Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору iptables     Linux   настройка iptables (крупные статьи переехали на wikibooks) настройка iptables (opennet) Easy Firewall Generator for IPTables Online l7-filter - дополнения для netfilter, позволяющее создавать правила основываясь на данных прикладного уровня. ipset - модуль для ядра Linux к фаерволу netfilter для создания и управления наборами адресов, портов, связок ip+mac.   схема прохождения пакета через netfilter (или более сложно и подробно)   Так же может быть интересным Перевод руководства по iproute2 и управлению трафиком в Linux (оригинал LARTC) -- внимательно читать оглавление - тема содержит уйму всего!!! Введение в управление трафиком, дисциплины обработки очередей (теория) (opennet) - aka Повесть о Linux и управлении трафиком. QoS в Linux - iproute2 и u32 селектор (хабр) QoS в Linux - iproute2, издеваемся над трафиком (хабр)   ipfw     FreeBSD русский MAN (opennet) настройка ipfw (opennet) настройка ipfw (lissyara)   Достаточно частый вопрос Балансировка и резервирование канала (samag.ru)   pf     OpenBSD начальная настройка pf (lissyara) настройка pf как шлюза (lissyara) Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 23:50 19-08-2010 | Исправлено: Alukardd, 11:42 20-05-2022

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Вопрос   5dB От того, что вы с одного сервера выполните NAT на другой, на втором сервер дополнительных интерфейсов не появится... Держите сервера как и раньше на разных портах и не парьтесь, а вот юзеры к ним могут обращаться и по разным ip, это не связанные вещи.   Для iptables это выглядит как-то так iptables -t nat -A PREROUTING -d ${second_ip} --dport ${cs_usual_port} -j DNAT --to-destination ${cs_server_ip}:${cs_unusual_port} если первый сервер не является шлюзом по умолчанию для второго, то тогда еще надо выполнить SNAT: iptables -t nat -A POSTROUTING -d ${cs_server_net}/${cs_server_net_prefix} -o ${internal_interface} -j SNAT --to-source ${first_server_internal_ip}   все переменные ${} стоит заменить на ваши данные. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 01:01 07-03-2012 | Исправлено: Alukardd, 01:09 07-03-2012

5dB Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: От того, что вы с одного сервера выполните NAT на другой, на втором сервер дополнительных интерфейсов не появится... я это понимаю, потому и задал вопрос как сделать что бы на проброшеном IP можно было запустить сервера.   Цитата: Для iptables это выглядит как-то так    iptables -t nat -A PREROUTING -d ${second_ip} --dport ${cs_usual_port} -j DNAT --to-destination ${cs_server_ip}:${cs_unusual_port}    если первый сервер не является шлюзом по умолчанию для второго, то тогда еще надо выполнить SNAT:    iptables -t nat -A POSTROUTING -d ${cs_server_net}/${cs_server_net_prefix} -o ${internal_interface} -j SNAT --to-source ${first_server_internal_ip}        все переменные ${} стоит заменить на ваши данные. это не совсем мне подходит... Всего записей: 9 | Зарегистр. 29-02-2012 | Отправлено: 02:41 07-03-2012 | Исправлено: 5dB, 02:45 07-03-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 5dB Цитата: это не совсем мне подходит... назовите хоть одну причину по которой вас эта схема не устраивает?   Если хотите что бы вам предложили варианты, то тогда описывайте нормально исходные данные. Где и какие диапазоны у вас имеются. И как между собой связаны сервера. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 11:43 07-03-2012

5dB Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Сервера связанны через интернет, точнее можно сказать они через интернет не связанны, а просто ip проброшен через nat и все. IPы в разброс, последовательных нету. Всего записей: 9 | Зарегистр. 29-02-2012 | Отправлено: 15:24 07-03-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 5dB Цитата: а просто ip проброшен через nat и все. что ЭТО? Я вас попросил описать исходные данные, по тому, что я сейчас вижу, я понятия не имею какими ip какие сервера могут пользоваться и откуда они у них взялись и что с ними делать. (реальные можете не приводить если чего-то боитесь, достаточно условностей или измените первый октет, например) Можете следовать рекомендациям из моего предыдущего поста. Или дать нормальное описание ситуации (Клуб Телепатов находится рядом...) ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 16:18 07-03-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Вопрос Small_green_yojik на сколько я понял frox это ftp proxy... Не совсем понимаю его назначение. Ну да ладно, он как и любой ftp сервер должен использовать в пасивном режиме 2 порта 20 - для данных, 21 - для команд. Так что вам нужно просто разрешить эти порты для входящих соединений, надо дописать следующие строки примерно туда же, где у вас иде разрешение VPN и DHCP: # allow FTP ports iptables -A INPUT -p tcp -m multiport --dports 20,21 -j ACCEPT   Добавлено: А так же эти строки стоит удалить (можете закоментировать), и вместо них дописать самым первым правилом для цепочки INPUT следующее: iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT   Добавлено: Совсем забыл... Надо еще разрешить в правилах конект к доп диапазону портов, для пассивного режима ftp сервера. По умолчанию это (49152-65534) iptables -A INPUT -p tcp -m multiport --dports 49152:65534 -j ACCEPT А вообще обычно в конкретном сервере можно настроить (по крайней мере я у себя в vsftpd настроил другой диапазон) ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 01:00 15-03-2012 | Исправлено: Alukardd, 01:11 15-03-2012

Small_green_yojik Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alukardd Спасибо ОГРОМНОЕ! Всего записей: 214 | Зарегистр. 18-05-2009 | Отправлено: 10:11 15-03-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору AkeHayc Вы бы хоть сказали какой firewall настраиваем... Эм... А что в этих программах такого необычного? Тем более если всё это клиенты и доступ другим программам вы закрыть не стремитесь, то собственно вообще беспокоиться не о чем. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 01:45 20-03-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору AkeHayc Видимо, стоит считать что машина с iptables у вас чистая и правилами не замороченная. Так же, видимо, стоит считать, что остальные сервисы стоит запретить.   Вот накидал для вас скрипт. Я тут не использовал ни чего такого чего не было бы на wikipedia. Я не создавал правила для выхода в инет непосредственно с этой машины. Правила не проверял, т.к. писал всё это прямо в ответ из головы.   Прочтите ссылки из шапки темы, они весьма полезны и очень доходчиво расписаны.   Добавлено: Цитата: Я правильно делаю, разрешая локалке аську? это вопрос каждой отдельной организации и решается администрацией, а не администраторами. Цитата: iptables -A FORWARD -d 192.168.2.0/24 -p tcp -m multiport --sport 5190,5222 -j ACCEPT почему sports-то, когда dports!!! Это порты серверов, а не клиентов. Цитата: # 5190 ICQ, 5222 QIP   в мой скрипт можете дописать порт QIP'а... ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 19:58 20-03-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору AkeHayc Ваш скрипт надо переписывать - давайте вы сделаете это сами, я вам только подскажу. Правила применяются по порядку. А вы разрешили forward всего, а после пытаетесь разрешить конкретные порты. К тому разрешать надо подключения ОТ клиента к СЕРВЕРУ, а вы делаете наоборот. Посмотрите как устроены мои правила для FORWARD - там идет --source локалка на dports сервера.   Так же я не понял - у вас eth1 это внутренний интерфейс?   В правиле SNAT лучше указывать исходящий интерфейс - -o $INET. Ну маску тоже вообще приятнее видеть в виде префикса, а не развёрнутой десятичной форме, как у вас используется выше.   p.s. да, про loopback правило я забыл. А icmp вам не особо и нужен, но можно и оставить. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 20:31 20-03-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Вопрос shupike Просто удалите правило POSTROUTING оно не требуется если для 1.7 машины данный роутер является шлюзом по умолчанию. И к тому же вы правило написали не правильно - --to-source указывается ip локального интерфейса. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 23:30 25-03-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору shupike Разумеется, если только они у вас не дублируют правила для всей подсети... Хотя в таком случае они просто бесполезны, но ни как не вредны. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 00:33 26-03-2012 | Исправлено: Alukardd, 00:33 26-03-2012

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору shupike Цитата: -A FORWARD -j LOG -A FORWARD -j DROP -A FORWARD -s 192.168.1.7/32 -j ACCEPT -A FORWARD -d 192.168.1.7/32 -j ACCEPT   Я так подозреваю что после DROP уже пофик что ты там разрешаешь. Попробуй переместить свои 2 строки с ACCEPT'ом выше чем правила DROP.   Да и не встретил ниразу упоминания об Цитата: echo "1" > /proc/sys/net/ipv4/ip_forward оно есть?   Цитата: *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :ОUTPUT DROP [0:0]   После DROP правил по умолчанию для таблицы фильтр, нижеследующие записи даже вредны в данном контексте... Цитата: -A INPUT -j DROP Цитата: -A FORWARD -j DROP Цитата: -A OUTPUT -j DROP     Если у тебя постоянный IP то лучше SNAT использовать (ИМХО) Цитата: -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE ---------- Fools rush in where angels fear to tread. Всего записей: 5475 | Зарегистр. 10-09-2003 | Отправлено: 10:26 26-03-2012 | Исправлено: Ruza, 10:40 26-03-2012

shupike Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата:     Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модераторуshupike   Цитата: -A FORWARD -j LOG -A FORWARD -j DROP -A FORWARD -s 192.168.1.7/32 -j ACCEPT -A FORWARD -d 192.168.1.7/32 -j ACCEPT     Я так подозреваю что после DROP уже пофик что ты там разрешаешь. Попробуй переместить свои 2 строки с ACCEPT'ом выше чем правила DROP.   Да и не встретил ниразу упоминания об Цитата: echo "1" > /proc/sys/net/ipv4/ip_forward оно есть?     Цитата: *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :ОUTPUT DROP [0:0]     После DROP правил по умолчанию для таблицы фильтр, нижеследующие записи даже вредны в данном контексте...   Цитата: -A INPUT -j DROP     Цитата: -A FORWARD -j DROP     Цитата: -A OUTPUT -j DROP       Если у тебя постоянный IP то лучше SNAT использовать (ИМХО)     Ох, чувствую, придется покурить мануалы Думал, наскоком взять iptables... А скажите-ка такую вещь - вот в ipfw на фрюшке - там было понятно, где лежит скрипт с правилами и как его активировать при загрузке ОС. Где здесь аналог скрипта? То есть - откуда Debian читает вот эти правила по умолчанию? Я же их не писал Разобрался пока только с iptables-save и iptables-restore, но не каждый же раз туда-сюда конфигурацию дергать? Всего записей: 116 | Зарегистр. 22-12-2009 | Отправлено: 12:10 26-03-2012

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Firewall *nix: iptables, ipfw, pf etc...

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование