Small_green_yojik Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Доброго времени суток! Первый сервачок на linux, так что просьба особо не пинать...   Поднял сервачок на debian openVPN,Webmin,3proxy,frox. Набил правила iptables (местами http://www.opennet.ru/docs/RUS/iptables/ курил, местами примеры), все работает, кроме frox-коннектится на хост, но при получении списка клиент замолкает.   Собственно сам скрипт: Код:   #!/bin/sh INET="eth1" NET="eth0"   LANIP="192.168.0.1" NET_NET="192.168.0.0/24"   INETIP="XX.XX.XX.XX" SERVER1S="192.168.0.150" DNS_SERVER="81.26.129.5"   UNPRIVPORTS="1024:65535"   #Сбрасываем все правила iptables -F INPUT iptables -F FORWARD iptables -F OUTPUT iptables -t nat -F iptables -t mangle -F   #Запрещаем все iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP     #Запрещаем левые запросы (мусор) iptables -A INPUT -p TCP ! --syn -m state --state NEW -j DROP   #Сброс запоросов на соединение, кроме Webmin iptables -A INPUT -d $INETIP -p TCP --syn --dport ! 10000 -j DROP   #openVPN и DHCP iptables -A INPUT -p UDP --dport 1194 -j ACCEPT iptables -A INPUT -p UDP --dport 67 -j ACCEPT iptables -A OUTPUT -p UDP --dport 68 -j ACCEPT   #Порты из локалки, в т.ч. WebMin iptables -A INPUT -s $NET_NET -p TCP -d $LANIP -m multiport --dport 22,1080,443,555,2025,3025,4025,5025,2110,3110,4110,5110,8080,10000 -j ACCEPT   #Инет на сервере (в т.ч. через прокси) iptables -A INPUT -d $INETIP -p TCP --dport $UNPRIVPORTS -m state --state ESTABLISHED,RELATED -j ACCEPT   #DNS для сервера iptables -A INPUT -p UDP -s $DNS_SERVER -m state --state ESTABLISHED --sport 53 -j ACCEPT iptables -A INPUT -p TCP -s $DNS_SERVER --sport 53 --dport $UNPRIVPORTS -m state --state ESTABLISHED,RELATED -j ACCEPT   #Оба офиса друг другу любые пакеты iptables -A FORWARD -p ALL -j ACCEPT   #Чтоб все ходило iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT iptables -A INPUT -p ALL -s $LANIP -i lo -j ACCEPT iptables -A INPUT -p ALL -s $INETIP -i lo -j ACCEPT iptables -A OUTPUT -p ALL -d 127.0.0.1 -o lo -j ACCEPT iptables -A OUTPUT -p ALL -s $LANIP -j ACCEPT iptables -A OUTPUT -p ALL -s $INETIP -j ACCEPT iptables -A OUTPUT -p ALL -s 127.0.0.1 -j ACCEPT   #Провайдеру TTL #iptables -t mangle -A PREROUTING -i $INET -j TTL --ttl-set 64   #Включаем ip НАТ iptables -t nat -A POSTROUTING -o $INET -j SNAT --to-source $INETIP echo "1" > /proc/sys/net/ipv4/ip_forward     Буду ОЧЕНЬ благодарен. Всего записей: 214 | Зарегистр. 18-05-2009 | Отправлено: 19:24 14-03-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Small_green_yojik Для начала, учимся пользоваться поиском по форуму. Далее идём в тему Firewall *nix: iptables, ipfw, pf etc... Видим там мой ответ... ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 00:58 15-03-2012

ASE_DAG Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alukardd > /topic.cgi?forum=8&topic=38463#1 > Видим там мой ответ... /topic.cgi?forum=8&topic=38463&start=120#7 Иначе через месяц уже не найти. ;-) ---------- Dmitry Alexandrov <321942@gmail.com> [PGP] [BTC] Всего записей: 9272 | Зарегистр. 12-05-2005 | Отправлено: 01:09 15-03-2012 | Исправлено: ASE_DAG, 01:12 15-03-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ASE_DAG Ну такие темы как эта я бы удалял, а вопрос именно что перепощивал. Что бы они поисковики не хламили и просто не висели... ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 01:15 15-03-2012

ASE_DAG Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alukardd > Ну такие темы как эта я бы удалял А кто спорит? Я тоже полагаю, что так было бы лучше.   > а вопрос именно что перепощивал. Аналогично. ;-) Так всегда и делаю — полностью привожу сообщение, на которое отвечаю. Раньше — как в почтовом письме — после ответа, но недавно решил, что лучше будет до. ---------- Dmitry Alexandrov <321942@gmail.com> [PGP] [BTC] Всего записей: 9272 | Зарегистр. 12-05-2005 | Отправлено: 01:53 15-03-2012

Small_green_yojik Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alukardd ASE_DAG Спасибо ОГРОМНОЕ. p.s. поиск честно юзал, но вечер видимо давал о себе знать (ни одной живой ветки замечено не было)... Всего записей: 214 | Зарегистр. 18-05-2009 | Отправлено: 10:08 15-03-2012 | Исправлено: Small_green_yojik, 10:09 15-03-2012

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Требуется помощь IPTABLES

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование