t filter -A INPUT -s 127.0.0.1 -j ACCEPT iptables -t filter -A INPUT -p tcp -dport 25 -j ACCEPT iptables -t filter -A INPUT -p tcp -dport 110 -j ACCEPT iptables -t filter -A INPUT -p udp -dport 53 -j ACCEPT iptables -t filter -A INPUT -i eth0 -p tcp -dport 3128 -j ACCEPT iptables -t nat -A PREROUTING -d xx.xx.xx.xx -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.200:80 iptables -t nat -A POSTROUTING -s 192.168.1.200 -o eth1 -j SNAT --to-source xx.xx.xx.xx iptables -A FORWARD -d 192.168.0.200 -i eth1 -p tcp --dport 80 -j ACCEPT iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -j MASQUERADE iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT Проблема в том, что не пинги не проброс портов не работает доступа в интрернет через squid тоже нет,почта отправляется и принимается Плиз покажите, где ошибка и как правильно сделать. PS: если поставить iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT то все работает, но и все открыто получается.
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

Нужна помощь по iptables, не могу добится правильной работы, NetUser, 20:13 , 11-Апр-06, (1)

Нужна помощь по iptables, не могу добится правильной работы, _KAV_, 20:45 , 11-Апр-06, (2)

Нужна помощь по iptables, не могу добится правильной работы, NetUser, 21:50 , 11-Апр-06, (3)

Нужна помощь по iptables, не могу добится правильной работы, _KAV_, 10:32 , 12-Апр-06, (4)

Нужна помощь по iptables, не могу добится правильной работы, NetUser, 21:17 , 13-Апр-06, (5)

Нужна помощь по iptables, не могу добится правильной работы, _KAV_, 10:36 , 14-Апр-06, (6)

Сообщения по теме [Сортировка по времени, UBB]

1. "Нужна помощь по iptables, не могу добится правильной работы"

Сообщение от NetUser on 11-Апр-06, 20:13

вот тут в первом посте опечатался
iptables -A FORWARD -d 192.168.0.200 -i eth1 -p tcp --dport 80 -j ACCEPT
на самом деле
iptables -A FORWARD -d 192.168.1.200 -i eth1 -p tcp --dport 80 -j ACCEPT
все остальное как есть

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "Нужна помощь по iptables, не могу добится правильной работы"

Сообщение от _KAV_ (ok) on 11-Апр-06, 20:45

Для начала забыл разрешить established, related

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "Нужна помощь по iptables, не могу добится правильной работы"

Сообщение от NetUser on 11-Апр-06, 21:50

>Для начала забыл разрешить established, related
Если я правильно понял то не хватает вот этих 3 правил?
xx.xx.xx.xx – мой внешний ip - адрес
IPTABLES -A allowed -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT
IPTABLES -A INPUT -p ALL -d xx.xx.xx.xx -m state --state ESTABLISHED,RELATED -j ACCEPT
IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Достаточно это безопасно?
Если было установлено соединение, то оно идет дальше по этому правилу, но не может установить новое соединение тоесть к примеру заципильсь на 80 порт и получить доступ к любому порту сервера? Или я вообще все не так понял?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "Нужна помощь по iptables, не могу добится правильной работы"

Сообщение от _KAV_ (ok) on 12-Апр-06, 10:32

>>Для начала забыл разрешить established, related
>Если я правильно понял то не хватает вот этих 3 правил?
>xx.xx.xx.xx – мой внешний ip - адрес
>IPTABLES -A allowed -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT
А где у тебя цепочка allowed? это лишнее
>IPTABLES -A INPUT -p ALL -d xx.xx.xx.xx -m state --state ESTABLISHED,RELATED
>-j ACCEPT
>IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>Достаточно это безопасно?
>Если было установлено соединение, то оно идет дальше по этому правилу, но
>не может установить новое соединение тоесть к примеру заципильсь на 80
>порт и получить доступ к любому порту сервера? Или я вообще
>все не так понял?
Все правильно... По этим правилам разрешается принимать ответы на запросы

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "Нужна помощь по iptables, не могу добится правильной работы"

Сообщение от NetUser on 13-Апр-06, 21:17

есть вот такие правила, и есть проброс портов, получается он сейчас для всех... работает, как как сделать чтобы он работал только для конкретных ip адресов? у меня не получилось пробывал ставить фильтрацию на PREROUTING.. плиз покажите как можно это сделать
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -t filter -A INPUT -p tcp -dport 25 -j ACCEPT
iptables -t filter -A INPUT -p tcp -dport 110 -j ACCEPT
iptables -t filter -A INPUT -p udp -dport 53 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p tcp -dport 3128 -j ACCEPT
iptables -t nat -A PREROUTING -d xx.xx.xx.xx -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.200:80
iptables -t nat -A POSTROUTING -s 192.168.1.200 -o eth1 -j SNAT --to-source xx.xx.xx.xx
iptables -A FORWARD -d 192.168.0.200 -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -j MASQUERADE
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "Нужна помощь по iptables, не могу добится правильной работы"

Сообщение от _KAV_ (ok) on 14-Апр-06, 10:36

так укажи в правилах проброски протокол tcp, --source 12.34.56.78 - и будет пробрасываться только с этого адреса

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Нужна помощь по iptables, не могу добится правильной работы"
Сообщение от NetUser on 11-Апр-06, 20:13
вот тут в первом посте опечатался iptables -A FORWARD -d 192.168.0.200 -i eth1 -p tcp --dport 80 -j ACCEPT на самом деле iptables -A FORWARD -d 192.168.1.200 -i eth1 -p tcp --dport 80 -j ACCEPT все остальное как есть
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	2. "Нужна помощь по iptables, не могу добится правильной работы"
	Сообщение от _KAV_ (ok) on 11-Апр-06, 20:45
	Для начала забыл разрешить established, related
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	3. "Нужна помощь по iptables, не могу добится правильной работы"
	Сообщение от NetUser on 11-Апр-06, 21:50
	>Для начала забыл разрешить established, related Если я правильно понял то не хватает вот этих 3 правил? xx.xx.xx.xx – мой внешний ip - адрес IPTABLES -A allowed -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT IPTABLES -A INPUT -p ALL -d xx.xx.xx.xx -m state --state ESTABLISHED,RELATED -j ACCEPT IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT Достаточно это безопасно? Если было установлено соединение, то оно идет дальше по этому правилу, но не может установить новое соединение тоесть к примеру заципильсь на 80 порт и получить доступ к любому порту сервера? Или я вообще все не так понял?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	4. "Нужна помощь по iptables, не могу добится правильной работы"
	Сообщение от _KAV_ (ok) on 12-Апр-06, 10:32
	>>Для начала забыл разрешить established, related >Если я правильно понял то не хватает вот этих 3 правил? >xx.xx.xx.xx – мой внешний ip - адрес >IPTABLES -A allowed -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT А где у тебя цепочка allowed? это лишнее >IPTABLES -A INPUT -p ALL -d xx.xx.xx.xx -m state --state ESTABLISHED,RELATED >-j ACCEPT >IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT >Достаточно это безопасно? >Если было установлено соединение, то оно идет дальше по этому правилу, но >не может установить новое соединение тоесть к примеру заципильсь на 80 >порт и получить доступ к любому порту сервера? Или я вообще >все не так понял? Все правильно... По этим правилам разрешается принимать ответы на запросы
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	5. "Нужна помощь по iptables, не могу добится правильной работы"
	Сообщение от NetUser on 13-Апр-06, 21:17
	есть вот такие правила, и есть проброс портов, получается он сейчас для всех... работает, как как сделать чтобы он работал только для конкретных ip адресов? у меня не получилось пробывал ставить фильтрацию на PREROUTING.. плиз покажите как можно это сделать iptables -t filter -A INPUT -p icmp -j ACCEPT iptables -t filter -A INPUT -s 127.0.0.1 -j ACCEPT iptables -t filter -A INPUT -p tcp -dport 25 -j ACCEPT iptables -t filter -A INPUT -p tcp -dport 110 -j ACCEPT iptables -t filter -A INPUT -p udp -dport 53 -j ACCEPT iptables -t filter -A INPUT -i eth0 -p tcp -dport 3128 -j ACCEPT iptables -t nat -A PREROUTING -d xx.xx.xx.xx -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.200:80 iptables -t nat -A POSTROUTING -s 192.168.1.200 -o eth1 -j SNAT --to-source xx.xx.xx.xx iptables -A FORWARD -d 192.168.0.200 -i eth1 -p tcp --dport 80 -j ACCEPT iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -j MASQUERADE iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	6. "Нужна помощь по iptables, не могу добится правильной работы"
	Сообщение от _KAV_ (ok) on 14-Апр-06, 10:36
	так укажи в правилах проброски протокол tcp, --source 12.34.56.78 - и будет пробрасываться только с этого адреса
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]