|
Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Проблема с NAT в Линуксе Fedora Core 7 |
|
Проблема с NAT в Линуксе Fedora Core 7
|
![]() Ветеран Сообщения: 907 |
Нужен совет где косяк зарылся.
Добавил строку в iptables -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth0 -j SNAT --to-source 80.237.27.** Получил следующий конфигурационный файл.
Еще в файле sysctl.conf в строке net.ipv4.ip_forward = 0 поменял на 1.
Но пинги дальше внутреннего адреса сервера 192.168.1.200 не уходят Пингую адрес сетевой карты которая смотрит наружу 80.237.27.** пинги идут, а вот пинги на шлюз уже не идут 80.237.27.41 Подскажите плиз? |
|
Отправлено: 14:35, 30-07-2007 |
![]() Ветеран Сообщения: 907
|
Профиль | Отправить PM | Цитировать Вопрос, а почему так. Не проще забить настройки в /etc/sysconfig/iptables
сделать рестарт серввиса и все. # service iptables restart
Вот только добится работы пингов я не смог. Если с нему коментарии с этих строк пинги не идут, лучше делать дроп на icmp отдельно, а открыть нужные. То много писать. |
------- Отправлено: 21:10, 09-08-2007 | #11 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Слакофил Сообщения: 590
|
Профиль | Сайт | Отправить PM | Цитировать Цитата voler:
Для того чтобы заработал ping наружу, нужно разрешить на выход icmp пакеты типа echo-request, и на вход echo-reply. Для пинга снаружи соответственно наоборот. |
|
------- Отправлено: 22:01, 09-08-2007 | #12 |
![]() Ветеран Сообщения: 907
|
Профиль | Отправить PM | Цитировать Посоветуйте, может что не так.
0/0 - ip адрес
Вот часть моего файла настроек файрвола. Прошу высказать свои комментарии. И еще возник вопрос по iptables и его родоначальнику ipchains. В ipchains было следующие: EXTERNAL_INTERFACE в iptables это параметр -i Internal_ INTERFACE - LAN_1 LAN_IPADDR_1 LOOPBACK_INTERFACE IPADDR - адрес компа ANYWHERE MY_ISP LOOPBACK BROADCAST_DEST BROADCAST_SRC NAMESERVER SMTP_GATEWAY POP_SERVER NEWS_SERVER IMAP_SERVER PRIVPPORTS UNPRIVPORTS SSH_PORTS Если соответствия данным параметрам в iptables. Man читал. |
------- Отправлено: 10:54, 16-08-2007 | #13 |
Слакофил Сообщения: 590
|
Профиль | Сайт | Отправить PM | Цитировать Что сразу бросилось в глаза - зачем вот это?
Цитата voler:
Воттут еще: Цитата voler:
В первом случае нужно исправить на -A OUTPUT -s 0/0 --protocol tcp --sport 80 -j ACCEPT а во втором -A INPUT -d 0/0 --protocol tcp --sport 80 -j ACCEPT Аналогично касательно почти и аськи. Еще мне не понятно зачем нужно второе правило для разрешения ssh, ну и если сервер стоит в инете с открытым ssh, я бы добавил защиту от bruteforce. Цитата voler:
|
|||
------- Последний раз редактировалось BuGfiX, 16-08-2007 в 12:04. Отправлено: 11:52, 16-08-2007 | #14 |
![]() Ветеран Сообщения: 907
|
Профиль | Отправить PM | Цитировать Возможно ты прав, скорее всего, я прочел об этом "Линукс-сервер в виндовс окружении" Алексея Стаханова.
я бы добавил защиту от bruteforce. - по подробней если можно?\ За остальное спасибо. Цитата BuGfiX:
Цитата BuGfiX:
|
||
------- Отправлено: 12:31, 16-08-2007 | #15 |
Слакофил Сообщения: 590
|
Профиль | Сайт | Отправить PM | Цитировать Цитата voler:
INPUT = DROP OUTPUT = ACCEPT FORWARD = DROP а дальше разрешаю только то что нужно. Хотя можно поступить и противоположным образом - дело вкуса. Защиту SSH от брутфорса можно сдлать например вот так: iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --name SSH --set iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --name SSH --update --seconds 60 --hitcount 2 -j DROP iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -j ACCEPT |
|
------- Отправлено: 12:43, 16-08-2007 | #16 |
![]() Ветеран Сообщения: 907
|
Профиль | Отправить PM | Цитировать Цитата BuGfiX:
Тогда скажи как быть с ftp, его я собираюсь организовать в ближайшее время. Запрос и дет по одному порту, а работа дальнейшая по большому диапазону портов. Цитата BuGfiX:
|
||
------- Отправлено: 13:01, 16-08-2007 | #17 |
Слакофил Сообщения: 590
|
Профиль | Сайт | Отправить PM | Цитировать Цитата voler:
Цитата voler:
Его описание так же есть по ссылке, которую я давал ранее. |
||
------- Отправлено: 13:45, 16-08-2007 | #18 |
![]() Ветеран Сообщения: 907
|
Профиль | Отправить PM | Цитировать Цитата BuGfiX:
-m recent - это что за модуль? -- NAME SSH Задание имени для recent ? --set добавляет новый адрес. --update --seconds 60 --hitcount 2 -j DROP - это блокирует адреса, которые обращаются с интервалом меньше 60 сек? Я все правильно понял? |
|
------- Последний раз редактировалось voler, 16-08-2007 в 14:40. Отправлено: 14:06, 16-08-2007 | #19 |
Слакофил Сообщения: 590
|
Профиль | Сайт | Отправить PM | Цитировать -m state --state NEW
Цитата:
|
|
------- Отправлено: 14:18, 16-08-2007 | #20 |
![]() |
Участник сейчас на форуме |
![]() |
Участник вне форума |
![]() |
Автор темы |
![]() |
Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Redhat/Fedora - проблема с удаленным доступом по ssh из приложения в fedora core 8 | YanaD | Общий по Linux | 3 | 24-10-2008 09:35 | |
Проблема с микрофоном в Fedora Core 6_64 | gresik | Железо в Linux | 2 | 29-01-2007 15:36 | |
Звук в Fedora Core 3 | dmitryst | Железо в Linux | 8 | 11-04-2005 14:14 | |
Fedora Core 3 | GoRiLLa | Новости и флейм из мира *nix | 9 | 15-12-2004 17:43 | |
Fedora Core 2 | orion2 | Общий по Linux | 16 | 26-06-2004 19:13 |
|