Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Общий по Linux (http://forum.oszone.net/forumdisplay.php?f=9)
-   -   Вопрос по настройке iptables (http://forum.oszone.net/showthread.php?t=13885)

zarathushtra 19-06-2003 01:32 74418
Привет всем,
В чем собственно дело, все тачки в локалке имеют доступ в инет, а вот сам шлюз попасть туда не может после загрузки данного кофига.
Как сделать так, чтобы шлюз тоже имел доступ в инет, но без потери в безопастности?
Конфиг прилагаю:  
exec
echo 0 > /proc/sys/net/ipv4/ip_forward
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -j LOG -i eth1 \! -s 172.168.1.0/24
iptables -A INPUT -j DROP -i eth1 \! -s 172.168.1.0/24
iptables -A INPUT -j DROP -i \! lo -s 127.0.0.0/255.0.0.0
iptables -A INPUT -j ACCEPT -i lo
iptables -A INPUT -m state --state ESTABLISHED,RELATED  -i eht0 -p \! icmp -j ACCEPT
iptables -A INPUT -m state --state NEW -i eth0 -j DROP
iptables -A INPUT -j ACCEPT -p all -i eth1 -s 172.168.1.0/24
iptables -t nat -A POSTROUTING -o eth0  -j MASQUERADE
iptables -A INPUT -j ACCEPT -p icmp -i eth0 --icmp-type echo-reply -d 192.168.10.104
iptables -A INPUT -j ACCEPT -p icmp -i eth0 --icmp-type echo-request -d 192.168.10.104
iptables -A INPUT -j ACCEPT -p icmp -i eth0 --icmp-type destination-unreachable -d 192.168.10.104
echo 1 > /proc/sys/net/ipv4/ip_forward
exit 0
----------------------------------
Заранее спасибо.

JeweL 23-06-2003 11:48 74419
попробуй добавить в конце правило
iptables -A INPUT -j LOG --log-prefix "DROPPED in INPUT: "
и посмотри что будет в логах

Nigon 23-06-2003 18:32 74420
zarathushtra
C iptables всерьез не работал, но посоветую прочитать вот это:
http://www.mycomp.com.ua/article.php?id=5184

Neon 03-09-2003 13:37 74421
У меня происходит такая же ерунда
а когда пишу iptables -A INPUT -j ACCEPT -i eth0 -p all
то все работает...
смотрю логи: droped in:lo -s 127.0.0.1 -d 127.0.0.1
что там нужно прописать ?

JeweL 03-09-2003 13:50 74422
Neon
127.0.0.0/8 (в т.ч. 127.0.0.1) - интерфейс lo, а не eth0
идея ясна?

Neon 03-09-2003 14:13 74423
iptables -A INPUT -j ACCEPT -i lo -p all -s 127.0.0.0/8 -d 127.0.0.0/8
не работает
пробовал:
iptables -A INPUT -j ACCEPT -i eth0 -p all -s 0/0 -d 127.0.0.0/8 - не пускает
iptables -A INPUT -j ACCEPT -i eth0 -p all - все отлично работает, но зачем тогда firewall
есть еще какието мысли ?

JeweL 03-09-2003 14:36 74424
непонятно что вы хотите сделать, но это должно работать:
iptables -A OUTPUT -j ACCEPT -s 127.0.0.1 -p all
iptables -A INPUT -j ACCEPT -i lo -p all

смысла 2 и 3 правил не вижу

ps. поищите на opennet.ru "Iptables Tutorial 1.1.14"


Время: 23:44.

Время: 23:44.
© OSzone.net 2001-