https://slinkov.ru/openforum/vsluhforumID10/4908.html Здравствуйте<br><br>Есть общая сеть организации(10.72.128.0/21) и есть сеть бухгалтерии(10.72.101.0/25). Это 2 физически разные сети. Между ними стоит маршрутеризатор на базе Alt Linux Server 4 c 2 интерфейсами 10.72.143.166 и 10.72.101.126 между ними настроена машрутеризация. Пакеты ходят из одной сети в другую без проблем.<br>Однако надо сделать так, чтобы из общей сети организации был запрещен доступ к сети бухгалтерии, а бухгалтерия ходила в общую сеть организации только строго на определенные сервера (Гарант(10.72.143.198), антивирус, и т.д.). Для этого производиться настройка iptables следующим скриптом<br><br>#!/bin/bash<br>IPTABLES -F<br>IPTABLES -t nat -F<br>IPTABLES -t mangle -F<br>IPTABLES -X<br>IPTABLES -t nat -X<br>IPTABLES -t mangle &#8211;X<br><br>IPTABLES -P INPUT DROP<br>IPTABLES -P FORWARD DROP<br>IPTABLES -P OUTPUT ACCEPT<br><br>IPTABLES -A INPUT -i lo -j ACCEPT<br>IPTABLES -A OUTPUT -o lo -j ACCEPT<br>IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT<br><br>IPTABLES -A INPUT -s 10.72.143.198 -j ACCEPT<br><br>После выпол https://slinkov.ru/openforum/vsluhforumID10/4908.html#9 Mon, 01 Aug 2011 10:03:45 GMT Всем спасибо!<br><br>Прекрасно работает следующий скрипт<br><br>iptables -F<br>iptables -X<br><br>iptables -P FORWARD ACCEPT<br>iptables -P OUTPUT ACCEPT<br><br>iptables -A INPUT -i lo -j ACCEPT<br>iptables -A OUTPUT -o lo -j ACCEPT<br><br>iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT<br>iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT<br><br>iptables -A FORWARD -s 10.72.101.0/25 -d 10.72.143.169/32 -j ACCEPT<br>iptables -A FORWARD -s 10.72.143.169/32 -d 10.72.101.0/25 -j ACCEPT<br>iptables -A FORWARD -j DROP<br><br>Тема закрыта.<br> https://slinkov.ru/openforum/vsluhforumID10/4908.html#8 Mon, 01 Aug 2011 05:58:01 GMT &gt;[оверквотинг удален]<br>&gt; IPTABLES -t mangle &#8211;X <br>&gt; IPTABLES -P INPUT DROP <br>&gt; IPTABLES -P FORWARD DROP <br>&gt; IPTABLES -P OUTPUT ACCEPT <br>&gt; IPTABLES -A INPUT -i lo -j ACCEPT <br>&gt; IPTABLES -A OUTPUT -o lo -j ACCEPT <br>&gt; IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT <br>&gt; IPTABLES -A INPUT -s 10.72.143.198 -j ACCEPT <br>&gt; После выполнения этого скрипта умирает всё, все пинги, передача данных. Где я <br>&gt; совершил ошибку?<br><br>Присоединяюсь к предыдущим ораторам.<br><br>Тут вам проще-бы VLANы нарезать на оборудовании ( если оно конечно умеет) и разрешать/запрещать маршрутизацию пакетов на основе VLAN.<br><br>З.ЫЖ Нет не решаемых проблем, для тех кто знает про RTFM.<br> https://slinkov.ru/openforum/vsluhforumID10/4908.html#7 Sun, 31 Jul 2011 14:46:11 GMT &gt; Есть общая сеть организации(10.72.128.0/21) и есть сеть бухгалтерии(10.72.101.0/25). <br>&gt; Alt Linux Server 4 c 2 интерфейсами 10.72.143.166 и 10.72.101.126 между <br>&gt; строго на определенные сервера (Гарант(10.72.143.198), антивирус, и т.д.). Для этого <br><br>man iptables<br><br>найдите место:<br>filter:<br> This is the default table (if no -t option is passed). It contains the built-in chains INPUT (for packets<br> destined to local sockets), FORWARD (for packets being routed through the box), and OUTPUT (for locally-<br> generated packets).<br><br>Там хорошо написано, что делают цепочки INPUT, OUTPUT, и FORWARD<br><br>По конфигу:<br><br># пинги<br>IPTABLES -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT <br><br># доступ к шлюзу<br>IPTABLES -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT<br><br># Хождение в гарант, туда и обратно<br>IPTABLES -A FORWARD -s 10.72.101.0/25 -d 10.72.143.198 -j ACCEPT<br>IPTABLES -A FORWARD -s 10.72.143.198 -d 10.72.101.0/25 -j ACCEPT <br> https://slinkov.ru/openforum/vsluhforumID10/4908.html#6 Sat, 30 Jul 2011 16:52:38 GMT <br>IPTABLES -P FORWARD DROP<br><br>Вы же перекрыли воду транзитным пакетам. <br> https://slinkov.ru/openforum/vsluhforumID10/4908.html#5 Sat, 30 Jul 2011 15:30:04 GMT &gt; После выполнения этого скрипта умирает всё, все пинги, передача данных. Где я <br>&gt; совершил ошибку?<br><br>наверно не все умерло, с 10.72.143.198 к 10.72.143.166 можно вить обращаться и с самого маршрутизатора в любую подсеть можно.<br>А то что вы хотите, городите в FORWARD<br> https://slinkov.ru/openforum/vsluhforumID10/4908.html#4 Sat, 30 Jul 2011 15:18:27 GMT &gt;&gt;&gt; После выполнения этого скрипта умирает всё, все пинги, передача данных. Где я <br>&gt;&gt;&gt; совершил ошибку?<br>&gt;&gt; В выборе профессии. В нечтении документации.<br>&gt; Ткни пальцем в ман, где я ошибся.<br><br>В любой ман по iptables в любое место.<br> https://slinkov.ru/openforum/vsluhforumID10/4908.html#3 Sat, 30 Jul 2011 14:51:23 GMT &gt;&gt;&gt; После выполнения этого скрипта умирает всё, все пинги, передача данных. Где я <br>&gt;&gt;&gt; совершил ошибку?<br>&gt;&gt; В выборе профессии. В нечтении документации.<br>&gt; Ткни пальцем в ман, где я ошибся.<br><br>"сделайте за меня мою работу бесплатно". Насчет выбора профессии - поддерживаю.<br> https://slinkov.ru/openforum/vsluhforumID10/4908.html#2 Sat, 30 Jul 2011 14:38:05 GMT &gt;&gt; После выполнения этого скрипта умирает всё, все пинги, передача данных. Где я <br>&gt;&gt; совершил ошибку?<br>&gt; В выборе профессии. В нечтении документации.<br><br>Ткни пальцем в ман, где я ошибся.<br> https://slinkov.ru/openforum/vsluhforumID10/4908.html#1 Sat, 30 Jul 2011 14:34:14 GMT &gt; После выполнения этого скрипта умирает всё, все пинги, передача данных. Где я <br>&gt; совершил ошибку?<br><br>В выборе профессии. В нечтении документации.<br><br>