forum.opennet.ru

Составление сообщения

Исходное сообщение

"Нужна помощь по настройке iptables"
Отправлено Loly, 26-Янв-12 19:56

IPsec Ubuntu - racoon, ipsec-tools, openswan, strongswan?
покажите route -n или ip r s.
Для начала разберитесь с iptables.
> #Включаем ip forward
> echo 1 > /proc/sys/net/ipv4/ip_forward
Ето должно быть в /etc/sysctl.conf
net.ipv4.ip_forward=1
> #Сбрасываем настройки
> iptables -F INPUT
> iptables -F OUTPUT
> iptables -F FORWARD
> iptables -t nat -F
У Вас есть "цепочки" fail2ban-* но ни в этом скрипте (будьте бдительны).
#------------------------------------------------------------------------------
# Cleanup.
#------------------------------------------------------------------------------
# Delete all rules.
iptables -F
iptables -t nat -F
iptables -t mangle -F
# Delete all (non-builtin) user-defined chains.
iptables -X
iptables -t nat -X
iptables -t mangle -X
# Zero all packet and byte counters.
iptables -Z
iptables -t nat -Z
iptables -t mangle -Z
#------------------------------------------------------------------------------
# Default policies.
#------------------------------------------------------------------------------
# Drop everything by default.
# Note: The default policies are set _before_ flushing the chains, to prevent
# a short timespan between flushing the chains and setting policies where
# any traffic would be allowed.
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
# LOG packets, then DROP them.
iptables -N DROPLOG
iptables -A DROPLOG -j -j LOG --log-level 4 --log-prefix "DROP "
iptables -A DROPLOG -j DROP
iptables -A INPUT  -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

> #разрешаем ходить траффику между интерфейсами (тут я не уверен)
> iptables -A FORWARD -s $LOCAL_NET -i eth1 -j ACCEPT
> iptables -A FORWARD -d $LOCAL_NET -o eth1 -j ACCEPT
> iptables -A FORWARD -s $LOCAL_NET -i eth0 -j ACCEPT
> iptables -A FORWARD -d $LOCAL_NET -o eth0 -j ACCEPT
Что куда вы разрешаете?
> #Запрещаем все что не разрешено
> iptables -A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN
> -j LOG --log-level 7 --log-tcp-options
> iptables -A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN
> -j REJECT --reject-with icmp-port-unreachable
Ну запритили TCP(!) трафик и что?
# LOG packets, then DROP them.
-A INPUT   -j DROPLOG
-A OUTPUT  -j DROPLOG
-A FORWARD -j DROPLOG

> то у меня получается следующее: пакет уходит от 192.168.99.2 → 192.168.99.1 →
> 192.168.1.2
> а вот потом он приходит так 192.168.1.2 →  213.xxx.xxx.xxx → 192.168.99.2.
> #настраиваем нат для VPN (без этого удаленная сеть недоступна)
> iptables -t nat -A POSTROUTING -s $LOCAL_NET -d $VPN_LOCAL_NET -o ppp0 -j
> SNAT --to-source 192.168.99.1
> #настраиваем нат для локальной сети, включая сам сервер. При этом сервера из
> $INET_DMZ будут ходить со совими реальными ip адресами
> iptables -t nat -A POSTROUTING ! -s $INET_DMZ -o ppp0 -j SNAT
> --to-source $INET_IP
это маршрутизация. там (в сети 192.168.1) должны знать что хост 192.168.99.2 надо искать за 192.168.99.1.

Исходное сообщение
"Нужна помощь по настройке iptables" Отправлено Loly, 26-Янв-12 19:56
IPsec Ubuntu - racoon, ipsec-tools, openswan, strongswan? покажите route -n или ip r s. Для начала разберитесь с iptables. > #Включаем ip forward > echo 1 > /proc/sys/net/ipv4/ip_forward Ето должно быть в /etc/sysctl.conf net.ipv4.ip_forward=1 > #Сбрасываем настройки > iptables -F INPUT > iptables -F OUTPUT > iptables -F FORWARD > iptables -t nat -F У Вас есть "цепочки" fail2ban-* но ни в этом скрипте (будьте бдительны). #------------------------------------------------------------------------------ # Cleanup. #------------------------------------------------------------------------------ # Delete all rules. iptables -F iptables -t nat -F iptables -t mangle -F # Delete all (non-builtin) user-defined chains. iptables -X iptables -t nat -X iptables -t mangle -X # Zero all packet and byte counters. iptables -Z iptables -t nat -Z iptables -t mangle -Z #------------------------------------------------------------------------------ # Default policies. #------------------------------------------------------------------------------ # Drop everything by default. # Note: The default policies are set _before_ flushing the chains, to prevent # a short timespan between flushing the chains and setting policies where # any traffic would be allowed. iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP # LOG packets, then DROP them. iptables -N DROPLOG iptables -A DROPLOG -j -j LOG --log-level 4 --log-prefix "DROP " iptables -A DROPLOG -j DROP iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT > #разрешаем ходить траффику между интерфейсами (тут я не уверен) > iptables -A FORWARD -s $LOCAL_NET -i eth1 -j ACCEPT > iptables -A FORWARD -d $LOCAL_NET -o eth1 -j ACCEPT > iptables -A FORWARD -s $LOCAL_NET -i eth0 -j ACCEPT > iptables -A FORWARD -d $LOCAL_NET -o eth0 -j ACCEPT Что куда вы разрешаете? > #Запрещаем все что не разрешено > iptables -A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN > -j LOG --log-level 7 --log-tcp-options > iptables -A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN > -j REJECT --reject-with icmp-port-unreachable Ну запритили TCP(!) трафик и что? # LOG packets, then DROP them. -A INPUT -j DROPLOG -A OUTPUT -j DROPLOG -A FORWARD -j DROPLOG > то у меня получается следующее: пакет уходит от 192.168.99.2 → 192.168.99.1 → > 192.168.1.2 > а вот потом он приходит так 192.168.1.2 → 213.xxx.xxx.xxx → 192.168.99.2. > #настраиваем нат для VPN (без этого удаленная сеть недоступна) > iptables -t nat -A POSTROUTING -s $LOCAL_NET -d $VPN_LOCAL_NET -o ppp0 -j > SNAT --to-source 192.168.99.1 > #настраиваем нат для локальной сети, включая сам сервер. При этом сервера из > $INET_DMZ будут ходить со совими реальными ip адресами > iptables -t nat -A POSTROUTING ! -s $INET_DMZ -o ppp0 -j SNAT > --to-source $INET_IP это маршрутизация. там (в сети 192.168.1) должны знать что хост 192.168.99.2 надо искать за 192.168.99.1.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> IPsec Ubuntu - racoon, ipsec-tools, openswan, strongswan?

> покажите route -n или ip r s.

> Для начала разберитесь с iptables.

>> #Включаем ip forward 
>> echo 1 > /proc/sys/net/ipv4/ip_forward

> Ето должно быть в /etc/sysctl.conf 
> net.ipv4.ip_forward=1

>> #Сбрасываем настройки 
>> iptables -F INPUT 
>> iptables -F OUTPUT 
>> iptables -F FORWARD 
>> iptables -t nat -F

> У Вас есть "цепочки" fail2ban-* но ни в этом скрипте (будьте бдительны).

> #------------------------------------------------------------------------------ 
 
> # Cleanup.
> #------------------------------------------------------------------------------

> # Delete all rules.
> iptables -F 
> iptables -t nat -F 
> iptables -t mangle -F

> # Delete all (non-builtin) user-defined chains.
> iptables -X 
> iptables -t nat -X 
> iptables -t mangle -X

> # Zero all packet and byte counters.
> iptables -Z 
> iptables -t nat -Z 
> iptables -t mangle -Z

> #------------------------------------------------------------------------------ 
 
> # Default policies.
> #------------------------------------------------------------------------------

> # Drop everything by default.
> # Note: The default policies are set _before_ flushing the chains, to 
> prevent 
> # a short timespan between flushing the chains and setting policies where 
 
> # any traffic would be allowed.
> iptables -P INPUT DROP 
> iptables -P FORWARD DROP 
> iptables -P OUTPUT DROP

> # LOG packets, then DROP them.
> iptables -N DROPLOG 
> iptables -A DROPLOG -j -j LOG --log-level 4 --log-prefix "DROP " 
> iptables -A DROPLOG -j DROP

> iptables -A INPUT  -i lo -j ACCEPT 
> iptables -A OUTPUT -o lo -j ACCEPT

>> #разрешаем ходить траффику между интерфейсами (тут я не уверен) 
>> iptables -A FORWARD -s $LOCAL_NET -i eth1 -j ACCEPT 
>> iptables -A FORWARD -d $LOCAL_NET -o eth1 -j ACCEPT 
>> iptables -A FORWARD -s $LOCAL_NET -i eth0 -j ACCEPT 
>> iptables -A FORWARD -d $LOCAL_NET -o eth0 -j ACCEPT

> Что куда вы разрешаете?

>> #Запрещаем все что не разрешено 
>> iptables -A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN 
>> -j LOG --log-level 7 --log-tcp-options 
>> iptables -A INPUT -i eth0 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN 
>> -j REJECT --reject-with icmp-port-unreachable

> Ну запритили TCP(!) трафик и что?

> # LOG packets, then DROP them.
> -A INPUT   -j DROPLOG 
> -A OUTPUT  -j DROPLOG 
> -A FORWARD -j DROPLOG

>> то у меня получается следующее: пакет уходит от 192.168.99.2 → 192.168.99.1 → 
>> 192.168.1.2 
>> а вот потом он приходит так 192.168.1.2 →  213.xxx.xxx.xxx → 192.168.99.2.
>> #настраиваем нат для VPN (без этого удаленная сеть недоступна) 
>> iptables -t nat -A POSTROUTING -s $LOCAL_NET -d $VPN_LOCAL_NET -o ppp0 -j 
>> SNAT --to-source 192.168.99.1 
>> #настраиваем нат для локальной сети, включая сам сервер. При этом сервера из 
>> $INET_DMZ будут ходить со совими реальными ip адресами 
>> iptables -t nat -A POSTROUTING ! -s $INET_DMZ -o ppp0 -j SNAT 
>> --to-source $INET_IP

> это маршрутизация. там (в сети 192.168.1) должны знать что хост 192.168.99.2 надо 
> искать за 192.168.99.1.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру