The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"настройка iptables"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"настройка iptables"  
Сообщение от Евгений email(??) on 15-Сен-06, 18:14 
Доброго времени суток!

Подскажите пожалуйста как правильно написать цепочку,
руки кривые или растут не из того места.

Пробую так:

iptables -A INPUT -p tcp -s 192.168.1.20 -j DROP
iptables -A INPUT -p udp -s 192.168.1.20 -j DROP
iptables -A INPUT -p icmp -s 192.168.1.20 -j DROP

iptables -A INPUT -p tcp -s 192.168.1.20 --dport 25 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.1.20 --dport 110 -j ACCEPT

Словом, нужно закрыть доступ для машины 192.168.1.20
оставить только порты для получения почты.
Исправте плиз. Может я совсем не так делаю?

Заранее спасибо.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "настройка iptables"  
Сообщение от _KAV_ (ok) on 15-Сен-06, 18:28 
Разрешительные правила должны идти первыми


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "настройка iptables"  
Сообщение от Nimdar (ok) on 15-Сен-06, 18:43 
Если у тебя policy DROP, то достаточно прописать только последние две.
А если policy ACCEPT, то
iptables -A INPUT -p tcp -s 192.168.1.20 --dport ! 25 -j DROP
iptables -A INPUT -p tcp -s 192.168.1.20 --dport ! 110 -j DROP
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "настройка iptables"  
Сообщение от PavelR (??) on 15-Сен-06, 20:12 

>iptables -A INPUT -p tcp -s 192.168.1.20 -j DROP
>iptables -A INPUT -p udp -s 192.168.1.20 -j DROP
>iptables -A INPUT -p icmp -s 192.168.1.20 -j DROP
>
>iptables -A INPUT -p tcp -s 192.168.1.20 --dport 25 -j ACCEPT
>iptables -A INPUT -p tcp -s 192.168.1.20 --dport 110 -j ACCEPT
>
>Словом, нужно закрыть доступ для машины 192.168.1.20
>оставить только порты для получения почты.

>Исправте плиз. Может я совсем не так делаю?
>
>Заранее спасибо.

Не режь ICMP, это неправильно! Отхватишь проблем с MTU тогда поймешь это !

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "настройка iptables"  
Сообщение от Romik (??) on 16-Сен-06, 14:10 

>
>Не режь ICMP, это неправильно! Отхватишь проблем с MTU тогда поймешь это
>!
поясните пож-ста, связь проблем с mtu и icmp? у меня что-то было страшное с mtu, но справлялся... а при чем тут icmp - понять не могу.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "настройка iptables"  
Сообщение от PavelR (??) on 16-Сен-06, 15:06 
При отправке одной из сторон больших пакетов (с установленным флагом DF - Don`t fragment - не фрагментировать) любой маршрутизатор в сети может отправить icmp сообщение о том, что он не может передавать такие большие пакеты - тоесть потребовать у одной из сторон уменьшения размера пакета. Если ICMP закрыть - то такой пакет не дойдет до получателя, и он будет считать что пакеты просто теряются в сети, будет пытаться их переотправлять. Соединение будет просто висеть, а потом отвалится по таймауту.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "настройка iptables"  
Сообщение от malor email(??) on 19-Сен-06, 10:46 
Почему теряется настройка цепочек после рестарта? Без него веть они не вступают в действие, или я не прав ?(ASPLinux 11)

[root@tev ~]# iptables -A INPUT -s 192.168.0.0/0 -d localhost -p tcp --dport 80 -j ACCEPT
[root@tev ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             localhost.localdomain tcp dpt:http

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
[root@tev ~]# service iptables restart
Сбрасываются правила брандмауэра:                          [  ОК  ]
Политика цепочек брандмауэра устанавливается в ACCEPT: filt[  ОК  ]
Выгружаются модули                                         [  ОК  ]
[root@tev ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "настройка iptables"  
Сообщение от _KAV_ (ok) on 19-Сен-06, 12:25 
>Почему теряется настройка цепочек после рестарта? Без него веть они не вступают
>в действие, или я не прав ?(ASPLinux 11)
man iptables_save
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "настройка iptables"  
Сообщение от malor email(??) on 19-Сен-06, 15:37 
В тот момент когда правило было добавлено(iptables -A bla-bla-bla), но еще не проведено сохранение(iptables-save), оно уже в действии? (Slackware 10.2)
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

9. "настройка iptables"  
Сообщение от Zedik email on 19-Сен-06, 15:40 
>В тот момент когда правило было добавлено(iptables -A bla-bla-bla), но еще не
>проведено сохранение(iptables-save), оно уже в действии? (Slackware 10.2)

Да, до 1го рестарта системы(сервиса)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

10. "настройка iptables"  
Сообщение от _KAV_ (ok) on 19-Сен-06, 16:36 
>В тот момент когда правило было добавлено(iptables -A bla-bla-bla), но еще не
>проведено сохранение(iptables-save), оно уже в действии? (Slackware 10.2)
А в слаке вообще нужно не записывать по iptables_save, а самому писать скрипт инициализации правил. ИМХО, так оно правильнее.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру