The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Правила iptables"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Linux iptables, ipchains / Другая система)
Изначальное сообщение [ Отслеживать ]

"Правила iptables"  +/
Сообщение от Ruldik email(ok) on 18-Фев-13, 17:40 
Доброго времени суток! Уважаемые гуру, подскажите что здесь лишнее и чего не хватает:

Для VPN Сервера (для удаленный работы из дома)

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p gre -j ACCEPT
iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT

Для Веб-сервера

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT

Для прокси Squid

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
(здесь 100% чего то не хватает!)

P.S. Всё крутится на разных машинах.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Правила iptables"  +/
Сообщение от Mr. Mistoffelees email on 18-Фев-13, 20:13 
> Доброго времени суток! Уважаемые гуру, подскажите что здесь лишнее и чего не
> хватает:

Например, не хватает коммуникации с DNS... а ssh сервер (и не только он) очень любит reverse resolving адреса клиента при заходе...

Вообще, default policy DROP для OUTPUT смотрится немножко стремно.

WWell,

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Правила iptables"  +/
Сообщение от Ruldik email(ok) on 19-Фев-13, 10:19 
Сделал так:

Для VPN Сервера

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p gre -j ACCEPT
iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
# DNS
iptables -A INPUT -m state --state NEW -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW -p udp -m udp --dport 53 -j ACCEPT

Для Веб-сервера

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
# DNS
iptables -A INPUT -m state --state NEW -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW -p udp -m udp --dport 53 -j ACCEPT

Для прокси

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
# DNS
iptables -A INPUT -m state --state NEW -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW -p udp -m udp --dport 53 -j ACCEPT

> Вообще, default policy DROP для OUTPUT смотрится немножко стремно.

А что тут стремного? Если не трудно, поясните пожалуйста!

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Правила iptables"  +/
Сообщение от reader (ok) on 19-Фев-13, 10:58 
>[оверквотинг удален]
> ACCEPT
> iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
> iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
> iptables -A INPUT -i eth0 -p icmp -j ACCEPT
> iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
> # DNS
> iptables -A INPUT -m state --state NEW -p tcp -m tcp --dport
> 53 -j ACCEPT
> iptables -A INPUT -m state --state NEW -p udp -m udp --dport
> 53 -j ACCEPT

выше писалось об исходящих запросах к DNS, а вы показываете правила как будто у вас есть DNS сервер, да к тому же ограничиваетесь только NEW пакетами, так же нет правил для vpn интерфейса и ответные пакеты от vpn сервера не разрешили
>[оверквотинг удален]
> iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
> iptables -A INPUT -i eth0 -p icmp -j ACCEPT
> iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
> # DNS
> iptables -A INPUT -m state --state NEW -p tcp -m tcp --dport
> 53 -j ACCEPT
> iptables -A INPUT -m state --state NEW -p udp -m udp --dport
> 53 -j ACCEPT
>> Вообще, default policy DROP для OUTPUT смотрится немножко стремно.
> А что тут стремного? Если не трудно, поясните пожалуйста!

придется расписать разрешения на выход, если не запутаетесь, то не стремно.
вообще то на этапе отладки неплохо бы логировать перед блокировкой , будет проще

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Правила iptables"  +/
Сообщение от reader (ok) on 19-Фев-13, 11:03 
> Для прокси Squid
> iptables -P INPUT DROP
> iptables -P OUTPUT DROP
> iptables -P FORWARD DROP
> iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
> iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
> iptables -A INPUT -i eth0 -p icmp -j ACCEPT
> iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
> (здесь 100% чего то не хватает!)

нет разрешения для порта на котором работает прокси, нет разрешений для работы прокси с серверами web, ftp, dns, ...


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Правила iptables"  +/
Сообщение от Ruldik email(ok) on 19-Фев-13, 11:29 
> выше писалось об исходящих запросах к DNS

Для VPN Сервера

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p gre -j ACCEPT
iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
# DNS
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT


Для Веб-сервера

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
# DNS
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT

Для прокси

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
# DNS
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Правила iptables"  +/
Сообщение от reader (ok) on 19-Фев-13, 12:07 
>[оверквотинг удален]
> iptables -P OUTPUT DROP
> iptables -P FORWARD DROP
> iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
> iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
> iptables -A INPUT -i eth0 -p icmp -j ACCEPT
> iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
> # DNS
> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
> iptables -A INPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT

да, теперь сервера смогут работать с dns серверами, но выполнять все свои функции еще не могут

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Правила iptables"  +/
Сообщение от Ruldik email(ok) on 19-Фев-13, 12:34 
> да, теперь сервера смогут работать с dns серверами, но выполнять все свои
> функции еще не могут

Веб сервер с такими правилами робит (на страницу HTML заходит):

Для Веб-сервера

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
# DNS
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
#Разрешаем уже установленные соединения
iptables -A INPUT -m state --state REALTED,ESTABLISHED -j ACCEPT

я думаю с ним пока можно настройку закончить. Теперь остались VPN и SQUID.
Если не трудно, что надо им прописать?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Правила iptables"  +/
Сообщение от Ruldik email(ok) on 19-Фев-13, 14:07 
> нет разрешения для порта на котором работает прокси, нет разрешений для работы
> прокси с серверами web, ftp, dns, ...

Добавил для прокси:
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT

получилось:

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
# DNS
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
#Разрешаем уже установленные соединения
iptables -A INPUT -m state --state REALTED,ESTABLISHED -j ACCEPT

указываю в браузере проксю, интерет не робит. Что ещё забыл?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "Правила iptables"  +/
Сообщение от reader (ok) on 19-Фев-13, 15:45 
>> нет разрешения для порта на котором работает прокси, нет разрешений для работы
>> прокси с серверами web, ftp, dns, ...
> Добавил для прокси:
> iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT

а для ответных пакетов?

> iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT
> iptables -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT

а если подумать?

делайте логирование и увидите сами что нужно
>[оверквотинг удален]
> iptables -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT
> iptables -A INPUT -i eth0 -p icmp -j ACCEPT
> iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
> iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
> # DNS
> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
> #Разрешаем уже установленные соединения
> iptables -A INPUT -m state --state REALTED,ESTABLISHED -j ACCEPT
> указываю в браузере проксю, интерет не робит. Что ещё забыл?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Правила iptables"  +/
Сообщение от Ruldik email(ok) on 19-Фев-13, 17:49 
При таких правилах, всё робит и фильтрует. С сервака на сайт заходит.
На страницу блокировки веб-серевера не хочет, ни с браузера, ни с сервака!

*mangle
:PREROUTING ACCEPT [2118:350359]
:INPUT ACCEPT [2118:350359]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1452:388838]
:POSTROUTING ACCEPT [1363:383498]
COMMIT
# Completed on Tue Feb 19 18:30:03 2013
# Generated by iptables-save v1.4.7 on Tue Feb 19 18:30:03 2013
*filter
:INPUT DROP [4:292]
:FORWARD DROP [0:0]
:OUTPUT DROP [1:60]
-A INPUT -i eth0 -p gre -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p icmp -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -o eth0 -p icmp -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 3128 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
COMMIT
# Completed on Tue Feb 19 18:30:03 2013
# Generated by iptables-save v1.4.7 on Tue Feb 19 18:30:03 2013
*nat
:PREROUTING ACCEPT [592:69782]
:POSTROUTING ACCEPT [63:3818]
:OUTPUT ACCEPT [152:9158]
COMMIT

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Правила iptables"  +/
Сообщение от reader (ok) on 20-Фев-13, 12:26 
>[оверквотинг удален]
> -A OUTPUT -o eth0 -p tcp -m tcp --sport 3128 -j ACCEPT
> -A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
> COMMIT
> # Completed on Tue Feb 19 18:30:03 2013
> # Generated by iptables-save v1.4.7 on Tue Feb 19 18:30:03 2013
> *nat
> :PREROUTING ACCEPT [592:69782]
> :POSTROUTING ACCEPT [63:3818]
> :OUTPUT ACCEPT [152:9158]
> COMMIT

а где веб-серевер?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Правила iptables"  +/
Сообщение от Ruldik email(ok) on 20-Фев-13, 12:36 
Уважаемые гуру выручайте, у меня уже мозг взорвался! Что еще я забыл прописать?
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Правила iptables"  +/
Сообщение от reader (ok) on 20-Фев-13, 13:08 
> Уважаемые гуру выручайте, у меня уже мозг взорвался! Что еще я забыл
> прописать?

где веб-серевер? на этой же машине? тогда пакеты к нему и от него разрешите.
на другой машине тогда как соединены.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Правила iptables"  +/
Сообщение от Ruldik email(ok) on 20-Фев-13, 13:21 
>> Уважаемые гуру выручайте, у меня уже мозг взорвался! Что еще я забыл
>> прописать?
> где веб-серевер? на этой же машине? тогда пакеты к нему и от
> него разрешите.
> на другой машине тогда как соединены.

Для теста веб-сервер стоит на этой же машине. Вот правила:

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --sport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
# DNS
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
#Разрешаем уже установленные соединения
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

но не в инет ни на веб-сервер ни заходит. --dport и --sport правильно прописаны?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Правила iptables"  +/
Сообщение от reader (ok) on 20-Фев-13, 13:35 
>[оверквотинг удален]
> iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
> iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
> iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
> # DNS
> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
> #Разрешаем уже установленные соединения
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> но не в инет ни на веб-сервер ни заходит. --dport и --sport
> правильно прописаны?

в инет с такими правилами должен ходить, только TCP маленькими буквами пишите, а вот в пределах одной машины пакеты через eth0 не ходят

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Правила iptables"  +/
Сообщение от Ruldik email(ok) on 20-Фев-13, 13:37 
>[оверквотинг удален]
>> iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
>> # DNS
>> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
>> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
>> #Разрешаем уже установленные соединения
>> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>> но не в инет ни на веб-сервер ни заходит. --dport и --sport
>> правильно прописаны?
> в инет с такими правилами должен ходить, только TCP маленькими буквами пишите,
> а вот в пределах одной машины пакеты через eth0 не ходят

Так, понятно. Щас раскидаю на разные машины, и позже отпишу результат!
А по поводу --dport и --sport?

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Правила iptables"  +/
Сообщение от reader (ok) on 20-Фев-13, 13:48 
>[оверквотинг удален]
>>> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
>>> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
>>> #Разрешаем уже установленные соединения
>>> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>>> но не в инет ни на веб-сервер ни заходит. --dport и --sport
>>> правильно прописаны?
>> в инет с такими правилами должен ходить, только TCP маленькими буквами пишите,
>> а вот в пределах одной машины пакеты через eth0 не ходят
> Так, понятно. Щас раскидаю на разные машины, и позже отпишу результат!
> А по поводу --dport и --sport?

если имелось ввиду
iptables -A INPUT -i eth0 -p TCP --sport 80 -j ACCEPT
под это правило попадут ответы от веб-серверов, хотя можно было оставить только это
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
подключения от клиентов под него не попадают, для них нужно было dport


iptables -A OUTPUT -o eth0 -p TCP --dport 80 -j ACCEPT
под это правило попадут запросы с этой машины ( браузер, прокси) к веб-серверам

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Правила iptables"  +/
Сообщение от Ruldik email(ok) on 25-Фев-13, 14:36 
Уважаемые спецы, объясните мне, "тупому", почему при
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

Squid работает, веб-серевер тоже, на страницу блокировки директится. С серванта тоже в инет и на веб-сервер выходит!
Но при

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
# DNS
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
#Разрешаем уже установленные соединения
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

на веб-сервер не заходит, ни с браузера, ни с сервака!!!

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Правила iptables"  +/
Сообщение от reader (ok) on 25-Фев-13, 15:32 
где веб-сервер, на этой же машине? если нет то как соединены, через eth0?
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Правила iptables"  –1 +/
Сообщение от Ruldik email(ok) on 25-Фев-13, 16:09 
> где веб-сервер, на этой же машине? если нет то как соединены, через
> eth0?

да на этой...

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Правила iptables"  +/
Сообщение от reader (ok) on 25-Фев-13, 16:36 
>> где веб-сервер, на этой же машине? если нет то как соединены, через
>> eth0?
> да на этой...

http://www.opennet.ru/openforum/vsluhforumID10/5121.html#15

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Правила iptables"  +/
Сообщение от Ruldik email(ok) on 26-Фев-13, 18:07 
>>> где веб-сервер, на этой же машине? если нет то как соединены, через
>>> eth0?
>> да на этой...
> http://www.opennet.ru/openforum/vsluhforumID10/5121.html#15

Спасибо, разобрался. Вроде робит, позже отпишу...

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "Правила iptables"  +/
Сообщение от Ruldik email(ok) on 01-Мрт-13, 12:33 
При таких правилах правилах, при указании прокси в браузере, всё робит. В инет и на веб-сервер выходит, с браузера и с сервака...

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Убираем проксю в браузере, на веб-серв не заходит с браузера. Предполагаю, по причине закрытого порта 80 в INPUT. Можно как то это поправить?

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "Правила iptables"  +/
Сообщение от reader (ok) on 01-Мрт-13, 14:08 
>[оверквотинг удален]
> iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT
> iptables -A INPUT -i eth0 -p icmp -j ACCEPT
> iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
> iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
> iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> Убираем проксю в браузере, на веб-серв не заходит с браузера. Предполагаю, по
> причине закрытого порта 80 в INPUT. Можно как то это поправить?

что мешает открыть и проверить?


Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "Правила iptables"  +/
Сообщение от Ruldik email(ok) on 01-Мрт-13, 14:14 
> что мешает открыть и проверить?

Прописываю

iptables -A INPUT -i eth0 -p tcp --sport 80 -j ACCEPT

и всё пропадает...

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

26. "Правила iptables"  +/
Сообщение от reader (ok) on 01-Мрт-13, 14:50 
>> что мешает открыть и проверить?
> Прописываю
> iptables -A INPUT -i eth0 -p tcp --sport 80 -j ACCEPT
> и всё пропадает...

обращение НА 80 порт, значит --dport 80 , а ваше правило звучит как обращение С 80 порта

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

27. "Правила iptables"  +/
Сообщение от Ruldik email(ok) on 01-Мрт-13, 16:47 
>>> что мешает открыть и проверить?
>> Прописываю
>> iptables -A INPUT -i eth0 -p tcp --sport 80 -j ACCEPT
>> и всё пропадает...
> обращение НА 80 порт, значит --dport 80 , а ваше правило звучит
> как обращение С 80 порта

при таких правилах вроде заробило

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

28. "Правила iptables"  +/
Сообщение от Ruldik email(ok) on 01-Мрт-13, 16:52 
>[оверквотинг удален]
> iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
> iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
> iptables -A OUTPUT -o eth0 -p tcp --sport 80 -j ACCEPT
> iptables -A INPUT -i eth0 -p icmp -j ACCEPT
> iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
> iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
> iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Уважаемый reader, спасибо за помощь, поклон Вам низкий. Если не трудно подскажите по поводу VPN-сервера, установлен тоже на этой машине, пока....

iptables -A INPUT -i eth0 -p gre -j ACCEPT
iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j ACCEPT

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

29. "Правила iptables"  +/
Сообщение от reader (ok) on 02-Мрт-13, 00:21 
>[оверквотинг удален]
>> iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
>> iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
>> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
>> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
>> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> Уважаемый reader, спасибо за помощь, поклон Вам низкий. Если не трудно подскажите
> по поводу VPN-сервера, установлен тоже на этой машине, пока....
> iptables -A INPUT -i eth0 -p gre -j ACCEPT
> iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j
> ACCEPT

на OUTPUT тоже нужно разрешение

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

30. "Правила iptables"  +/
Сообщение от Ruldik email(ok) on 04-Мрт-13, 09:51 
>> iptables -A INPUT -i eth0 -p gre -j ACCEPT
>> iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j
>> ACCEPT
> на OUTPUT тоже нужно разрешение

Так...


iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p 47 -j ACCEPT
iptables -A OUTPUT -p 47 -j ACCEPT

Этих правил достаточно???

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

31. "Правила iptables"  +/
Сообщение от reader (ok) on 04-Мрт-13, 11:47 
>>> iptables -A INPUT -i eth0 -p gre -j ACCEPT
>>> iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j
>>> ACCEPT
>> на OUTPUT тоже нужно разрешение
> Так...
> iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
> iptables -A OUTPUT -p tcp --dport 1723 -j ACCEPT
> iptables -A INPUT -p 47 -j ACCEPT
> iptables -A OUTPUT -p 47 -j ACCEPT
> Этих правил достаточно???

с dport и sport разберитесь.
этого должно хватить для поднятия vpn соединения, поднимется vpn интерфейс для которого тоже нужно прописать правила

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

32. "Правила iptables"  +/
Сообщение от Ruldik email(ok) on 04-Мрт-13, 14:02 
> с dport и sport разберитесь.
> этого должно хватить для поднятия vpn соединения, поднимется vpn интерфейс для которого
> тоже нужно прописать правила

Сделал так:

iptables -A INPUT -p gre -j ACCEPT
iptables -A OUTPUT -p gre -j ACCEPT
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1723 -j ACCEPT

Подключается, адрес получает, но компы в сети не пингуются!

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

33. "Правила iptables"  +/
Сообщение от reader (ok) on 04-Мрт-13, 14:34 
>> с dport и sport разберитесь.
>> этого должно хватить для поднятия vpn соединения, поднимется vpn интерфейс для которого
>> тоже нужно прописать правила
> Сделал так:
> iptables -A INPUT -p gre -j ACCEPT
> iptables -A OUTPUT -p gre -j ACCEPT
> iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
> iptables -A OUTPUT -p tcp --sport 1723 -j ACCEPT
> Подключается, адрес получает, но компы в сети не пингуются!

какие компы, по каким адресам?
где правила для vpn интерфейса?
tcpdump на интерфейсах для диагностики.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

34. "Правила iptables"  +/
Сообщение от Ruldik email(ok) on 04-Мрт-13, 14:51 
> какие компы, по каким адресам?

сеть 192.168.2.0/24

> где правила для vpn интерфейса?

вот здесь по подробней, если не трудно

> tcpdump на интерфейсах для диагностики.

к сожалению интерфейс один, еще один поставить нельзя!

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

35. "Правила iptables"  +/
Сообщение от reader (ok) on 04-Мрт-13, 15:58 
>> какие компы, по каким адресам?
> сеть 192.168.2.0/24
>> где правила для vpn интерфейса?
> вот здесь по подробней, если не трудно
>> tcpdump на интерфейсах для диагностики.
> к сожалению интерфейс один, еще один поставить нельзя!

вывод ifconfig и route -n покажите.
только белые ip маскируйте так что бы логика не нарушалась

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

36. "Правила iptables"  +/
Сообщение от Ruldik email(ok) on 04-Мрт-13, 16:45 
...
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

37. "Правила iptables"  +/
Сообщение от reader (ok) on 04-Мрт-13, 17:32 
>[оверквотинг удален]
>   0 eth0
> 169.254.0.0     0.0.0.0      
>   255.255.0.0     U    
>  1002   0      
>  0 eth0
> 0.0.0.0         192.168.2.1  
>   0.0.0.0        
> UG    0      0
>        0 eth0
> на серв заруливаю правилами маршрутизатора.

vpn сервер на этой машине?
если тут клиент, то после поднятия vpn

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

38. "Правила iptables"  +/
Сообщение от Ruldik email(ok) on 04-Мрт-13, 17:46 
> vpn сервер на этой машине?
> если тут клиент, то после поднятия vpn

VPN сервер на этой же машине...

Сеть: Пров -> маршрутизатор (192.168.2.1) -> VPN сервер (192.168.2.144) -> Сеть

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

39. "Правила iptables"  +/
Сообщение от reader (ok) on 04-Мрт-13, 17:59 
>> vpn сервер на этой машине?
>> если тут клиент, то после поднятия vpn
> VPN сервер на этой же машине...
> Сеть: Пров -> маршрутизатор (192.168.2.1) -> VPN сервер (192.168.2.144) -> Сеть

iptables на 192.168.2.1 или 2.144 настраиваете?

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

40. "Правила iptables"  +/
Сообщение от Ruldik email(ok) on 04-Мрт-13, 18:04 
>>> vpn сервер на этой машине?
>>> если тут клиент, то после поднятия vpn
>> VPN сервер на этой же машине...
>> Сеть: Пров -> маршрутизатор (192.168.2.1) -> VPN сервер (192.168.2.144) -> Сеть
> iptables на 192.168.2.1 или 2.144 настраиваете?

на 2.144


Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

41. "Правила iptables"  +/
Сообщение от reader (ok) on 04-Мрт-13, 18:16 
>>>> vpn сервер на этой машине?
>>>> если тут клиент, то после поднятия vpn
>>> VPN сервер на этой же машине...
>>> Сеть: Пров -> маршрутизатор (192.168.2.1) -> VPN сервер (192.168.2.144) -> Сеть
>> iptables на 192.168.2.1 или 2.144 настраиваете?
> на 2.144

gre до сервера доходит? VPN поднимается? из какой подсети ip vpn-клиенту выдается?
покажите ifconfig после поднятия vpn

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

42. "Правила iptables"  +/
Сообщение от Ruldik email(ok) on 05-Мрт-13, 10:57 
> gre до сервера доходит? VPN поднимается? из какой подсети ip vpn-клиенту выдается?
> покажите ifconfig после поднятия vpn

Ставлю iptables -A OUTPUT ACCEPT, начинает пинговаться только сервант 2.144. Остальные компы в сети не пингуются.
-A OUTPUT -d 192.168.2.0/24 -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 80 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 3128 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p gre -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 1723 -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT


Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

43. "Правила iptables"  +/
Сообщение от reader (ok) on 05-Мрт-13, 11:04 
>[оверквотинг удален]
> Ставлю iptables -A OUTPUT ACCEPT, начинает пинговаться только сервант 2.144. Остальные
> компы в сети не пингуются.
> -A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
> -A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
> -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
> -A OUTPUT -o eth0 -p tcp -m tcp --sport 80 -j ACCEPT
> -A OUTPUT -o eth0 -p tcp -m tcp --sport 3128 -j ACCEPT
> -A OUTPUT -o lo -j ACCEPT
> -A OUTPUT -p gre -j ACCEPT
> -A OUTPUT -p tcp -m tcp --sport 1723 -j ACCEPT

к другим компам в сети и от них, пакеты пойдут через FORWARD , а у вас я так понимаю там только DROP

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

44. "Правила iptables"  +/
Сообщение от Ruldik email(ok) on 05-Мрт-13, 11:06 
> к другим компам в сети и от них, пакеты пойдут через FORWARD
> , а у вас я так понимаю там только DROP

FORWARD тоже DROP, ставил все в ACCEPT, но результат тот же

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

45. "Правила iptables"  +/
Сообщение от reader (ok) on 05-Мрт-13, 13:24 
>> к другим компам в сети и от них, пакеты пойдут через FORWARD
>> , а у вас я так понимаю там только DROP
> FORWARD тоже DROP, ставил все в ACCEPT, но результат тот же

на компах в сети шлюзом 2.144 прописан?

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

46. "Правила iptables"  +/
Сообщение от Ruldik email(ok) on 05-Мрт-13, 13:33 
>>> к другим компам в сети и от них, пакеты пойдут через FORWARD
>>> , а у вас я так понимаю там только DROP
>> FORWARD тоже DROP, ставил все в ACCEPT, но результат тот же
> на компах в сети шлюзом 2.144 прописан?

нет...

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

47. "Правила iptables"  +/
Сообщение от reader (ok) on 05-Мрт-13, 13:46 
>>>> к другим компам в сети и от них, пакеты пойдут через FORWARD
>>>> , а у вас я так понимаю там только DROP
>>> FORWARD тоже DROP, ставил все в ACCEPT, но результат тот же
>> на компах в сети шлюзом 2.144 прописан?
> нет...

192.168.2.0/24 в локалке или только между шлюзом и vpn-сервером?
с какого ip пингуете?
ответ наверно на шлюз уходит ,а не на vpn-сервер

tcpdump на vpn-сервер запустите и посмотрите уходят ли пакеты и приходят ли ответы

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

48. "Правила iptables"  +/
Сообщение от Ruldik email(ok) on 05-Мрт-13, 14:17 
> 192.168.2.0/24 в локалке или только между шлюзом и vpn-сервером?

пров -> шлюз(2.1)-> сеть и vpn сервант (2.144)

> с какого ip пингуете?

который выдает vpn-клиенту (2.240)

> ответ наверно на шлюз уходит ,а не на vpn-сервер
> tcpdump на vpn-сервер запустите и посмотрите уходят ли пакеты и приходят ли
> ответы

tcpdump -i eth0 |grep ip-адрес vpn-сервера ?


Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

49. "Правила iptables"  +/
Сообщение от reader (ok) on 05-Мрт-13, 14:29 
>> 192.168.2.0/24 в локалке или только между шлюзом и vpn-сервером?
> пров -> шлюз(2.1)-> сеть и vpn сервант (2.144)
>> с какого ip пингуете?
> который выдает vpn-клиенту (2.240)

из тойже подсети, тогда тот кого пингуете будет пытаться ответить напрямую сам, а не через vpn-сервер, а так как 2.240 в его сегменте нет, то и не получится

>> ответ наверно на шлюз уходит ,а не на vpn-сервер
>> tcpdump на vpn-сервер запустите и посмотрите уходят ли пакеты и приходят ли
>> ответы
> tcpdump -i eth0 |grep ip-адрес vpn-сервера ?

tcpdump -n host ip_кого_пингуем

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

50. "Правила iptables"  +/
Сообщение от Ruldik email(ok) on 05-Мрт-13, 14:59 
> из тойже подсети, тогда тот кого пингуете будет пытаться ответить напрямую сам,
> а не через vpn-сервер, а так как 2.240 в его сегменте
> нет, то и не получится

я так понял надо сделать FORWARD?

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

51. "Правила iptables"  +/
Сообщение от reader (ok) on 05-Мрт-13, 15:09 
>> из тойже подсети, тогда тот кого пингуете будет пытаться ответить напрямую сам,
>> а не через vpn-сервер, а так как 2.240 в его сегменте
>> нет, то и не получится
> я так понял надо сделать FORWARD?

через FORWARD разрешить пакеты, это само собой. но сначала подумать об адресах vpn клиентов исходя из задач. и об маршрутизации

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

52. "Правила iptables"  +/
Сообщение от Ruldik email(ok) on 05-Мрт-13, 17:31 
Всё разобрался, вроде заработало. Очень помогла вот эта статья http://www.alsigned.ru/?p=805
Вам reader, отдельное, огромное спасибо за помощь!!!
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor