[sergleo]

1. Почитай книгу "Брандмауры в Linux" Роберта Л. Зиглера
2. Iptables Tutorial 1.1.19 на http://iptables-tutorial.frozentux.n...-tutorial.html

Вопросы
1. как настоен роутинг? на сервере Novell
2. Настройки iptables по умолчанию? или свои?

PS книга для ipchains - но после корректировки правил все прекрасно работает и для iptables.(во всяком случае у меня)
Я использую новел только как файл сервер и в раздаче инета он не работает... ибо лучше его как файл сервера нету, а как сервер для инета он немного сыроват...

[AndreySin]

Я не согласен насчет Novellа. Novell на мой взгляд самая лучшая ОС для сервака. Просто с софтом под него трудновато. Я бы и не заморачивался с Linux-ом если бы смог купить почтовый сервер под Novell.

Настройки iptables по умолчанию.
ip адреса
Linux
eth0 - x.x.x.x netmask 255.255.255.252
eth1 - 10.0.0.254 netmask 255.255.255.0
Novell
eth3 - 10.0.0.1 netmask 255.255.255.0
eth4 - 192.168.0.1 netmask 255.255.255.0
локалка 192.168.0.0/24
Роутинг на сервере Novell через eth1 (default gateway 10.0.0.254)


Добавлено:

Еще можно добавить вопрос куда запихивать script, чтобы он инициализировался при старте? Или можно ли его как-нить запустить после старта машины из коммандной строки? И что для этого надо сделать?

[sergleo]

ну... насчет новелла 6 не знаю, у меня 4.12 летает и в инет не лазит... не надо ему это...
По роутингу:
на новелле роутинг должен быти типа например:
если eth0 локальная сеть за сервером
eth0 net 192.168.0.0 netmask 0.0.0.0 gw 192.168.0.1
если eth1 - DMZ
eth1 net default gw 10.0.0.254
на Linux: gw для dmz должен быть 10.0.0.1(eth1 новелла) а default на прова
По IPTables: мои правила занимают ~24K (переписанные из книги) все пишется в файло /etc/sysconfig/iptables
Если нужно подробнее: кусок начальных установок
#------------------------------------------------------------------
# Default
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#------------------------------------------------------------------
# LOOPBACK Inteface
# Unlimited traffic on the loopback interface
-A INPUT  -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT

#Я доверяю внутренней сети DMZ
#------------------------------------------------------------------
# Unlimited traffic within the local network.
# All internal machines have access to the fireall machine.
-A INPUT  -i eth0 -s x.x.x.0/24 -d any/0 -j ACCEPT
-A OUTPUT -o eth0 -s any/0 -d x.x.x.0/24 -j ACCEPT

<поцокано>
Здесь идут основные правила iptables
<поцокано>

#------------------------------------------------------------------
# Masquerade internal traffic.
# All internal traffic is masqueraded externally.
*nat
-A POSTROUTING -o eth1 -j MASQUERADE

COMMIT

PS В начальных установках:

:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

- Лучше DROP - НО у меня плохо это работало... поэтому я оставил так как есть а все остальное убиваю... по правилам...

PSS Если нужно подробнее пиши ... Поможем...

[AndreySin]

Насчет Novella 4.хх.
4.хх не сравнится с 6.0 или с 5.1 (но 5.0) Совершенно другие технологии.
Администрится проще некуда, удобна во всех случаях.(За исключением халявного софта на рынке)
Неговоря о том (как ты заметил), что как FS и его привязки к NDS, его еще ни кто не переплюнул (даже мелкософт, который пытается подражать Novell-у аля ActiveDirectory и т.д.)
Отвлекся немного.
Этого хватит, чтобы Linux заработал?
Конечно хотелось бы иметь весь спектр конфигурационных файлов для Linux, чтобы не мучаться с прописью вручную (т.к. я в пингвинах, как свинья в апельсинах). И еще вопрос как запустить скрипт с консоли (как не пытался выдает какую ту фигню, типа не может наити файлы , каталоги и т.д.).

[sergleo]

По первому вопросу: нет этого не хватит - это только начало и конец скриптов чтобы небыло проблем с LO - интерфейса обратной петли 127.0.0.1 в линуксе и доступ всеи DMZ-внутренней сети между двумя серверами- сети. Плюс маскарадинг сети... скрываем внутреннюю сеть от посторонних глаз...
Где стоит <поцокано> идут твои правила на сервисы машины.. например www ftp и тд что должно работать...
Обязатьльно нужно разрешить и icmp протокол например:
#------------------------------------------------------------------
# ICMP
#------------------------------------------------------------------

#------------------------------------------------------------------
# (4) *Source_Quench
# * * *incoming & outgoing requests to slow down (flow control)
-A INPUT *-i eth0 -p icmp -s any/0 --icmp-type 4 -d 10.0.0.254 -j ACCEPT
-A OUTPUT -o eth0 -p icmp -s 10.0.0.254 --icmp-type 4 -d any/0 -j ACCEPT
# ISP
-A INPUT *-i eth1 -p icmp -s any/0 --icmp-type 4 -d XXX.XXX.XXX.XXX -j ACCEPT
-A OUTPUT -o eth1 -p icmp -s XXX.XXX.XXX.XXX --icmp-type 4 -d any/0 -j ACCEPT

#------------------------------------------------------------------
# (12) Parameter_Problem
# * * *incoming & outgoing error messages
-A INPUT *-i eth0 -p icmp -s any/0 --icmp-type 12 -d 10.0.0.254 -j ACCEPT
-A OUTPUT -o eth0 -p icmp -s 10.0.0.254 --icmp-type 12 -d any/0 -j ACCEPT
# ISP
-A INPUT *-i eth1 -p icmp -s any/0 --icmp-type 12 -d XXX.XXX.XXX.XXX -j ACCEPT
-A OUTPUT -o eth1 -p icmp -s XXX.XXX.XXX.XXX --icmp-type 12 -d any/0 -j ACCEPT

#------------------------------------------------------------------
# (3) *Dest_Unreachable, Service_Unavailable
# * * *incoming & outgoing size negotiation, service or
# * * *destination unavailability, final traceroute response
-A INPUT *-i eth0 -p icmp -s any/0 --icmp-type 3 -d 10.0.0.254 -j ACCEPT
-A OUTPUT -o eth0 -p icmp -s 10.0.0.254 --icmp-type 3 -d any/0 -j ACCEPT
# ISP
-A INPUT *-i eth1 -p icmp -s any/0 --icmp-type 3 -d XXX.XXX.XXX.XXX -j ACCEPT
-A OUTPUT -o eth1 -p icmp -s XXX.XXX.XXX.XXX --icmp-type 3 -d any/0 -j ACCEPT

#------------------------------------------------------------------
# (11) Time_Exceeded
# * * *incoming & outgoing time out conditions,
# * * *also intermediate TTL response to traceroutes
-A INPUT *-i eth0 -p icmp -s any/0 --icmp-type 11 -d 10.0.0.254 -j ACCEPT
-A OUTPUT -o eth0 -p icmp -s 10.0.0.254 --icmp-type 11 -d any/0 -j ACCEPT
# ISP
-A INPUT *-i eth1 -p icmp -s any/0 --icmp-type 11 -d XXX.XXX.XXX.XXX -j ACCEPT
-A OUTPUT -o eth1 -p icmp -s XXX.XXX.XXX.XXX --icmp-type 11 -d any/0 -j ACCEPT

#------------------------------------------------------------------
# (8) Echo Request
# (0) Echo Reply

# allow outgoing pings to anywhere
-A OUTPUT -o eth0 -p icmp -s 10.0.0.254 --icmp-type 8 -d any/0 -j ACCEPT
-A INPUT *-i eth0 -p icmp -s any/0 --icmp-type 0 -d 10.0.0.254 -j ACCEPT
# allow incoming pings from trusted hosts
-A INPUT *-i eth0 -p icmp -s any/0 --icmp-type 8 -d 10.0.0.254 -j ACCEPT
-A OUTPUT -o eth0 -p icmp -s 10.0.0.254 --icmp-type 0 -d any/0 -j ACCEPT
# ISP
# allow outgoing pings to anywhere
-A OUTPUT -o eth1 -p icmp -s XXX.XXX.XXX.XXX --icmp-type 8 -d any/0 -j ACCEPT
-A INPUT *-i eth1 -p icmp -s any/0 --icmp-type 0 -d XXX.XXX.XXX.XXX -j ACCEPT
# allow incoming pings from trusted hosts
-A INPUT *-i eth1 -p icmp -s any/0 --icmp-type 8 -d XXX.XXX.XXX.XXX -j ACCEPT
-A OUTPUT -o eth1 -p icmp -s XXX.XXX.XXX.XXX --icmp-type 0 -d any/0 -j ACCEPT

Чтобы ходили пинги и т.д были ответы твоего сервера...
Это встовляешь где <поцокано> - потом все вместе в файл
/etc/sysconfig/iptables
и перезапускаешь ipTables
/etc/rc.d/init.d/iptables restart

1. Где стоит XXX.XXX... - напиши свои IP и 10.0.0..... ip внутренней сети DMZ...
2. Учти что данный кусок дает права доступа только lo, внутренней сети на твою машину и ответам сервака на пинг и тд на управляющую часть протокола tcp/ip - icmp.
А тебе еще необходимо разрешить как минимум ходить telnet(или SSH что предпочтительней), DNS,WWW, FTP... и тд...
Иначе не будет доступа в инет основных служб и вашей сети к ним... Т.Е доступа к ресурсам инета...
PS
[offtopic]
Если необходимо подробнее стучись в асю... ибо это и так много... и далее приватный разговор по настройке Linux
[/offtopic]
Или пости сюда будем делать по шагам... с перерывами...


[s]Исправлено: sergleo, 17:31 16-09-2003[/s]

[AndreySin]

Спасибо sergleo

[sergleo]

Пиши поможем...

[Barracuda]

sergleo

[AndreySin]

Sergleo Проблемы