Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Firewall *nix: iptables, ipfw, pf etc...

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

Открыть новую тему     Написать ответ в эту тему

Alukardd



Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
iptables
   
Linux

 
  • настройка iptables (крупные статьи переехали на wikibooks)
  • настройка iptables (opennet)
  • Easy Firewall Generator for IPTables Online
  • l7-filter - дополнения для netfilter, позволяющее создавать правила основываясь на данных прикладного уровня.
  • ipset - модуль для ядра Linux к фаерволу netfilter для создания и управления наборами адресов, портов, связок ip+mac.
     
  • схема прохождения пакета через netfilter (или более сложно и подробно)
     
    Так же может быть интересным
  • Перевод руководства по iproute2 и управлению трафиком в Linux (оригинал LARTC) -- внимательно читать оглавление - тема содержит уйму всего!!!
  • Введение в управление трафиком, дисциплины обработки очередей (теория) (opennet) - aka Повесть о Linux и управлении трафиком.
  • QoS в Linux - iproute2 и u32 селектор (хабр)
  • QoS в Linux - iproute2, издеваемся над трафиком (хабр)
     

    ipfw
       
    FreeBSD

  • русский MAN (opennet)
  • настройка ipfw (opennet)
  • настройка ipfw (lissyara)
     
    Достаточно частый вопрос
  • Балансировка и резервирование канала (samag.ru)
     

    pf
       
    OpenBSD

  • начальная настройка pf (lissyara)
  • настройка pf как шлюза (lissyara)
    • Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 23:50 19-08-2010 | Исправлено: Alukardd, 11:42 20-05-2022
    bga83



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    yrkrus
    у тебя в ядре остался ipfw. При этом с единственным правилом на запрет всего. Теперь по сути пакеты проходят у тебя 2 фаервола и ipfw и pf. И если второй все пропускает, то первый все блочит. ИМХО целесообразнее пересобрать ядро и выкинуть старый фаервол, добавив новый.  
     
    Но еще имей ввиду pf не умеет SMP, то есть обработка пакетов идет в один поток, в отличие от ipfw, который нормально парралелится. Как следствие у pf на многопроцессорных(точнее многопоточных) системах пропускная способность будет ниже. По этой причине мне как-то пришлось совершать обратную миграцию pf -> ipfw. Так как уперся в практический потолок порядка 150-180Мбит/сек для Pf.  
     
    Добавлено:
    Lennonenko
    проверь какие именно правила загрузились. Я OpenBSD не имел дело, но FreeBSD правила pf требуют определенного порядка следования правил: сначала нат(включая пробросы rdr), а потом разрешающие/запрещающие правила фильтрации.
    Всего записей: 2008 | Зарегистр. 30-11-2007 | Отправлено: 10:00 22-05-2012
    OOD

    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Помогите пожалуйста с iptables
    в линуксе я полный 0
    стоит CenosOS 6.2  
    нужно добавить IP Для маршрутизации NAT.
    просматриваю таблицу NAT:

    Код:
    iptables -t nat -L -n -v

    вижу:

     
    подскажите какой командой добавить сюда еще 1 IP адрес для маршрутизации NAT на этот адрес?
    Всего записей: 3389 | Зарегистр. 20-05-2006 | Отправлено: 14:43 23-05-2012 | Исправлено: OOD, 14:44 23-05-2012
    Alukardd



    Gold Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    OOD
    1 - маршрутизация и NAT это разные понятия.
    2 - на кой х** вы замазали адреса локальных машин?)
    (0 Вы не в Linux, а в сетях)
    Если просто добавить правило, то оно не сохранится после перезагрузки...
    Надо любым известным Вам способом отредактировать файл /etc/sysconig/iptables. В нём надо будет создать еще одно правило аналогичное имеющимся. Как они выглядят там и увидите. Все вопросы как редактировать и что такое GNU/Linux задавать в профильной теме - Новичок в GNU/Linux (там Вам разжуют самую страшную глупость, а здесь только поглумятся, в том числе и я) После редактирования правила надо будет применить - выполняете команду: /etc/init.d/iptables restart
     
    Если у Вас уже пожар, а как редактировать файл вы не знаете тогда можете просто выполнить команду:
    Код:
    iptables -t nat -I POSTROUTING -s 10.x.x.x -o eth1 -j MASQUERADE
    Еще раз напомню что сие действие только до перезагрузки.

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.
    Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 22:25 23-05-2012
    kURONO



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ubuntu 11.04 lts eth1 (WAN) eth2 (LAN) - оба адреса статические. Установлен прозрачный squid+squidgurad
     
    http_port 3128 transparent
     
    В чём может быть проблема, если я вписываю адрес прокси в IE, то всё работает и SquidGurad тоже, как только я дописываю правила для iptables и выключаю настройку прокси в IE, то инет  прекращает работать.  
     
    iptables -t nat -A PREROUTING -i eth2 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.244.252:3128
    iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
     
    читал в инете, везде описывают такие же правила, но у меня не работает, в какую сторону смотреть?
    Всего записей: 133 | Зарегистр. 14-12-2006 | Отправлено: 15:04 31-05-2012
    Alukardd



    Gold Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    kURONO
    Удалите правило DNAT и оставьте только REDIRECT.
    Также если у Вас на самом шлюзе тоже крутится сайт, то правило лучше изменить так:
    iptables -t nat -A PREROUTING -i eth1 ! -d 192.168.244.252/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.
    Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 17:39 31-05-2012
    kURONO



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Alukardd
    Пробовал по Вашему совету, эффект тотже, может дело в том, что используются DNS провайдера в настройках хостов?  
    Как я понимаю форвардинг между интерфейсам включать не надо?
    Имеет ли смысл пересобирать squid с ICMP и смотреть пингом?
    Всего записей: 133 | Зарегистр. 14-12-2006 | Отправлено: 12:22 01-06-2012 | Исправлено: kURONO, 12:22 01-06-2012
    kerevra



    Advanced Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    kURONO, покажите iptables -nvL
     
    Добавлено:

    Цитата:
    Как я понимаю форвардинг между интерфейсам включать не надо?
    для прозрачного прокси надо, а вот нат поднимать не обязательно
     
    Добавлено:

    Цитата:
    Имеет ли смысл пересобирать squid с ICMP и смотреть пингом?  
    если у вас отключен форвардинг и не поднят нат, то пинг будет только до самой машины, но не дальше


    ----------
    Если софт полезен, его надо дорабатывать, а если бесполезен - надо писать к нему маны
    Всего записей: 1192 | Зарегистр. 25-11-2009 | Отправлено: 12:51 01-06-2012
    kURONO



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    kerevra
     
    Раскомментировал net.ipv4.ip_forward=1 в /etc/sysctl.conf
     
    Сбросил правила iptables (iptables -F, iptables -t nat -F), прописал правило написанное
    iptables -t nat -A PREROUTING -i eth1 ! -d 192.168.244.252/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128
     
    Выкладываю -nvL  

    Код:
     
    Chain INPUT (policy ACCEPT 383 packets, 33630 bytes)
     pkts bytes target     prot opt in     out     source               destination          
     
    Chain FORWARD (policy ACCEPT 45 packets, 2625 bytes)
     pkts bytes target     prot opt in     out     source               destination          
     
    Chain OUTPUT (policy ACCEPT 195 packets, 22256 bytes)
     pkts bytes target     prot opt in     out     source               destination
     
     
     
    ребутаюсь

    Код:
     
    iptables -t nat -A PREROUTING -i eth2 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.244.252:3128
    iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
     

     
    Выкладываю -nvL

    Код:
     
    Chain INPUT (policy ACCEPT 323 packets, 31010 bytes)
     pkts bytes target     prot opt in     out     source               destination          
     
    Chain FORWARD (policy ACCEPT 42 packets, 2495 bytes)
     pkts bytes target     prot opt in     out     source               destination          
     
    Chain OUTPUT (policy ACCEPT 189 packets, 31408 bytes)
     pkts bytes target     prot opt in     out     source               destination    
     
         
     
    Не работает.......
     
    Ставлю dnsmasq, пишу на хосте в DNS адрес шлюза, пишу теже правила iptables:

    Код:
     
    iptables -t nat -A PREROUTING -i eth2 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.244.252:3128
    iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
     

     
    Всё работает и squid и squidguard и lightsquid и инет есть.....
     
     
     
     
     
     
     
     
     
     
     
           
    Всего записей: 133 | Зарегистр. 14-12-2006 | Отправлено: 16:14 01-06-2012 | Исправлено: kURONO, 16:14 01-06-2012
    Mosl

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    В iptables есть строки типа:
     
    -A FORWARD -i etho -s 10.10.0.90 -p tcp -m multiport --dports 80, 443 -j ACCEPT
     
    Как мне отредактировать строчку так что бы добавить UDP порты, к примеру 4380?
     
    OS: CentOS
    Всего записей: 620 | Зарегистр. 09-05-2006 | Отправлено: 17:03 17-07-2012
    kerevra



    Advanced Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Mosl, как нетрудно догадаться, необходимо только заменить "-p tcp" на "-p udp". в случае, если надо разрешить форвардинг только одного порта, то "-p tcp -m multiport --dports ..." надо заменить на "-p udp --dport ..."

    ----------
    Если софт полезен, его надо дорабатывать, а если бесполезен - надо писать к нему маны
    Всего записей: 1192 | Зарегистр. 25-11-2009 | Отправлено: 17:29 17-07-2012
    Alukardd



    Gold Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Mosl
    Никак. Надо добавить еще одну строку с правилами для udp.

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.
    Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 17:41 17-07-2012 | Исправлено: Alukardd, 17:59 17-07-2012
    kerevra



    Advanced Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Alukardd, я так понял что вопрос как раз в том, как должна выглядеть аналогичная строчка для udp... похоже неправильно понял вопрос

    ----------
    Если софт полезен, его надо дорабатывать, а если бесполезен - надо писать к нему маны
    Всего записей: 1192 | Зарегистр. 25-11-2009 | Отправлено: 17:46 17-07-2012 | Исправлено: kerevra, 17:46 17-07-2012
    Alukardd



    Gold Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    kerevra
    omg, только с 3 прочтения понял, что Вы сказали. Ответ засчитан

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.
    Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 18:00 17-07-2012
    Mosl

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    kerevra
    Alukardd
    Спасибо за ответы.
    Еще пару вопрос.  
    Я так понимаю что так открываются исходщие парты. А как открыть входящие?
    Если надо задать диапозон портов, то это как и в виндах задаеться через тире? Пример 27000-27040 или как-то иначе.
    Всего записей: 620 | Зарегистр. 09-05-2006 | Отправлено: 20:04 17-07-2012 | Исправлено: Mosl, 21:03 17-07-2012
    vlary



    Platinum Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Mosl Ну так пролистнул бы тему на пару-тройку страниц назад. Там пример есть.
    iptables -A INPUT -p tcp -m multiport --dports 49152:65534 -j ACCEPT  
    Или жара, лениво?

    ----------
    Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
    Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 21:04 17-07-2012
    Alukardd



    Gold Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Mosl
    я настоятельно рекомендую ссылки из шапки к ознакомлению.

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.
    Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 21:21 17-07-2012
    syrus

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Все привет.
    Столкнулся с программой Polycom, которой для работы H.323 нужно ну ооочень много портов (http://www.polycom.su/support/faq/).
     
    Прописал в iptables следующее:

    Код:
     
    iptables -I INPUT -p tcp --dport 389 -j ACCEPT
    iptables -I OUTPUT -p tcp --sport 389 -j ACCEPT
    iptables -I INPUT -p tcp --dport 1002 -j ACCEPT
    iptables -I OUTPUT -p tcp --sport 1002 -j ACCEPT
    iptables -I INPUT -p udp --dport 1002 -j ACCEPT
    iptables -I OUTPUT -p udp --sport 1002 -j ACCEPT
    iptables -I INPUT -p udp -m multiport --dport 1718:1719 -j ACCEPT
    iptables -I OUTPUT -p udp -m multiport --sport 1718:1719 -j ACCEPT
    iptables -I INPUT -p tcp --dport 1720 -j ACCEPT
    iptables -I OUTPUT -p tcp --sport 1720 -j ACCEPT
    iptables -I INPUT -p tcp --dport 1731 -j ACCEPT
    iptables -I OUTPUT -p tcp --sport 1731 -j ACCEPT
    iptables -I INPUT -p tcp --dport 1503 -j ACCEPT
    iptables -I OUTPUT -p tcp --sport 1503 -j ACCEPT
    iptables -I INPUT -p tcp --dport 3601 -j ACCEPT
    iptables -I OUTPUT -p tcp --sport 3601 -j ACCEPT
    iptables -I INPUT -p udp --dport 3601 -j ACCEPT
    iptables -I OUTPUT -p udp --sport 3601 -j ACCEPT
    iptables -I INPUT -p tcp --dport 3603 -j ACCEPT
    iptables -I OUTPUT -p tcp --sport 3603 -j ACCEPT
    iptables -I INPUT -p tcp --dport 3604 -j ACCEPT
    iptables -I OUTPUT -p tcp --sport 3604 -j ACCEPT
    iptables -I INPUT -p tcp --dport 5001 -j ACCEPT
    iptables -I OUTPUT -p tcp --sport 5001 -j ACCEPT
    iptables -I INPUT -p tcp --dport 5060 -j ACCEPT
    iptables -I OUTPUT -p tcp --sport 5060 -j ACCEPT
    iptables -I INPUT -p udp --dport 5060 -j ACCEPT
    iptables -I OUTPUT -p udp --sport 5060 -j ACCEPT
    iptables -I INPUT -p tcp --dport 8080 -j ACCEPT
    iptables -I OUTPUT -p tcp --sport 8080 -j ACCEPT
     
    iptables -I INPUT -p tcp -m multiport --dport 3230:3237 -j ACCEPT
    iptables -I OUTPUT -p tcp -m multiport --sport 3230:3237 -j ACCEPT
    iptables -I INPUT -p tcp -m multiport --dport 3220:3225 -j ACCEPT
    iptables -I OUTPUT -p tcp -m multiport --sport 3220:3225 -j ACCEPT
    iptables -I INPUT -p udp -m multiport --dport 3230:3247 -j ACCEPT
    iptables -I OUTPUT -p udp -m multiport --sport 3230:3247 -j ACCEPT
     
    iptables -I INPUT -p udp -m multiport --dport 1024:65535 -j ACCEPT
    iptables -I OUTPUT -p udp -m multiport --sport 1024:65535 -j ACCEPT
    iptables -I INPUT -p tcp -m multiport --dport 1024:65535 -j ACCEPT
    iptables -I OUTPUT -p tcp -m multiport --sport 1024:65535 -j ACCEPT
     
    iptables -A FORWARD -d $edds -p tcp --dport 389 -j ACCEPT
    iptables -A FORWARD -d $edds -p tcp --dport 1002 -j ACCEPT
    iptables -A FORWARD -d $edds -p udp --dport 1002 -j ACCEPT
    iptables -A FORWARD -d $edds -p udp -m multiport --dport 1718:1719 -j ACCEPT
    iptables -A FORWARD -d $edds -p tcp --dport 1720 -j ACCEPT
    iptables -A FORWARD -d $edds -p tcp --dport 1731 -j ACCEPT
    iptables -A FORWARD -d $edds -p tcp --dport 1503 -j ACCEPT
    iptables -A FORWARD -d $edds -p tcp --dport 3601 -j ACCEPT
    iptables -A FORWARD -d $edds -p udp --dport 3601 -j ACCEPT
    iptables -A FORWARD -d $edds -p tcp --dport 3603 -j ACCEPT
    iptables -A FORWARD -d $edds -p tcp --dport 3604 -j ACCEPT
    iptables -A FORWARD -d $edds -p tcp --dport 5001 -j ACCEPT
    iptables -A FORWARD -d $edds -p tcp --dport 5060 -j ACCEPT
    iptables -A FORWARD -d $edds -p udp --dport 5060 -j ACCEPT
    iptables -A FORWARD -d $edds -p tcp --dport 8080 -j ACCEPT
    iptables -A FORWARD -d $edds -p tcp -m multiport --dport 3230:3247 -j ACCEPT
    iptables -A FORWARD -d $edds -p udp -m multiport --dport 3230:3247 -j ACCEPT
    iptables -A FORWARD -d $edds -p tcp -m multiport --dport 3220:3225 -j ACCEPT
    iptables -A FORWARD -d $edds -p tcp -m multiport --dport 1024:65535 -j ACCEPT
    iptables -A FORWARD -d $edds -p udp -m multiport --dport 1024:65535 -j ACCEPT
     

     
    Вроде бы все порты открыл со страницы, но программа не оживает. Конечно, если отрубить фаервол, сигнал проходит.
    Подскажите, можно ли с конкретного компа из локальной сети ($edds) дать полный доступ в инет/из инета конкретной программе, чтобы не искать, какой порт я еще забыл добавить?
    Либо ткните пальцем где прочитать, решение нужно срочно, к чтению шапки уже приступил))
    Всего записей: 57 | Зарегистр. 15-06-2006 | Отправлено: 08:28 06-08-2012 | Исправлено: syrus, 09:19 06-08-2012
    Alukardd



    Gold Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    syrus
    Сурово, порты через запятую можно перечислять, что бы не было столько правил)
    К тому же зачем вы их добавляли в цепочки INPUT OUTPUT, если эта железка у Вас стоит внутри локалки?.. Изучите еще раз диаграмму.

    Цитата:
    можно ли с конкретного компа из локальной сети ($edds) дать полный доступ в инет/из инета конкретной программе
    нет. Откуда шлюз знает что там за софт крутится на некой машине в локалке... Со своей-то машины средствами iptables такое не решить не то, что с удалённой.
     
    А собственно ошибка Ваша заключается в том, что правила FORWARD надо указывать в обе стороны, а Вы указали только в одну (ключи -s и -d).

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.
    Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 09:51 06-08-2012
    syrus

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Alukardd
    Я только учусь)) Делал по примерам предыдущих правил)
    Как объяснил предыдущий админ, необходимо именно прописывать и в Input, и в Output, таковы настройки фаервола, да и программа должна иметь возможность принимать и отправлять траффик.
     
    Спасибо за подсказку... Получается, правильно будет так?

    Код:
     
    iptables -I INPUT -p tcp --dport 389,1002,1720,1731,1503,3601,3603,3604,5001,5060,8080 -j ACCEPT
    iptables -I OUTPUT -p tcp --dport 389,1002,1720,1731,1503,3601,3603,3604,5001,5060,8080 -j ACCEPT
    iptables -I INPUT -p udp --dport 1002,3601,5060 -j ACCEPT
    iptables -I OUTPUT -p udp --dport 1002,3601,5060 -j ACCEPT
     
    iptables -I INPUT -p tcp -m multiport --dport 3230:3237,3220:3225,1024:65535 -j ACCEPT
    iptables -I OUTPUT -p tcp -m multiport --dport 3230:3237,3220:3225,1024:65535 -j ACCEPT
    iptables -I INPUT -p udp -m multiport --dport 1718:1719,3230:3247,1024:65535 -j ACCEPT
    iptables -I OUTPUT -p udp -m multiport --dport 1718:1719,3230:3247,1024:65535 -j ACCEPT
     
    iptables -A FORWARD -d $edds -p tcp --dport 389,1002,1720,1731,1503,3601,3603,3604,5001,5060,8080 -j ACCEPT
    iptables -A FORWARD -d $edds -p tcp --sport 389,1002,1720,1731,1503,3601,3603,3604,5001,5060,8080 -j ACCEPT
    iptables -A FORWARD -d $edds -p udp --dport 1002,3601,5060 -j ACCEPT
    iptables -A FORWARD -d $edds -p udp --sport 1002,3601,5060 -j ACCEPT
     
    iptables -A FORWARD -d $edds -p tcp -m multiport --dport 3230:3237,3220:3225,1024:65535 -j ACCEPT
    iptables -A FORWARD -d $edds -p tcp -m multiport --sport 3230:3237,3220:3225,1024:65535 -j ACCEPT
    iptables -A FORWARD -d $edds -p udp -m multiport --dport 1718:1719,3230:3247,1024:65535 -j ACCEPT
    iptables -A FORWARD -d $edds -p udp -m multiport --sport 1718:1719,3230:3247,1024:65535 -j ACCEPT
     

     
    Всего записей: 57 | Зарегистр. 15-06-2006 | Отправлено: 13:23 06-08-2012 | Исправлено: syrus, 13:50 06-08-2012
    Alukardd



    Gold Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    syrus
    нет
     
    Цепочки INPUT и OUTPUT Вам вообще для данной задачи не нужны - удалите или закомментируйте правила в ней.
    В FORWARD надо сделать правила для входящего и исходящего трафика, а вы опять нагородили везде -d, а надо в половине правил -s описать. Там где --sports там -s.
     
    В шапке данной темы хорошие ссылки. Особенно та что на wikibooks.
     
    Добавлено:
    А у вас вообще клиент или сервер Ваш Polycom?

    ----------
    Microsoft gives you windows, linuх gives you the whole house...
    I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it.
    Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 13:49 06-08-2012
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Firewall *nix: iptables, ipfw, pf etc...


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru