The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Проблема с iptables"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"Проблема с iptables"  
Сообщение от kim_kirill email(??) on 04-Фев-08, 15:33 
Доброго времени суток, у меня такая проблема: никак не могу написать правило для того чтобы был разрешен 80 порт для работы веб-сервера. Все попытки - заканчивались неудачно. Ниже мой конфиг, кто знает подскажите пожалуста

# Generated by iptables-save v1.2.11 on Tue Jan 29 18:41:23 2008
*nat
:PREROUTING ACCEPT [1536:142076]
:POSTROUTING ACCEPT [15:1089]
:OUTPUT ACCEPT [15:1089]
-A POSTROUTING -s 10.0.0.115 -d ! 10.0.0.0/255.255.255.0 -j SNAT --to-source 62.221.44.175
-A POSTROUTING -s 10.0.0.4 -d ! 10.0.0.0/255.255.255.0 -j SNAT --to-source 62.221.44.175
-A POSTROUTING -s 10.0.0.3 -d ! 10.0.0.0/255.255.255.0 -j SNAT --to-source 62.221.44.175
-A POSTROUTING -s 10.0.0.55 -d ! 10.0.0.0/255.255.255.0 -j SNAT --to-source 62.221.44.175
-A POSTROUTING -s 10.0.0.191 -d ! 10.0.0.0/255.255.255.0 -j SNAT --to-source 62.221.44.175
-A POSTROUTING -s 10.0.0.31 -d ! 10.0.0.0/255.255.255.0 -j SNAT --to-source 62.221.44.175
-A POSTROUTING -s 10.0.0.13 -d ! 10.0.0.0/255.255.255.0 -j SNAT --to-source 62.221.44.175
-A POSTROUTING -s 10.0.0.99 -d ! 10.0.0.0/255.255.255.0 -j SNAT --to-source 62.221.44.175
-A POSTROUTING -s 10.0.0.19 -d ! 10.0.0.0/255.255.255.0 -j SNAT --to-source 62.221.44.175
-A POSTROUTING -s 10.0.0.111 -d ! 10.0.0.0/255.255.255.0 -j SNAT --to-source 62.221.44.175
-A POSTROUTING -s 10.0.0.123 -d ! 10.0.0.0/255.255.255.0 -j SNAT --to-source 62.221.44.175
-A POSTROUTING -s 10.0.0.112 -d ! 10.0.0.0/255.255.255.0 -j SNAT --to-source 62.221.44.175
-A POSTROUTING -s 10.0.0.61 -d ! 10.0.0.0/255.255.255.0 -j SNAT --to-source 62.221.44.175
-A POSTROUTING -s 10.0.0.34 -d ! 10.0.0.0/255.255.255.0 -j SNAT --to-source 62.221.44.175
-A POSTROUTING -s 10.0.0.28 -d ! 10.0.0.0/255.255.255.0 -j SNAT --to-source 62.221.44.175
-A POSTROUTING -s 10.0.0.120 -d ! 10.0.0.0/255.255.255.0 -j SNAT --to-source 62.221.44.175
-A POSTROUTING -s 10.0.0.121 -d ! 10.0.0.0/255.255.255.0 -j SNAT --to-source 62.221.44.175
-A POSTROUTING -s 10.0.0.122 -d ! 10.0.0.0/255.255.255.0 -j SNAT --to-source 62.221.44.175
-A POSTROUTING -s 192.168.0.39 -d 194.67.23.102 -j SNAT --to-source 62.221.44.175
-A POSTROUTING -s 192.168.0.66 -d 194.67.23.102 -j SNAT --to-source 62.221.44.175
-A POSTROUTING -s 192.168.0.39 -d 194.67.23.111 -j SNAT --to-source 62.221.44.175
-A POSTROUTING -s 192.168.0.66 -d 194.67.23.111 -j SNAT --to-source 62.221.44.175
COMMIT
# Completed on Tue Jan 29 18:41:23 2008
# Generated by iptables-save v1.2.11 on Tue Jan 29 18:41:23 2008
*mangle
:PREROUTING ACCEPT [11270:3540605]
:INPUT ACCEPT [4390:907166]
:FORWARD ACCEPT [6013:2552789]
:OUTPUT ACCEPT [4745:2131598]
:POSTROUTING ACCEPT [10735:4683463]
COMMIT
# Completed on Tue Jan 29 18:41:23 2008
# Generated by iptables-save v1.2.11 on Tue Jan 29 18:41:23 2008
*filter
:INPUT DROP [396:43165]
:FORWARD DROP [23:924]
:OUTPUT ACCEPT [135:9698]
:allowed - [0:0]
:bad_tcp_packets - [0:0]
:icmp_packets - [0:0]
:tcp_packets - [0:0]
:udp_packets - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -p tcp -j bad_tcp_packets
-A INPUT -p UDP -i ppp0 -j udp_packets
-A INPUT -i ppp0 -p tcp -j tcp_packets
-A INPUT -i ppp0 -p tcp -m tcp --dport 20:22 -j DROP
-A INPUT -i ppp0 -p udp -m udp --dport 20:22 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 3128 -j DROP
-A INPUT -i ppp0 -p udp -m udp --dport 3128 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 10000:65535 -j DROP
-A INPUT -i ppp0 -p udp -m udp --dport 10000:65535 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 1723 -j DROP
-A INPUT -i ppp0 -p udp -m udp --dport 1723 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 631 -j DROP
-A INPUT -i ppp0 -p udp -m udp --dport 631 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 3306 -j DROP
-A INPUT -i ppp0 -p udp -m udp --dport 3306 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 111 -j DROP
-A INPUT -i ppp0 -p udp -m udp --dport 111 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 113 -j DROP
-A INPUT -i ppp0 -p udp -m udp --dport 113 -j DROP
-A INPUT -i ppp0 -p tcp -m tcp --dport 143 -j DROP
-A INPUT -i ppp0 -p udp -m udp --dport 143 -j DROP
-A INPUT -i ppp0 -p udp -m udp --dport 25 -j ACCEPT
-A INPUT -i ppp0 -p udp -m udp --dport 110 -j ACCEPT
-A INPUT -p icmp -d 62.221.44.175 -j ACCEPT
-A FORWARD -i ppp0 -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packet died: "
-A FORWARD -s 10.0.0.0/255.255.255.0 -o ppp0 -j ACCEPT
-A FORWARD -d 10.0.0.0/255.255.255.0 -i ppp0 -j ACCEPT
-A FORWARD -s 192.168.0.39/255.255.255.0 -o ppp0 -j ACCEPT
-A FORWARD -d 192.168.0.39/255.255.255.0 -i ppp0 -j ACCEPT
-A FORWARD -s 192.168.0.66/255.255.255.0 -o ppp0 -j ACCEPT
-A FORWARD -d 192.168.0.66/255.255.255.0 -i ppp0 -j ACCEPT
-A FORWARD -s 192.168.0.39 -d 194.67.23.102 -j ACCEPT
-A FORWARD -s 192.168.0.66 -d 194.67.23.102 -j ACCEPT
-A FORWARD -s 192.168.0.39 -d 194.67.23.111 -j ACCEPT
-A FORWARD -s 192.168.0.66 -d 194.67.23.111 -j ACCEPT
-A FORWARD -s 10.0.0.4 -d ! 10.0.0.0/255.255.255.0 -j ACCEPT
-A FORWARD -s 10.0.0.3 -d ! 10.0.0.0/255.255.255.0 -j ACCEPT
-A FORWARD -s 10.0.0.55 -d ! 10.0.0.0/255.255.255.0 -j ACCEPT
-A FORWARD -s 10.0.0.191 -d ! 10.0.0.0/255.255.255.0 -j ACCEPT
-A FORWARD -s 10.0.0.31 -d ! 10.0.0.0/255.255.255.0 -j ACCEPT
-A FORWARD -s 10.0.0.13 -d ! 10.0.0.0/255.255.255.0 -j ACCEPT
-A FORWARD -s 10.0.0.99 -d ! 10.0.0.0/255.255.255.0 -j ACCEPT
-A FORWARD -s 10.0.0.19 -d ! 10.0.0.0/255.255.255.0 -j ACCEPT
-A FORWARD -s 10.0.0.111 -d ! 10.0.0.0/255.255.255.0 -j ACCEPT
-A FORWARD -s 10.0.0.123 -d ! 10.0.0.0/255.255.255.0 -j ACCEPT
-A FORWARD -s 10.0.0.112 -d ! 10.0.0.0/255.255.255.0 -j ACCEPT
-A FORWARD -s 10.0.0.3 -d ! 10.0.0.0/255.255.255.0 -j ACCEPT
-A FORWARD -s 10.0.0.61 -d ! 10.0.0.0/255.255.255.0 -j ACCEPT
-A FORWARD -s 10.0.0.34 -d ! 10.0.0.0/255.255.255.0 -j ACCEPT
-A FORWARD -s 10.0.0.28 -d ! 10.0.0.0/255.255.255.0 -j ACCEPT
-A FORWARD -s 10.0.0.120 -d ! 10.0.0.0/255.255.255.0 -j ACCEPT
-A FORWARD -s 10.0.0.121 -d ! 10.0.0.0/255.255.255.0 -j ACCEPT
-A FORWARD -s 10.0.0.122 -d ! 10.0.0.0/255.255.255.0 -j ACCEPT
-A FORWARD -s 10.0.0.115 -d ! 10.0.0.0/255.255.255.0 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -p icmp -s 62.221.44.175 -j ACCEPT
-A OUTPUT -p tcp -j bad_tcp_packets
-A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT OUTPUT packet died: "
-A allowed -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A allowed -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP
-A udp_packets -p UDP -s 0/0 --source-port 53 -j ACCEPT
COMMIT
# Completed on Tue Jan 29 18:41:23 2008


Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Проблема с iptables"  
Сообщение от PavelR (??) on 04-Фев-08, 16:57 

Однозначно идти и читать маны.

На главной странице в списке новостей недавно пробегала ссылочка, ну или по сайту поискать.


По поводу правил: рекомендую для упрощения правил в POSTROUTING делать так:


iptables -I POSTROUTING -o <внешний интерфейс> -j SNAT --to-source 62.221.44.175

А разрешать/запрещать прохождение траффика ака "интернет" в таблице FORWARD.

Однозначно идти и читать маны.  ! Вкуривать и затягиваться до наступления просветления.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру