|
|
|
|
| Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » iptables |
|
|
iptables
|
Пользователь Сообщения: 122 |
#!/bin/sh
IPT=/sbin/iptables $IPT -F INPUT $IPT -F FORWARD $IPT -F OUTPUT $IPT -A INPUT -i eth0 -p tcp -s 0/0 --sport 0:65535 -d 0/0 --dport 80 -j ACCEPT $IPT -A INPUT -i eth0 -p tcp -s 0/0 --sport 0:65535 -d 0/0 --dport 22 -j ACCEPT $IPT -A INPUT -i eth0 -p tcp -s 0/0 --sport 0:65535 -d 0/0 --dport 0:65535 -j DROP $IPT -A INPUT -i eth0 -p udp -s 0/0 --sport 0:65535 -d 0/0 --dport 27500:27515 -j ACCEPT $IPT -A INPUT -i eth0 -p udp -s 0/0 --sport 0:65535 -d 0/0 --dport 0:65535 -j DROP # $IPT -A FORWARD -i eth1 -p tcp -s 128.1.1.99 --sport 0:65535 -d 0/0 --dport 0:65535 -j DROP # zero $IPT -A FORWARD -i eth1 -p tcp -s 128.1.1.99 --sport 0:65535 -d 10.0.0.0/0 --dport 0:65535 -j ACCEPT $IPT -A FORWARD -i eth1 -p tcp -s 128.1.1.99 --sport 0:65535 -d 10.105.7.193/24 --dport 0:65535 -j ACCEPT $IPT -A FORWARD -i eth1 -p tcp -s 128.1.1.99 --sport 0:65535 -d 194.135.50.138 --dport 0:65535 -j ACCEPT $IPT -A FORWARD -i eth1 -p tcp -s 128.1.1.99 --sport 0:65535 -d 194.135.50.138 --dport 0:65535 -j ACCEPT $IPT -A FORWARD -i eth1 -p tcp -s 128.1.1.99 --sport 0:65535 -d 10.104.40.199 --dport 0:65535 -j ACCEPT $IPT -A FORWARD -i eth1 -p tcp -s 128.1.1.99 --sport 0:65535 -d 10.102.45.199 --dport 0:65535 -j ACCEPT $IPT -A FORWARD -i eth1 -p tcp -s 128.1.1.99 --sport 0:65535 -d 194.135.50.188 --dport 0:65535 -j ACCEPT $IPT -A FORWARD -i eth1 -p tcp -s 128.1.1.99 --sport 5190 -d 64.12.25.145 --dport 0:65535 -j ACCEPT #ICQ $IPT -A FORWARD -i eth1 -p tcp -s 128.1.1.99 --sport 0:65535 -d 0/0 --dport 0:65535 -j DROP $IPT -A FORWARD -i eth1 -p tcp -s 128.1.1.99 --sport 0:65535 -d 0.0.0.0 --dport 0:65535 -j DROP $IPT -A FORWARD -i eth1 -p udp -s 128.1.1.99 --sport 0:65535 -d 10.0.0.0 --dport 0:65535 -j ACCEPT $IPT -A FORWARD -i eth1 -p udp -s 128.1.1.99 --sport 0:65535 -d 10.105.7.193/24 --dport 0:65535 -j ACCEPT $IPT -A FORWARD -i eth1 -p udp -s 128.1.1.99 --sport 0:65535 -d 194.135.50.138 --dport 0:65535 -j ACCEPT $IPT -A FORWARD -i eth1 -p udp -s 128.1.1.99 --sport 0:65535 -d 194.135.50.138 --dport 0:65535 -j ACCEPT $IPT -A FORWARD -i eth1 -p udp -s 128.1.1.99 --sport 0:65535 -d 10.104.40.199 --dport 0:65535 -j ACCEPT $IPT -A FORWARD -i eth1 -p udp -s 128.1.1.99 --sport 0:65535 -d 10.102.45.199 --dport 0:65535 -j ACCEPT $IPT -A FORWARD -i eth1 -p udp -s 128.1.1.99 --sport 0:65535 -d 194.135.50.188 --dport 0:65535 -j ACCEPT $IPT -A FORWARD -i eth1 -p udp -s 128.1.1.99 --sport 0:65535 -d 0/0 --dport 0:65535 -j DROP $IPT -A FORWARD -i eth1 -p tcp -s 128.1.1.77 --sport 0:65535 -d 0/0 --dport 0:65535 -j ACCEPT $IPT -A FORWARD -i eth1 -p tcp -s 128.1.1.10 --sport 0:65535 -d 0/0 --dport 0:65535 -j ACCEPT $IPT -A FORWARD -i eth1 -p tcp -s 128.1.1.13 --sport 0:65535 -d 0/0 --dport 0:65535 -j ACCEPT $IPT -A FORWARD -i eth1 -p tcp -s 0/0 --sport 0:65535 -d 0/0 --dport 0:65535 -j DROP $IPT -A FORWARD -i eth1 -p udp -s 128.1.1.77 --sport 0:65535 -d 0/0 --dport 0:65535 -j ACCEPT $IPT -A FORWARD -i eth1 -p udp -s 128.1.1.10 --sport 0:65535 -d 0/0 --dport 0:65535 -j ACCEPT $IPT -A FORWARD -i eth1 -p udp -s 128.1.1.13 --sport 0:65535 -d 0/0 --dport 0:65535 -j ACCEPT $IPT -A FORWARD -i eth1 -p udp -s 0/0 --sport 0:65535 -d 0/0 --dport 0:65535 -j DROP # $IPT -A INPUT -i eth0:1 -p tcp -s 0/0 --sport 0:65535 -d 0/0 --dport 80 -j ACCEPT # $IPT -A INPUT -i eth0:1 -p tcp -s 0/0 --sport 0:65535 -d 0/0 --dport 22 -j ACCEPT # $IPT -A INPUT -i eth0:1 -p tcp -s 0/0 --sport 0:65535 -d 0/0 --dport 0:65535 -j DROP # $IPT -A INPUT -i eth0:1 -p udp -s 0/0 --sport 0:65535 -d 0/0 --dport 27500:27515 -j ACCEPT # $IPT -A INPUT -i eth0:1 -p udp -s 0/0 --sport 0:65535 -d 0/0 --dport 0:65535 -j DROP вот так выглядит моя таблица, теперь проблема у провайдера есть сеть, ее адреса 10.х.х.х, линукс цепляется к этой сети, в которой соответственно есть интернет, все это приходит на eth0 еще один интерфейс, т.е. eth1 приходит на сеть, с адресами 128.х.х.х Компьютер 128.1.1.99 надо отключить от инета, но что бы мог пользоватся лишь некоторыми серверами в интернете, и внутренней сетью на 10.х.х.х С компьютера 128.1.1.99 почему то открывается весь инет, любые сайты... почему? и что не так ? [s]Исправлено: xamelion, 22:44 10-05-2004[/s] |
|
|
Отправлено: 22:42, 10-05-2004 |
|
Старожил Сообщения: 213
|
Профиль | Отправить PM | Цитировать $IPT -A FORWARD -i eth1 -p tcp -s 128.1.1.99 --sport 0:65535 -d 10.0.0.0/0 --dport 0:65535 -j ACCEPT
- это правило ни о чем не говорит? Оно и открывает доступ к любым хостам/портам по tcp |
|
------- Отправлено: 11:54, 11-05-2004 | #2 |
|
Пользователь Сообщения: 122
|
Профиль | Отправить PM | Цитировать JeweL
$IPT -A FORWARD -i eth1 -p tcp -s 128.1.1.99 --sport 0:65535 -d 10.0.0.0/0 --dport 0:65535 -j ACCEPT Может я действительно не прав, но я это понимаю как условие приходящие с интерфейса1 TCP с адреса 128.1.1.99 с любым портом на адрес начинающий с 10. с любой маской, с любым удаленным портом. РАЗРЕШИТЬ. Ну на скока я знаю в интернете адреса на 10 127 128 192 не могут существовать(там их на самом деле по более, но не уходим в подробности) |
|
Отправлено: 14:53, 11-05-2004 | #3 |
|
Старожил Сообщения: 213
|
Профиль | Отправить PM | Цитировать xamelion
а так: 10.0.0.0/0 == 0.0.0.0/0 ? 1. то, что вы хотите получить, думаю пишется так: 10.0.0.0/8 2. порты 0:65535 писать необязательно, т.к. это подразумевается по-умолчанию Добавлено: ликбез: маска - битовая маска, которая определяет, какая часть ip-адреса является адресом сети. В данном случае это - кол-во битов, сравниваемых с входящим адресом |
|
------- Отправлено: 15:17, 11-05-2004 | #4 |
|
Пользователь Сообщения: 122
|
Профиль | Отправить PM | Цитировать JeweL
Ой Ой Ой..... надо зачитать ховто  меня тока смущает одна цифорка, это 8 как я понял это битнось маски... ну там много масок, у меня например 255.255.254.0, у соседа 255.255.255.0 у кого то, еще что то..... ну как бы провайдер сети разбил масками, что бы уж не сильно логало Добавлено: получается, что с цыфрой восем, он вообще хз кого будет видеть ? |
|
|
Отправлено: 15:31, 11-05-2004 | #5 |
|
Старожил Сообщения: 213
|
Профиль | Отправить PM | Цитировать не хз. Сопоставимы будут адреса с первым октетом=10.
Почитайте про IP адрессацию и маршрутизацию |
|
------- Отправлено: 16:44, 11-05-2004 | #6 |
|
Пользователь Сообщения: 122
|
Профиль | Отправить PM | Цитировать JeweL
спасибо, почитаем сделаем еще раз спасибо |
|
Отправлено: 17:08, 11-05-2004 | #7 |
|
glassMonk
Сообщения: n/a |
JeweL
Отлично, а я глазел глазел в скрипт так и ничего не увидел Тогда вот это получается повторение. Не рацеонально $IPT -A FORWARD -i eth1 -p tcp -s 128.1.1.99 --sport 0:65535 -d 0/0 --dport 0:65535 -j DROP $IPT -A FORWARD -i eth1 -p tcp -s 128.1.1.99 --sport 0:65535 -d 0.0.0.0 --dport 0:65535 -j DROP |
|
Отправлено: 00:24, 13-05-2004 | #8 |
|
Пользователь Сообщения: 122
|
Профиль | Отправить PM | Цитировать glassMonk
Внимательнее, в первом случае вы пропустили "#", во втором же, это последняя строчка, тоесть если все не так то не пропускать |
|
Отправлено: 12:53, 13-05-2004 | #9 |
|
glassMonk
Сообщения: n/a |
xamelion
Да я к тому что эти две строчки выполняют одну и туже операцию. что $IPT -A FORWARD -i eth1 -p tcp -s 128.1.1.99 --sport 0:65535 -d 0/0 --dport 0:65535 -j DROP что $IPT -A FORWARD -i eth1 -p tcp -s 128.1.1.99 --sport 0:65535 -d 0.0.0.0 --dport 0:65535 -j DROP ведь одно и тоже. |
|
Отправлено: 18:42, 14-05-2004 | #10 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| [решено] Iptables и DC++ | Strange_V | Программное обеспечение Linux и FreeBSD | 6 | 29-02-2008 08:04 | |
| Вопрос по iptables | Non-Stop | Общий по Linux | 18 | 21-02-2008 18:51 | |
| IPTABLES!!! RULES, Разгавор о iptables | BuuG | Общий по Linux | 17 | 03-03-2006 16:00 | |
| iptables | The Antihero | Общий по Linux | 21 | 03-11-2002 18:22 | |
|
|
Время: 22:07. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
