forum.opennet.ru - "iptables и счетчики" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"iptables и счетчики"

Форум Информационная безопасность (Linux iptables, ipchains / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"iptables и счетчики"	+/–
Сообщение от uan (ok) on 22-Дек-11, 11:52
Здравствуйте. Имеется ряд рабочих станций, с которых запрещён доступ в интернет. Сайт компании находится на внешнем хостинге. Доступ к нему реализован правилом: iptables -t nat -I POSTROUTING -m iprange --src-range 192.168.1.10-192.168.1.20 -d 195.184.xxx.xxx -j SNAT --to-source 195.184.yyy.yyy Где 195.184.xxx.xxx - адрес веб-сервера, 195.184.yyy.yyy - адрес шлюза ЛВС. На сайте расположены счетчики, типа mail.ru, rambler.ru, ... А у них целые пулы адресов. Вопрос. Как мне сделатьтак, чтобы пользователи ЛВС могли быстро открывать сайт компании? Чтобы не было задержки при соединении сайта с адресами счетчиков. Другими словами как мне узнать диапазон IP для каждого счетчика и прописать в iptables? Или как динамически можно преобразовать имя в ip для создания правила на лету? Всем заранее спасибо.
Ответить \| Правка \| Cообщить модератору

Оглавление

iptables и счетчики, Andrey Mitrofanov, 12:35 , 22-Дек-11, (1)
iptables и счетчики, 1, 12:41 , 22-Дек-11, (2)

iptables и счетчики, uan, 14:51 , 22-Дек-11, (3)
iptables и счетчики, PavelR, 17:57 , 22-Дек-11, (5)

iptables и счетчики, PavelR, 17:53 , 22-Дек-11, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "iptables и счетчики" +/–

Сообщение от Andrey Mitrofanov on 22-Дек-11, 12:35

> Имеется ряд рабочих станций, с которых запрещён доступ в интернет.
> Сайт компании находится на внешнем хостинге. Доступ к нему реализован правилом:
> iptables -t nat -I POSTROUTING -m iprange --src-range 192.168.1.10-192.168.1.20 -d 195.184.xxx.xxx
> -j SNAT --to-source 195.184.yyy.yyy
> Чтобы не было задержки при соединении
Предлагаю
-t filter -I FORWARD -p tcp -m iprange --src-range 192.168.1.10-192.168.1.20 \! -d 195.184.xxx.xxx -j REJECT --reject-with tcp-reset

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "iptables и счетчики" +/–

Сообщение от 1 (??) on 22-Дек-11, 12:41

>[оверквотинг удален]
> -j SNAT --to-source 195.184.yyy.yyy
> Где 195.184.xxx.xxx - адрес веб-сервера, 195.184.yyy.yyy - адрес шлюза ЛВС.
> На сайте расположены счетчики, типа mail.ru, rambler.ru, ...
> А у них целые пулы адресов.
> Вопрос. Как мне сделатьтак, чтобы пользователи ЛВС могли быстро открывать сайт компании?
> Чтобы не было задержки при соединении сайта с адресами счетчиков. Другими
> словами как мне узнать диапазон IP для каждого счетчика и прописать
> в iptables? Или как динамически можно преобразовать имя в ip для
> создания правила на лету?
> Всем заранее спасибо.
я бы сделал что то подобное в отдельной цепочке переход в которую в которую по фильтру -m iprange --src-range 192.168.1.10-192.168.1.20 а в цепочке:
iptables -A check -d {локалка} -j RETURN
iptables -A check -d 195.184.xxx.xxx -j RETURN
iptables -A check -p tcp -j REJECT --reject-with tcp-reset

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "iptables и счетчики" +/–

Сообщение от uan (ok) on 22-Дек-11, 14:51

ОК.
Я тоже подумал про отдельную цепочку. Спасибо. Буду пробовать.
>[оверквотинг удален]
>> Чтобы не было задержки при соединении сайта с адресами счетчиков. Другими
>> словами как мне узнать диапазон IP для каждого счетчика и прописать
>> в iptables? Или как динамически можно преобразовать имя в ip для
>> создания правила на лету?
>> Всем заранее спасибо.
> я бы сделал что то подобное в отдельной цепочке переход в которую
> в которую по фильтру -m iprange --src-range 192.168.1.10-192.168.1.20 а в цепочке:
> iptables -A check -d {локалка} -j RETURN
> iptables -A check -d 195.184.xxx.xxx -j RETURN
> iptables -A check -p tcp -j REJECT --reject-with tcp-reset

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "iptables и счетчики" +/–

Сообщение от PavelR (??) on 22-Дек-11, 17:57

> я бы сделал что то подобное в отдельной цепочке переход в которую
> в которую по фильтру -m iprange --src-range 192.168.1.10-192.168.1.20 а в цепочке:
> iptables -A check -d {локалка} -j RETURN
Вата. В плоской сети трафик локалки не будет проходить через рутер.
Указаний и намеков, что там много подсеток - нет. Правило - не нужно. Отдельные цепочки только ухудшат читаемость правил iptables.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "iptables и счетчики" +/–

Сообщение от PavelR (??) on 22-Дек-11, 17:53

> Сайт компании находится на внешнем хостинге. Доступ к нему реализован правилом:
> iptables -t nat -I POSTROUTING -m iprange --src-range 192.168.1.10-192.168.1.20 -d 195.184.xxx.xxx
> -j SNAT --to-source 195.184.yyy.yyy
nat.POSTROUTING не предназначен для фильтрования.

Правильно делать так:
iptables -t nat -I POSTROUTING -s 192.168.0.0/16 -o ethX -j SNAT --to-source 195.184.yyy.yyy
Т.е. для всего трафика, выходящего через интерфейс провайдера делать нат.
В противном случае, трафик всё равно выходит в сторону провайдера, но с серым адресом отправителя - т.е. тупо засоряет каналы.
а уже в таблице filter - фильтровать:
#разрешить нужное:
iptables -t filter -I FORWARD -m iprange --src-range 192.168.1.10-192.168.1.20 -d 195.184.xxx.xxx -j ACCEPT
#запретить всё остальное, tcp - отдельно.
iptables -t filter -A FORWARD -s 192.168.0.0/16 -p tcp -j REJECT --reject-with tcp-reset
iptables -t filter -A FORWARD -s 192.168.0.0/16 -j REJECT --reject-with icmp-net-unreachable
И никаких отдельных цепочек не надо, не засоряйте список, не лишайте его понятности.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "iptables и счетчики"	+/–
Сообщение от Andrey Mitrofanov on 22-Дек-11, 12:35
> Имеется ряд рабочих станций, с которых запрещён доступ в интернет. > Сайт компании находится на внешнем хостинге. Доступ к нему реализован правилом: > iptables -t nat -I POSTROUTING -m iprange --src-range 192.168.1.10-192.168.1.20 -d 195.184.xxx.xxx > -j SNAT --to-source 195.184.yyy.yyy > Чтобы не было задержки при соединении Предлагаю -t filter -I FORWARD -p tcp -m iprange --src-range 192.168.1.10-192.168.1.20 \! -d 195.184.xxx.xxx -j REJECT --reject-with tcp-reset
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

2. "iptables и счетчики"	+/–
Сообщение от 1 (??) on 22-Дек-11, 12:41
>[оверквотинг удален] > -j SNAT --to-source 195.184.yyy.yyy > Где 195.184.xxx.xxx - адрес веб-сервера, 195.184.yyy.yyy - адрес шлюза ЛВС. > На сайте расположены счетчики, типа mail.ru, rambler.ru, ... > А у них целые пулы адресов. > Вопрос. Как мне сделатьтак, чтобы пользователи ЛВС могли быстро открывать сайт компании? > Чтобы не было задержки при соединении сайта с адресами счетчиков. Другими > словами как мне узнать диапазон IP для каждого счетчика и прописать > в iptables? Или как динамически можно преобразовать имя в ip для > создания правила на лету? > Всем заранее спасибо. я бы сделал что то подобное в отдельной цепочке переход в которую в которую по фильтру -m iprange --src-range 192.168.1.10-192.168.1.20 а в цепочке: iptables -A check -d {локалка} -j RETURN iptables -A check -d 195.184.xxx.xxx -j RETURN iptables -A check -p tcp -j REJECT --reject-with tcp-reset
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "iptables и счетчики"	+/–
	Сообщение от uan (ok) on 22-Дек-11, 14:51
	ОК. Я тоже подумал про отдельную цепочку. Спасибо. Буду пробовать. >[оверквотинг удален] >> Чтобы не было задержки при соединении сайта с адресами счетчиков. Другими >> словами как мне узнать диапазон IP для каждого счетчика и прописать >> в iptables? Или как динамически можно преобразовать имя в ip для >> создания правила на лету? >> Всем заранее спасибо. > я бы сделал что то подобное в отдельной цепочке переход в которую > в которую по фильтру -m iprange --src-range 192.168.1.10-192.168.1.20 а в цепочке: > iptables -A check -d {локалка} -j RETURN > iptables -A check -d 195.184.xxx.xxx -j RETURN > iptables -A check -p tcp -j REJECT --reject-with tcp-reset
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	5. "iptables и счетчики"	+/–
	Сообщение от PavelR (??) on 22-Дек-11, 17:57
	> я бы сделал что то подобное в отдельной цепочке переход в которую > в которую по фильтру -m iprange --src-range 192.168.1.10-192.168.1.20 а в цепочке: > iptables -A check -d {локалка} -j RETURN Вата. В плоской сети трафик локалки не будет проходить через рутер. Указаний и намеков, что там много подсеток - нет. Правило - не нужно. Отдельные цепочки только ухудшат читаемость правил iptables.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору

4. "iptables и счетчики"	+/–
Сообщение от PavelR (??) on 22-Дек-11, 17:53
> Сайт компании находится на внешнем хостинге. Доступ к нему реализован правилом: > iptables -t nat -I POSTROUTING -m iprange --src-range 192.168.1.10-192.168.1.20 -d 195.184.xxx.xxx > -j SNAT --to-source 195.184.yyy.yyy nat.POSTROUTING не предназначен для фильтрования. Правильно делать так: iptables -t nat -I POSTROUTING -s 192.168.0.0/16 -o ethX -j SNAT --to-source 195.184.yyy.yyy Т.е. для всего трафика, выходящего через интерфейс провайдера делать нат. В противном случае, трафик всё равно выходит в сторону провайдера, но с серым адресом отправителя - т.е. тупо засоряет каналы. а уже в таблице filter - фильтровать: #разрешить нужное: iptables -t filter -I FORWARD -m iprange --src-range 192.168.1.10-192.168.1.20 -d 195.184.xxx.xxx -j ACCEPT #запретить всё остальное, tcp - отдельно. iptables -t filter -A FORWARD -s 192.168.0.0/16 -p tcp -j REJECT --reject-with tcp-reset iptables -t filter -A FORWARD -s 192.168.0.0/16 -j REJECT --reject-with icmp-net-unreachable И никаких отдельных цепочек не надо, не засоряйте список, не лишайте его понятности.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору