forum.opennet.ru - "Как перенаправить запрос и закрыть все осталбные порты кроме..." (3)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Как перенаправить запрос и закрыть все осталбные порты кроме..."

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Как перенаправить запрос и закрыть все осталбные порты кроме..."
Сообщение от PCHunter (ok) on 11-Дек-07, 15:28
Есть сеть 10.10.5.х Сервер 10.10.5.10 он работает чё то на типе маршрутизатора Два интерфейса eth0 = 10.10.5.10 eth1 = 192.168.1.110 смотрит на АДСЛ echo 1> /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE всё бегает и работает но задача состоит в том что бы пробросить аську которая у нашего провайдера бесплатная то есть идея состоит в что бы добавить у пользователей маршут route add login.icq.com mask 255.255.255.255 10.10.5.10 на локальном днс прописать что login.icq.com это на самом деле адрес аськт нашего провайдера но как сделать так что бы клиент не заподозрил подмены то есть комп загрузил инет не подключен он у нас через ВПН и как закрыть eth1 от выхода через него на другие айпи и порты
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Как перенаправить запрос и закрыть все осталбные порты кроме..., stakado, 16:19 , 11-Дек-07, (1)

Как перенаправить запрос и закрыть все осталбные порты кроме..., PCHunter, 10:53 , 12-Дек-07, (2)

Как перенаправить запрос и закрыть все осталбные порты кроме..., stakado, 14:19 , 12-Дек-07, (3)

Сообщения по теме [Сортировка по времени | RSS]

1. "Как перенаправить запрос и закрыть все осталбные порты кроме..."

Сообщение от stakado (ok) on 11-Дек-07, 16:19

Если всё правильно понял из вышеописанного:
# установка разрешающей политики на пост-маршрутизацию
iptables -P POSTROUTING ACCEPT
# очистка таблицы FORWARD
iptables -F FORWARD
# выставление политики разрешающей форвардить
iptables -P FORWARD ACCEPT
# разрешение форвардить пакеты с eth0 на eth1 от 10.10.5.0/24 на provider_icq_ip на порт 5190
iptables -A FORWARD -i eth0 -o eth1 -s 10.10.5.0/24 -d provider_icq_ip --dport 5190 -j ACCEPT
# разрешение на хождение пакетов в обратном направлении
iptables -A FORWARD -i eth1 -o eth0 -s provider_icq_ip -d 10.10.5.0/25 --sport 5190 -j ACCEPT
# вместо provider_icq_ip - указать ip icq-сервера провайдера
# запрет на форвардинг всего остального
iptables -A FORWARD -j DROP
>route add login.icq.com mask 255.255.255.255 10.10.5.10
При написании этой строки у клиента - на dns-сервере, который используется клиентом запись для login.icq.com уже должна быть подменена, т.к. route не добавляет dns-имена, а конвертирует их в ip в момент добавления.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Как перенаправить запрос и закрыть все осталбные порты кроме..."

Сообщение от PCHunter (??) on 12-Дек-07, 10:53

iptables -P POSTROUTING ACCEPT
на эту команду ругается iptables: Bad built-in chain name
без неё всё окей применяется только не пускает при чём если сбросить правила iptables -F то начинает пропускать
пробовал убрать порты назначения не помогло
[root@wln-fileserver /]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  10.10.5.0/24         217.70.119.181      tcp dpt:5190
ACCEPT     tcp  --  217.70.119.181       10.10.5.0/25        tcp spt:5190
DROP       all  --  0.0.0.0/0            0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
вот как сча всё выглядит
#iptables -P POSTROUTING ACCEPT
iptables -F FORWARD
iptables -P FORWARD ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -s 10.10.5.0/24 -d 217.70.119.181 -p tcp --dport 5190 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -s 217.70.119.181 -d 10.10.5.0/25 -p tcp --sport 5190 -j ACCEPT
iptables -A FORWARD -j DROP
Заранее спасибо

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Как перенаправить запрос и закрыть все осталбные порты кроме..."

Сообщение от stakado (ok) on 12-Дек-07, 14:19

>iptables -P POSTROUTING ACCEPT
>на эту команду ругается iptables: Bad built-in chain name
пардон, прогнался:
iptables -t nat -P POSTROUTING ACCEPT
>без неё всё окей применяется только не пускает при чём если сбросить
>правила iptables -F то начинает пропускать
>пробовал убрать порты назначения не помогло
Что выдаёт iptables -t nat -L?
Перед дропом в таблице форвард вставь лог, посмотри совпадают ли указанные ип/порты/интерфейсы.
iptables -I FORWARD 3 -j LOG --log-prefix "FWD: " # в твоём случае
А проще - напиши в асю - 26420654.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Как перенаправить запрос и закрыть все осталбные порты кроме..."
Сообщение от stakado (ok) on 11-Дек-07, 16:19
Если всё правильно понял из вышеописанного: # установка разрешающей политики на пост-маршрутизацию iptables -P POSTROUTING ACCEPT # очистка таблицы FORWARD iptables -F FORWARD # выставление политики разрешающей форвардить iptables -P FORWARD ACCEPT # разрешение форвардить пакеты с eth0 на eth1 от 10.10.5.0/24 на provider_icq_ip на порт 5190 iptables -A FORWARD -i eth0 -o eth1 -s 10.10.5.0/24 -d provider_icq_ip --dport 5190 -j ACCEPT # разрешение на хождение пакетов в обратном направлении iptables -A FORWARD -i eth1 -o eth0 -s provider_icq_ip -d 10.10.5.0/25 --sport 5190 -j ACCEPT # вместо provider_icq_ip - указать ip icq-сервера провайдера # запрет на форвардинг всего остального iptables -A FORWARD -j DROP >route add login.icq.com mask 255.255.255.255 10.10.5.10 При написании этой строки у клиента - на dns-сервере, который используется клиентом запись для login.icq.com уже должна быть подменена, т.к. route не добавляет dns-имена, а конвертирует их в ip в момент добавления.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Как перенаправить запрос и закрыть все осталбные порты кроме..."
	Сообщение от PCHunter (??) on 12-Дек-07, 10:53
	iptables -P POSTROUTING ACCEPT на эту команду ругается iptables: Bad built-in chain name без неё всё окей применяется только не пускает при чём если сбросить правила iptables -F то начинает пропускать пробовал убрать порты назначения не помогло [root@wln-fileserver /]# iptables -nL Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT tcp -- 10.10.5.0/24 217.70.119.181 tcp dpt:5190 ACCEPT tcp -- 217.70.119.181 10.10.5.0/25 tcp spt:5190 DROP all -- 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT) target prot opt source destination вот как сча всё выглядит #iptables -P POSTROUTING ACCEPT iptables -F FORWARD iptables -P FORWARD ACCEPT iptables -A FORWARD -i eth0 -o eth1 -s 10.10.5.0/24 -d 217.70.119.181 -p tcp --dport 5190 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -s 217.70.119.181 -d 10.10.5.0/25 -p tcp --sport 5190 -j ACCEPT iptables -A FORWARD -j DROP Заранее спасибо
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Как перенаправить запрос и закрыть все осталбные порты кроме..."
	Сообщение от stakado (ok) on 12-Дек-07, 14:19
	>iptables -P POSTROUTING ACCEPT >на эту команду ругается iptables: Bad built-in chain name пардон, прогнался: iptables -t nat -P POSTROUTING ACCEPT >без неё всё окей применяется только не пускает при чём если сбросить >правила iptables -F то начинает пропускать >пробовал убрать порты назначения не помогло Что выдаёт iptables -t nat -L? Перед дропом в таблице форвард вставь лог, посмотри совпадают ли указанные ип/порты/интерфейсы. iptables -I FORWARD 3 -j LOG --log-prefix "FWD: " # в твоём случае А проще - напиши в асю - 26420654.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]