форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[ Отслеживать ]

"Настройка iptables в fedora"

Сообщение от Grave (ok) on 14-Сен-08, 16:05

Существует проблема. Предисловие: Жила была кантора, админ стал зам директора, потом все администрировал 1С-сер который путает 2000 SQL sever с MS Windows 2003 server. Т.к. он не справился взяли меня. А старый админ молчит как партизан. Суть проблемы: сетка на 70 машин, включая соседние фирмы выходят в инет через нас, стоит "ведро" с Fedora и Squid для доступа в инет и подсчета трафика, ppp соединение на внешней сетевухе с динамическим адресом. Мне стало необходимо пробросить порт из локалки в инет. Вроде пока все просто. НО я не могу найти файла конфига от iptables и мои попытки настроить командой из консоли увенчались дикими тормозами ведра. Вопрос: 1)Помогите найти файл конфига 2)Можно ли командой добавить проброс порта во вешний мир без файла P.S. Линуксоид я начинающий и понять как работают iptables никак не могу, хотя раньше работал в техподдержке виндовых фаерволов.

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Настройка iptables в fedora"

Сообщение от angra (ok) on 14-Сен-08, 16:55

>1)Помогите найти файл конфига я федору не использую, но на незнакомой системе сделал бы следущее 1. find /etc -name '*iptables*' 2. grep -R 'какое-нибудь из правил выдаваемых iptables-save' /etc >2)Можно ли командой добавить проброс порта во вешний мир без файла Да, в простейшем случае одной командой на DNAT, в более сложных придется добавить еще разрешающие правила в filter и raw >P.S. Линуксоид я начинающий и понять как работают iptables никак не могу, >хотя раньше работал в техподдержке виндовых фаерволов. Ну да, ведь это надо потратить аж пару часиков и почитать доку, для эникейщика непростительная потеря времени :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Настройка iptables в fedora"
	Сообщение от Grave (ok) on 14-Сен-08, 17:00
	>[оверквотинг удален] >>2)Можно ли командой добавить проброс порта во вешний мир без файла > >Да, в простейшем случае одной командой на DNAT, в более сложных придется >добавить еще разрешающие правила в filter и raw > >>P.S. Линуксоид я начинающий и понять как работают iptables никак не могу, >>хотя раньше работал в техподдержке виндовых фаерволов. > >Ну да, ведь это надо потратить аж пару часиков и почитать доку, >для эникейщика непростительная потеря времени :) Не подумай что я спрашиваю, только потому, что мне лень доку читать. тот же сквид полюбился еще под виндой и был освоен по докам. Просто я прочел доку и целостной картины у меня не появилось, сижу и перечитываю, но целостно все равно не вижу. В строке целый вагон параметров указывается, а для чего каждый из них я пока не совсем понимаю
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Настройка iptables в fedora"
	Сообщение от Grave (ok) on 14-Сен-08, 17:04
	>[оверквотинг удален] >> >>Ну да, ведь это надо потратить аж пару часиков и почитать доку, >>для эникейщика непростительная потеря времени :) > >Не подумай что я спрашиваю, только потому, что мне лень доку читать. >тот же сквид полюбился еще под виндой и был освоен по >докам. Просто я прочел доку и целостной картины у меня не >появилось, сижу и перечитываю, но целостно все равно не вижу. В >строке целый вагон параметров указывается, а для чего каждый из них >я пока не совсем понимаю Забыл добавить /etc/sysconfig/iptables пустой и /etc/rc.d/init.d/iptables не существует :(
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Настройка iptables в fedora"
	Сообщение от angra (ok) on 14-Сен-08, 17:21
	Для начала проверим правильную ли доку вы читали. я например предпочитаю http://www.opennet.me/docs/RUS/iptables ну или ее английский вариант. В man iptables лучше заглядывать после освоение концепций. Не думайте, что я не даю конкретные правила из вредности, просто для них нужно знать вашу текущую конфигурацию. Простейшее правило проброса выглядит так iptables -t nat -A PREROUTING -p протокол(tcp/udp) -d ip_внешнего_интерфеса --dport нужный_порт -j DNAT --to-destination ip_локальной_машины:порт_локальной_машины Однако его зачатую может не хватить. Для начала убедитесь что для локальной машины включен SNAT иначе пакеты пройдут только в одну сторону. Дальше нужно проверить таблицы filter и raw. В filter нас интересует цепочка FORWARD, возможно там стоит ACCEPT на все, а может надо добавить правило разрешающее входящий трафик на этот порт. Если raw нет, то все в порядке, иначе нужно разрешить треккинг нашего соединения. На всякий случай напомню, что полный список всех текущих правил дает iptables-save, а не iptables -L
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Настройка iptables в fedora"
	Сообщение от reader (ok) on 14-Сен-08, 18:36
	многие генераторы правил для iptables делают скрипт и не используют service iptables, выполните iptables-save и увидите правила, а если не увидите, то возможно кто-то решил что iptables роскош.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Настройка iptables в fedora"

Сообщение от Grave (ok) on 16-Сен-08, 07:56

Всем большое спасибо. Разобрался, порт прокинул, спасибо всем за помощь. Единственное меня несколько не поняли, мне нужен был маскарад, а не днат. Читал я именно тот мануал, он поведал мне много нового о работе tcp\ip под виндой такого знания не надо :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]