|
|
|
|
| Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Вопрос по iptables |
|
||||
|
|
Вопрос по iptables
|
|
Новый участник Сообщения: 26 |
Всем доброго времени суток.
Помогите пожалуйста разобраться с iptables Ситуация такая: Есть набор правил $IPTABLES -P INPUT DROP $IPTABLES -F INPUT $IPTABLES -P OUTPUT DROP $IPTABLES -F OUTPUT $IPTABLES -P FORWARD DROP $IPTABLES -F FORWARD $IPTABLES -t nat -F $IPTABLES -t filter -A INPUT -p icmp -j ACCEPT $IPTABLES -t filter -A FORWARD -p icmp -j ACCEPT $IPTABLES -t filter -A OUTPUT -p icmp -j ACCEPT ######################################################## $IPTABLES -t filter -A INPUT -d 127.0.0.1 -j ACCEPT $IPTABLES -t filter -A OUTPUT -d 127.0.0.1 -j ACCEPT ########################################################## #$IPTABLES -t filter -A INPUT -d 192.168.0.0/16 -j ACCEPT #$IPTABLES -t filter -A OUTPUT -d 192.168.0.0/16 -j ACCEPT ######################################################### $IPTABLES -t filter -A INPUT -i $EXTIF_LIST -j ACCEPT $IPTABLES -t filter -A OUTPUT -o $EXTIF_LIST -j ACCEPT ########################################################## $IPTABLES -t filter -A INPUT -p tcp --sport 53 -j ACCEPT $IPTABLES -t filter -A FORWARD -p tcp --sport 53 -j ACCEPT $IPTABLES -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT $IPTABLES -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT $IPTABLES -t filter -A INPUT -p udp --sport 53 -j ACCEPT $IPTABLES -t filter -A FORWARD -p udp --sport 53 -j ACCEPT $IPTABLES -t filter -A FORWARD -p udp --dport 53 -j ACCEPT $IPTABLES -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT ########################################################### $IPTABLES -t filter -A INPUT -p udp -s 192.168.0.0/24 --sport 7723 -j ACCEPT $IPTABLES -t filter -A INPUT -p udp -s 192.168.0.0/24 --dport 7723 -j ACCEPT $IPTABLES -t filter -A OUTPUT -p udp -s 192.168.0.0/24 --sport 7723 -j ACCEPT $IPTABLES -t filter -A OUTPUT -p udp -s 192.168.0.0/24 --dport 7723 -j ACCEPT Задача добавить цепочку правил для ip 192.168.0.1 разрешающую ходить везде. при добавлении цепочки iptables -t filter -A INPUT -s 192.168.0.1 -j ACCEPT iptables -t filter -A FORWARD -s 192.168.0.1 -j ACCEPT iptables -t filter -A FORWARD -d 192.168.0.1 -j ACCEPT iptables -t filter -A OUTPUT -d 192.168.0.1 -j ACCEPT Сервер пускает ip 192.168.0.1 в инет, но почемуто не пускает в локальную сеть 192,168,0,0 ((( на команду iptables -L -n для данного ip выдаёт после добавления цепочки выдаёт chain INPUT (policy DROP) ACCEPT all -- 192.168.0.1 0.0.0.0/0 Chain FORWARD (policy DROP) ACCEPT all -- 0.0.0.0/0 192.168.0.1 ACCEPT all -- 192.168.0.1 0.0.0.0/0 Chain OUTPUT (policy DROP) ACCEPT all -- 0.0.0.0/0 192.168.0.1 Почему не пускает в локалку?????? |
|
|
Отправлено: 18:57, 28-11-2006 |
Ветеран Сообщения: 637
|
Профиль | Сайт | Отправить PM | Цитировать По мне так правила очень запутанные, и много ненужных. Все можно сделай намного короче и понятнее.
Цитата:
Или с сервер должен осуществляться доступ? Ничего непонятно. Скажи лучше что должен делать фаервол, я тебе напишу правила. |
|
|
------- Отправлено: 20:07, 28-11-2006 | #2 |
|
Новый участник Сообщения: 26
|
Профиль | Отправить PM | Цитировать Благодарю за содействие!
Значится так... Собссна пытаюсь настроить iptables для раздачи инета для локалки. 192.168.0.0 По умолчанию - всё запрещено. - открыть для ЛС UDP-порт 7723 - этот порт "слушает" серверная часть моего биллинга , для того чтоб осуществлять авторизацию клиентов. - Разрешить пинги - Разрешить dns Можно также разрешить доступ из ЛС к внутреннему веб-серверу, к внутреннему почтовому серверу без авторизации но необязательно, лутше бы конечно чтоб при авторизации просто разрешал данному ip ходить везде Из необходиміх вроди всё, но может ещё чтото посоветуешь? Далее клиент авторизируется с помощью автоизатора и срабатівает скрипт, который поидее добавляет в iptables цепочкую разрешающую данному ip ходить в инет и по локалке вот сам скрипт #!/usr/bin/perl #=========================================================================== # &Allow - Разрешение доступа sub Allow { my ($num,$ip,$gorod,$paket,$adm,$dop,$detail) = @_; unless ($gorod) { system ("/sbin/iptables -t filter -A INPUT -s $ip -j ACCEPT"); system ("/sbin/iptables -t filter -A FORWARD -s $ip -j ACCEPT"); system ("/sbin/iptables -t filter -A FORWARD -d $ip -j ACCEPT"); system ("/sbin/iptables -t filter -A OUTPUT -d $ip -j ACCEPT"); } } sub Deny { my ($num,$ip) = @_; system("/sbin/iptables -t filter -D INPUT -s $ip -j ACCEPT "); system("/sbin/iptables -t filter -D FORWARD -s $ip -j ACCEPT "); system("/sbin/iptables -t filter -D FORWARD -d $ip -j ACCEPT "); system("/sbin/iptables -t filter -D OUTPUT -d $ip -j ACCEPT "); } 1; У меня он почемуто при авторизации пользователя пускал только в интет, в локалку никак ((( команду iptables -L -n описывал выше |
|
Отправлено: 21:12, 28-11-2006 | #3 |
|
Ветеран Сообщения: 637
|
Профиль | Сайт | Отправить PM | Цитировать Я так понял пускать он должен в другую локалку? Если же нет, то удали последнее правило.
Код:
 IPTABLES -F IPTABLES -t nat -F IPTABLES -X IPTABLES -P INPUT DROP IPTABLES -P OUTPUT ACCEPT IPTABLES -P FORWARD DROP IPTABLES -A INPUT -i lo -j ACCEPT IPTABLES -A INPUT -p UDP -m multiport --dport 53,7723 -j ACCEPT IPTABLES -A INPUT -p ICMP --icmp-type 8 -j ACCEPT IPTABLES -A INPUT --source 192.168.0.0/24 -j ACCEPT IPTABLES -A FORWARD --source 192.168.0.0/24 -j ACCEPT IPTABLES -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 10.10.10.10 |
|
------- Отправлено: 08:03, 29-11-2006 | #4 |
|
Новый участник Сообщения: 26
|
Профиль | Отправить PM | Цитировать Благодарю, вроди работает )))
Ещё такой вопрос... при такой схеме почемуто принимается и отправляется почта через бат , а также работает icq и jabber можно ли это какимто правилом запретить? |
|
|
Отправлено: 15:51, 29-11-2006 | #5 |
|
Ветеран Сообщения: 637
|
Профиль | Сайт | Отправить PM | Цитировать Попробуй так IPTABLES -A FORWARD --source 192.168.0.0/24 --dport 80 -j ACCEPT
Таким образом мы разрешаем форвард пакетов только на 80 порт. |
|
------- Отправлено: 17:33, 29-11-2006 | #6 |
|
Новый участник Сообщения: 26
|
Профиль | Отправить PM | Цитировать меня получился такой набор правил
########################## IPTABLES -F IPTABLES -t nat -F IPTABLES -X IPTABLES -P INPUT DROP IPTABLES -P OUTPUT ACCEPT IPTABLES -P FORWARD DROP IPTABLES -A INPUT -i lo -j ACCEPT IPTABLES -A INPUT -p UDP -m multiport --dport 53,7723 -j ACCEPT IPTABLES -A INPUT -p ICMP --icmp-type 8 -j ACCEPT IPTABLES -A INPUT -i $EXTIF_LIST -j ACCEPT IPTABLES -A OUTPUT -i $EXTIF_LIST -j ACCEPT ################################## EXTIF_LIST - это внешний интерфейс, без него непускал в инет насколько я понимаю - он разрешает общаться серверу с внешним миром... |
|
Отправлено: 17:46, 29-11-2006 | #7 |
|
Ветеран Сообщения: 637
|
Профиль | Сайт | Отправить PM | Цитировать Цитата:
|
|
|
------- Отправлено: 17:55, 29-11-2006 | #8 |
|
Новый участник Сообщения: 26
|
Профиль | Отправить PM | Цитировать ясно,,,, а какже запретить приём и отправку почты и icq
|
|
Отправлено: 18:20, 29-11-2006 | #9 |
|
Ветеран Сообщения: 637
|
Профиль | Сайт | Отправить PM | Цитировать Цитата:
Параметр --dport указывает на какой порт придет пакет. Вобщем почитай на досуге, полезно http://www.opennet.ru/docs/RUS/iptables/ |
|
|
------- Отправлено: 18:41, 29-11-2006 | #10 |
|
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| IPTABLES!!! RULES, Разгавор о iptables | BuuG | Общий по Linux | 17 | 03-03-2006 16:00 | |
| iptables | xamelion | Общий по Linux | 9 | 14-05-2004 18:42 | |
| Вопрос по настройке iptables | zarathushtra | Общий по Linux | 6 | 03-09-2003 14:36 | |
| iptables | The Antihero | Общий по Linux | 21 | 03-11-2002 18:22 | |
|
|
Время: 22:02. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
