Labutin Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Архитектура следующая. Машина с Linux'ом является шлюзом в инет. На ней два интерфейса (в инет и в локалку). Основные назначения сервера: - Web-сервер - Mail-сервер (Sendmail) - POP3-сервер - IMAP-сервер - Прокси-сервер - DNS-сервер (как кеширующий, так и держащий имена в зоне .ru)   В iptables по умолчанию у INPUT стоит ACCEPT + запрещающие правила. Решил сделать как правильно. По умолчанию DROP + разрешающие правила. Пишу примерно так: *filter :INPUT DROP # local input -A INPUT -i lo -j ACCEPT # ICMP -A INPUT -p icmp -j ACCEPT # Squid for internal network -A INPUT -s xx.xx.250.128/255.255.255.224 -p tcp -m tcp --dport 3128 -j ACCEPT # SSH -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT # Sendmail -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT # POP3 -A INPUT -p tcp -m tcp --dport 110 -j ACCEPT # IMAP -A INPUT -p tcp -m tcp --dport 143 -j ACCEPT # Web -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT   # Пропускать установленные соединения -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT   Пока все тривиально и просто. Трудности начинаются тут: # DNS -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT -A INPUT -p udp -m udp --dport 53 -j ACCEPT Как тут быть с ответными пакетами от внешних DNS серверов? Какое правило нужно добавить?   Дальше вопрос по FTP. Какие правила необходимы для FTP-сервера, чтобы клиенты могли с ним работать как в пассивном так и в активном режиме? Всего записей: 935 | Зарегистр. 31-07-2001 | Отправлено: 21:12 31-05-2006

ipmanyak Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Labutin правило по tcp  для  DNS можешь убрать, если не будешь заниматься трансфером зон (оставь только udp ), для ftp  открой порты 20 и 21 (для active ftp ) и   часть портов выше 1023 для passive ftp ,  например 62000:64000   Всего записей: 11744 | Зарегистр. 10-12-2003 | Отправлено: 08:54 01-06-2006

FastCat Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору День Добрый! Есть такая ситуация:   Сервер (под SuSe) с двумя интерфейсами:   eth0 -> 10.28.0.75, 255.255.255.0 (внутренняя сеть) eth1 -> 192.168.1.1, 255.255.255.0 (внешная сеть)   1. Как сделать так, что бы пользуны сети 192.168.1.* видели _ТОЛЬКО_ один ip 10.28.0.75 (и при этом им были доступны на этом ip _ТОЛЬКО_: web, ftp и 8888 порт) ?   2. А пользователи сети 10.28.0.* видели сеть 192.168.1.* _ПОЛНОСТЬЮ_.   К сожалению я в этом деле iptables только начал разбираться! Помогите пожалуйста решить данную проблему.   p.s. Сейчас на сервере только IP форвардинг включен. И все, всех в любом направлении видят. Всего записей: 964 | Зарегистр. 06-01-2002 | Отправлено: 22:03 27-06-2006

KADABRA Великий покусатель Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Решил новую тему не открывать, т.к. и так куча тем по iptables.     Имеется: сеть, диапазон 10.0.0.0/255.255.255.0 сервер 10.0.0.1 (интернет-шлюз)   клиент1 10.0.0.11 клиент2 10.0.0.13   Всё подключено к одному свичу.   На сервер работает pppoe сервер. При подключении к серверу (pppoe) клентам выдаются ИП 10.0.101.11 и 10.0.101.13 соответственно (с маской подсети 255.255.255.255) и добавлюются правила в файлволл: /sbin/iptables -t nat -A POSTROUTING -d ! 10.0.0.0/8 -s $CLIENT_IP -j MASQUERADE   Проблема следующая. хоть в правилах и стоит -d ! 10.0.0.0/8, траффик между 10.0.101.11 и 10.0.101.13 роутится. Как сделать чтобы 10.0.101.11 и 10.0.101.13 не видили друг друга? ---------- Это не подпись. Всего записей: 1718 | Зарегистр. 14-07-2003 | Отправлено: 10:55 24-10-2006 | Исправлено: KADABRA, 17:43 24-10-2006

KADABRA Великий покусатель Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Проблему решил. /sbin/iptables -t filter -A FORWARD -s 10.0.101.0/24 -d 10.0.101.0/24 -j DROP   Другие извращения не помогали. ---------- Это не подпись. Всего записей: 1718 | Зарегистр. 14-07-2003 | Отправлено: 18:23 25-10-2006

pusiyjan Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору HI, я в правилах новичек, хоть уже пытался их изучать, но мало, щас занялся ими вплотную но еще рано что-то самому делать, так как начал работать в организации где уже все налажено и работает довольно неплохо. Не хочется сначала поломать а потом разгрибать то что наделал. Такая ситуация я с IP 172.17.20.123. Как я понял все с меня идет на фаервол (172.17.200.1), на котором много валанов заведено для разных других подсетей 172.17.хх.ххх. Если не указывать явно проксю то мои запросы перебрасываются на дефолтных шлюз в инет 172.17.1.3. Так вот стоит  задача следующая - правилами открыть для себя порты для torrentov. Например 58442 и 59632 =) На дефолт-гейтвее стоит балансированное ADSL соединение РРР с 2мя модемами и разными не постоянными внешними IP, что тут можно сделать чтоб я был более доступен для людей тянущих с меня.....??? Что может грозить СЕТИ организации если будет открыто несколько портов для разных програм? ЗЫ Помогите решить проблемку, а то на ru-board treker меня уже забанили так-как с этим натом мало кто может пробиться ко мне!!! Всего записей: 823 | Зарегистр. 17-12-2003 | Отправлено: 08:59 23-01-2007

pusiyjan Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ADroot так я просто не знаю де мои порты и "помирают" на файрволе 172.17.200.1 или на самом шлюзе 172.17.1.3?! все никак не дойдут руки чтоб повозится=( Всего записей: 823 | Зарегистр. 17-12-2003 | Отправлено: 09:48 27-01-2007

ipmanyak Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору iptables -F INPUT -j DROP    прям скажем странно!  Опция F означает очистку и к ней  параметр -j DROP   не пришей рукав ! Правильно вот так: iptables -F   #очистить все правила или   iptables -F  INPUT  #очистить правила в цепочке INPUT   а остальные политики дефолтовые на запрет:   iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP   ... iptables -A INPUT -s 10.235.10.0/24 -j ACCEPT     Возможно из-за ошибки синтаксиса правила не применились, проверяй командой:   iptables -L -n     не забыть про echo "1" > /proc/sys/net/ipv4/ip_forward Всего записей: 11744 | Зарегистр. 10-12-2003 | Отправлено: 07:04 05-02-2007 | Исправлено: ipmanyak, 07:05 05-02-2007

Advanced_Guest Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Есть три  вопроса по iptables, кто может помочь ? (или ещё лучше - дать ссылки на статьи, где можно найти более подробную инфу)     1. есть 3 интерфейса локальных интерфейса, и 1 внешний. как 3 локальных интерфейса соеденить в один ? (три девайса, один айпи, одна сеть.. чтобы работал НАТ)   2. как настроить форвардинг типа Ip multicast ? т.е. всё то приходит на порт 1234 UDP одновремённо всем другим компам (с других интерфейсов), тоже на порт 1234 UDP.     3. тоже самое, но для IGMP трафика. ---------- The Abyss - UO, LA2, Ботва, BSFG Всего записей: 2446 | Зарегистр. 14-04-2002 | Отправлено: 02:35 08-03-2007

Dr_Spectre Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Advanced_Guest а в чем смысл первого вопроса? кроме увеличения пропускной способности. для объединения надо чтобы свич куда подключены эти три интерфейса - поддерживал функцию объединения. ---------- Со всеми регардами - Alexei Dmitriev aka Dr.Spectre Чтобы добиться успеха в этом мире, одной глупости недостаточно, к ней нужны еще хорошие манеры. (c) Вольтер Всего записей: 1554 | Зарегистр. 15-12-2001 | Отправлено: 10:54 08-03-2007

Advanced_Guest Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Dr_Spectre свитча нету. машина с этими 4 мя интерфейсами работает как свитч. получается 3 внутренних подсети .1.0/24 .2.0/24 и .3.0/24 , что не очень то нужно. хотелось бы объеденить в одну. ---------- The Abyss - UO, LA2, Ботва, BSFG Всего записей: 2446 | Зарегистр. 14-04-2002 | Отправлено: 11:19 08-03-2007

Dr_Spectre Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата:  свитча нету. машина с этими 4 мя интерфейсами работает как свитч. получается 3 внутренних подсети .1.0/24 .2.0/24 и .3.0/24 , что не очень то нужно. хотелось бы объеденить в одну. уберите 2 сетевухи локальных и поставьте свитч 5 портовый за 500 руб. ---------- Со всеми регардами - Alexei Dmitriev aka Dr.Spectre Чтобы добиться успеха в этом мире, одной глупости недостаточно, к ней нужны еще хорошие манеры. (c) Вольтер Всего записей: 1554 | Зарегистр. 15-12-2001 | Отправлено: 22:16 08-03-2007

Advanced_Guest Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Dr_Spectre мне кажется это не сильно поможет для решения 2ой и 3ей проблемы.   (тем более что первую проблему можно спокойно решить в виндовсе, путём объеденения нескольких интерфейсов.. почему под линуксом это не возможно ? ) ---------- The Abyss - UO, LA2, Ботва, BSFG Всего записей: 2446 | Зарегистр. 14-04-2002 | Отправлено: 22:47 08-03-2007

Страницы: 1 2 3 4 5 6 7 8

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » ipchains, iptables etc

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование