forum.opennet.ru - "iptables" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"iptables"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"iptables"
Сообщение от kim_kirill (??) on 16-Янв-08, 12:00
Добрый день. Подскажите пожалуйста, есть два интерфейса eth0 - в локальную сеть, eth1 - в интернет. Делаю правило для отбрасавания пакетов из внешнего мира: -A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j DROP --dports 22,111,110,113,10000,3306,3128,514,587,631,953,143,10025,443,1723 правильно ли я делаю? И второй вопрос, хочу разрешить хождение траффика по порту 5190, вот правило -A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j ACCEPT --dports 25,53,20,21,5190 -A PREROUTING -p udp -m udp -m multiport -i ppp0 -j ACCEPT --dports 25,53,20,21,5190 правильно ли оно? Заранее спасибо
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

iptables, stas, 13:19 , 16-Янв-08, (1)
iptables, kim_kirill, 14:21 , 16-Янв-08, (2)

iptables, stas, 16:13 , 16-Янв-08, (3)

iptables, Lt_Flash, 16:14 , 18-Янв-08, (4)

НЕнаучный метод тыка :), Andrey Mitrofanov, 19:21 , 18-Янв-08, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "iptables"

Сообщение от stas (??) on 16-Янв-08, 13:19

>[оверквотинг удален]
>правильно ли я делаю?
>
>И второй вопрос, хочу разрешить хождение траффика по порту 5190, вот правило
>
>-A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j ACCEPT
>--dports 25,53,20,21,5190
>-A PREROUTING -p udp -m udp -m multiport -i ppp0 -j ACCEPT
>--dports 25,53,20,21,5190
>правильно ли оно?
>Заранее спасибо
Не очень понятно: зачем Вы это делаете в цепочке PREROUTING. Такие вещи, по-моему, надо делать в цепочке FORWARD. Разрешаете все что надо, а остальное сбрасывается политикой по умолчанию, либо последним правилом с -j DROP. Прочитайте внимательно руководство по iptables. Там все очень доходчиво написано.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "iptables"

Сообщение от kim_kirill (??) on 16-Янв-08, 14:21

Вот листинг iptable, подскажите пожалуста что я указал не так, потому что у меня не проходит ничего по портам 5190,20,21
# Generated by iptables-save v1.2.11 on Thu Mar 29 08:58:56 2007
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -s 192.168.0.0/24 -i eth0 -j ACCEPT
-A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j ACCEPT --dports 25,53,20,21,5190,443
-A PREROUTING -p udp -m udp -m multiport -i ppp0 -j ACCEPT --dports 25,53,20,21,5190,443
-A PREROUTING -p tcp -m tcp -s 10.0.0.0/255.255.255.0 --dport 80 -j REDIRECT --to-ports 3128-3128
-A PREROUTING -s 10.0.0.0/255.255.255.0 -j ACCEPT
-A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j DROP --dports 22,443,1723,111,110,113,10000,3306,3128,514,587,631,953,143,10025
-A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j DROP --dports 22,443,1723,111,110,113,10000,3306,3128,514,587,631,953,143,445
-A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j DROP --dports 139,3128,12345,20034,27374,31337
-A PREROUTING -p udp -m udp -m multiport -i ppp0 -j DROP --dports 445,139,3128,12345,20034,27374,31337
-A PREROUTING -p tcp -m tcp -i ppp0 --dport 10000:65535 -j DROP
COMMIT
# Completed on Thu Mar 29 08:58:56 2007
# Generated by iptables-save v1.2.11 on Thu Mar 29 08:58:56 2007
*mangle
:PREROUTING ACCEPT [28:2938]
:INPUT ACCEPT [28:2938]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [18:6271]
:POSTROUTING ACCEPT [18:6271]
COMMIT
# Completed on Thu Mar 29 08:58:56 2007
# Generated by iptables-save v1.2.11 on Thu Mar 29 08:58:56 2007
*filter
:INPUT ACCEPT [216:21081]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [206:116175]
COMMIT
# Completed on Thu Mar 29 08:58:56 2007
# Generated by webmin
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -s 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT
-A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j ACCEPT --dports 25,53,20,21,5190,443
-A PREROUTING -p udp -m udp -m multiport -i ppp0 -j ACCEPT --dports 25,53,20,21,5190,443
-A PREROUTING -p tcp -m tcp -s 10.0.0.0/255.255.255.0 --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -s 10.0.0.0/255.255.255.0 -j ACCEPT
-A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j DROP --dports 22,111,110,113,10000,3306,3128,514,587,631,953,143,10025,443,1723
-A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j DROP --dports 139,12345,443,445,20034,27374,31337
-A PREROUTING -p udp -m udp -m multiport -i ppp0 -j DROP --dports 22,113,111,10000,3306,3128,514,587,631,953,143,443,1723
-A PREROUTING -p udp -m udp -m multiport -i ppp0 -j DROP --dports 445,139,12345,20034,27374,31337
-A PREROUTING -p tcp -m tcp -i ppp0 --dport 10000:65535 -j DROP
COMMIT
# Completed

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "iptables"

Сообщение от stas (??) on 16-Янв-08, 16:13

>[оверквотинг удален]
>-A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j DROP
>--dports 139,12345,443,445,20034,27374,31337
>-A PREROUTING -p udp -m udp -m multiport -i ppp0 -j DROP
>--dports 22,113,111,10000,3306,3128,514,587,631,953,143,443,1723
>-A PREROUTING -p udp -m udp -m multiport -i ppp0 -j DROP
>--dports 445,139,12345,20034,27374,31337
>-A PREROUTING -p tcp -m tcp -i ppp0 --dport 10000:65535 -j DROP
>
>COMMIT
># Completed
Не очень понятно, что Вы вообще хотите получить. Вы пишите про два интерфейса eth0 и eth1, между тем в конфиге iptables у Вас почему-то указан ppp0.
Еще раз настоятельно Вам рекомендую внимательно прочитать руководство. Глядя на Ваш конфиг, я понимаю, что у Вас полная каша в голове. Критиковать Ваш конфиг не имеет смысла.
Схема настройки может быть, например, такой:
iptables -P FORWARD DROP
iptables -A FORWARD -p tcp -o eth1 -m multiport --dport 20,21,5190 -j ACCEPT
iptables -A FORWARD -p tcp -i eth1 -m multiport --sport 20,21,5190 -j ACCEPT,
если нужно разрешить хождение пакетов из внутр. сети наружу на порты 20,21,5190 .
Либо:
iptables -A FORWARD -p tcp -o eth1 -m multiport --dport 20,21,5190 -j ACCEPT
iptables -A FORWARD -p tcp -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -j DROP
Цепочка PREROUTING не используется для фильтрации. Ее назначение совсем другое. Прочитайте руководство.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "iptables"

Сообщение от Lt_Flash (ok) on 18-Янв-08, 16:14

>[оверквотинг удален]
>если нужно разрешить хождение пакетов из внутр. сети наружу на порты 20,21,5190
>.
>Либо:
>iptables -A FORWARD -p tcp -o eth1 -m multiport --dport 20,21,5190 -j
>ACCEPT
>iptables -A FORWARD -p tcp -i eth1 -m state --state ESTABLISHED,RELATED -j
>ACCEPT
>iptables -A FORWARD -j DROP
>Цепочка PREROUTING не используется для фильтрации. Ее назначение совсем другое. Прочитайте руководство.
>
Еще одна классическая ошибка новичков - пытаться сделать роутер с ip_forward=0 :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "НЕнаучный метод тыка :)"

Сообщение от Andrey Mitrofanov on 18-Янв-08, 19:21

>>Цепочка PREROUTING не используется для фильтрации. Ее назначение совсем другое. Прочитайте руководство.
>Еще одна классическая ошибка новичков - пытаться сделать роутер с ip_forward=0 :)
Как следствие старой, как мир, ошибки - сначала делать, потом не получать ожидаемого, потом спрашивать, потом читать. Вместо - читать, потом делать, потом получать результат.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "iptables"
Сообщение от stas (??) on 16-Янв-08, 13:19
>[оверквотинг удален] >правильно ли я делаю? > >И второй вопрос, хочу разрешить хождение траффика по порту 5190, вот правило > >-A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j ACCEPT >--dports 25,53,20,21,5190 >-A PREROUTING -p udp -m udp -m multiport -i ppp0 -j ACCEPT >--dports 25,53,20,21,5190 >правильно ли оно? >Заранее спасибо Не очень понятно: зачем Вы это делаете в цепочке PREROUTING. Такие вещи, по-моему, надо делать в цепочке FORWARD. Разрешаете все что надо, а остальное сбрасывается политикой по умолчанию, либо последним правилом с -j DROP. Прочитайте внимательно руководство по iptables. Там все очень доходчиво написано.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "iptables"
Сообщение от kim_kirill (??) on 16-Янв-08, 14:21
Вот листинг iptable, подскажите пожалуста что я указал не так, потому что у меня не проходит ничего по портам 5190,20,21 # Generated by iptables-save v1.2.11 on Thu Mar 29 08:58:56 2007 nat :PREROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A PREROUTING -s 192.168.0.0/24 -i eth0 -j ACCEPT -A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j ACCEPT --dports 25,53,20,21,5190,443 -A PREROUTING -p udp -m udp -m multiport -i ppp0 -j ACCEPT --dports 25,53,20,21,5190,443 -A PREROUTING -p tcp -m tcp -s 10.0.0.0/255.255.255.0 --dport 80 -j REDIRECT --to-ports 3128-3128 -A PREROUTING -s 10.0.0.0/255.255.255.0 -j ACCEPT -A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j DROP --dports 22,443,1723,111,110,113,10000,3306,3128,514,587,631,953,143,10025 -A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j DROP --dports 22,443,1723,111,110,113,10000,3306,3128,514,587,631,953,143,445 -A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j DROP --dports 139,3128,12345,20034,27374,31337 -A PREROUTING -p udp -m udp -m multiport -i ppp0 -j DROP --dports 445,139,3128,12345,20034,27374,31337 -A PREROUTING -p tcp -m tcp -i ppp0 --dport 10000:65535 -j DROP COMMIT # Completed on Thu Mar 29 08:58:56 2007 # Generated by iptables-save v1.2.11 on Thu Mar 29 08:58:56 2007 mangle :PREROUTING ACCEPT [28:2938] :INPUT ACCEPT [28:2938] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [18:6271] :POSTROUTING ACCEPT [18:6271] COMMIT # Completed on Thu Mar 29 08:58:56 2007 # Generated by iptables-save v1.2.11 on Thu Mar 29 08:58:56 2007 filter :INPUT ACCEPT [216:21081] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [206:116175] COMMIT # Completed on Thu Mar 29 08:58:56 2007 # Generated by webmin nat :OUTPUT ACCEPT [0:0] :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A PREROUTING -s 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT -A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j ACCEPT --dports 25,53,20,21,5190,443 -A PREROUTING -p udp -m udp -m multiport -i ppp0 -j ACCEPT --dports 25,53,20,21,5190,443 -A PREROUTING -p tcp -m tcp -s 10.0.0.0/255.255.255.0 --dport 80 -j REDIRECT --to-ports 3128 -A PREROUTING -s 10.0.0.0/255.255.255.0 -j ACCEPT -A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j DROP --dports 22,111,110,113,10000,3306,3128,514,587,631,953,143,10025,443,1723 -A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j DROP --dports 139,12345,443,445,20034,27374,31337 -A PREROUTING -p udp -m udp -m multiport -i ppp0 -j DROP --dports 22,113,111,10000,3306,3128,514,587,631,953,143,443,1723 -A PREROUTING -p udp -m udp -m multiport -i ppp0 -j DROP --dports 445,139,12345,20034,27374,31337 -A PREROUTING -p tcp -m tcp -i ppp0 --dport 10000:65535 -j DROP COMMIT # Completed
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "iptables"
	Сообщение от stas (??) on 16-Янв-08, 16:13
	>[оверквотинг удален] >-A PREROUTING -p tcp -m tcp -m multiport -i ppp0 -j DROP >--dports 139,12345,443,445,20034,27374,31337 >-A PREROUTING -p udp -m udp -m multiport -i ppp0 -j DROP >--dports 22,113,111,10000,3306,3128,514,587,631,953,143,443,1723 >-A PREROUTING -p udp -m udp -m multiport -i ppp0 -j DROP >--dports 445,139,12345,20034,27374,31337 >-A PREROUTING -p tcp -m tcp -i ppp0 --dport 10000:65535 -j DROP > >COMMIT ># Completed Не очень понятно, что Вы вообще хотите получить. Вы пишите про два интерфейса eth0 и eth1, между тем в конфиге iptables у Вас почему-то указан ppp0. Еще раз настоятельно Вам рекомендую внимательно прочитать руководство. Глядя на Ваш конфиг, я понимаю, что у Вас полная каша в голове. Критиковать Ваш конфиг не имеет смысла. Схема настройки может быть, например, такой: iptables -P FORWARD DROP iptables -A FORWARD -p tcp -o eth1 -m multiport --dport 20,21,5190 -j ACCEPT iptables -A FORWARD -p tcp -i eth1 -m multiport --sport 20,21,5190 -j ACCEPT, если нужно разрешить хождение пакетов из внутр. сети наружу на порты 20,21,5190 . Либо: iptables -A FORWARD -p tcp -o eth1 -m multiport --dport 20,21,5190 -j ACCEPT iptables -A FORWARD -p tcp -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -j DROP Цепочка PREROUTING не используется для фильтрации. Ее назначение совсем другое. Прочитайте руководство.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "iptables"
	Сообщение от Lt_Flash (ok) on 18-Янв-08, 16:14
	>[оверквотинг удален] >если нужно разрешить хождение пакетов из внутр. сети наружу на порты 20,21,5190 >. >Либо: >iptables -A FORWARD -p tcp -o eth1 -m multiport --dport 20,21,5190 -j >ACCEPT >iptables -A FORWARD -p tcp -i eth1 -m state --state ESTABLISHED,RELATED -j >ACCEPT >iptables -A FORWARD -j DROP >Цепочка PREROUTING не используется для фильтрации. Ее назначение совсем другое. Прочитайте руководство. > Еще одна классическая ошибка новичков - пытаться сделать роутер с ip_forward=0 :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "НЕнаучный метод тыка :)"
	Сообщение от Andrey Mitrofanov on 18-Янв-08, 19:21
	>>Цепочка PREROUTING не используется для фильтрации. Ее назначение совсем другое. Прочитайте руководство. >Еще одна классическая ошибка новичков - пытаться сделать роутер с ip_forward=0 :) Как следствие старой, как мир, ошибки - сначала делать, потом не получать ожидаемого, потом спрашивать, потом читать. Вместо - читать, потом делать, потом получать результат.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]