Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору iptables     Linux   настройка iptables (крупные статьи переехали на wikibooks) настройка iptables (opennet) Easy Firewall Generator for IPTables Online l7-filter - дополнения для netfilter, позволяющее создавать правила основываясь на данных прикладного уровня. ipset - модуль для ядра Linux к фаерволу netfilter для создания и управления наборами адресов, портов, связок ip+mac.   схема прохождения пакета через netfilter (или более сложно и подробно)   Так же может быть интересным Перевод руководства по iproute2 и управлению трафиком в Linux (оригинал LARTC) -- внимательно читать оглавление - тема содержит уйму всего!!! Введение в управление трафиком, дисциплины обработки очередей (теория) (opennet) - aka Повесть о Linux и управлении трафиком. QoS в Linux - iproute2 и u32 селектор (хабр) QoS в Linux - iproute2, издеваемся над трафиком (хабр)   ipfw     FreeBSD русский MAN (opennet) настройка ipfw (opennet) настройка ipfw (lissyara)   Достаточно частый вопрос Балансировка и резервирование канала (samag.ru)   pf     OpenBSD начальная настройка pf (lissyara) настройка pf как шлюза (lissyara) Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 23:50 19-08-2010 | Исправлено: Alukardd, 11:42 20-05-2022

Keeper of Fate Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору del Всего записей: 200 | Зарегистр. 17-03-2006 | Отправлено: 21:42 16-03-2013 | Исправлено: Keeper of Fate, 11:05 19-03-2013

Keeper of Fate Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Дождешься тут блин, уже разобрался. Всего записей: 200 | Зарегистр. 17-03-2006 | Отправлено: 21:38 18-03-2013 | Исправлено: Keeper of Fate, 11:05 19-03-2013

latoshin Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Имеем в офисе шлюз на FreeBSD 8.2   Три сетевых интерфейса   re0 - локалка (192.168.0.0/24)   rl0 - 1 провайдер   rl1 - 2 провайдер     IP 1 провайдера 111.111.111.22   GW 1 провайдера 111.111.111.1     IP 2 провайдера 222.222.222.33   GW 2 провайдера 222.222.222.1     В файле /etc/rc.cong   defaultrouter=" 111.111.111.1"     Нужно чтоб сервисы на маршрутизаторе были доступными по обоим внешним адресам одновременно     Сделано средствами IPFW и natd     Содержимое файла /etc/natd.conf     Код: log   instance default   interface rl0   port 8668   use_sockets yes   same_ports yes   redirect_port tcp 192.168.0.105:4899 9800     instance rl1   interface rl1   port 8669   use_sockets yes   same_ports yes     globalport 8670     Содержимое файла /etc/ipfw (правила фаервола)     Код: add 1000 allow tcp from any to me 14441   add 2000 allow tcp from any to me 80   add 3000 allow tcp from any to me 25   add 4000 allow tcp from any to me 110   add 5000 allow tcp from any to me 1723 setup   add 6000 allow tcp from any to any via ng*   add 7000 allow udp from any to any via ng*   add 8000 allow tcp from any to me 53   add 9000 allow udp from any to me 53   add 10000 allow tcp from any to me dst-port 21,30000-50000 setup     add 11000 fwd 111.111.111.1 ip from 111.111.111.22 to not 192.168.0.0/24   add 12000 fwd 222.222.222.1 ip from 222.222.222.33 to not 192.168.0.0/24     add 13000 skipto 20000 all from any to any in recv re0   add 14000 skipto 21000 all from any to any out xmit re0     add 15000 skipto 22000 all from any to any in recv rl0   add 16000 skipto 24000 all from any to any out xmit rl0   add 17000 skipto 29000 all from any to any in recv rl1   add 18000 skipto 31000 all from any to any out xmit rl1     add 19000 deny all from any to any     add 20000 allow all from any to any     add 21000 allow all from any to any     add 22000 divert 8668 ip from any to 111.111.111.22   add 23000 allow all from any to any     add 24000 divert 8670 ip from 192.168.0.0/24 to any     add 25000 allow all from 111.111.111.22 to any     add 26000 fwd 222.222.222.1 ip from 222.222.222.33 to any     add 27000 divert 8668 ip from 192.168.0.0/24 to any     add 28000 allow all from any to any     add 29000 divert 8669 ip from any to 222.222.222.33   add 30000 allow all from any to any     add 31000 divert 8670 ip from 192.168.0.0/24 to any   add 32000 allow all from 222.222.222.33 to any   add 33000 fwd 111.111.111.1 ip from 111.111.111.22 to any   add 34000 divert 8669 ip from 192.168.0.0/24 to any   add 35000 allow all from any to any     Все правила написаны одинаково для двух провайдеров, поэтому смена канала осуществляется просто заменой основного шлюза на роутере. Правила модифицировать нет необходимости.     Но, если в rc.conf дефолтроут - шлюз первого провайдера, команда telnet mx.yandex.ru 25 проходит нормально, но если сменить на шлюз второго провайдера (чтоб перевести локалку на использование инета от второго провайдера) telnet по 25 порту не проходит ни на один сервер.   Помогите, что не так? Всего записей: 62 | Зарегистр. 14-03-2007 | Отправлено: 23:34 29-03-2013

yrkrus Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору jax2004   ipwf allow ip from any to any где ip -айпишник пк которому дать полный доступ Всего записей: 379 | Зарегистр. 30-11-2010 | Отправлено: 07:36 01-04-2013

OOD Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Создал такое правило: iptables -t nat -A PREROUTING -p tcp -d 91.195.101.20 --dport 7888 -j DNAT --to-destination 192.168.100.251:7888 iptables -t nat -A POSTROUTING -p tcp --dst 192.168.100.251 --dport 7888 -j SNAT --to-source 91.195.101.20 Настроил торрент на порт пишет порт открыт, а закачка не идет подскажите в чем проблема? Всего записей: 3388 | Зарегистр. 20-05-2006 | Отправлено: 16:35 10-04-2013

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору OOD Цитата:  iptables -t nat -A POSTROUTING -p tcp --dst 192.168.100.251 --dport 7888 -j SNAT --to-source 91.195.101.20 это правило не правильное. Что Вы им вообще хотели добиться? DNAT написали и всё. SNAT у Вас скорее всего и так есть в виде правила на всю локалку во внешку. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 16:41 10-04-2013

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору OOD Цитата: Что Вы им вообще хотели добиться? я бы не отказался взглянуть на вывод iptables -vnL iptables -t nat -vnL ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 16:52 10-04-2013 | Исправлено: Alukardd, 16:53 10-04-2013

urodliv Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Alukardd Скинул в лс Дискриминация какая-то получается Мы тоже хотим увидеть вывод этих команд. ---------- Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением. Всего записей: 6714 | Зарегистр. 29-04-2009 | Отправлено: 19:59 10-04-2013

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору OOD Если там ни чего тайного нету, то выложите вывод всем в тэге [more][/more]... А то я согласен с т. urodliv. Но инфа Ваша так что решать Вам.   На фига столько правила ACCEPT, если у всех цепочек policy ACCEPT?   Вы где-то адреса поменяли что ли? Т.к. те что представлены здесь и у меня в ЛС разные!   ACCEPT tcp -- * * 10.184.40.253 0.0.0.0/0 tcp dpt:7888во первых, это правила более узкое чем то, что стоит выше MASQUERADE all -- * eth1 10.184.40.253 0.0.0.0/0,Значит оно уже ни когда не сработает. А во-вторых оно не сработает т.к. у вас не dst port 7888, а src port, т.к. на нём висит какой-то сервер и он отвечает с этого порта клиенту на рандомный порт, а не наоборот. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 23:25 10-04-2013

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору OOD после vi iptables остальное уже можно не показывать было...   Правила я смотрю Вы подправили... И что в текущем варианте не работает? Правила NAT'а настроены вроде правильно. Дальше если что не работает, то надо смотреть чего ещё не хватает µTorrent, что за галочка "Автоназначение порта" и т.п. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 10:43 11-04-2013

OOD Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alukardd с µTorrent все ок! Сиды видны, пиры видны, а в состояние закачки не переходит такое ощущение, что это чем то запрещено, может быть помимо открытого порта нужно еще какое то правило? Всего записей: 3388 | Зарегистр. 20-05-2006 | Отправлено: 11:09 11-04-2013

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору OOD Для того что бы качать вообще не надо ни чего пробрасывать, это надо только для того что бы с Вас могли качать. BitTorrent протокол обычно использует следующие порты.   Вообще я торентами пользуюсь крайне редко поэтому не особо знаком с принципом их работы. А в те редкие случаи когда качая что-либо по средством .torrent файла, то ни каких настроек на шлюзе ни когда под это дело не выполнял. На скачку всё и так работает, да и раздача вроде тоже шла хз уж каким образом. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 11:24 11-04-2013 | Исправлено: Alukardd, 11:26 11-04-2013

OOD Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alukardd Создаю такое правило т.е. оно действует на всю локалку : -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 6881:6889 -j ACCEPT все равно не качает!   из пиров виден только я Всего записей: 3388 | Зарегистр. 20-05-2006 | Отправлено: 11:33 11-04-2013 | Исправлено: OOD, 11:34 11-04-2013

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору OOD ? цепочка INPUT это для входящих соединений именно на сам сервер, где работает iptables/netfilter. Ознакомьтесь ещё раз со схемой.   А я ещё раз обращу внимание что для скачки файла при наличии .rorrent файла не требуются каких-то сверх настроек. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 12:50 11-04-2013

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Firewall *nix: iptables, ipfw, pf etc...

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование