MrGalaxy Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Dr_Spectre Благодарю за ответ.) Меня смутило то, что Флёнов в своей книжке "Линукс глазами хакера" отдельно описывает 2 эти программы. Я, собственно, хотел настроить систему на отбрасывание внешних пакетов, имеющих флаг syn (чтоб никто по своей инициативе ко мне не подключался по сети). А какой порграммой это сделать - мне всё-равно. Всего записей: 1868 | Зарегистр. 11-01-2007 | Отправлено: 09:32 10-05-2008

MrGalaxy Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Как запомнить все созданные правила iptables? Я пробовал  sudo iptables-save,  однако после перезагрузки команда  sudo iptables -L  показывает девственно пустой список. Всего записей: 1868 | Зарегистр. 11-01-2007 | Отправлено: 00:57 11-05-2008

Dr_Spectre Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Как запомнить все созданные правила iptables? Я пробовал  sudo iptables-save,   Все зависит от дисртибутива - есть ли в стартовом скрипте iptables функция iptables-restore или нет ---------- Со всеми регардами - Alexei Dmitriev aka Dr.Spectre Чтобы добиться успеха в этом мире, одной глупости недостаточно, к ней нужны еще хорошие манеры. (c) Вольтер Всего записей: 1554 | Зарегистр. 15-12-2001 | Отправлено: 14:39 11-05-2008

MrGalaxy Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Dr_Spectre С запоминанием/восстановлением правил разобрался. iptables-restore <файл работает, только её каждый раз надо вручную запускать. Как мне этот процесс автоматизировать при загрузке системы? Система - Убунта-8.04-64 Всего записей: 1868 | Зарегистр. 11-01-2007 | Отправлено: 17:01 11-05-2008

Sapd Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Как включить поддержку всех критериев модуля owner? В man iptables написано:   Цитата: Please  note:  This option requires kernel support that might not be available in official Linux kernel sources or Debian’s packaged Linux               kernel sources.  And if support for this option is available for the specific Linux kernel  source  version,  that  support  might  not  be               enabled in the current Linux kernel binary. Соответственно, критерии --uid-owner --gid-owner работают, а --pid-owner, --sid-owner и --cmd-owner нет. Пробовал ковырять конфиг ядра, но там только можно указать собирать модуль или нет. Система у меня ubuntu 7.10 server, ядро 2.6.22-14-server Поможет ли сборка нового ядра? Всего записей: 429 | Зарегистр. 08-06-2005 | Отправлено: 22:30 16-12-2008

Dr_Spectre Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Loading additional iptables modules: ip_conntrack_netbios_ns [FAILED]   судя по названию - модуль который через NAT позволяет прогонять netbios запросы Цитата: чем чревато для работы iptables отсутствие этого модуля?   выключите его в конфиге и все /etc/sysconfig/iptables_modules или подобный ---------- Со всеми регардами - Alexei Dmitriev aka Dr.Spectre Чтобы добиться успеха в этом мире, одной глупости недостаточно, к ней нужны еще хорошие манеры. (c) Вольтер Всего записей: 1554 | Зарегистр. 15-12-2001 | Отправлено: 11:53 20-06-2009

perdun BANNED Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору други, патскажите, плс..   вапрос номер рас нада трансляционное правило "если стучимся с ИП1 на порт 22, то прозрачно отдать на ИП2, тот же порт"   и вапрос нумер два (немного не в тему ) как скомпилять идро с ипитаблезом и всеми патч-о-матиками...? Всего записей: 1499 | Зарегистр. 21-01-2004 | Отправлено: 16:38 21-07-2009

perdun BANNED Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору yosemity мдя, маленько я не так сформулировал.. Цитата: это правило разрешит подключаться откуда угодно мне как раз не надо "откуда угодно".. т.е.,   "если стучимся с ИП1 на ИП3 порт 22, то прозрачно отдать на ИП2, тот же порт"; "если стучимся с "НЕ ИП1" на ИП3 порт 22, то оставлять себе (ИП3)"..., т.е. для всех "остальных" ниче не менять...   полагаю как то так iptables -t nat -I PREROUTING 1 -p tcp -s ИП1 -d ИП3 --dport 22 --to-destination ИП2 верно? Всего записей: 1499 | Зарегистр. 21-01-2004 | Отправлено: 17:10 21-07-2009

perdun BANNED Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору yosemity опс.. еще момент.. а если у меня трафик не маршрутизируется, то бишь долбимся с одного сегмента лана.. (в моем примере ИП3 - есть роутер, на к-ром, собсно и крутится ипитаблез, ИП3 глядит в лан) прокатит? Всего записей: 1499 | Зарегистр. 21-01-2004 | Отправлено: 19:16 21-07-2009 | Исправлено: perdun, 19:36 21-07-2009

yosemity Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору эээ, ну естессно, роутер (вообще, то правильно рутер ) должен знать маршрут в ЛАН и туда, откуда ломятся. Всего записей: 36 | Зарегистр. 05-07-2005 | Отправлено: 08:11 22-07-2009

perdun BANNED Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору yosemity Цитата: должен знать маршрут это понятно, что знает.. поскольку все 3 ИПа в одном сегменте.. откуда, собсно и появилось сомнение..   а попадет ли пакет вообще в цепочку прероутинг? ведь логично, что никакого решения о маршрутизации принимать не нужно.. и далее.. пакет "не предназначен локальному процессу", соответственно, дальнейший путь - в цепочку форвард -> построутинг? не так ли? или он туда уже не попадает..? Всего записей: 1499 | Зарегистр. 21-01-2004 | Отправлено: 23:39 22-07-2009

perdun BANNED Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Dr_Bier Цитата: Попадёт. Точнее, он сначала попадёт в PREROUTING таблицы mangle, а потом таблицы nat, которая для DNAT служит. чета я не понял.. что произойдет после прероутинга? судя по листингу, туда действительно влетело 3 пакета, а вот дальше... Код: pkts      bytes target     prot opt in     out     source               destination        3      144 DNAT       tcp  --  *      *       ИП1           ИП3     tcp dpt:22 to:ИП2 как просмотреть\залогировать дальнейшую "судьбу" пакета..? как отобразить в реальном времени то, что происходит в /proc/net/ip_conntrack ? yosemity Цитата:  зачем тогда вообще извращаться с DNATом? ну не знаю, если могут быть другие решения поставленной задачи Цитата: "если стучимся с ИП1 на ИП3 порт 22, то прозрачно отдать на ИП2, тот же порт";   "если стучимся с "НЕ ИП1" на ИП3 порт 22, то оставлять себе (ИП3)"..., т.е. для всех "остальных" ниче не менять... , был бы рад.. мы, кстате, забыли его указать (DNAT)   имхо, одного правила   iptables -t nat -A PREROUTING -s ИП1 -d ИП3 -p tcp --dport 22 -j DNAT --to-destination ИП2 недостаточно... добавил еще так iptables -t nat -A POSTROUTING -p tcp -s ИП1 -d ИП2 --dport 22 -j SNAT --to-source ИП3 все равно не катит Всего записей: 1499 | Зарегистр. 21-01-2004 | Отправлено: 13:23 24-07-2009

attaattaatta Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору shaman91   http://citkit.ru/package/iptables-p2p/   работает на прикладном уровне ---------- Фрилансю Всего записей: 1118 | Зарегистр. 25-09-2007 | Отправлено: 12:48 22-09-2009 | Исправлено: attaattaatta, 12:51 22-09-2009

Страницы: 1 2 3 4 5 6 7 8

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » ipchains, iptables etc

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование