keyhell Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору банальное чтение документации решит все ваши вопросы. пока вы задаете вопросы, ответы на которые находятся в документации прямых текстом.   поймите, не бывает нормального firewall, если вы настраиваете его по советам с форума. Всего записей: 1395 | Зарегистр. 10-08-2003 | Отправлено: 10:59 31-07-2006

Alexandr_dzuba Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору icedv Почитай учебник по iptables. Там достаточно понятным языком написано. Всего записей: 148 | Зарегистр. 25-03-2004 | Отправлено: 13:38 31-07-2006

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Почитай учебник по iptables почитал данный мануалчик... вобщем возник вот банальный вопрос пока про цепочки и таблицы - не совсем врубился в идеологию их - каждая цепочка может содержать одну или несколько таблиц или какждая таблица содержит несколько цепочек? или я что-то вобще не вкурил? подскажите плиз... ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 17:10 19-01-2007

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору подскажите плиз ещё доку по iptables!!? ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 10:36 22-01-2007

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору tankistua Цитата: $IPTABLES -A INPUT -p ALL -i eth1 -d 192.168.1.1 -s 192.168.1.10 -dport 80 -j ACCEPT   Цитата: В данном случае я разрешил доступ к веб-серверу от компа с айпишником 192.168.1.10 и с адресом вебсервера 192.168.1.1, при условии что  пакет от 192.168.1.10 пришел через интерфейс eth1   хм... дано но ведь пакеты плывутвсё же по одной из 3-х цепочек - в данном случаем цепочка инпут судя по дока предназначена для входа и передачи на лок. приложение - т.е. получается ты дал доступ не просто от компа с ip таким-то на такой то - ты дал доступ на ip 192.168.1.1 который по сути должен быть Ip этого самого файервола (т.е. это случай когда вэб-сервер стоит на маршрутирезаторе). Я правильно понял? Собственно для этого и пытаюсь разобраться с цепочками... ибо пакеты то идут через разные цепи - а там свои таблицы, что вобщем то логично. Цитата: Напиши правило, которое будет давать доступ к твоему pop3-серверу с айпишником   192.168.1.0 , айпишник прибит на интерйесе eth3 маска 255.255.255.0 из сети , которая висит на этом интерфейсе.   вроде так: $IPTABLES -t filter -A FORWARD -p tcp -i eth3 -d 192.168.1.0 -dport 110 -j ACCEPT это при условии что "прикручен" значит находится за этим файером во внутренней сети. (или ты имел ввиду что он висит на роутере самом и слушает eth3?) хотя странно что клиент не идёт напрямую к серваку (раз они на одном интерфейсе внутреннем) + ip внутренний странный - вроде это адрес подсети а не хоста, нет?   Добавлено: В случае если pop3-сервер на самом маршрутирезаторе:  $IPTABLES -t filter -A INPUT -p tcp -i eth3 -dport 110 -j ACCEPT что по идее равнозначно  $IPTABLES -t filter -A INPUT  -p tcp -i eth3 -d 192.168.1.0 -dport 110 -s any -sport any -j ACCEPT ибо в цепочку INPUT попадут только пакеты идущие только на 192.168.1.0 ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 13:08 22-01-2007 | Исправлено: greenfox, 13:14 22-01-2007

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору а можно как-н заставить систему перечитать конфиг файл с таблицами для iptables не ребутя машину!? ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 16:21 18-02-2007

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору tankistua насколько я понимаю надо просто перезапустить скрипт где прописаны соот-е $iptables -A ... etc   ?? Или есть какая то системная команда?   Кстати, вот такой ещё вопросик, у меня в файле идут переменные с указаниме ip в начале - ну что бы удобнее было. Вопрос: можно на одну var повесить несколько ip? (ну т.е. что бы при подстановке в правило потом попадали сразу несколько ip адресов-сетов? И если да то формат какой? ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 16:34 19-02-2007

greenfox Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору tankistua Цитата: Прежде чем загружать правила, надо удалить старые. Иначе новые просто допишутся в конце спасибо понял, просто иногда пишут что iptables это типа "служба" (в том же ред хате chkconfig рисует её как службу наск. я понимаю), поэтому подумалось что там что-н перезапускать надо. Практика показала что правила сразу вступают в силу, как только добавляются   Вот вопросик ещё, по модулям. В мануале сказано что они ил подгружаются вначале командой "modprobe" или статически слинкованы в ядро. Собственно как проверить, слинкован ли соот-й модуль для работы iptables (например тот что state передаёт)? ---------- Три вещи вечны: смерть, налоги и потеря данных... Всего записей: 4139 | Зарегистр. 29-07-2003 | Отправлено: 10:09 22-02-2007

Страницы: 1 2 3

Компьютерный форум Ru.Board » Операционные системы » UNIX » Нужна помощь по Iptables

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование