 Iptables,  Anton Zubkov, 12-Авг-04, 17:47 [смотреть все]Здравствуйте!
У меня Gentoo Linux, kernel-2.6.7-rс3
Поставил iptables.
Настроил правила так:iptables -N ports iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT iptables -A ports -p tcp --destination-port 22 -j ACCEPT
iptables -A ports -p udp --destination-port 22 -j ACCEPT iptables -A ports -p tcp --destination-port 20 -j ACCEPT
iptables -A ports -p udp --destination-port 20 -j ACCEPT
iptables -A ports -p tcp --destination-port 21 -j ACCEPT
iptables -A ports -p udp --destination-port 21 -j ACCEPT iptables -A ports -p tcp --destination-port 53 -j ACCEPT
iptables -A ports -p udp --destination-port 53 -j ACCEPT iptables -A ports -p tcp --destination-port 80 -j ACCEPT
iptables -A ports -p udp --destination-port 80 -j ACCEPT iptables -A ports -p tcp --destination-port 3128 -j ACCEPT
iptables -A ports -p udp --destination-port 3128 -j ACCEPT
iptables -A ports -p tcp --destination-port 110 -j ACCEPT
iptables -A ports -p tcp --destination-port 25 -j ACCEPT
iptables -A ports -p tcp --destination-port 1024: -j ACCEPT
iptables -A ports -p udp --destination-port 1024: -j ACCEPT
iptables -A INPUT -p icmp -j DROP
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A FORWARD -p icmp -j ACCEPT
echo 1 > /proc/sys/net/ipv4/conf/all/forwarding
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 --out-interface eth0 -j
SNAT --to-source 212.86.245.42
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
При таком раскладе все работает из моей сети, но из внешнего мира никто не может ко мне зайти ни по ftp ни по http
|
- Iptables, fantom, 11:50 , 15-Авг-04 (1)
>
>iptables -P INPUT DROP
Вот и непускает
- Iptables, DAerMon, 00:46 , 16-Авг-04 (2)
>
>>
>>iptables -P INPUT DROP
>
>
>Вот и непускает
Согласен, но фишка не в том. Была создана новая цепочка ports но перенаправление на нее не идет. Если добавить правило наподобие:
iptables -A INPUT -j potrs
то все будет ОК.
- Iptables, Arifolth, 10:59 , 16-Авг-04 (3)
>Здравствуйте!
>У меня Gentoo Linux, kernel-2.6.7-rс3 >При таком раскладе все работает из моей сети, но из внешнего мира
>никто не может ко мне зайти ни по ftp ни по
>http создай правила типа DNAT для проброса соединений извне на сервак во внутренней сети и усё заработает
наверно =)
- Iptables, DAerMon, 00:19 , 17-Авг-04 (4)
>>Здравствуйте!
>>У меня Gentoo Linux, kernel-2.6.7-rс3
>
>>При таком раскладе все работает из моей сети, но из внешнего мира
>>никто не может ко мне зайти ни по ftp ни по
>>http
>создай правила типа DNAT для проброса соединений извне на сервак во внутренней
>сети и усё заработает
>наверно =)
Пример приведи что ты хочешь сделать с DNAT. На сколько я понимаю из перечисленных правил, сервак там с одной стороны подключен к внутренней сети, а с другой - к провайдеру (с помощью SNAT скрывается структура локальной сети). Как мне кажется, DNAT там не нужен, если только какой-то из открытых сервисов не будет предоставлять локальная машина, а не сервер.
- Iptables, Arifolth, 16:17 , 20-Авг-04 (5)
>Пример приведи что ты хочешь сделать с DNAT. На сколько я понимаю
>из перечисленных правил, сервак там с одной стороны подключен к внутренней
>сети, а с другой - к провайдеру (с помощью SNAT скрывается
>структура локальной сети). Как мне кажется, DNAT там не нужен, если
>только какой-то из открытых сервисов не будет предоставлять локальная машина, а
>не сервер. я не понимаю в чём проблема =)
соединения извне не проходят на софт крутящийся на этой машине или на машине в локальной сети??? пример уже тут на форуме приводил - как DNAT пользовать и не только я
ток что ищите общая идея таковаЖ input/output/forward политики должны быть drop/reject
далее разрешать следует помнить что: 1) соединения идущие во внутреннюю сеть транзитом (я имею ввиду соединения инициированые извне)через этот комп попадают сперва в цепочку PREROUTING(это к слову о DNAT) затем FORWARD & etc 2)соединения идущие на ЭТУ машину попадают в цепочку INPUT 3)соединения идущие наружу через эту машину проходят FORWARDING затем POSTROUTING исходя из того что я сказал и нада клепать правила
а в приведённом куске сценария непонятно как что-то попадает в ports
чтоб что-то попало в портс его нада -j ports
- Iptables, DAerMon, 00:40 , 25-Авг-04 (6)
<skip>
>исходя из того что я сказал и нада клепать правила
>а в приведённом куске сценария непонятно как что-то попадает в ports
>чтоб что-то попало в портс его нада -j ports
^^^^^^^
Если ты не обратил внимание, то именно такое решение я и предложил ;) - Iptables, DAerMon, 00:40 , 25-Авг-04 (7)
<skip>
>исходя из того что я сказал и нада клепать правила
>а в приведённом куске сценария непонятно как что-то попадает в ports
>чтоб что-то попало в портс его нада -j ports
^^^^^^^
Если ты не обратил внимание на мое пред предыдущее сообщение, то именно такое решение я и предложил ;)
- Iptables, Arifolth, 14:15 , 25-Авг-04 (8)
><skip>
>>исходя из того что я сказал и нада клепать правила
>>а в приведённом куске сценария непонятно как что-то попадает в ports
>>чтоб что-то попало в портс его нада -j ports
>
>
>
> ^^^^^^^
>Если ты не обратил внимание на мое пред предыдущее сообщение, то именно
>такое решение я и предложил ;) ну так я с тобой не спорю =)
ты предложил непонятно - что автор топика имел ввиду!
соединения извне не проходят на софт крутящийся на этой машине или на машине в локальной сети???
если в сети - DNAT
если на машине - как ты и сказал -j ports =)
|
Версия для распечатки
