forum.opennet.ru - "Iptables" (8)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Iptables"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Iptables"
Сообщение от Anton Zubkov on 12-Авг-04, 17:47 (MSK)
Здравствуйте! У меня Gentoo Linux, kernel-2.6.7-rс3 Поставил iptables. Настроил правила так: iptables -N ports iptables -P INPUT DROP iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i eth1 -j ACCEPT iptables -A ports -p tcp --destination-port 22 -j ACCEPT iptables -A ports -p udp --destination-port 22 -j ACCEPT iptables -A ports -p tcp --destination-port 20 -j ACCEPT iptables -A ports -p udp --destination-port 20 -j ACCEPT iptables -A ports -p tcp --destination-port 21 -j ACCEPT iptables -A ports -p udp --destination-port 21 -j ACCEPT iptables -A ports -p tcp --destination-port 53 -j ACCEPT iptables -A ports -p udp --destination-port 53 -j ACCEPT iptables -A ports -p tcp --destination-port 80 -j ACCEPT iptables -A ports -p udp --destination-port 80 -j ACCEPT iptables -A ports -p tcp --destination-port 3128 -j ACCEPT iptables -A ports -p udp --destination-port 3128 -j ACCEPT iptables -A ports -p tcp --destination-port 110 -j ACCEPT iptables -A ports -p tcp --destination-port 25 -j ACCEPT iptables -A ports -p tcp --destination-port 1024: -j ACCEPT iptables -A ports -p udp --destination-port 1024: -j ACCEPT iptables -A INPUT -p icmp -j DROP iptables -A OUTPUT -p icmp -j ACCEPT iptables -A FORWARD -p icmp -j ACCEPT echo 1 > /proc/sys/net/ipv4/conf/all/forwarding iptables -t nat -A POSTROUTING -s 192.168.0.0/16 --out-interface eth0 -j SNAT --to-source 212.86.245.42 iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT При таком раскладе все работает из моей сети, но из внешнего мира никто не может ко мне зайти ни по ftp ни по http
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Iptables, fantom, 11:50 , 15-Авг-04, (1)
- Iptables, DAerMon, 00:46 , 16-Авг-04, (2)
Iptables, Arifolth, 10:59 , 16-Авг-04, (3)
- Iptables, DAerMon, 00:19 , 17-Авг-04, (4)
  - Iptables, Arifolth, 16:17 , 20-Авг-04, (5)
    - Iptables, DAerMon, 00:40 , 25-Авг-04, (6)
    - Iptables, DAerMon, 00:40 , 25-Авг-04, (7)
      - Iptables, Arifolth, 14:15 , 25-Авг-04, (8)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Iptables"

Сообщение от fantom (??) on 15-Авг-04, 11:50  (MSK)

>
>iptables -P INPUT DROP

Вот и непускает

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Iptables"

Сообщение от DAerMon on 16-Авг-04, 00:46  (MSK)

>
>>
>>iptables -P INPUT DROP
>
>
>Вот и непускает
Согласен, но фишка не в том. Была создана новая цепочка ports но перенаправление на нее не идет. Если добавить правило наподобие:
    iptables -A INPUT -j potrs
то все будет ОК.

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Iptables"

Сообщение от Arifolth (ok) on 16-Авг-04, 10:59  (MSK)

>Здравствуйте!
>У меня Gentoo Linux, kernel-2.6.7-rс3
>При таком раскладе все работает из моей сети, но из внешнего мира
>никто не может ко мне зайти ни по ftp ни по
>http

создай правила типа DNAT для проброса соединений извне на сервак во внутренней сети и усё заработает
наверно =)

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Iptables"

Сообщение от DAerMon on 17-Авг-04, 00:19  (MSK)

>>Здравствуйте!
>>У меня Gentoo Linux, kernel-2.6.7-rс3
>
>>При таком раскладе все работает из моей сети, но из внешнего мира
>>никто не может ко мне зайти ни по ftp ни по
>>http
>создай правила типа DNAT для проброса соединений извне на сервак во внутренней
>сети и усё заработает
>наверно =)
Пример приведи что ты хочешь сделать с DNAT. На сколько я понимаю из перечисленных правил, сервак там с одной стороны подключен к внутренней сети, а с другой - к провайдеру (с помощью SNAT скрывается структура локальной сети). Как мне кажется, DNAT там не нужен, если только какой-то из открытых сервисов не будет предоставлять локальная машина, а не сервер.

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Iptables"

Сообщение от Arifolth (ok) on 20-Авг-04, 16:17  (MSK)

>Пример приведи что ты хочешь сделать с DNAT. На сколько я понимаю
>из перечисленных правил, сервак там с одной стороны подключен к внутренней
>сети, а с другой - к провайдеру (с помощью SNAT скрывается
>структура локальной сети). Как мне кажется, DNAT там не нужен, если
>только какой-то из открытых сервисов не будет предоставлять локальная машина, а
>не сервер.
я не понимаю в чём проблема =)
соединения извне не проходят на софт крутящийся на этой машине или на машине в локальной сети???
пример уже тут на форуме приводил - как DNAT пользовать и не только я
ток что ищите
общая идея таковаЖ
input/output/forward политики должны быть  drop/reject
далее разрешать
следует помнить что:
1) соединения идущие во внутреннюю сеть транзитом (я имею ввиду соединения инициированые извне)через этот комп попадают сперва в цепочку PREROUTING(это к слову о DNAT) затем FORWARD & etc
2)соединения идущие на ЭТУ машину попадают в цепочку INPUT
3)соединения идущие наружу через эту машину проходят FORWARDING затем POSTROUTING
исходя из того что я сказал и нада клепать правила
а в приведённом куске сценария непонятно как что-то попадает в ports
чтоб что-то попало в портс его нада -j ports

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Iptables"

Сообщение от DAerMon on 25-Авг-04, 00:40  (MSK)

<skip>
>исходя из того что я сказал и нада клепать правила
>а в приведённом куске сценария непонятно как что-то попадает в ports
>чтоб что-то попало в портс его нада -j ports
                                      ^^^^^^^
Если ты не обратил внимание, то именно такое решение я и предложил ;)

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Iptables"

Сообщение от DAerMon on 25-Авг-04, 00:40  (MSK)

<skip>
>исходя из того что я сказал и нада клепать правила
>а в приведённом куске сценария непонятно как что-то попадает в ports
>чтоб что-то попало в портс его нада -j ports
                                      ^^^^^^^
Если ты не обратил внимание на мое пред предыдущее сообщение, то именно такое решение я и предложил ;)

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Iptables"

Сообщение от Arifolth (ok) on 25-Авг-04, 14:15  (MSK)

><skip>
>>исходя из того что я сказал и нада клепать правила
>>а в приведённом куске сценария непонятно как что-то попадает в ports
>>чтоб что-то попало в портс его нада -j ports
>
>
>
>    ^^^^^^^
>Если ты не обратил внимание на мое пред предыдущее сообщение, то именно
>такое решение я и предложил ;)
ну так я с тобой не спорю =)
ты предложил
непонятно - что автор топика имел ввиду!
соединения извне не проходят на софт крутящийся на этой машине или на машине в локальной сети???
если в сети - DNAT
если на машине - как ты и сказал -j ports
=)

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Iptables"
Сообщение от fantom (??) on 15-Авг-04, 11:50 (MSK)
> >iptables -P INPUT DROP Вот и непускает
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Iptables"
	Сообщение от DAerMon on 16-Авг-04, 00:46 (MSK)
	> >> >>iptables -P INPUT DROP > > >Вот и непускает Согласен, но фишка не в том. Была создана новая цепочка ports но перенаправление на нее не идет. Если добавить правило наподобие: iptables -A INPUT -j potrs то все будет ОК.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

3. "Iptables"
Сообщение от Arifolth (ok) on 16-Авг-04, 10:59 (MSK)
>Здравствуйте! >У меня Gentoo Linux, kernel-2.6.7-rс3 >При таком раскладе все работает из моей сети, но из внешнего мира >никто не может ко мне зайти ни по ftp ни по >http создай правила типа DNAT для проброса соединений извне на сервак во внутренней сети и усё заработает наверно =)
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Iptables"
	Сообщение от DAerMon on 17-Авг-04, 00:19 (MSK)
	>>Здравствуйте! >>У меня Gentoo Linux, kernel-2.6.7-rс3 > >>При таком раскладе все работает из моей сети, но из внешнего мира >>никто не может ко мне зайти ни по ftp ни по >>http >создай правила типа DNAT для проброса соединений извне на сервак во внутренней >сети и усё заработает >наверно =) Пример приведи что ты хочешь сделать с DNAT. На сколько я понимаю из перечисленных правил, сервак там с одной стороны подключен к внутренней сети, а с другой - к провайдеру (с помощью SNAT скрывается структура локальной сети). Как мне кажется, DNAT там не нужен, если только какой-то из открытых сервисов не будет предоставлять локальная машина, а не сервер.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "Iptables"
	Сообщение от Arifolth (ok) on 20-Авг-04, 16:17 (MSK)
	>Пример приведи что ты хочешь сделать с DNAT. На сколько я понимаю >из перечисленных правил, сервак там с одной стороны подключен к внутренней >сети, а с другой - к провайдеру (с помощью SNAT скрывается >структура локальной сети). Как мне кажется, DNAT там не нужен, если >только какой-то из открытых сервисов не будет предоставлять локальная машина, а >не сервер. я не понимаю в чём проблема =) соединения извне не проходят на софт крутящийся на этой машине или на машине в локальной сети??? пример уже тут на форуме приводил - как DNAT пользовать и не только я ток что ищите общая идея таковаЖ input/output/forward политики должны быть drop/reject далее разрешать следует помнить что: 1) соединения идущие во внутреннюю сеть транзитом (я имею ввиду соединения инициированые извне)через этот комп попадают сперва в цепочку PREROUTING(это к слову о DNAT) затем FORWARD & etc 2)соединения идущие на ЭТУ машину попадают в цепочку INPUT 3)соединения идущие наружу через эту машину проходят FORWARDING затем POSTROUTING исходя из того что я сказал и нада клепать правила а в приведённом куске сценария непонятно как что-то попадает в ports чтоб что-то попало в портс его нада -j ports
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "Iptables"
	Сообщение от DAerMon on 25-Авг-04, 00:40 (MSK)
	<skip> >исходя из того что я сказал и нада клепать правила >а в приведённом куске сценария непонятно как что-то попадает в ports >чтоб что-то попало в портс его нада -j ports ^^^^^^^ Если ты не обратил внимание, то именно такое решение я и предложил ;)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "Iptables"
	Сообщение от DAerMon on 25-Авг-04, 00:40 (MSK)
	<skip> >исходя из того что я сказал и нада клепать правила >а в приведённом куске сценария непонятно как что-то попадает в ports >чтоб что-то попало в портс его нада -j ports ^^^^^^^ Если ты не обратил внимание на мое пред предыдущее сообщение, то именно такое решение я и предложил ;)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "Iptables"
	Сообщение от Arifolth (ok) on 25-Авг-04, 14:15 (MSK)
	><skip> >>исходя из того что я сказал и нада клепать правила >>а в приведённом куске сценария непонятно как что-то попадает в ports >>чтоб что-то попало в портс его нада -j ports > > > > ^^^^^^^ >Если ты не обратил внимание на мое пред предыдущее сообщение, то именно >такое решение я и предложил ;) ну так я с тобой не спорю =) ты предложил непонятно - что автор топика имел ввиду! соединения извне не проходят на софт крутящийся на этой машине или на машине в локальной сети??? если в сети - DNAT если на машине - как ты и сказал -j ports =)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх