forum.opennet.ru - "Помогите разобраться со скриптом настройки iptables" (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Помогите разобраться со скриптом настройки iptables"

Форум Открытые системы на сервере (Маршрутизация, NAT / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Помогите разобраться со скриптом настройки iptables"	+/–
Сообщение от Cognac (ok) on 03-Мрт-11, 00:01
Всем доброго дня. Достался сервер в роли маршрутизатора со скриптом настройки. Все работает хорошо, но теперь потребовалось сделать доступ c сервера в DMZ во внешний мир. Достаточно только одного порта tcp. Просидел сегодня целый день в попытках разобраться. Шлюзом по-умолчанию сейчас eth1 (ext2). Его внешний адрес нормально пингуется. Когда же пытаюсь пинговать его шлюз, узел недоступен. В то время как второй конец тоннеля ppp0(ext1) абсолютно нормально пингуется. Сломал сегодня себе всю голову. Помогите, пожалуйста. =) #/bin/bash ## addresses and interfaces IP_EXT1="..." IP_EXT2="..." IP_LAN="192.168.0.1" IP_DMZ="192.168.1.1" IP_VPN="10.8.0.1" IF_EXT1="ppp0" IF_EXT2="eth1" IF_LAN="eth2" IF_DMZ="eth3" IF_VPN="as0t0" DMZ_FTP="192.168.1.3" DMZ_RDP="192.168.1.2" DNS="192.168.0.1" VPN_SUBNET="10.8.0.0/24" ##iptables IPT="/sbin/iptables" ##ip-forwarding echo "1" > /proc/sys/net/ipv4/ip_forward ##dynamic IP echo "1" > /proc/sys/net/ipv4/ip_dynaddr ##flush all rules $IPT --flush $IPT -t nat --flush $IPT -t mangle --flush $IPT -t filter --flush $IPT -X ##default polices $IPT -P INPUT DROP $IPT -P OUTPUT DROP $IPT -P FORWARD DROP ## loopback $IPT -A INPUT -i lo -j ACCEPT $IPT -A OUTPUT -o lo -j ACCEPT ## DNS #external DNS $IPT -A INPUT -p udp --sport 1024:65535 -j ACCEPT $IPT -A INPUT -p udp --sport 53 -j ACCEPT $IPT -A INPUT -p tcp --sport 1024:65535 -j ACCEPT $IPT -A INPUT -p tcp --sport 53 -j ACCEPT #LAN $IPT -A INPUT -i $IF_LAN -p udp -d $DNS --dport 53 --sport 1024:65535 -j ACCEPT $IPT -A INPUT -i $IF_LAN -p tcp -d $DNS --dport 53 --sport 1024:65535 -j ACCEPT #DMZ $IPT -A INPUT -i $IF_DMZ -p udp -d $DNS --dport 53 --sport 1024:65535 -j ACCEPT $IPT -A INPUT -i $IF_DMZ -p tcp -d $DNS --dport 53 --sport 1024:65535 -j ACCEPT $IPT -A INPUT -p tcp --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPT -A INPUT -p icmp -j ACCEPT $IPT -A OUTPUT -p icmp -j ACCEPT #Port mapping $IPT -t nat -A PREROUTING -i $IF_VPN -s $VPN_SUBNET -p tcp --dport 3389 -j DNAT --to-destination $DMZ_RDP:3389 $IPT -t nat -A PREROUTING -i $IF_VPN -s $VPN_SUBNET -p tcp --dport 8443 -j DNAT --to-destination $IP_LAN:8443 $IPT -A FORWARD -i $IF_VPN -o $IF_DMZ -j ACCEPT $IPT -A FORWARD -i $IF_DMZ -o $IF_VPN -j ACCEPT ## NAT : IF_EXT1 $IPT -t nat -A POSTROUTING -o $IF_EXT1 -j SNAT --to-source $IP_EXT1 $IPT -A FORWARD -i $IF_LAN -o $IF_EXT1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPT -A FORWARD -i $IF_EXT1 -o $IF_LAN -m state --state ESTABLISHED,RELATED -j ACCEPT ## NAT : IF_EXT2 $IPT -A FORWARD -i $IF_LAN -o $IF_EXT2 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPT -A FORWARD -i $IF_EXT2 -o $IF_LAN -m state --state ESTABLISHED,RELATED -j ACCEPT ## LAN <-> DMZ $IPT -A FORWARD -i $IF_LAN -o $IF_DMZ -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT ## FTP from LAN to DMZ $IPT -A FORWARD -p tcp -i $IF_LAN -o $IF_DMZ -d $DMZ_FTP --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPT -A FORWARD -p tcp -i $IF_LAN -o $IF_DMZ -d $DMZ_FTP --dport 20 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT ## RDP from LAN to DMZ $IPT -A FORWARD -p tcp -i $IF_LAN -o $IF_DMZ -d $DMZ_RDP --dport 3389 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT ## DMZ <-> LAN, only established $IPT -A FORWARD -i $IF_DMZ -o $IF_LAN -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT ## SSH $IPT -A INPUT -i $IF_LAN -p tcp --dport 22 -j ACCEPT $IPT -A INPUT -s $VPN_SUBNET -p tcp --dport 22 -j ACCEPT $IPT -A INPUT -s $VPN_SUBNET -p tcp --dport 22 -j ACCEPT ## WEB-RDP $IPT -A INPUT -i $IF_LAN -p tcp --dport 443 -j ACCEPT $IPT -A INPUT -i $IF_EXT1 -p tcp --dport 443 -j ACCEPT $IPT -A INPUT -i $IF_EXT2 -p tcp --dport 443 -j ACCEPT $IPT -A INPUT -i $IF_EXT2 -p tcp --dport 3389 -j ACCEPT ## VPN $IPT -A INPUT -i $IF_EXT2 -p tcp --dport 1194 -j ACCEPT $IPT -A INPUT -i $IF_EXT2 -p udp --dport 1194 -j ACCEPT ## DHCP $IPT -A INPUT -i $IF_LAN -p udp --sport 67 --dport 68 -d 255.255.255.255 -j ACCEPT $IPT -A OUTPUT -o $IF_LAN -p udp --sport 68 --dport 67 -d 255.255.255.255 -j ACCEPT
Ответить \| Правка \| Cообщить модератору

Оглавление

Помогите разобраться со скриптом настройки iptables, pavlinux, 00:07 , 03-Мрт-11, (1)

Помогите разобраться со скриптом настройки iptables, Cognac, 16:12 , 03-Мрт-11, (4)

Помогите разобраться со скриптом настройки iptables, pavlinux, 16:44 , 03-Мрт-11, (5)

Помогите разобраться со скриптом настройки iptables, Cognac, 12:14 , 04-Мрт-11, (6)

Помогите разобраться со скриптом настройки iptables, shadow_alone, 00:26 , 03-Мрт-11, (2)

Помогите разобраться со скриптом настройки iptables, pavlinux, 00:29 , 03-Мрт-11, (3)

Сообщения по теме [Сортировка по времени | RSS]

1. "Помогите разобраться со скриптом настройки iptables" +/–

Сообщение от pavlinux (ok) on 03-Мрт-11, 00:07

#/bin/bash -x
## addresses and interfaces
IP_EXT1="*.*.*.*"
IP_EXT2="*.*.*.*"
IP_LAN="192.168.0.1"
IP_DMZ="192.168.1.1"
IP_VPN="10.8.0.1"
IF_EXT1="ppp0"
IF_EXT2="eth1"
IF_LAN="eth2"
IF_DMZ="eth3"
IF_VPN="as0t0"
DMZ_FTP="192.168.1.3"
DMZ_RDP="192.168.1.2"
DNS="192.168.0.1"
VPN_SUBNET="10.8.0.0/24"
ping -c 5 $IP_EXT1 || echo ERROR;
##iptables
ping -c 5 $IP_EXT1 || echo ERROR;
IPT="/sbin/iptables"
ping -c 5 $IP_EXT1 || echo ERROR;
##ip-forwarding
ping -c 5 $IP_EXT1 || echo ERROR;
echo "1" > /proc/sys/net/ipv4/ip_forward
ping -c 5 $IP_EXT1 || echo ERROR;
##dynamic IP
ping -c 5 $IP_EXT1 || echo ERROR;
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
ping -c 5 $IP_EXT1 || echo ERROR;
##flush all rules
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT --flush
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -t nat --flush
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -t mangle --flush
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -t filter --flush
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -X
ping -c 5 $IP_EXT1 || echo ERROR;
##default polices
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -P INPUT DROP
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -P OUTPUT DROP
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -P FORWARD DROP
ping -c 5 $IP_EXT1 || echo ERROR;
## loopback
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A INPUT -i lo -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A OUTPUT -o lo -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
## DNS
ping -c 5 $IP_EXT1 || echo ERROR;
#external DNS
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A INPUT -p udp --sport 1024:65535 -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A INPUT -p udp --sport 53 -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A INPUT -p tcp --sport 1024:65535 -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A INPUT -p tcp --sport 53 -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
#LAN
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A INPUT -i $IF_LAN -p udp -d $DNS --dport 53 --sport 1024:65535 -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A INPUT -i $IF_LAN -p tcp -d $DNS --dport 53 --sport 1024:65535 -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
#DMZ
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A INPUT -i $IF_DMZ -p udp -d $DNS --dport 53 --sport 1024:65535 -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A INPUT -i $IF_DMZ -p tcp -d $DNS --dport 53 --sport 1024:65535 -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A INPUT -p tcp --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A INPUT -p icmp -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A OUTPUT -p icmp -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
#Port mapping
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -t nat -A PREROUTING -i $IF_VPN -s $VPN_SUBNET -p tcp --dport 3389 -j DNAT --to-destination $DMZ_RDP:3389
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -t nat -A PREROUTING -i $IF_VPN -s $VPN_SUBNET -p tcp --dport 8443 -j DNAT --to-destination $IP_LAN:8443
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A FORWARD -i $IF_VPN -o $IF_DMZ -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A FORWARD -i $IF_DMZ -o $IF_VPN -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
## NAT : IF_EXT1
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -t nat -A POSTROUTING -o $IF_EXT1 -j SNAT --to-source $IP_EXT1
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A FORWARD -i $IF_LAN -o $IF_EXT1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A FORWARD -i $IF_EXT1 -o $IF_LAN -m state --state ESTABLISHED,RELATED -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
## NAT : IF_EXT2
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A FORWARD -i $IF_LAN -o $IF_EXT2 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A FORWARD -i $IF_EXT2 -o $IF_LAN -m state --state ESTABLISHED,RELATED -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
## LAN <-> DMZ
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A FORWARD -i $IF_LAN -o $IF_DMZ -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
## FTP from LAN to DMZ
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A FORWARD -p tcp -i $IF_LAN -o $IF_DMZ -d $DMZ_FTP --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A FORWARD -p tcp -i $IF_LAN -o $IF_DMZ -d $DMZ_FTP --dport 20 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
## RDP from LAN to DMZ
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A FORWARD -p tcp -i $IF_LAN -o $IF_DMZ -d $DMZ_RDP --dport 3389 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
## DMZ <-> LAN, only established
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A FORWARD -i $IF_DMZ -o $IF_LAN -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
## SSH
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A INPUT -i $IF_LAN -p tcp --dport 22 -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A INPUT -s $VPN_SUBNET -p tcp --dport 22 -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A INPUT -s $VPN_SUBNET -p tcp --dport 22 -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
## WEB-RDP
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A INPUT -i $IF_LAN -p tcp --dport 443 -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A INPUT -i $IF_EXT1 -p tcp --dport 443 -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A INPUT -i $IF_EXT2 -p tcp --dport 443 -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A INPUT -i $IF_EXT2 -p tcp --dport 3389 -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
## VPN
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A INPUT -i $IF_EXT2 -p tcp --dport 1194 -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A INPUT -i $IF_EXT2 -p udp --dport 1194 -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
## DHCP
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A INPUT -i $IF_LAN -p udp --sport 67 --dport 68 -d 255.255.255.255 -j ACCEPT
ping -c 5 $IP_EXT1 || echo ERROR;
$IPT -A OUTPUT -o $IF_LAN -p udp --sport 68 --dport 67 -d 255.255.255.255 -j ACCEPT

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Помогите разобраться со скриптом настройки iptables" +/–

Сообщение от Cognac (ok) on 03-Мрт-11, 16:12

В чем смысл этих ping -c 5 ext_ip || echo ERROR?
Что не так со скриптами?
iptables-save запустил. Теперь нужно время изучить его. Спасибо за наводку.
> Шлюз eth1, внешний адрес пингуется, пытаюсь пинговать его шлюз, узел недоступен. - конечно же, описался. Интерфейс eth1.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Помогите разобраться со скриптом настройки iptables" +/–

Сообщение от pavlinux (ok) on 03-Мрт-11, 16:44

> В чем смысл этих ping -c 5 ext_ip || echo ERROR?
Добавил одно правило и смотришь есть пинг до шлюза или нет,
Добавил еще одно правило и смотришь есть пинг до шлюза или нет,
Добавил еще одно правило и смотришь есть пинг до шлюза или нет,
Добавил еще одно правило и смотришь есть пинг до шлюза или нет,
....
:)
---
#!/bin/bash -x
Покажет строки
---
Самыми первыми сделать
$IPT -A INPUT -p icmp -j ACCEPT
$IPT -A OUTPUT -p icmp -j ACCEPT
естественно после  ##default polices

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Помогите разобраться со скриптом настройки iptables" +/–

Сообщение от Cognac (ok) on 04-Мрт-11, 12:14

>[оверквотинг удален]
> ....
> :)
> ---
> #!/bin/bash -x
> Покажет строки
> ---
> Самыми первыми сделать
> $IPT -A INPUT -p icmp -j ACCEPT
> $IPT -A OUTPUT -p icmp -j ACCEPT
> естественно после  ##default polices
pavlinux, я так и делаю, в принципе. Методом тыка, научного. :) Не выходит.
Вот, что сейчас показывает iptables-save. Фрагментирование строк добавил, конечно, уже я. Для наглядности.
Особое внимание вызывает строчка: -A POSTROUTING -o ppp0 -j SNAT --to-source *.*.*.* (звездочками заменен внешний ip pppoe-соединения). Она повторяется в выводе 25000 раз! Оно что, устанавливается динамически для каждого соединения? А почему потом не закрывается?
Еще в ступор вгоняет такой факт: пытаюсь включить NAT на eth1, а мне в ответ:
iptables v1.4.1.1: can't initialize iptables table `NAT': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.
Сегодня ночью попробую обновить систему с ядром. Сейчас боязно, люди-то работают.
# Generated by iptables-save v1.4.1.1 on Fri Mar  4 10:50:04 2011
*mangle
:PREROUTING ACCEPT [6664110:3876095209]
:INPUT ACCEPT [703033:59943283]
:FORWARD ACCEPT [5934107:3813353700]
:OUTPUT ACCEPT [723870:72641376]
:POSTROUTING ACCEPT [6657514:3885966709]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Fri Mar  4 10:50:04 2011
# Generated by iptables-save v1.4.1.1 on Fri Mar  4 10:50:04 2011
*nat
:PREROUTING ACCEPT [73086:4654163]
:POSTROUTING ACCEPT [64404:5295484]
:OUTPUT ACCEPT [139716:11617023]
:AS0 - [0:0]
-A PREROUTING -s 10.8.0.0/24 -i as0t0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.2:3389
-A PREROUTING -s 10.8.0.0/24 -i as0t0 -p tcp -m tcp --dport 8443 -j DNAT --to-destination 192.168.0.1:8443
-A POSTROUTING -o ppp0 -j SNAT --to-source *.*.*.*
COMMIT
# Completed on Fri Mar  4 10:50:04 2011
# Generated by iptables-save v1.4.1.1 on Fri Mar  4 10:50:04 2011
*filter
:INPUT DROP [8084:1081359]
:FORWARD DROP [427:26927]
:OUTPUT DROP [36:1440]
-A INPUT -i lo -j ACCEPT
-A INPUT -p udp -m udp --sport 1024:65535 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 1024:65535 -j ACCEPT
-A INPUT -p tcp -m tcp --sport 53 -j ACCEPT
-A INPUT -d 192.168.0.1/32 -i eth2 -p udp -m udp --sport 1024:65535 --dport 53 -j ACCEPT
-A INPUT -d 192.168.0.1/32 -i eth2 -p tcp -m tcp --sport 1024:65535 --dport 53 -j ACCEPT
-A INPUT -d 192.168.0.1/32 -i eth3 -p udp -m udp --sport 1024:65535 --dport 53 -j ACCEPT
-A INPUT -d 192.168.0.1/32 -i eth3 -p tcp -m tcp --sport 1024:65535 --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i eth2 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 10.8.0.0/24 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 10.8.0.0/24 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth2 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 3389 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 1194 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -d 255.255.255.255/32 -i eth2 -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A FORWARD -i as0t0 -o eth3 -j ACCEPT
-A FORWARD -i eth3 -o as0t0 -j ACCEPT
-A FORWARD -i eth2 -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp0 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth2 -o eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth2 -o eth3 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth3 -o eth2 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth3 -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.1.3/32 -i eth2 -o eth3 -p tcp -m tcp --dport 20 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.1.2/32 -i eth2 -o eth3 -p tcp -m tcp --dport 3389 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth3 -o eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth3 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -d 255.255.255.255/32 -o eth2 -p udp -m udp --sport 68 --dport 67 -j ACCEPT
COMMIT
# Completed on Fri Mar  4 10:50:04 2011

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

2. "Помогите разобраться со скриптом настройки iptables" +/–

Сообщение от shadow_alone (ok) on 03-Мрт-11, 00:26

Я б этих скриптописателей на кол посадил.
сделайте iptables-save , увидите все в нормальной форме, и добавьте свое нужное правило.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Помогите разобраться со скриптом настройки iptables" +/–

Сообщение от pavlinux (ok) on 03-Мрт-11, 00:29

> Я б этих скриптописателей на кол посадил.
:)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Помогите разобраться со скриптом настройки iptables"	+/–
Сообщение от pavlinux (ok) on 03-Мрт-11, 00:07
#/bin/bash -x ## addresses and interfaces IP_EXT1="..." IP_EXT2="..." IP_LAN="192.168.0.1" IP_DMZ="192.168.1.1" IP_VPN="10.8.0.1" IF_EXT1="ppp0" IF_EXT2="eth1" IF_LAN="eth2" IF_DMZ="eth3" IF_VPN="as0t0" DMZ_FTP="192.168.1.3" DMZ_RDP="192.168.1.2" DNS="192.168.0.1" VPN_SUBNET="10.8.0.0/24" ping -c 5 $IP_EXT1 \|\| echo ERROR; ##iptables ping -c 5 $IP_EXT1 \|\| echo ERROR; IPT="/sbin/iptables" ping -c 5 $IP_EXT1 \|\| echo ERROR; ##ip-forwarding ping -c 5 $IP_EXT1 \|\| echo ERROR; echo "1" > /proc/sys/net/ipv4/ip_forward ping -c 5 $IP_EXT1 \|\| echo ERROR; ##dynamic IP ping -c 5 $IP_EXT1 \|\| echo ERROR; echo "1" > /proc/sys/net/ipv4/ip_dynaddr ping -c 5 $IP_EXT1 \|\| echo ERROR; ##flush all rules ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT --flush ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -t nat --flush ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -t mangle --flush ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -t filter --flush ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -X ping -c 5 $IP_EXT1 \|\| echo ERROR; ##default polices ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -P INPUT DROP ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -P OUTPUT DROP ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -P FORWARD DROP ping -c 5 $IP_EXT1 \|\| echo ERROR; ## loopback ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A INPUT -i lo -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A OUTPUT -o lo -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; ## DNS ping -c 5 $IP_EXT1 \|\| echo ERROR; #external DNS ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A INPUT -p udp --sport 1024:65535 -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A INPUT -p udp --sport 53 -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A INPUT -p tcp --sport 1024:65535 -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A INPUT -p tcp --sport 53 -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; #LAN ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A INPUT -i $IF_LAN -p udp -d $DNS --dport 53 --sport 1024:65535 -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A INPUT -i $IF_LAN -p tcp -d $DNS --dport 53 --sport 1024:65535 -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; #DMZ ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A INPUT -i $IF_DMZ -p udp -d $DNS --dport 53 --sport 1024:65535 -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A INPUT -i $IF_DMZ -p tcp -d $DNS --dport 53 --sport 1024:65535 -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A INPUT -p tcp --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A INPUT -p icmp -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A OUTPUT -p icmp -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; #Port mapping ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -t nat -A PREROUTING -i $IF_VPN -s $VPN_SUBNET -p tcp --dport 3389 -j DNAT --to-destination $DMZ_RDP:3389 ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -t nat -A PREROUTING -i $IF_VPN -s $VPN_SUBNET -p tcp --dport 8443 -j DNAT --to-destination $IP_LAN:8443 ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A FORWARD -i $IF_VPN -o $IF_DMZ -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A FORWARD -i $IF_DMZ -o $IF_VPN -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; ## NAT : IF_EXT1 ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -t nat -A POSTROUTING -o $IF_EXT1 -j SNAT --to-source $IP_EXT1 ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A FORWARD -i $IF_LAN -o $IF_EXT1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A FORWARD -i $IF_EXT1 -o $IF_LAN -m state --state ESTABLISHED,RELATED -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; ## NAT : IF_EXT2 ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A FORWARD -i $IF_LAN -o $IF_EXT2 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A FORWARD -i $IF_EXT2 -o $IF_LAN -m state --state ESTABLISHED,RELATED -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; ## LAN <-> DMZ ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A FORWARD -i $IF_LAN -o $IF_DMZ -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; ## FTP from LAN to DMZ ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A FORWARD -p tcp -i $IF_LAN -o $IF_DMZ -d $DMZ_FTP --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A FORWARD -p tcp -i $IF_LAN -o $IF_DMZ -d $DMZ_FTP --dport 20 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; ## RDP from LAN to DMZ ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A FORWARD -p tcp -i $IF_LAN -o $IF_DMZ -d $DMZ_RDP --dport 3389 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; ## DMZ <-> LAN, only established ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A FORWARD -i $IF_DMZ -o $IF_LAN -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; ## SSH ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A INPUT -i $IF_LAN -p tcp --dport 22 -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A INPUT -s $VPN_SUBNET -p tcp --dport 22 -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A INPUT -s $VPN_SUBNET -p tcp --dport 22 -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; ## WEB-RDP ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A INPUT -i $IF_LAN -p tcp --dport 443 -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A INPUT -i $IF_EXT1 -p tcp --dport 443 -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A INPUT -i $IF_EXT2 -p tcp --dport 443 -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A INPUT -i $IF_EXT2 -p tcp --dport 3389 -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; ## VPN ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A INPUT -i $IF_EXT2 -p tcp --dport 1194 -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A INPUT -i $IF_EXT2 -p udp --dport 1194 -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; ## DHCP ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A INPUT -i $IF_LAN -p udp --sport 67 --dport 68 -d 255.255.255.255 -j ACCEPT ping -c 5 $IP_EXT1 \|\| echo ERROR; $IPT -A OUTPUT -o $IF_LAN -p udp --sport 68 --dport 67 -d 255.255.255.255 -j ACCEPT
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	4. "Помогите разобраться со скриптом настройки iptables"	+/–
	Сообщение от Cognac (ok) on 03-Мрт-11, 16:12
	В чем смысл этих ping -c 5 ext_ip \|\| echo ERROR? Что не так со скриптами? iptables-save запустил. Теперь нужно время изучить его. Спасибо за наводку. > Шлюз eth1, внешний адрес пингуется, пытаюсь пинговать его шлюз, узел недоступен. - конечно же, описался. Интерфейс eth1.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	5. "Помогите разобраться со скриптом настройки iptables"	+/–
	Сообщение от pavlinux (ok) on 03-Мрт-11, 16:44
	> В чем смысл этих ping -c 5 ext_ip \|\| echo ERROR? Добавил одно правило и смотришь есть пинг до шлюза или нет, Добавил еще одно правило и смотришь есть пинг до шлюза или нет, Добавил еще одно правило и смотришь есть пинг до шлюза или нет, Добавил еще одно правило и смотришь есть пинг до шлюза или нет, .... :) --- #!/bin/bash -x Покажет строки --- Самыми первыми сделать $IPT -A INPUT -p icmp -j ACCEPT $IPT -A OUTPUT -p icmp -j ACCEPT естественно после ##default polices
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Помогите разобраться со скриптом настройки iptables"	+/–
	Сообщение от Cognac (ok) on 04-Мрт-11, 12:14
	>[оверквотинг удален] > .... > :) > --- > #!/bin/bash -x > Покажет строки > --- > Самыми первыми сделать > $IPT -A INPUT -p icmp -j ACCEPT > $IPT -A OUTPUT -p icmp -j ACCEPT > естественно после ##default polices pavlinux, я так и делаю, в принципе. Методом тыка, научного. :) Не выходит. Вот, что сейчас показывает iptables-save. Фрагментирование строк добавил, конечно, уже я. Для наглядности. Особое внимание вызывает строчка: -A POSTROUTING -o ppp0 -j SNAT --to-source ... (звездочками заменен внешний ip pppoe-соединения). Она повторяется в выводе 25000 раз! Оно что, устанавливается динамически для каждого соединения? А почему потом не закрывается? Еще в ступор вгоняет такой факт: пытаюсь включить NAT на eth1, а мне в ответ: iptables v1.4.1.1: can't initialize iptables table `NAT': Table does not exist (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded. Сегодня ночью попробую обновить систему с ядром. Сейчас боязно, люди-то работают. # Generated by iptables-save v1.4.1.1 on Fri Mar 4 10:50:04 2011 mangle :PREROUTING ACCEPT [6664110:3876095209] :INPUT ACCEPT [703033:59943283] :FORWARD ACCEPT [5934107:3813353700] :OUTPUT ACCEPT [723870:72641376] :POSTROUTING ACCEPT [6657514:3885966709] -A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu COMMIT # Completed on Fri Mar 4 10:50:04 2011 # Generated by iptables-save v1.4.1.1 on Fri Mar 4 10:50:04 2011 nat :PREROUTING ACCEPT [73086:4654163] :POSTROUTING ACCEPT [64404:5295484] :OUTPUT ACCEPT [139716:11617023] :AS0 - [0:0] -A PREROUTING -s 10.8.0.0/24 -i as0t0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.1.2:3389 -A PREROUTING -s 10.8.0.0/24 -i as0t0 -p tcp -m tcp --dport 8443 -j DNAT --to-destination 192.168.0.1:8443 -A POSTROUTING -o ppp0 -j SNAT --to-source ... COMMIT # Completed on Fri Mar 4 10:50:04 2011 # Generated by iptables-save v1.4.1.1 on Fri Mar 4 10:50:04 2011 *filter :INPUT DROP [8084:1081359] :FORWARD DROP [427:26927] :OUTPUT DROP [36:1440] -A INPUT -i lo -j ACCEPT -A INPUT -p udp -m udp --sport 1024:65535 -j ACCEPT -A INPUT -p udp -m udp --sport 53 -j ACCEPT -A INPUT -p tcp -m tcp --sport 1024:65535 -j ACCEPT -A INPUT -p tcp -m tcp --sport 53 -j ACCEPT -A INPUT -d 192.168.0.1/32 -i eth2 -p udp -m udp --sport 1024:65535 --dport 53 -j ACCEPT -A INPUT -d 192.168.0.1/32 -i eth2 -p tcp -m tcp --sport 1024:65535 --dport 53 -j ACCEPT -A INPUT -d 192.168.0.1/32 -i eth3 -p udp -m udp --sport 1024:65535 --dport 53 -j ACCEPT -A INPUT -d 192.168.0.1/32 -i eth3 -p tcp -m tcp --sport 1024:65535 --dport 53 -j ACCEPT -A INPUT -p tcp -m tcp --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i eth2 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -s 10.8.0.0/24 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -s 10.8.0.0/24 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -i eth2 -p tcp -m tcp --dport 443 -j ACCEPT -A INPUT -i ppp0 -p tcp -m tcp --dport 443 -j ACCEPT -A INPUT -i eth1 -p tcp -m tcp --dport 443 -j ACCEPT -A INPUT -i eth1 -p tcp -m tcp --dport 3389 -j ACCEPT -A INPUT -i eth1 -p tcp -m tcp --dport 1194 -j ACCEPT -A INPUT -i eth1 -p udp -m udp --dport 1194 -j ACCEPT -A INPUT -d 255.255.255.255/32 -i eth2 -p udp -m udp --sport 67 --dport 68 -j ACCEPT -A FORWARD -i as0t0 -o eth3 -j ACCEPT -A FORWARD -i eth3 -o as0t0 -j ACCEPT -A FORWARD -i eth2 -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i ppp0 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i eth2 -o eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i eth1 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i eth2 -o eth3 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i eth3 -o eth2 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i eth3 -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A FORWARD -d 192.168.1.3/32 -i eth2 -o eth3 -p tcp -m tcp --dport 20 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A FORWARD -d 192.168.1.2/32 -i eth2 -o eth3 -p tcp -m tcp --dport 3389 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i eth3 -o eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i eth1 -o eth3 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -p icmp -j ACCEPT -A OUTPUT -d 255.255.255.255/32 -o eth2 -p udp -m udp --sport 68 --dport 67 -j ACCEPT COMMIT # Completed on Fri Mar 4 10:50:04 2011
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору

2. "Помогите разобраться со скриптом настройки iptables"	+/–
Сообщение от shadow_alone (ok) on 03-Мрт-11, 00:26
Я б этих скриптописателей на кол посадил. сделайте iptables-save , увидите все в нормальной форме, и добавьте свое нужное правило.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "Помогите разобраться со скриптом настройки iptables"	+/–
	Сообщение от pavlinux (ok) on 03-Мрт-11, 00:29
	> Я б этих скриптописателей на кол посадил. :)
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору