Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору iptables     Linux   настройка iptables (крупные статьи переехали на wikibooks) настройка iptables (opennet) Easy Firewall Generator for IPTables Online l7-filter - дополнения для netfilter, позволяющее создавать правила основываясь на данных прикладного уровня. ipset - модуль для ядра Linux к фаерволу netfilter для создания и управления наборами адресов, портов, связок ip+mac.   схема прохождения пакета через netfilter (или более сложно и подробно)   Так же может быть интересным Перевод руководства по iproute2 и управлению трафиком в Linux (оригинал LARTC) -- внимательно читать оглавление - тема содержит уйму всего!!! Введение в управление трафиком, дисциплины обработки очередей (теория) (opennet) - aka Повесть о Linux и управлении трафиком. QoS в Linux - iproute2 и u32 селектор (хабр) QoS в Linux - iproute2, издеваемся над трафиком (хабр)   ipfw     FreeBSD русский MAN (opennet) настройка ipfw (opennet) настройка ipfw (lissyara)   Достаточно частый вопрос Балансировка и резервирование канала (samag.ru)   pf     OpenBSD начальная настройка pf (lissyara) настройка pf как шлюза (lissyara) Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 23:50 19-08-2010 | Исправлено: Alukardd, 11:42 20-05-2022

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Mosl Не смотря на то, что это не забота iptables у него есть параметр --mac-source.   А ещё есть ebtables или arptables, что-то я разницы между ними не уловил, сам пользовал ebtables. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 19:10 06-02-2014

fmhstar Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Добрался я, наконец, до настройки iptables. Уважаемый Alukardd, по этому вопросу мы с вами некоторое время назад общались. Вводная: есть Fedora Linux 20 с виртуалками на основе KVM. Вместо NetworkManager.service настроен network.service (физический интерфейс - em1, мост - br0). Задача: настроить вместо штатного firewalld кошерный iptables.    Причём важно, чтобы до виртуалок "доходил" протокол IGMP. Если немного перефразировать: до хоста траффик жёстко контролировать (как входящие, так и исходящие), а до гостевых - запрещать только самое "злое", типа NetBIOS/smb и прочие вендовозные сетевизмы. С iptables практически не сталкивался. Прошу помочь с настройкой.   P.S. Только что при ковыряниях   заметил интересное: systemctl status firewalld Неужели firewalld является всего лишь бэкэндом для кастрированного управления iptables? Всего записей: 11 | Зарегистр. 27-02-2006 | Отправлено: 23:56 13-04-2014 | Исправлено: fmhstar, 00:01 14-04-2014

OOD Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Подскажите как правильно раскрыть наружу доступ к SMTP 25 порт почтового сервера Exchange? Написал 2 правила: Цитата:   -A PREROUTING -d [реал айпи] -p tcp --dport 25 -j DNAT --to-destination [Exchange IP]   -A PREROUTING -d [реал айпи] -p tcp --dport 995 -j DNAT --to-destination [Exchange IP]     2 POP снаружи работает, а SMTP нет В чем может быть проблема   Всего записей: 3388 | Зарегистр. 20-05-2006 | Отправлено: 09:23 20-06-2014

sldaac Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата:  POP снаружи работает, а SMTP нет а на самом шлюзе почтовый сервис не запущем??? как вы определили что POP работает, просто телнетом или клиент снаружи получил почту. вот это вам скорее поможет xttp://www.it-simple.ru/?p=2250 Всего записей: 752 | Зарегистр. 15-06-2005 | Отправлено: 09:50 20-06-2014

ipmanyak Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору OOD Вы показали правила мапинга портов в локаль, а где разрешающие правила на вход и выход?   # Email Server (SMTP)  -A INPUT   -p TCP -s 0/0 --destination-port 25 -j ACCEPT еще и на выход нужно правило, или NAT или MASQ с forward  для локального хоста [Exchange IP]  , хотя это у вас возможно включено. Вот тут смотри пример http://habrahabr.ru/post/99898/ ---------- В сортире лучше быть юзером, чем админом... Всего записей: 11968 | Зарегистр. 10-12-2003 | Отправлено: 09:53 20-06-2014

OOD Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору sldaac Цитата: а на самом шлюзе почтовый сервис не запущем???     В локалке с почтовиком все работает POP:995+SMTP:25, а наружу нет. Добавил правило на POP, снаружи работает, SMTP нет   Правило для локальных хостов на использование 25 порта не подходит для Exchange я так понял: Цитата:   -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT   Пробовал открыть все на выход, не получилось Цитата:   :RH-Firewall-1-INPUT -[0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -I FORWARD -s [Exchange IP] -p tcp --dport 0:65536 -j ACCEPT   Всего записей: 3388 | Зарегистр. 20-05-2006 | Отправлено: 10:07 20-06-2014

ipmanyak Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору OOD дал же урлу с примером - читай или воспользуйся генератором правил онлайн  http://easyfwgen.morizot.net/gen/   заполняй постепенно данные, в конце получишь готовый текстовик правил ---------- В сортире лучше быть юзером, чем админом... Всего записей: 11968 | Зарегистр. 10-12-2003 | Отправлено: 11:21 20-06-2014

OOD Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Подскажите как настроить возможность пользователям подключатся к VPN Serverу Win 2008R2 из вне? Код:   -A PREROUTING -D [РЕАЛ АЙПИ] -p tcp -dport 1723 -j DNAT --to-destination [VPN_SERVER_WIN2008R2:1723] -I FORWART -s [VPN_SERVER_WIN2008R2] -p tcp --dport 0:65535 -j ACCEPT -I FORWART -s [VPN_SERVER_WIN2008R2] -p udp --dport 0:65535 -j ACCEPT   Создал такие правила доходит до авторизации, а дальше нет Похоже как то нужно включить GRE? Всего записей: 3388 | Зарегистр. 20-05-2006 | Отправлено: 14:59 10-07-2014

slime555 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору OOD  -A FORWARD -p gre -j ACCEPT Всего записей: 151 | Зарегистр. 08-07-2008 | Отправлено: 15:04 10-07-2014

slime555 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору нет вроде, ну у меня на центосе и федорке итак робит Всего записей: 151 | Зарегистр. 08-07-2008 | Отправлено: 15:09 10-07-2014

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору OOD Цитата: а если так, заработает?   GRE вполне может рубиться еще на стороне провайдера.   ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 15:59 10-07-2014

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору nivuravesta Почему же все так любят настраивать iptables скриптом, а не использовать ipatables-save/iptables-restore утилиты...   Ну DNAT'а я у Вас вообще не вижу, так что поговорим про SNAT. Просто правило со SNAT надо всё-таки в таблицу nat записывать... iptables -t nat -A POSTROUTING -s 192.168.11.0/24 -o eth1 -j SNAT --to-source 192.168.12.148 Неужто скрипт у Вас ошибку не выдаёт? ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 16:02 24-07-2014

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору nivuravesta А в чём проблема-то? Вот Вы написали правило и да, оно выглядит верным. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6571 | Зарегистр. 28-08-2008 | Отправлено: 19:36 25-07-2014

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Firewall *nix: iptables, ipfw, pf etc...

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование