forum.opennet.ru - "Правила iptables" (52)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Правила iptables"

Форум Информационная безопасность (Linux iptables, ipchains / Другая система)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Правила iptables"	+/–
Сообщение от Ruldik (ok) on 18-Фев-13, 17:40
Доброго времени суток! Уважаемые гуру, подскажите что здесь лишнее и чего не хватает: Для VPN Сервера (для удаленный работы из дома) iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -i eth0 -p gre -j ACCEPT iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j ACCEPT iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT iptables -A INPUT -i eth0 -p icmp -j ACCEPT iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT Для Веб-сервера iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT iptables -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT iptables -A INPUT -i eth0 -p icmp -j ACCEPT iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT Для прокси Squid iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT iptables -A INPUT -i eth0 -p icmp -j ACCEPT iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT (здесь 100% чего то не хватает!) P.S. Всё крутится на разных машинах.
Ответить \| Правка \| Cообщить модератору

Оглавление

Правила iptables, Mr. Mistoffelees, 20:13 , 18-Фев-13, (1)

Правила iptables, Ruldik, 10:19 , 19-Фев-13, (2)

Правила iptables, reader, 10:58 , 19-Фев-13, (3)

Правила iptables, Ruldik, 11:29 , 19-Фев-13, (5)

Правила iptables, reader, 12:07 , 19-Фев-13, (6)

Правила iptables, Ruldik, 12:34 , 19-Фев-13, (7)

Правила iptables, reader, 11:03 , 19-Фев-13, (4)

Правила iptables, Ruldik, 14:07 , 19-Фев-13, (8)

Правила iptables, reader, 15:45 , 19-Фев-13, (9)

Правила iptables, Ruldik, 17:49 , 19-Фев-13, (10)

Правила iptables, reader, 12:26 , 20-Фев-13, (11)
Правила iptables, Ruldik, 12:36 , 20-Фев-13, (12)

Правила iptables, reader, 13:08 , 20-Фев-13, (13)

Правила iptables, Ruldik, 13:21 , 20-Фев-13, (14)

Правила iptables, reader, 13:35 , 20-Фев-13, (15)

Правила iptables, Ruldik, 13:37 , 20-Фев-13, (16)

Правила iptables, reader, 13:48 , 20-Фев-13, (17)

Правила iptables, Ruldik, 14:36 , 25-Фев-13, (18)

Правила iptables, reader, 15:32 , 25-Фев-13, (19)
Правила iptables, Ruldik, 16:09 , 25-Фев-13, (20) –1
Правила iptables, reader, 16:36 , 25-Фев-13, (21)
Правила iptables, Ruldik, 18:07 , 26-Фев-13, (22)
Правила iptables, Ruldik, 12:33 , 01-Мрт-13, (23)
Правила iptables, reader, 14:08 , 01-Мрт-13, (24)
Правила iptables, Ruldik, 14:14 , 01-Мрт-13, (25)
Правила iptables, reader, 14:50 , 01-Мрт-13, (26)
Правила iptables, Ruldik, 16:47 , 01-Мрт-13, (27)
Правила iptables, Ruldik, 16:52 , 01-Мрт-13, (28)
Правила iptables, reader, 00:21 , 02-Мрт-13, (29)
Правила iptables, Ruldik, 09:51 , 04-Мрт-13, (30)
Правила iptables, reader, 11:47 , 04-Мрт-13, (31)
Правила iptables, Ruldik, 14:02 , 04-Мрт-13, (32)
Правила iptables, reader, 14:34 , 04-Мрт-13, (33)
Правила iptables, Ruldik, 14:51 , 04-Мрт-13, (34)
Правила iptables, reader, 15:58 , 04-Мрт-13, (35)
Правила iptables, Ruldik, 16:45 , 04-Мрт-13, (36)
Правила iptables, reader, 17:32 , 04-Мрт-13, (37)
Правила iptables, Ruldik, 17:46 , 04-Мрт-13, (38)
Правила iptables, reader, 17:59 , 04-Мрт-13, (39)
Правила iptables, Ruldik, 18:04 , 04-Мрт-13, (40)
Правила iptables, reader, 18:16 , 04-Мрт-13, (41)
Правила iptables, Ruldik, 10:57 , 05-Мрт-13, (42)
Правила iptables, reader, 11:04 , 05-Мрт-13, (43)
Правила iptables, Ruldik, 11:06 , 05-Мрт-13, (44)
Правила iptables, reader, 13:24 , 05-Мрт-13, (45)
Правила iptables, Ruldik, 13:33 , 05-Мрт-13, (46)
Правила iptables, reader, 13:46 , 05-Мрт-13, (47)
Правила iptables, Ruldik, 14:17 , 05-Мрт-13, (48)
Правила iptables, reader, 14:29 , 05-Мрт-13, (49)
Правила iptables, Ruldik, 14:59 , 05-Мрт-13, (50)
Правила iptables, reader, 15:09 , 05-Мрт-13, (51)
Правила iptables, Ruldik, 17:31 , 05-Мрт-13, (52)

Сообщения по теме [Сортировка по времени | RSS]

1. "Правила iptables" +/–

Сообщение от Mr. Mistoffelees on 18-Фев-13, 20:13

> Доброго времени суток! Уважаемые гуру, подскажите что здесь лишнее и чего не
> хватает:
Например, не хватает коммуникации с DNS... а ssh сервер (и не только он) очень любит reverse resolving адреса клиента при заходе...
Вообще, default policy DROP для OUTPUT смотрится немножко стремно.
WWell,

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Правила iptables" +/–

Сообщение от Ruldik (ok) on 19-Фев-13, 10:19

Сделал так:
Для VPN Сервера
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p gre -j ACCEPT
iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
# DNS
iptables -A INPUT -m state --state NEW -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW -p udp -m udp --dport 53 -j ACCEPT
Для Веб-сервера
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
# DNS
iptables -A INPUT -m state --state NEW -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW -p udp -m udp --dport 53 -j ACCEPT
Для прокси
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
# DNS
iptables -A INPUT -m state --state NEW -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW -p udp -m udp --dport 53 -j ACCEPT
> Вообще, default policy DROP для OUTPUT смотрится немножко стремно.
А что тут стремного? Если не трудно, поясните пожалуйста!

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Правила iptables" +/–

Сообщение от reader (ok) on 19-Фев-13, 10:58

>[оверквотинг удален]
> ACCEPT
> iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
> iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
> iptables -A INPUT -i eth0 -p icmp -j ACCEPT
> iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
> # DNS
> iptables -A INPUT -m state --state NEW -p tcp -m tcp --dport
> 53 -j ACCEPT
> iptables -A INPUT -m state --state NEW -p udp -m udp --dport
> 53 -j ACCEPT
выше писалось об исходящих запросах к DNS, а вы показываете правила как будто у вас есть DNS сервер, да к тому же ограничиваетесь только NEW пакетами, так же нет правил для vpn интерфейса и ответные пакеты от vpn сервера не разрешили
>[оверквотинг удален]
> iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
> iptables -A INPUT -i eth0 -p icmp -j ACCEPT
> iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
> # DNS
> iptables -A INPUT -m state --state NEW -p tcp -m tcp --dport
> 53 -j ACCEPT
> iptables -A INPUT -m state --state NEW -p udp -m udp --dport
> 53 -j ACCEPT
>> Вообще, default policy DROP для OUTPUT смотрится немножко стремно.
> А что тут стремного? Если не трудно, поясните пожалуйста!
придется расписать разрешения на выход, если не запутаетесь, то не стремно.
вообще то на этапе отладки неплохо бы логировать перед блокировкой , будет проще

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Правила iptables" +/–

Сообщение от Ruldik (ok) on 19-Фев-13, 11:29

> выше писалось об исходящих запросах к DNS
Для VPN Сервера
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p gre -j ACCEPT
iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
# DNS
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT

Для Веб-сервера
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
# DNS
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT
Для прокси
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
# DNS
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Правила iptables" +/–

Сообщение от reader (ok) on 19-Фев-13, 12:07

>[оверквотинг удален]
> iptables -P OUTPUT DROP
> iptables -P FORWARD DROP
> iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
> iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
> iptables -A INPUT -i eth0 -p icmp -j ACCEPT
> iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
> # DNS
> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
> iptables -A INPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT
да, теперь сервера смогут работать с dns серверами, но выполнять все свои функции еще не могут

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Правила iptables" +/–

Сообщение от Ruldik (ok) on 19-Фев-13, 12:34

> да, теперь сервера смогут работать с dns серверами, но выполнять все свои
> функции еще не могут
Веб сервер с такими правилами робит (на страницу HTML заходит):
Для Веб-сервера
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
# DNS
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
#Разрешаем уже установленные соединения
iptables -A INPUT -m state --state REALTED,ESTABLISHED -j ACCEPT
я думаю с ним пока можно настройку закончить. Теперь остались VPN и SQUID.
Если не трудно, что надо им прописать?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

4. "Правила iptables" +/–

Сообщение от reader (ok) on 19-Фев-13, 11:03

> Для прокси Squid
> iptables -P INPUT DROP
> iptables -P OUTPUT DROP
> iptables -P FORWARD DROP
> iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
> iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
> iptables -A INPUT -i eth0 -p icmp -j ACCEPT
> iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
> (здесь 100% чего то не хватает!)
нет разрешения для порта на котором работает прокси, нет разрешений для работы прокси с серверами web, ftp, dns, ...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Правила iptables" +/–

Сообщение от Ruldik (ok) on 19-Фев-13, 14:07

> нет разрешения для порта на котором работает прокси, нет разрешений для работы
> прокси с серверами web, ftp, dns, ...
Добавил для прокси:
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT
получилось:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
# DNS
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
#Разрешаем уже установленные соединения
iptables -A INPUT -m state --state REALTED,ESTABLISHED -j ACCEPT
указываю в браузере проксю, интерет не робит. Что ещё забыл?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "Правила iptables" +/–

Сообщение от reader (ok) on 19-Фев-13, 15:45

>> нет разрешения для порта на котором работает прокси, нет разрешений для работы
>> прокси с серверами web, ftp, dns, ...
> Добавил для прокси:
> iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
а для ответных пакетов?
> iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT
> iptables -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT
а если подумать?
делайте логирование и увидите сами что нужно
>[оверквотинг удален]
> iptables -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT
> iptables -A INPUT -i eth0 -p icmp -j ACCEPT
> iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
> iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
> # DNS
> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
> #Разрешаем уже установленные соединения
> iptables -A INPUT -m state --state REALTED,ESTABLISHED -j ACCEPT
> указываю в браузере проксю, интерет не робит. Что ещё забыл?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Правила iptables" +/–

Сообщение от Ruldik (ok) on 19-Фев-13, 17:49

При таких правилах, всё робит и фильтрует. С сервака на сайт заходит.
На страницу блокировки веб-серевера не хочет, ни с браузера, ни с сервака!
*mangle
:PREROUTING ACCEPT [2118:350359]
:INPUT ACCEPT [2118:350359]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1452:388838]
:POSTROUTING ACCEPT [1363:383498]
COMMIT
# Completed on Tue Feb 19 18:30:03 2013
# Generated by iptables-save v1.4.7 on Tue Feb 19 18:30:03 2013
*filter
:INPUT DROP [4:292]
:FORWARD DROP [0:0]
:OUTPUT DROP [1:60]
-A INPUT -i eth0 -p gre -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p icmp -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -o eth0 -p icmp -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 3128 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
COMMIT
# Completed on Tue Feb 19 18:30:03 2013
# Generated by iptables-save v1.4.7 on Tue Feb 19 18:30:03 2013
*nat
:PREROUTING ACCEPT [592:69782]
:POSTROUTING ACCEPT [63:3818]
:OUTPUT ACCEPT [152:9158]
COMMIT

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Правила iptables" +/–

Сообщение от reader (ok) on 20-Фев-13, 12:26

>[оверквотинг удален]
> -A OUTPUT -o eth0 -p tcp -m tcp --sport 3128 -j ACCEPT
> -A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
> COMMIT
> # Completed on Tue Feb 19 18:30:03 2013
> # Generated by iptables-save v1.4.7 on Tue Feb 19 18:30:03 2013
> *nat
> :PREROUTING ACCEPT [592:69782]
> :POSTROUTING ACCEPT [63:3818]
> :OUTPUT ACCEPT [152:9158]
> COMMIT
а где веб-серевер?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Правила iptables" +/–

Сообщение от Ruldik (ok) on 20-Фев-13, 12:36

Уважаемые гуру выручайте, у меня уже мозг взорвался! Что еще я забыл прописать?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Правила iptables" +/–

Сообщение от reader (ok) on 20-Фев-13, 13:08

> Уважаемые гуру выручайте, у меня уже мозг взорвался! Что еще я забыл
> прописать?
где веб-серевер? на этой же машине? тогда пакеты к нему и от него разрешите.
на другой машине тогда как соединены.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Правила iptables" +/–

Сообщение от Ruldik (ok) on 20-Фев-13, 13:21

>> Уважаемые гуру выручайте, у меня уже мозг взорвался! Что еще я забыл
>> прописать?
> где веб-серевер? на этой же машине? тогда пакеты к нему и от
> него разрешите.
> на другой машине тогда как соединены.
Для теста веб-сервер стоит на этой же машине. Вот правила:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --sport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
# DNS
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
#Разрешаем уже установленные соединения
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
но не в инет ни на веб-сервер ни заходит. --dport и --sport правильно прописаны?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Правила iptables" +/–

Сообщение от reader (ok) on 20-Фев-13, 13:35

>[оверквотинг удален]
> iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
> iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
> iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
> # DNS
> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
> #Разрешаем уже установленные соединения
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> но не в инет ни на веб-сервер ни заходит. --dport и --sport
> правильно прописаны?
в инет с такими правилами должен ходить, только TCP маленькими буквами пишите, а вот в пределах одной машины пакеты через eth0 не ходят

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Правила iptables" +/–

Сообщение от Ruldik (ok) on 20-Фев-13, 13:37

>[оверквотинг удален]
>> iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
>> # DNS
>> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
>> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
>> #Разрешаем уже установленные соединения
>> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>> но не в инет ни на веб-сервер ни заходит. --dport и --sport
>> правильно прописаны?
> в инет с такими правилами должен ходить, только TCP маленькими буквами пишите,
> а вот в пределах одной машины пакеты через eth0 не ходят
Так, понятно. Щас раскидаю на разные машины, и позже отпишу результат!
А по поводу --dport и --sport?

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Правила iptables" +/–

Сообщение от reader (ok) on 20-Фев-13, 13:48

>[оверквотинг удален]
>>> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
>>> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
>>> #Разрешаем уже установленные соединения
>>> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>>> но не в инет ни на веб-сервер ни заходит. --dport и --sport
>>> правильно прописаны?
>> в инет с такими правилами должен ходить, только TCP маленькими буквами пишите,
>> а вот в пределах одной машины пакеты через eth0 не ходят
> Так, понятно. Щас раскидаю на разные машины, и позже отпишу результат!
> А по поводу --dport и --sport?
если имелось ввиду
iptables -A INPUT -i eth0 -p TCP --sport 80 -j ACCEPT
под это правило попадут ответы от веб-серверов, хотя можно было оставить только это
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
подключения от клиентов под него не попадают, для них нужно было dport

iptables -A OUTPUT -o eth0 -p TCP --dport 80 -j ACCEPT
под это правило попадут запросы с этой машины ( браузер, прокси) к веб-серверам

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Правила iptables" +/–

Сообщение от Ruldik (ok) on 25-Фев-13, 14:36

Уважаемые спецы, объясните мне, "тупому", почему при
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
Squid работает, веб-серевер тоже, на страницу блокировки директится. С серванта тоже в инет и на веб-сервер выходит!
Но при
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
# DNS
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
#Разрешаем уже установленные соединения
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
на веб-сервер не заходит, ни с браузера, ни с сервака!!!

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Правила iptables" +/–

Сообщение от reader (ok) on 25-Фев-13, 15:32

где веб-сервер, на этой же машине? если нет то как соединены, через eth0?

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Правила iptables" –1 +/–

Сообщение от Ruldik (ok) on 25-Фев-13, 16:09

> где веб-сервер, на этой же машине? если нет то как соединены, через
> eth0?
да на этой...

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Правила iptables" +/–

Сообщение от reader (ok) on 25-Фев-13, 16:36

>> где веб-сервер, на этой же машине? если нет то как соединены, через
>> eth0?
> да на этой...
https://www.opennet.ru/openforum/vsluhforumID10/5121.html#15

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Правила iptables" +/–

Сообщение от Ruldik (ok) on 26-Фев-13, 18:07

>>> где веб-сервер, на этой же машине? если нет то как соединены, через
>>> eth0?
>> да на этой...
> https://www.opennet.ru/openforum/vsluhforumID10/5121.html#15
Спасибо, разобрался. Вроде робит, позже отпишу...

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "Правила iptables" +/–

Сообщение от Ruldik (ok) on 01-Мрт-13, 12:33

При таких правилах правилах, при указании прокси в браузере, всё робит. В инет и на веб-сервер выходит, с браузера и с сервака...
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Убираем проксю в браузере, на веб-серв не заходит с браузера. Предполагаю, по причине закрытого порта 80 в INPUT. Можно как то это поправить?

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "Правила iptables" +/–

Сообщение от reader (ok) on 01-Мрт-13, 14:08

>[оверквотинг удален]
> iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT
> iptables -A INPUT -i eth0 -p icmp -j ACCEPT
> iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
> iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
> iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> Убираем проксю в браузере, на веб-серв не заходит с браузера. Предполагаю, по
> причине закрытого порта 80 в INPUT. Можно как то это поправить?
что мешает открыть и проверить?

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "Правила iptables" +/–

Сообщение от Ruldik (ok) on 01-Мрт-13, 14:14

> что мешает открыть и проверить?
Прописываю
iptables -A INPUT -i eth0 -p tcp --sport 80 -j ACCEPT
и всё пропадает...

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

26. "Правила iptables" +/–

Сообщение от reader (ok) on 01-Мрт-13, 14:50

>> что мешает открыть и проверить?
> Прописываю
> iptables -A INPUT -i eth0 -p tcp --sport 80 -j ACCEPT
> и всё пропадает...
обращение НА 80 порт, значит --dport 80 , а ваше правило звучит как обращение С 80 порта

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

27. "Правила iptables" +/–

Сообщение от Ruldik (ok) on 01-Мрт-13, 16:47

>>> что мешает открыть и проверить?
>> Прописываю
>> iptables -A INPUT -i eth0 -p tcp --sport 80 -j ACCEPT
>> и всё пропадает...
> обращение НА 80 порт, значит --dport 80 , а ваше правило звучит
> как обращение С 80 порта
при таких правилах вроде заробило
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

28. "Правила iptables" +/–

Сообщение от Ruldik (ok) on 01-Мрт-13, 16:52

>[оверквотинг удален]
> iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
> iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
> iptables -A OUTPUT -o eth0 -p tcp --sport 80 -j ACCEPT
> iptables -A INPUT -i eth0 -p icmp -j ACCEPT
> iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
> iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
> iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Уважаемый reader, спасибо за помощь, поклон Вам низкий. Если не трудно подскажите по поводу VPN-сервера, установлен тоже на этой машине, пока....
iptables -A INPUT -i eth0 -p gre -j ACCEPT
iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j ACCEPT

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

29. "Правила iptables" +/–

Сообщение от reader (ok) on 02-Мрт-13, 00:21

>[оверквотинг удален]
>> iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
>> iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
>> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
>> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
>> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> Уважаемый reader, спасибо за помощь, поклон Вам низкий. Если не трудно подскажите
> по поводу VPN-сервера, установлен тоже на этой машине, пока....
> iptables -A INPUT -i eth0 -p gre -j ACCEPT
> iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j
> ACCEPT
на OUTPUT тоже нужно разрешение

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

30. "Правила iptables" +/–

Сообщение от Ruldik (ok) on 04-Мрт-13, 09:51

>> iptables -A INPUT -i eth0 -p gre -j ACCEPT
>> iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j
>> ACCEPT
> на OUTPUT тоже нужно разрешение
Так...

iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p 47 -j ACCEPT
iptables -A OUTPUT -p 47 -j ACCEPT
Этих правил достаточно???

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

31. "Правила iptables" +/–

Сообщение от reader (ok) on 04-Мрт-13, 11:47

>>> iptables -A INPUT -i eth0 -p gre -j ACCEPT
>>> iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j
>>> ACCEPT
>> на OUTPUT тоже нужно разрешение
> Так...
> iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
> iptables -A OUTPUT -p tcp --dport 1723 -j ACCEPT
> iptables -A INPUT -p 47 -j ACCEPT
> iptables -A OUTPUT -p 47 -j ACCEPT
> Этих правил достаточно???
с dport и sport разберитесь.
этого должно хватить для поднятия vpn соединения, поднимется vpn интерфейс для которого тоже нужно прописать правила

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

32. "Правила iptables" +/–

Сообщение от Ruldik (ok) on 04-Мрт-13, 14:02

> с dport и sport разберитесь.
> этого должно хватить для поднятия vpn соединения, поднимется vpn интерфейс для которого
> тоже нужно прописать правила
Сделал так:
iptables -A INPUT -p gre -j ACCEPT
iptables -A OUTPUT -p gre -j ACCEPT
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1723 -j ACCEPT
Подключается, адрес получает, но компы в сети не пингуются!

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

33. "Правила iptables" +/–

Сообщение от reader (ok) on 04-Мрт-13, 14:34

>> с dport и sport разберитесь.
>> этого должно хватить для поднятия vpn соединения, поднимется vpn интерфейс для которого
>> тоже нужно прописать правила
> Сделал так:
> iptables -A INPUT -p gre -j ACCEPT
> iptables -A OUTPUT -p gre -j ACCEPT
> iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
> iptables -A OUTPUT -p tcp --sport 1723 -j ACCEPT
> Подключается, адрес получает, но компы в сети не пингуются!
какие компы, по каким адресам?
где правила для vpn интерфейса?
tcpdump на интерфейсах для диагностики.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

34. "Правила iptables" +/–

Сообщение от Ruldik (ok) on 04-Мрт-13, 14:51

> какие компы, по каким адресам?
сеть 192.168.2.0/24
> где правила для vpn интерфейса?
вот здесь по подробней, если не трудно
> tcpdump на интерфейсах для диагностики.
к сожалению интерфейс один, еще один поставить нельзя!

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

35. "Правила iptables" +/–

Сообщение от reader (ok) on 04-Мрт-13, 15:58

>> какие компы, по каким адресам?
> сеть 192.168.2.0/24
>> где правила для vpn интерфейса?
> вот здесь по подробней, если не трудно
>> tcpdump на интерфейсах для диагностики.
> к сожалению интерфейс один, еще один поставить нельзя!
вывод ifconfig и route -n покажите.
только белые ip маскируйте так что бы логика не нарушалась

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

36. "Правила iptables" +/–

Сообщение от Ruldik (ok) on 04-Мрт-13, 16:45

...

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

37. "Правила iptables" +/–

Сообщение от reader (ok) on 04-Мрт-13, 17:32

>[оверквотинг удален]
>   0 eth0
> 169.254.0.0     0.0.0.0
>   255.255.0.0     U
>  1002   0
>  0 eth0
> 0.0.0.0         192.168.2.1
>   0.0.0.0
> UG    0      0
>        0 eth0
> на серв заруливаю правилами маршрутизатора.
vpn сервер на этой машине?
если тут клиент, то после поднятия vpn

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

38. "Правила iptables" +/–

Сообщение от Ruldik (ok) on 04-Мрт-13, 17:46

> vpn сервер на этой машине?
> если тут клиент, то после поднятия vpn
VPN сервер на этой же машине...
Сеть: Пров -> маршрутизатор (192.168.2.1) -> VPN сервер (192.168.2.144) -> Сеть

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

39. "Правила iptables" +/–

Сообщение от reader (ok) on 04-Мрт-13, 17:59

>> vpn сервер на этой машине?
>> если тут клиент, то после поднятия vpn
> VPN сервер на этой же машине...
> Сеть: Пров -> маршрутизатор (192.168.2.1) -> VPN сервер (192.168.2.144) -> Сеть
iptables на 192.168.2.1 или 2.144 настраиваете?

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

40. "Правила iptables" +/–

Сообщение от Ruldik (ok) on 04-Мрт-13, 18:04

>>> vpn сервер на этой машине?
>>> если тут клиент, то после поднятия vpn
>> VPN сервер на этой же машине...
>> Сеть: Пров -> маршрутизатор (192.168.2.1) -> VPN сервер (192.168.2.144) -> Сеть
> iptables на 192.168.2.1 или 2.144 настраиваете?
на 2.144

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

41. "Правила iptables" +/–

Сообщение от reader (ok) on 04-Мрт-13, 18:16

>>>> vpn сервер на этой машине?
>>>> если тут клиент, то после поднятия vpn
>>> VPN сервер на этой же машине...
>>> Сеть: Пров -> маршрутизатор (192.168.2.1) -> VPN сервер (192.168.2.144) -> Сеть
>> iptables на 192.168.2.1 или 2.144 настраиваете?
> на 2.144
gre до сервера доходит? VPN поднимается? из какой подсети ip vpn-клиенту выдается?
покажите ifconfig после поднятия vpn

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

42. "Правила iptables" +/–

Сообщение от Ruldik (ok) on 05-Мрт-13, 10:57

> gre до сервера доходит? VPN поднимается? из какой подсети ip vpn-клиенту выдается?
> покажите ifconfig после поднятия vpn
Ставлю iptables -A OUTPUT ACCEPT, начинает пинговаться только сервант 2.144. Остальные компы в сети не пингуются.
-A OUTPUT -d 192.168.2.0/24 -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 80 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 3128 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p gre -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 1723 -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

43. "Правила iptables" +/–

Сообщение от reader (ok) on 05-Мрт-13, 11:04

>[оверквотинг удален]
> Ставлю iptables -A OUTPUT ACCEPT, начинает пинговаться только сервант 2.144. Остальные
> компы в сети не пингуются.
> -A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
> -A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
> -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
> -A OUTPUT -o eth0 -p tcp -m tcp --sport 80 -j ACCEPT
> -A OUTPUT -o eth0 -p tcp -m tcp --sport 3128 -j ACCEPT
> -A OUTPUT -o lo -j ACCEPT
> -A OUTPUT -p gre -j ACCEPT
> -A OUTPUT -p tcp -m tcp --sport 1723 -j ACCEPT
к другим компам в сети и от них, пакеты пойдут через FORWARD , а у вас я так понимаю там только DROP

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

44. "Правила iptables" +/–

Сообщение от Ruldik (ok) on 05-Мрт-13, 11:06

> к другим компам в сети и от них, пакеты пойдут через FORWARD
> , а у вас я так понимаю там только DROP
FORWARD тоже DROP, ставил все в ACCEPT, но результат тот же

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

45. "Правила iptables" +/–

Сообщение от reader (ok) on 05-Мрт-13, 13:24

>> к другим компам в сети и от них, пакеты пойдут через FORWARD
>> , а у вас я так понимаю там только DROP
> FORWARD тоже DROP, ставил все в ACCEPT, но результат тот же
на компах в сети шлюзом 2.144 прописан?

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

46. "Правила iptables" +/–

Сообщение от Ruldik (ok) on 05-Мрт-13, 13:33

>>> к другим компам в сети и от них, пакеты пойдут через FORWARD
>>> , а у вас я так понимаю там только DROP
>> FORWARD тоже DROP, ставил все в ACCEPT, но результат тот же
> на компах в сети шлюзом 2.144 прописан?
нет...

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

47. "Правила iptables" +/–

Сообщение от reader (ok) on 05-Мрт-13, 13:46

>>>> к другим компам в сети и от них, пакеты пойдут через FORWARD
>>>> , а у вас я так понимаю там только DROP
>>> FORWARD тоже DROP, ставил все в ACCEPT, но результат тот же
>> на компах в сети шлюзом 2.144 прописан?
> нет...
192.168.2.0/24 в локалке или только между шлюзом и vpn-сервером?
с какого ip пингуете?
ответ наверно на шлюз уходит ,а не на vpn-сервер
tcpdump на vpn-сервер запустите и посмотрите уходят ли пакеты и приходят ли ответы

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

48. "Правила iptables" +/–

Сообщение от Ruldik (ok) on 05-Мрт-13, 14:17

> 192.168.2.0/24 в локалке или только между шлюзом и vpn-сервером?
пров -> шлюз(2.1)-> сеть и vpn сервант (2.144)
> с какого ip пингуете?
который выдает vpn-клиенту (2.240)
> ответ наверно на шлюз уходит ,а не на vpn-сервер
> tcpdump на vpn-сервер запустите и посмотрите уходят ли пакеты и приходят ли
> ответы
tcpdump -i eth0 |grep ip-адрес vpn-сервера ?

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

49. "Правила iptables" +/–

Сообщение от reader (ok) on 05-Мрт-13, 14:29

>> 192.168.2.0/24 в локалке или только между шлюзом и vpn-сервером?
> пров -> шлюз(2.1)-> сеть и vpn сервант (2.144)
>> с какого ip пингуете?
> который выдает vpn-клиенту (2.240)
из тойже подсети, тогда тот кого пингуете будет пытаться ответить напрямую сам, а не через vpn-сервер, а так как 2.240 в его сегменте нет, то и не получится
>> ответ наверно на шлюз уходит ,а не на vpn-сервер
>> tcpdump на vpn-сервер запустите и посмотрите уходят ли пакеты и приходят ли
>> ответы
> tcpdump -i eth0 |grep ip-адрес vpn-сервера ?
tcpdump -n host ip_кого_пингуем

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

50. "Правила iptables" +/–

Сообщение от Ruldik (ok) on 05-Мрт-13, 14:59

> из тойже подсети, тогда тот кого пингуете будет пытаться ответить напрямую сам,
> а не через vpn-сервер, а так как 2.240 в его сегменте
> нет, то и не получится
я так понял надо сделать FORWARD?

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

51. "Правила iptables" +/–

Сообщение от reader (ok) on 05-Мрт-13, 15:09

>> из тойже подсети, тогда тот кого пингуете будет пытаться ответить напрямую сам,
>> а не через vpn-сервер, а так как 2.240 в его сегменте
>> нет, то и не получится
> я так понял надо сделать FORWARD?
через FORWARD разрешить пакеты, это само собой. но сначала подумать об адресах vpn клиентов исходя из задач. и об маршрутизации

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

52. "Правила iptables" +/–

Сообщение от Ruldik (ok) on 05-Мрт-13, 17:31

Всё разобрался, вроде заработало. Очень помогла вот эта статья http://www.alsigned.ru/?p=805
Вам reader, отдельное, огромное спасибо за помощь!!!

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Правила iptables"	+/–
Сообщение от Mr. Mistoffelees on 18-Фев-13, 20:13
> Доброго времени суток! Уважаемые гуру, подскажите что здесь лишнее и чего не > хватает: Например, не хватает коммуникации с DNS... а ssh сервер (и не только он) очень любит reverse resolving адреса клиента при заходе... Вообще, default policy DROP для OUTPUT смотрится немножко стремно. WWell,
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Правила iptables"	+/–
	Сообщение от Ruldik (ok) on 19-Фев-13, 10:19
	Сделал так: Для VPN Сервера iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -i eth0 -p gre -j ACCEPT iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j ACCEPT iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT iptables -A INPUT -i eth0 -p icmp -j ACCEPT iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT # DNS iptables -A INPUT -m state --state NEW -p tcp -m tcp --dport 53 -j ACCEPT iptables -A INPUT -m state --state NEW -p udp -m udp --dport 53 -j ACCEPT Для Веб-сервера iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT iptables -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT iptables -A INPUT -i eth0 -p icmp -j ACCEPT iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT # DNS iptables -A INPUT -m state --state NEW -p tcp -m tcp --dport 53 -j ACCEPT iptables -A INPUT -m state --state NEW -p udp -m udp --dport 53 -j ACCEPT Для прокси iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT iptables -A INPUT -i eth0 -p icmp -j ACCEPT iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT # DNS iptables -A INPUT -m state --state NEW -p tcp -m tcp --dport 53 -j ACCEPT iptables -A INPUT -m state --state NEW -p udp -m udp --dport 53 -j ACCEPT > Вообще, default policy DROP для OUTPUT смотрится немножко стремно. А что тут стремного? Если не трудно, поясните пожалуйста!
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Правила iptables"	+/–
	Сообщение от reader (ok) on 19-Фев-13, 10:58
	>[оверквотинг удален] > ACCEPT > iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT > iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT > iptables -A INPUT -i eth0 -p icmp -j ACCEPT > iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT > # DNS > iptables -A INPUT -m state --state NEW -p tcp -m tcp --dport > 53 -j ACCEPT > iptables -A INPUT -m state --state NEW -p udp -m udp --dport > 53 -j ACCEPT выше писалось об исходящих запросах к DNS, а вы показываете правила как будто у вас есть DNS сервер, да к тому же ограничиваетесь только NEW пакетами, так же нет правил для vpn интерфейса и ответные пакеты от vpn сервера не разрешили >[оверквотинг удален] > iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT > iptables -A INPUT -i eth0 -p icmp -j ACCEPT > iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT > # DNS > iptables -A INPUT -m state --state NEW -p tcp -m tcp --dport > 53 -j ACCEPT > iptables -A INPUT -m state --state NEW -p udp -m udp --dport > 53 -j ACCEPT >> Вообще, default policy DROP для OUTPUT смотрится немножко стремно. > А что тут стремного? Если не трудно, поясните пожалуйста! придется расписать разрешения на выход, если не запутаетесь, то не стремно. вообще то на этапе отладки неплохо бы логировать перед блокировкой , будет проще
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	5. "Правила iptables"	+/–
	Сообщение от Ruldik (ok) on 19-Фев-13, 11:29
	> выше писалось об исходящих запросах к DNS Для VPN Сервера iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -i eth0 -p gre -j ACCEPT iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j ACCEPT iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT iptables -A INPUT -i eth0 -p icmp -j ACCEPT iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT # DNS iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT iptables -A OUTPUT -p udp --dport 53 -j ACCEPT iptables -A INPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT Для Веб-сервера iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT iptables -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT iptables -A INPUT -i eth0 -p icmp -j ACCEPT iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT # DNS iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT iptables -A OUTPUT -p udp --dport 53 -j ACCEPT iptables -A INPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT Для прокси iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT iptables -A INPUT -i eth0 -p icmp -j ACCEPT iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT # DNS iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT iptables -A OUTPUT -p udp --dport 53 -j ACCEPT iptables -A INPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	6. "Правила iptables"	+/–
	Сообщение от reader (ok) on 19-Фев-13, 12:07
	>[оверквотинг удален] > iptables -P OUTPUT DROP > iptables -P FORWARD DROP > iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT > iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT > iptables -A INPUT -i eth0 -p icmp -j ACCEPT > iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT > # DNS > iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT > iptables -A OUTPUT -p udp --dport 53 -j ACCEPT > iptables -A INPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT да, теперь сервера смогут работать с dns серверами, но выполнять все свои функции еще не могут
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Правила iptables"	+/–
	Сообщение от Ruldik (ok) on 19-Фев-13, 12:34
	> да, теперь сервера смогут работать с dns серверами, но выполнять все свои > функции еще не могут Веб сервер с такими правилами робит (на страницу HTML заходит): Для Веб-сервера iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT iptables -A INPUT -i eth0 -p icmp -j ACCEPT iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT # DNS iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT iptables -A OUTPUT -p udp --dport 53 -j ACCEPT #Разрешаем уже установленные соединения iptables -A INPUT -m state --state REALTED,ESTABLISHED -j ACCEPT я думаю с ним пока можно настройку закончить. Теперь остались VPN и SQUID. Если не трудно, что надо им прописать?
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору

4. "Правила iptables"	+/–
Сообщение от reader (ok) on 19-Фев-13, 11:03
> Для прокси Squid > iptables -P INPUT DROP > iptables -P OUTPUT DROP > iptables -P FORWARD DROP > iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT > iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT > iptables -A INPUT -i eth0 -p icmp -j ACCEPT > iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT > (здесь 100% чего то не хватает!) нет разрешения для порта на котором работает прокси, нет разрешений для работы прокси с серверами web, ftp, dns, ...
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	8. "Правила iptables"	+/–
	Сообщение от Ruldik (ok) on 19-Фев-13, 14:07
	> нет разрешения для порта на котором работает прокси, нет разрешений для работы > прокси с серверами web, ftp, dns, ... Добавил для прокси: iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT iptables -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT получилось: iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT iptables -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT iptables -A INPUT -i eth0 -p icmp -j ACCEPT iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT # DNS iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT iptables -A OUTPUT -p udp --dport 53 -j ACCEPT #Разрешаем уже установленные соединения iptables -A INPUT -m state --state REALTED,ESTABLISHED -j ACCEPT указываю в браузере проксю, интерет не робит. Что ещё забыл?
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	9. "Правила iptables"	+/–
	Сообщение от reader (ok) on 19-Фев-13, 15:45
	>> нет разрешения для порта на котором работает прокси, нет разрешений для работы >> прокси с серверами web, ftp, dns, ... > Добавил для прокси: > iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT а для ответных пакетов? > iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT > iptables -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT а если подумать? делайте логирование и увидите сами что нужно >[оверквотинг удален] > iptables -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT > iptables -A INPUT -i eth0 -p icmp -j ACCEPT > iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT > iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT > # DNS > iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT > iptables -A OUTPUT -p udp --dport 53 -j ACCEPT > #Разрешаем уже установленные соединения > iptables -A INPUT -m state --state REALTED,ESTABLISHED -j ACCEPT > указываю в браузере проксю, интерет не робит. Что ещё забыл?
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "Правила iptables"	+/–
	Сообщение от Ruldik (ok) on 19-Фев-13, 17:49
	При таких правилах, всё робит и фильтрует. С сервака на сайт заходит. На страницу блокировки веб-серевера не хочет, ни с браузера, ни с сервака! mangle :PREROUTING ACCEPT [2118:350359] :INPUT ACCEPT [2118:350359] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [1452:388838] :POSTROUTING ACCEPT [1363:383498] COMMIT # Completed on Tue Feb 19 18:30:03 2013 # Generated by iptables-save v1.4.7 on Tue Feb 19 18:30:03 2013 filter :INPUT DROP [4:292] :FORWARD DROP [0:0] :OUTPUT DROP [1:60] -A INPUT -i eth0 -p gre -j ACCEPT -A INPUT -i eth0 -p tcp -m tcp --dport 1723 -j ACCEPT -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -i eth0 -p icmp -j ACCEPT -A INPUT -i eth0 -p tcp -m tcp --dport 3128 -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --sport 22 -j ACCEPT -A OUTPUT -o eth0 -p icmp -j ACCEPT -A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --sport 3128 -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT COMMIT # Completed on Tue Feb 19 18:30:03 2013 # Generated by iptables-save v1.4.7 on Tue Feb 19 18:30:03 2013 *nat :PREROUTING ACCEPT [592:69782] :POSTROUTING ACCEPT [63:3818] :OUTPUT ACCEPT [152:9158] COMMIT
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "Правила iptables"	+/–
	Сообщение от reader (ok) on 20-Фев-13, 12:26
	>[оверквотинг удален] > -A OUTPUT -o eth0 -p tcp -m tcp --sport 3128 -j ACCEPT > -A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT > COMMIT > # Completed on Tue Feb 19 18:30:03 2013 > # Generated by iptables-save v1.4.7 on Tue Feb 19 18:30:03 2013 > *nat > :PREROUTING ACCEPT [592:69782] > :POSTROUTING ACCEPT [63:3818] > :OUTPUT ACCEPT [152:9158] > COMMIT а где веб-серевер?
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "Правила iptables"	+/–
	Сообщение от Ruldik (ok) on 20-Фев-13, 12:36
	Уважаемые гуру выручайте, у меня уже мозг взорвался! Что еще я забыл прописать?
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	13. "Правила iptables"	+/–
	Сообщение от reader (ok) on 20-Фев-13, 13:08
	> Уважаемые гуру выручайте, у меня уже мозг взорвался! Что еще я забыл > прописать? где веб-серевер? на этой же машине? тогда пакеты к нему и от него разрешите. на другой машине тогда как соединены.
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	14. "Правила iptables"	+/–
	Сообщение от Ruldik (ok) on 20-Фев-13, 13:21
	>> Уважаемые гуру выручайте, у меня уже мозг взорвался! Что еще я забыл >> прописать? > где веб-серевер? на этой же машине? тогда пакеты к нему и от > него разрешите. > на другой машине тогда как соединены. Для теста веб-сервер стоит на этой же машине. Вот правила: iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT iptables -A INPUT -i eth0 -p TCP --sport 80 -j ACCEPT iptables -A OUTPUT -o eth0 -p TCP --dport 80 -j ACCEPT iptables -A INPUT -i eth0 -p icmp -j ACCEPT iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT # DNS iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT iptables -A OUTPUT -p udp --dport 53 -j ACCEPT #Разрешаем уже установленные соединения iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT но не в инет ни на веб-сервер ни заходит. --dport и --sport правильно прописаны?
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	15. "Правила iptables"	+/–
	Сообщение от reader (ok) on 20-Фев-13, 13:35
	>[оверквотинг удален] > iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT > iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT > iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT > # DNS > iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT > iptables -A OUTPUT -p udp --dport 53 -j ACCEPT > #Разрешаем уже установленные соединения > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > но не в инет ни на веб-сервер ни заходит. --dport и --sport > правильно прописаны? в инет с такими правилами должен ходить, только TCP маленькими буквами пишите, а вот в пределах одной машины пакеты через eth0 не ходят
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	16. "Правила iptables"	+/–
	Сообщение от Ruldik (ok) on 20-Фев-13, 13:37
	>[оверквотинг удален] >> iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT >> # DNS >> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT >> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT >> #Разрешаем уже установленные соединения >> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >> но не в инет ни на веб-сервер ни заходит. --dport и --sport >> правильно прописаны? > в инет с такими правилами должен ходить, только TCP маленькими буквами пишите, > а вот в пределах одной машины пакеты через eth0 не ходят Так, понятно. Щас раскидаю на разные машины, и позже отпишу результат! А по поводу --dport и --sport?
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	17. "Правила iptables"	+/–
	Сообщение от reader (ok) on 20-Фев-13, 13:48
	>[оверквотинг удален] >>> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT >>> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT >>> #Разрешаем уже установленные соединения >>> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >>> но не в инет ни на веб-сервер ни заходит. --dport и --sport >>> правильно прописаны? >> в инет с такими правилами должен ходить, только TCP маленькими буквами пишите, >> а вот в пределах одной машины пакеты через eth0 не ходят > Так, понятно. Щас раскидаю на разные машины, и позже отпишу результат! > А по поводу --dport и --sport? если имелось ввиду iptables -A INPUT -i eth0 -p TCP --sport 80 -j ACCEPT под это правило попадут ответы от веб-серверов, хотя можно было оставить только это iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT подключения от клиентов под него не попадают, для них нужно было dport iptables -A OUTPUT -o eth0 -p TCP --dport 80 -j ACCEPT под это правило попадут запросы с этой машины ( браузер, прокси) к веб-серверам
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	18. "Правила iptables"	+/–
	Сообщение от Ruldik (ok) on 25-Фев-13, 14:36
	Уважаемые спецы, объясните мне, "тупому", почему при iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT Squid работает, веб-серевер тоже, на страницу блокировки директится. С серванта тоже в инет и на веб-сервер выходит! Но при iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -i eth0 -p icmp -j ACCEPT iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT # DNS iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT iptables -A OUTPUT -p udp --dport 53 -j ACCEPT #Разрешаем уже установленные соединения iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT на веб-сервер не заходит, ни с браузера, ни с сервака!!!
	Ответить \| Правка \| ^ к родителю #17 \| Наверх \| Cообщить модератору


	19. "Правила iptables"	+/–
	Сообщение от reader (ok) on 25-Фев-13, 15:32
	где веб-сервер, на этой же машине? если нет то как соединены, через eth0?
	Ответить \| Правка \| ^ к родителю #18 \| Наверх \| Cообщить модератору


	20. "Правила iptables"	–1 +/–
	Сообщение от Ruldik (ok) on 25-Фев-13, 16:09
	> где веб-сервер, на этой же машине? если нет то как соединены, через > eth0? да на этой...
	Ответить \| Правка \| ^ к родителю #19 \| Наверх \| Cообщить модератору


	21. "Правила iptables"	+/–
	Сообщение от reader (ok) on 25-Фев-13, 16:36
	>> где веб-сервер, на этой же машине? если нет то как соединены, через >> eth0? > да на этой... https://www.opennet.ru/openforum/vsluhforumID10/5121.html#15
	Ответить \| Правка \| ^ к родителю #20 \| Наверх \| Cообщить модератору


	22. "Правила iptables"	+/–
	Сообщение от Ruldik (ok) on 26-Фев-13, 18:07
	>>> где веб-сервер, на этой же машине? если нет то как соединены, через >>> eth0? >> да на этой... > https://www.opennet.ru/openforum/vsluhforumID10/5121.html#15 Спасибо, разобрался. Вроде робит, позже отпишу...
	Ответить \| Правка \| ^ к родителю #21 \| Наверх \| Cообщить модератору


	23. "Правила iptables"	+/–
	Сообщение от Ruldik (ok) on 01-Мрт-13, 12:33
	При таких правилах правилах, при указании прокси в браузере, всё робит. В инет и на веб-сервер выходит, с браузера и с сервака... iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -i eth0 -p icmp -j ACCEPT iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT iptables -A OUTPUT -p udp --dport 53 -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Убираем проксю в браузере, на веб-серв не заходит с браузера. Предполагаю, по причине закрытого порта 80 в INPUT. Можно как то это поправить?
	Ответить \| Правка \| ^ к родителю #22 \| Наверх \| Cообщить модератору


	24. "Правила iptables"	+/–
	Сообщение от reader (ok) on 01-Мрт-13, 14:08
	>[оверквотинг удален] > iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT > iptables -A INPUT -i eth0 -p icmp -j ACCEPT > iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT > iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT > iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT > iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT > iptables -A OUTPUT -p udp --dport 53 -j ACCEPT > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > Убираем проксю в браузере, на веб-серв не заходит с браузера. Предполагаю, по > причине закрытого порта 80 в INPUT. Можно как то это поправить? что мешает открыть и проверить?
	Ответить \| Правка \| ^ к родителю #23 \| Наверх \| Cообщить модератору


	25. "Правила iptables"	+/–
	Сообщение от Ruldik (ok) on 01-Мрт-13, 14:14
	> что мешает открыть и проверить? Прописываю iptables -A INPUT -i eth0 -p tcp --sport 80 -j ACCEPT и всё пропадает...
	Ответить \| Правка \| ^ к родителю #24 \| Наверх \| Cообщить модератору


	26. "Правила iptables"	+/–
	Сообщение от reader (ok) on 01-Мрт-13, 14:50
	>> что мешает открыть и проверить? > Прописываю > iptables -A INPUT -i eth0 -p tcp --sport 80 -j ACCEPT > и всё пропадает... обращение НА 80 порт, значит --dport 80 , а ваше правило звучит как обращение С 80 порта
	Ответить \| Правка \| ^ к родителю #25 \| Наверх \| Cообщить модератору


	27. "Правила iptables"	+/–
	Сообщение от Ruldik (ok) on 01-Мрт-13, 16:47
	>>> что мешает открыть и проверить? >> Прописываю >> iptables -A INPUT -i eth0 -p tcp --sport 80 -j ACCEPT >> и всё пропадает... > обращение НА 80 порт, значит --dport 80 , а ваше правило звучит > как обращение С 80 порта при таких правилах вроде заробило iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --sport 80 -j ACCEPT iptables -A INPUT -i eth0 -p icmp -j ACCEPT iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT iptables -A OUTPUT -p udp --dport 53 -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
	Ответить \| Правка \| ^ к родителю #26 \| Наверх \| Cообщить модератору


	28. "Правила iptables"	+/–
	Сообщение от Ruldik (ok) on 01-Мрт-13, 16:52
	>[оверквотинг удален] > iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT > iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT > iptables -A OUTPUT -o eth0 -p tcp --sport 80 -j ACCEPT > iptables -A INPUT -i eth0 -p icmp -j ACCEPT > iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT > iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT > iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT > iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT > iptables -A OUTPUT -p udp --dport 53 -j ACCEPT > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Уважаемый reader, спасибо за помощь, поклон Вам низкий. Если не трудно подскажите по поводу VPN-сервера, установлен тоже на этой машине, пока.... iptables -A INPUT -i eth0 -p gre -j ACCEPT iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j ACCEPT
	Ответить \| Правка \| ^ к родителю #27 \| Наверх \| Cообщить модератору


	29. "Правила iptables"	+/–
	Сообщение от reader (ok) on 02-Мрт-13, 00:21
	>[оверквотинг удален] >> iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT >> iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT >> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT >> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT >> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > Уважаемый reader, спасибо за помощь, поклон Вам низкий. Если не трудно подскажите > по поводу VPN-сервера, установлен тоже на этой машине, пока.... > iptables -A INPUT -i eth0 -p gre -j ACCEPT > iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j > ACCEPT на OUTPUT тоже нужно разрешение
	Ответить \| Правка \| ^ к родителю #28 \| Наверх \| Cообщить модератору


	30. "Правила iptables"	+/–
	Сообщение от Ruldik (ok) on 04-Мрт-13, 09:51
	>> iptables -A INPUT -i eth0 -p gre -j ACCEPT >> iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j >> ACCEPT > на OUTPUT тоже нужно разрешение Так... iptables -A INPUT -p tcp --dport 1723 -j ACCEPT iptables -A OUTPUT -p tcp --dport 1723 -j ACCEPT iptables -A INPUT -p 47 -j ACCEPT iptables -A OUTPUT -p 47 -j ACCEPT Этих правил достаточно???
	Ответить \| Правка \| ^ к родителю #29 \| Наверх \| Cообщить модератору