forum.opennet.ru - "Настройка iptables" (39)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Настройка iptables"

Форум Открытые системы на сервере (Маршрутизация, NAT / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Настройка iptables"	+/–
Сообщение от alex320388 (ok) on 14-Дек-10, 15:05
Привет всем! Имеется такая конфигурация сети { локальная сеть } { шлюз } { иная сеть } { 192.168.2.0 }----{ -----eth2-- 192.168.2.1 -eth1-- }-----{ 101.10.10.0 } --------+--------- \| { 192.168.2.2:8080 }--компьютер на котором установлен calibre-server в данный момент компьютеры сетти 192... имеют доступ и к иной сети и к серверу calibrе; компьютеры из иной сети имеют доступ только к веб-серверу на шлюзе (обращаются к нему по адресу 101.10.10.1) и не имеют доступа к 192.168.2.2:8080 Вопрос: как сделать доступ компьютерам из иной сети к 192.168.2.2:8080? сейчас iptables на шлюзе *************************************** # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. nat :PREROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A POSTROUTING -o eth2 -j MASQUERADE COMMIT filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT -A FORWARD -p icmp -j ACCEPT -A FORWARD -i lo -j ACCEPT -A FORWARD -o eth2 -s 192.168.2.101 -j ACCEPT -A FORWARD -o eth2 -p tcp -s 192.168.2.0/24 --dport 80 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT *************************************** Спасибо.
Ответить \| Правка \| Cообщить модератору

Оглавление

Настройка iptables, BarS, 15:11 , 14-Дек-10, (1)

Настройка iptables, alex320388, 15:28 , 14-Дек-10, (2)

Настройка iptables, BarS, 15:41 , 14-Дек-10, (3)

Настройка iptables, BarS, 15:42 , 14-Дек-10, (4)

Настройка iptables, alex320388, 16:05 , 14-Дек-10, (6)

Настройка iptables, reader, 15:47 , 14-Дек-10, (5)

Настройка iptables, alex320388, 16:06 , 14-Дек-10, (7)

Настройка iptables, reader, 16:23 , 14-Дек-10, (8)

Настройка iptables, alex320388, 17:02 , 14-Дек-10, (9)

Настройка iptables, reader, 17:11 , 14-Дек-10, (10)

Настройка iptables, alex320388, 17:15 , 14-Дек-10, (11)

Настройка iptables, alex320388, 17:19 , 14-Дек-10, (12)

Настройка iptables, reader, 17:29 , 14-Дек-10, (14)

Настройка iptables, reader, 17:26 , 14-Дек-10, (13)

Настройка iptables, alex320388, 17:32 , 14-Дек-10, (15)

Настройка iptables, alien_, 12:26 , 27-Дек-10, (16)
Настройка iptables, reader, 12:57 , 27-Дек-10, (17)
Настройка iptables, alien_, 13:39 , 27-Дек-10, (18)
Настройка iptables, reader, 13:48 , 27-Дек-10, (19)
Настройка iptables, alien_, 14:56 , 27-Дек-10, (20)
Настройка iptables, reader, 15:04 , 27-Дек-10, (21)
Настройка iptables, alien_, 15:47 , 27-Дек-10, (22)
Настройка iptables, reader, 16:22 , 27-Дек-10, (23)
Настройка iptables, alien_, 16:43 , 27-Дек-10, (24)
Настройка iptables, reader, 16:58 , 27-Дек-10, (25)
Настройка iptables, alien_, 10:10 , 28-Дек-10, (26)
Настройка iptables, reader, 11:11 , 28-Дек-10, (27)
Настройка iptables, alien_, 11:23 , 28-Дек-10, (28)
Настройка iptables, reader, 11:39 , 28-Дек-10, (29)
Настройка iptables, alien_, 12:42 , 28-Дек-10, (30)
Настройка iptables, reader, 13:23 , 28-Дек-10, (31) +1

Настройка iptables, alex320388, 12:12 , 13-Янв-11, (32)

Настройка iptables, reader, 12:24 , 13-Янв-11, (33)

Настройка iptables, alex320388, 12:40 , 13-Янв-11, (34)

Настройка iptables, reader, 12:52 , 13-Янв-11, (35)

Настройка iptables, alex320388, 13:10 , 13-Янв-11, (36)

Настройка iptables, reader, 13:38 , 13-Янв-11, (37)

Настройка iptables, alex320388, 14:04 , 13-Янв-11, (38)

Настройка iptables, reader, 14:11 , 13-Янв-11, (39)

Сообщения по теме [Сортировка по времени | RSS]

1. "Настройка iptables" +/–

Сообщение от BarS (??) on 14-Дек-10, 15:11

Подумать на это и спокойно разобраться:
-A FORWARD -o eth2 -s 192.168.2.101 -j ACCEPT
-A FORWARD -o eth2 -p tcp -s 192.168.2.0/24 --dport 80 -j ACCEPT
для проходящих важны правила FORWARD

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Настройка iptables" +/–

Сообщение от alex320388 (ok) on 14-Дек-10, 15:28

> Подумать на это и спокойно разобраться:
> -A FORWARD -o eth2 -s 192.168.2.101 -j ACCEPT
> -A FORWARD -o eth2 -p tcp -s 192.168.2.0/24 --dport 80 -j ACCEPT
> для проходящих важны правила FORWARD
Так чтоли?
*************************
-A FORWARD -o eth1 -p tcp --destination 192.168.2.2 --dport 8080 -j ACCEPT
*************************

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Настройка iptables" +/–

Сообщение от BarS (??) on 14-Дек-10, 15:41

>> Подумать на это и спокойно разобраться:
>> -A FORWARD -o eth2 -s 192.168.2.101 -j ACCEPT
>> -A FORWARD -o eth2 -p tcp -s 192.168.2.0/24 --dport 80 -j ACCEPT
>> для проходящих важны правила FORWARD
> Так чтоли?
> *************************
> -A FORWARD -o eth1 -p tcp --destination 192.168.2.2 --dport 8080 -j ACCEPT
> *************************
Я там твою схему скурить не могу :) Но логично. В обратную сторону пакеты тож должны будут ходить, глянь как они у тебя пропустятся.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Настройка iptables" +/–

Сообщение от BarS (??) on 14-Дек-10, 15:42

> Я там твою схему скурить не могу :) Но логично. В обратную
> сторону пакеты тож должны будут ходить, глянь как они у тебя
> пропустятся.
+
А пропустятся они этим:
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Настройка iptables" +/–

Сообщение от alex320388 (ok) on 14-Дек-10, 16:05

>> Я там твою схему скурить не могу :) Но логично. В обратную
>> сторону пакеты тож должны будут ходить, глянь как они у тебя
>> пропустятся.
> +
> А пропустятся они этим:
> -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
это не работает:
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -o eth1 -p tcp --destination 192.168.2.2 --dport 8080 -j ACCEPT
Я вот что подумал, у компьютеров сети 192. шлюзом есть 192.168.2.1, поэтому маршрут им известен, а как компьютеры иной сети могут узнать маршрут если у них шлюзом является
другой комп? Может такак схема сети как у меня неверна?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Настройка iptables" +/–

Сообщение от reader (ok) on 14-Дек-10, 15:47

>[оверквотинг удален]
>>> -A FORWARD -o eth2 -s 192.168.2.101 -j ACCEPT
>>> -A FORWARD -o eth2 -p tcp -s 192.168.2.0/24 --dport 80 -j ACCEPT
>>> для проходящих важны правила FORWARD
>> Так чтоли?
>> *************************
>> -A FORWARD -o eth1 -p tcp --destination 192.168.2.2 --dport 8080 -j ACCEPT
>> *************************
> Я там твою схему скурить не могу :) Но логично. В обратную
> сторону пакеты тож должны будут ходить, глянь как они у тебя
> пропустятся.
если 192.168.2.2 за eth2, то не логично.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Настройка iptables" +/–

Сообщение от alex320388 (ok) on 14-Дек-10, 16:06

>[оверквотинг удален]
>>>> -A FORWARD -o eth2 -p tcp -s 192.168.2.0/24 --dport 80 -j ACCEPT
>>>> для проходящих важны правила FORWARD
>>> Так чтоли?
>>> *************************
>>> -A FORWARD -o eth1 -p tcp --destination 192.168.2.2 --dport 8080 -j ACCEPT
>>> *************************
>> Я там твою схему скурить не могу :) Но логично. В обратную
>> сторону пакеты тож должны будут ходить, глянь как они у тебя
>> пропустятся.
> если 192.168.2.2 за eth2, то не логично.
а как надо?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Настройка iptables" +/–

Сообщение от reader (ok) on 14-Дек-10, 16:23

>[оверквотинг удален]
>>>>> для проходящих важны правила FORWARD
>>>> Так чтоли?
>>>> *************************
>>>> -A FORWARD -o eth1 -p tcp --destination 192.168.2.2 --dport 8080 -j ACCEPT
>>>> *************************
>>> Я там твою схему скурить не могу :) Но логично. В обратную
>>> сторону пакеты тож должны будут ходить, глянь как они у тебя
>>> пропустятся.
>> если 192.168.2.2 за eth2, то не логично.
> а как надо?
если пакет идет от 101.10.10.* , входит через eth1 а уйти должен через eth2, то
-A FORWARD -o eth2 -p tcp --destination 192.168.2.2 --dport 8080 -j ACCEPT
по поводу маршрутов, если 192.168.2.* могут общаться с 101.10.10.* и nat на eth1 вы не делали, то там уже все есть
а вот для чего там -A POSTROUTING -o eth2 -j MASQUERADE не понятно, но если 101.10.10.* за eth2, тогда другое дело.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Настройка iptables" +/–

Сообщение от alex320388 (ok) on 14-Дек-10, 17:02

> а вот для чего там -A POSTROUTING -o eth2 -j MASQUERADE не
> понятно, но если 101.10.10.* за eth2, тогда другое дело.
ifconfig
eth1      inet addr:192.168.2.1  Bcast:192.168.2.255  Mask:255.255.255.0
eth2      inet addr:101.10.10.8  Bcast:101.10.10.255  Mask:255.255.255.0

так что 101.10.10 находится за eth2. Это я при составлении рисунка ошибся
{ локальная сеть }    {____________шлюз____________________}      { иная сеть }
{___192.168.2.0__}----{ -----eth1--   192.168.2.1  -eth2-- }-----{ 101.10.10.0 }
--------+---------
        |
{ 192.168.2.2:8080 }--компьютер на котором установлен calibre-server

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Настройка iptables" +/–

Сообщение от reader (ok) on 14-Дек-10, 17:11

>> а вот для чего там -A POSTROUTING -o eth2 -j MASQUERADE не
>> понятно, но если 101.10.10.* за eth2, тогда другое дело.
> ifconfig
> eth1      inet addr:192.168.2.1  Bcast:192.168.2.255  Mask:255.255.255.0
> eth2      inet addr:101.10.10.8  Bcast:101.10.10.255  Mask:255.255.255.0
а  101.10.10.1 - это кто?
шлюзом в 101.10.10.0 что указано?

> так что 101.10.10 находится за eth2. Это я при составлении рисунка ошибся
> { локальная сеть }    {____________шлюз____________________}
>  { иная сеть }
> {___192.168.2.0__}----{ -----eth1--   192.168.2.1  -eth2-- }-----{ 101.10.10.0 }
> --------+---------
>         |
> { 192.168.2.2:8080 }--компьютер на котором установлен calibre-server

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Настройка iptables" +/–

Сообщение от alex320388 (ok) on 14-Дек-10, 17:15

route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.2.0     *               255.255.255.0   U     0      0        0 eth1
101.10.10.0     *               255.255.255.0   U     0      0        0 eth2
link-local      *               255.255.0.0     U     1002   0        0 eth1
link-local      *               255.255.0.0     U     1003   0        0 eth2
default         101.10.10.1     0.0.0.0         UG    0      0        0 eth2

шлюзом в 101.10.10.0 есть 101.10.10.1

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Настройка iptables" +/–

Сообщение от alex320388 (ok) on 14-Дек-10, 17:19

а за 101.10.10.1 сеть 10.20.8.0

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Настройка iptables" +/–

Сообщение от reader (ok) on 14-Дек-10, 17:29

> а за 101.10.10.1 сеть 10.20.8.0
а с ней что не так? :)

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

13. "Настройка iptables" +/–

Сообщение от reader (ok) on 14-Дек-10, 17:26

>[оверквотинг удален]
> 0        0 eth1
> link-local      *
>          255.255.0.0
>    U     1003
> 0        0 eth2
> default         101.10.10.1
>   0.0.0.0
> UG    0      0
>        0 eth2
> шлюзом в 101.10.10.0 есть 101.10.10.1
101.10.10.0 и 101.10.10.1 вам подконтрольны?
если нет, то для попадания на 192.168.2.2:8080 из 101.10.10.0 придется обращаться на 101.10.10.8, а на нем уже делать проброс на 192.168.2.2
http://www.opennet.ru/docs/RUS/iptables/#DNATTARGET

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "Настройка iptables" +/–

Сообщение от alex320388 (ok) on 14-Дек-10, 17:32

> http://www.opennet.ru/docs/RUS/iptables/#DNATTARGET
о, наверное то что надо, нутром чую :). Счас попробую

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "Настройка iptables" +/–

Сообщение от alien_ (ok) on 27-Дек-10, 12:26

Здравствуйте. Настраиваю iptables с прозрачным прокси squid. Раньше, на прошлой работе, squid работал в обычном режиме, все было нормально. Форвардинг работал(т.е. я мог с определенного ip  в тотале настроить фтп соединение и выходить напрямую мимо прокси). Теперь настроил прозрачный прокси, все работает, iptables в минимальной конфигурации.
Редирект работает, а с фтп соединиться не могу, пишет не найден сервер и все...
Мой конфиг:
*mangle
:PREROUTING ACCEPT [27148:21108582]
:INPUT ACCEPT [27135:21107045]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [22087:2266116]
:POSTROUTING ACCEPT [22087:2266116]
COMMIT
*nat
:PREROUTING ACCEPT [110:12392]
:POSTROUTING ACCEPT [512:30903]
:OUTPUT ACCEPT [512:30903]
-A PREROUTING -s 192.168.0.0/24 -d ! 192.168.2.1 -p tcp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081 -j REDIRECT --to-port 3128
-A PREROUTING -s 192.168.0.0/24 -d ! 192.168.2.1 -p tcp -m multiport --dport 8082,8083,8091,8100,8101,8102,8103,8080,8888,777 -j REDIRECT --to-port 3128
-A PREROUTING -s 192.168.1.0/24 -d ! 192.168.2.1 -p tcp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081 -j REDIRECT --to-port 3128
-A PREROUTING -s 192.168.1.0/24 -d ! 192.168.2.1 -p tcp -m multiport --dport 8082,8083,8091,8100,8101,8102,8103,8080,8888,777 -j REDIRECT --to-port 3128
COMMIT
*filter
:FORWARD DROP [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -m limit --limit 3/min -j LOG  --log-prefix "SFW2-FWD-ILL-ROUTING " --log-tcp-options --log-ip-options
-A OUTPUT -m limit --limit 3/min -j LOG  --log-prefix "SFW2-OUT-ERROR " --log-tcp-options --log-ip-options
-A FORWARD -p tcp -m multiport -d 192.168.№.№ -i eth0 -o eth1 -j ACCEPT --sports 110,143,25,21,7777,5020
-A FORWARD -p tcp -m multiport -s 192.168.№.№ -i eth1 -o eth0 -j ACCEPT --dports 80,110,143,25,21,5020,1024:65535
COMMIT

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Настройка iptables" +/–

Сообщение от reader (ok) on 27-Дек-10, 12:57

начните с чтения как и на каких портах работает ftp

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Настройка iptables" +/–

Сообщение от alien_ (ok) on 27-Дек-10, 13:39

Да, оно-то конечно правильно. FTP клиент в пассивном режиме шлет команды 21 портом, принимает случайным портом обычно > 1024. Если я все правильно понял(есть сомнения), то в данной конфигурации все работоспособно.
-A FORWARD -p tcp -m multiport -d 192.168._._ -i eth0 -o eth1 -j ACCEPT --sports 110,143,25,   21   ,7777,5252
-A FORWARD -p tcp -m multiport -s 192.168._._ -i eth1 -o eth0 -j ACCEPT --dports 80,110,143,25,21,5252,      1024:65535
Когда раньше настраивал, все работало именно в данной конфигурации iptables.
Дело даже не в ftp. Есть  программа которая использует, скажем, TCP порт 5252.
В данный момент она не работает.
Как тут быть?
спасибо.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Настройка iptables" +/–

Сообщение от reader (ok) on 27-Дек-10, 13:48

>[оверквотинг удален]
> -A FORWARD -p tcp -m multiport -d 192.168._._ -i eth0 -o eth1
> -j ACCEPT --sports 110,143,25,   21   ,7777,5252
> -A FORWARD -p tcp -m multiport -s 192.168._._ -i eth1 -o eth0
> -j ACCEPT --dports 80,110,143,25,21,5252,      1024:65535
> Когда раньше настраивал, все работало именно в данной конфигурации iptables.
> Дело даже не в ftp. Есть  программа которая использует, скажем, TCP
> порт 5252.
> В данный момент она не работает.
> Как тут быть?
> спасибо.
куда она должна обратится? в инет из вашей серой сети? если да, то делайте SNAT

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Настройка iptables" +/–

Сообщение от alien_ (ok) on 27-Дек-10, 14:56

> куда она должна обратится? в инет из вашей серой сети? если да,
> то делайте SNAT
Да из внутренней сети  к серверу на tcp port 5252. Ну, и обратно...
*nat
-A POSTROUTING -o eth0 -s 192.168.№.№ -j SNAT --to-source внешний-ip
где 192.168.№.№ - айпи компа, с которого осуществляется доступ к серверу в интернете.
Где-то так?
А если динамический ip, то может лучше использовать маскарадинг?
-A POSTROUTING -p TCP -o eth0 -s 192.168.№.№ -j MASQUERADE

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Настройка iptables" +/–

Сообщение от reader (ok) on 27-Дек-10, 15:04

>[оверквотинг удален]
>> то делайте SNAT
> Да из внутренней сети  к серверу на tcp port 5252. Ну,
> и обратно...
> *nat
> -A POSTROUTING -o eth0 -s 192.168.№.№ -j SNAT --to-source внешний-ip
> где 192.168.№.№ - айпи компа, с которого осуществляется доступ к серверу в
> интернете.
> Где-то так?
> А если динамический ip, то может лучше использовать маскарадинг?
> -A POSTROUTING -p TCP -o eth0 -s 192.168.№.№ -j MASQUERADE
само собой

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Настройка iptables" +/–

Сообщение от alien_ (ok) on 27-Дек-10, 15:47

Еще вопросик.
Как сделать, чтобы пинг проходил наружу?
С определенного ip внутри сети наружу, например, ping ya.ru и получал ответ 93.158.134.3 и т.д.
*filter
-A FORWARD -p icmp -m icmp -d 192.168.#.# -i eth0 -o eth1 -j ACCEPT
-A FORWARD -p icmp -m icmp -s 192.168.#.# -i eth1 -o eth0 -j ACCEPT
Правильно мыслю?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "Настройка iptables" +/–

Сообщение от reader (ok) on 27-Дек-10, 16:22

> Еще вопросик.
> Как сделать, чтобы пинг проходил наружу?
> С определенного ip внутри сети наружу, например, ping ya.ru и получал ответ
> 93.158.134.3 и т.д.
> *filter
> -A FORWARD -p icmp -m icmp -d 192.168.#.# -i eth0 -o eth1
> -j ACCEPT
> -A FORWARD -p icmp -m icmp -s 192.168.#.# -i eth1 -o eth0
> -j ACCEPT
> Правильно мыслю?
да , но SNAT или MASQUERADE этому протоколу тоже нужен

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "Настройка iptables" +/–

Сообщение от alien_ (ok) on 27-Дек-10, 16:43

Т.е. добавить
*nat
-A POSTROUTING -p icmp -m icmp -o eth0 -s 192.168.№.№ -j MASQUERADE
И будет счастье?
пс: Не могу сейчас испытывать, инет отключу всем...

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "Настройка iptables" +/–

Сообщение от reader (ok) on 27-Дек-10, 16:58

> Т.е. добавить
> *nat
> -A POSTROUTING -p icmp -m icmp -o eth0 -s 192.168.№.№ -j MASQUERADE
> И будет счастье?
> пс: Не могу сейчас испытывать, инет отключу всем...
правильней MASQUERADE сделать для всего и для всех, а в таблице фильтров уже разрешать или запрещать, а так вы просто ограничили для кого и чего делать snat, а остальные пакеты если они не были заблокированы отправятся к провайдеру с серым адресом, это не лучший вариант.
-A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE - добавить правило к текущим без разрыва сессий пользователей.
iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE - удалить правило из текущих

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

26. "Настройка iptables" +/–

Сообщение от alien_ (ok) on 28-Дек-10, 10:10

Не сильно ли маскарадинг будет нагружать сервер?
У меня его роль выполняет athlon 1200 256 ram, дистрибутив suse 10.2.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

27. "Настройка iptables" +/–

Сообщение от reader (ok) on 28-Дек-10, 11:11

> Не сильно ли маскарадинг будет нагружать сервер?
> У меня его роль выполняет athlon 1200 256 ram, дистрибутив suse 10.2.
меньше чем squid, и при правильной фильтрации через него пойдет не больше чем при вашем методе. а некоторые пакета, так вообще полезно убить еще при получении, например со статусом INVALID

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

28. "Настройка iptables" +/–

Сообщение от alien_ (ok) on 28-Дек-10, 11:23

> меньше чем squid, и при правильной фильтрации через него пойдет не больше
> чем при вашем методе. а некоторые пакета, так вообще полезно убить
> еще при получении, например со статусом INVALID
Да, у меня в старом конфиге в filter по умолчанию  все drop и описаны правила для lo, локальной сети (доступ к ресурсам сервера: squid, mysql, bind, apache, webmin ...) и внешние правила...
Внешние правила вызывают наибольшие затруднения.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

29. "Настройка iptables" +/–

Сообщение от reader (ok) on 28-Дек-10, 11:39

>> меньше чем squid, и при правильной фильтрации через него пойдет не больше
>> чем при вашем методе. а некоторые пакета, так вообще полезно убить
>> еще при получении, например со статусом INVALID
> Да, у меня в старом конфиге в filter по умолчанию  все
> drop и описаны правила для lo, локальной сети (доступ к ресурсам
> сервера: squid, mysql, bind, apache, webmin ...) и внешние правила...
> Внешние правила вызывают наибольшие затруднения.
если из внешки никто не будет подключаться, то зачастую достаточно разрешить только ответные пакеты
-A FORWARD -m state --state ESTABLISHED -j ACCEPT
на время проверки включить логирование того что блокируется и добавлять правила для того что нужно было бы пропустить

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

30. "Настройка iptables" +/–

Сообщение от alien_ (ok) on 28-Дек-10, 12:42

> если из внешки никто не будет подключаться, то зачастую достаточно разрешить только
> ответные пакеты
> -A FORWARD -m state --state ESTABLISHED -j ACCEPT
> на время проверки включить логирование того что блокируется и добавлять правила для
> того что нужно было бы пропустить
А как выглядят правила для *filter input и output?
У меня наверное не очень правильно но все работало eth2-adsl; eth0,eth1-lan;
# http https
-A OUTPUT -p tcp -m tcp -m multiport -o eth2 --sport 1024:65535 -j ACCEPT --dports 80,443
-A INPUT -p tcp -m tcp -m multiport -i eth2 --dport 1024:65535 -j ACCEPT --sports 80,443  ! --syn
-A INPUT -p tcp -m tcp -i eth2 --dport 1024:65535 --sport 20 -j ACCEPT
-A OUTPUT -p tcp -m tcp -o eth2 --dport 20 --sport 1024:65535 -j ACCEPT  ! --syn
-A OUTPUT -p tcp -m tcp -o eth2 --dport 1024:65535 --sport 1024:65535 -j ACCEPT
-A INPUT -p tcp -m tcp -i eth2 --dport 1024:65535 --sport 1024:65535 -j ACCEPT  ! --syn
-A OUTPUT -p tcp -m tcp -o eth2 --dport 23 --sport 1024:65535 -j ACCEPT
-A INPUT -p tcp -m tcp -i eth2 --dport 1024:65535 --sport 23 -j ACCEPT  ! --syn
-A OUTPUT -p tcp -m tcp -o eth2 --dport 79 --sport 1024:65535 -j ACCEPT
-A INPUT -p tcp -m tcp -i eth2 --dport 1024:65535 --sport 79 -j ACCEPT  ! --syn
-A OUTPUT -p tcp -m tcp -o eth2 --dport 43 --sport 1024:65535 -j ACCEPT
-A INPUT -p tcp -m tcp -i eth2 --dport 1024:65535 --sport 43 -j ACCEPT  ! --syn
-A OUTPUT -p tcp -m tcp -o eth2 --dport 70 --sport 1024:65535 -j ACCEPT
-A INPUT -p tcp -m tcp -i eth2 --dport 1024:65535 --sport 70 -j ACCEPT  ! --syn
-A OUTPUT -p tcp -m tcp -o eth2 --dport 210 --sport 1024:65535 -j ACCEPT
-A INPUT -p tcp -m tcp -i eth2 --dport 1024:65535 --sport 210 -j ACCEPT  ! --syn
-A OUTPUT -p udp -m udp -o eth2 --dport 33434:33523 --sport 32769:65535 -j ACCEPT
-A OUTPUT -p udp -m udp -o eth2 --dport 67 --sport 68 -j ACCEPT
-A INPUT -p udp -m udp -i eth2 --dport 68 --sport 67 -j ACCEPT
#dns
-A OUTPUT -p udp -m udp -o eth2 --dport 53 --sport 1024:65535 -j ACCEPT
-A OUTPUT -p tcp -m tcp -o eth2 --dport 53 --sport 1024:65535 -j ACCEPT
-A INPUT -p udp -m udp -i eth2 --dport 1024:65535 --sport 53 -j ACCEPT
-A INPUT -p tcp -m tcp -i eth2 --dport 1024:65353 --sport 53 -j ACCEPT
#other
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

-A INPUT -p udp -m udp -s 0/0 --dport 68 --sport 67 -j ACCEPT
-A OUTPUT -p udp -m udp -s 0/0 -j ACCEPT
-A INPUT -p icmp -j DROP  --fragment
-A OUTPUT -p icmp -j DROP  --fragment
-A INPUT -p icmp -m icmp -i eth2 --icmp-type source-quench -j ACCEPT
-A OUTPUT -p icmp -m icmp -o eth2 --icmp-type source-quench -j ACCEPT
-A INPUT -p icmp -m icmp -i eth2 --icmp-type echo-reply -j ACCEPT
-A OUTPUT -p icmp -m icmp -o eth2 --icmp-type echo-request -j ACCEPT
-A INPUT -p icmp -m icmp -i eth2 --icmp-type parameter-problem -j ACCEPT
-A OUTPUT -p icmp -m icmp -o eth2 --icmp-type parameter-problem -j ACCEPT
-A INPUT -p tcp -m tcp -i eth2 --dport 6000:6063 -j DROP  --syn

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

31. "Настройка iptables" +1 +/–

Сообщение от reader (ok) on 28-Дек-10, 13:23

>[оверквотинг удален]
> -A INPUT -p icmp -j DROP  --fragment
> -A OUTPUT -p icmp -j DROP  --fragment
> -A INPUT -p icmp -m icmp -i eth2 --icmp-type source-quench -j ACCEPT
> -A OUTPUT -p icmp -m icmp -o eth2 --icmp-type source-quench -j ACCEPT
> -A INPUT -p icmp -m icmp -i eth2 --icmp-type echo-reply -j ACCEPT
> -A OUTPUT -p icmp -m icmp -o eth2 --icmp-type echo-request -j ACCEPT
> -A INPUT -p icmp -m icmp -i eth2 --icmp-type parameter-problem -j ACCEPT
> -A OUTPUT -p icmp -m icmp -o eth2 --icmp-type parameter-problem -j ACCEPT
> -A INPUT -p tcp -m tcp -i eth2 --dport 6000:6063 -j DROP
>  --syn
это не много правил и особой нагрузки не создаст. по мере понимания работы сети и посматривания на счетчики правил увидите какие правила лишние.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

32. "Настройка iptables" +/–

Сообщение от alex320388 (ok) on 13-Янв-11, 12:12

Всех поздравляю с Щедрым вечером!
В продолжении темы.
Я всетаки смог пробросить порт, но затея, для чего все предпринималось так и не реализована, конечно виной тому праздники, так как я просто забил, но всеже хотелось бы продолжить.
Имеем - пакеты из внешней сети могут теперь передаваться на 1 комп локалки
____________________________
[root@server ~]# iptables -t nat -nx -L PREROUTING
Chain PREROUTING (policy ACCEPT)
target     prot     opt                 source               destination
DNAT       tcp  --  0.0.0.0/0            101.8.9.8           tcp dpt:8080 to:192.168.2.101:8080
_____________________________
[root@server ~]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  anywhere             101.8.9.8           tcp dpt:webcache to:192.168.2.101:8080
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  anywhere             anywhere
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
_____________________________
Теперь вопрос.
На 101.8.9.8 работает сайт на httpd.
Нужно чтобы пользователь, который нажал на ссылку /bib редиректился на 192.168.2.101:8080
пишу в .htaccess
redirect /bib http://192.168.2.101:8080
Юзеры из локалки  192.168.2.0 редиректятся, а из внешней сети - нет.
Помогите в какую сторону рыть. Спасибо

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Настройка iptables" +/–

Сообщение от reader (ok) on 13-Янв-11, 12:24

>[оверквотинг удален]
> target     prot opt source
>           destination
> _____________________________
> Теперь вопрос.
> На 101.8.9.8 работает сайт на httpd.
> Нужно чтобы пользователь, который нажал на ссылку /bib редиректился на 192.168.2.101:8080
> пишу в .htaccess
> redirect /bib http://192.168.2.101:8080
> Юзеры из локалки  192.168.2.0 редиректятся, а из внешней сети - нет.
> Помогите в какую сторону рыть. Спасибо
в сторону что такое белые и серые адреса

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

34. "Настройка iptables" +/–

Сообщение от alex320388 (ok) on 13-Янв-11, 12:40

> в сторону что такое белые и серые адреса
нагуглил кое-что, вопрос - без прокси не обойтись?

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

35. "Настройка iptables" +/–

Сообщение от reader (ok) on 13-Янв-11, 12:52

>> в сторону что такое белые и серые адреса
> нагуглил кое-что, вопрос - без прокси не обойтись?
зависит от того что нужно, можно через DNAT

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

36. "Настройка iptables" +/–

Сообщение от alex320388 (ok) on 13-Янв-11, 13:10

>>> в сторону что такое белые и серые адреса
>> нагуглил кое-что, вопрос - без прокси не обойтись?
> зависит от того что нужно, можно через DNAT
нужно чтобы из внешней локалки открывались странички на http-сервере по адресу 192.168.2.101:8080

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

37. "Настройка iptables" +/–

Сообщение от reader (ok) on 13-Янв-11, 13:38

>>>> в сторону что такое белые и серые адреса
>>> нагуглил кое-что, вопрос - без прокси не обойтись?
>> зависит от того что нужно, можно через DNAT
> нужно чтобы из внешней локалки открывались странички на http-сервере по адресу 192.168.2.101:8080
я о том нужен ли дополнительный контроль, кеширование, ...
если нет, то хватит и DNAT
проанализируйте что будет происходить на стороне клиента после нажатия на ссылку и поймете

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

38. "Настройка iptables" +/–

Сообщение от alex320388 (ok) on 13-Янв-11, 14:04

> я о том нужен ли дополнительный контроль, кеширование, ...
> если нет, то хватит и DNAT
> проанализируйте что будет происходить на стороне клиента после нажатия на ссылку и
> поймете
дополнительный контроль, кеширование, не нужны
а со стороны клиента происходит то что сервер его пересылает на 192.168.2.101, а он не знает что этот адрес за NAT 101.8.9.8, ищет по стандартному маршруту и не находит

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

39. "Настройка iptables" +/–

Сообщение от reader (ok) on 13-Янв-11, 14:11

>> я о том нужен ли дополнительный контроль, кеширование, ...
>> если нет, то хватит и DNAT
>> проанализируйте что будет происходить на стороне клиента после нажатия на ссылку и
>> поймете
> дополнительный контроль, кеширование, не нужны
> а со стороны клиента происходит то что сервер его пересылает на 192.168.2.101,
> а он не знает что этот адрес за NAT 101.8.9.8, ищет
> по стандартному маршруту и не находит
потому что 192.168.2.101 это серый адрес и обращаться по нему в инет бессмысленно, поэтому редирект должен быть на ваш белый ip, а с него проброс на 192.168.2.101, но для локалки по другому

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Настройка iptables"	+/–
Сообщение от BarS (??) on 14-Дек-10, 15:11
Подумать на это и спокойно разобраться: -A FORWARD -o eth2 -s 192.168.2.101 -j ACCEPT -A FORWARD -o eth2 -p tcp -s 192.168.2.0/24 --dport 80 -j ACCEPT для проходящих важны правила FORWARD
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Настройка iptables"	+/–
	Сообщение от alex320388 (ok) on 14-Дек-10, 15:28
	> Подумать на это и спокойно разобраться: > -A FORWARD -o eth2 -s 192.168.2.101 -j ACCEPT > -A FORWARD -o eth2 -p tcp -s 192.168.2.0/24 --dport 80 -j ACCEPT > для проходящих важны правила FORWARD Так чтоли? *********************** -A FORWARD -o eth1 -p tcp --destination 192.168.2.2 --dport 8080 -j ACCEPT ***********************
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Настройка iptables"	+/–
	Сообщение от BarS (??) on 14-Дек-10, 15:41
	>> Подумать на это и спокойно разобраться: >> -A FORWARD -o eth2 -s 192.168.2.101 -j ACCEPT >> -A FORWARD -o eth2 -p tcp -s 192.168.2.0/24 --dport 80 -j ACCEPT >> для проходящих важны правила FORWARD > Так чтоли? > *********************** > -A FORWARD -o eth1 -p tcp --destination 192.168.2.2 --dport 8080 -j ACCEPT > *********************** Я там твою схему скурить не могу :) Но логично. В обратную сторону пакеты тож должны будут ходить, глянь как они у тебя пропустятся.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Настройка iptables"	+/–
	Сообщение от BarS (??) on 14-Дек-10, 15:42
	> Я там твою схему скурить не могу :) Но логично. В обратную > сторону пакеты тож должны будут ходить, глянь как они у тебя > пропустятся. + А пропустятся они этим: -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	6. "Настройка iptables"	+/–
	Сообщение от alex320388 (ok) on 14-Дек-10, 16:05
	>> Я там твою схему скурить не могу :) Но логично. В обратную >> сторону пакеты тож должны будут ходить, глянь как они у тебя >> пропустятся. > + > А пропустятся они этим: > -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT это не работает: -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT -A FORWARD -o eth1 -p tcp --destination 192.168.2.2 --dport 8080 -j ACCEPT Я вот что подумал, у компьютеров сети 192. шлюзом есть 192.168.2.1, поэтому маршрут им известен, а как компьютеры иной сети могут узнать маршрут если у них шлюзом является другой комп? Может такак схема сети как у меня неверна?
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	5. "Настройка iptables"	+/–
	Сообщение от reader (ok) on 14-Дек-10, 15:47
	>[оверквотинг удален] >>> -A FORWARD -o eth2 -s 192.168.2.101 -j ACCEPT >>> -A FORWARD -o eth2 -p tcp -s 192.168.2.0/24 --dport 80 -j ACCEPT >>> для проходящих важны правила FORWARD >> Так чтоли? >> *********************** >> -A FORWARD -o eth1 -p tcp --destination 192.168.2.2 --dport 8080 -j ACCEPT >> *********************** > Я там твою схему скурить не могу :) Но логично. В обратную > сторону пакеты тож должны будут ходить, глянь как они у тебя > пропустятся. если 192.168.2.2 за eth2, то не логично.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	7. "Настройка iptables"	+/–
	Сообщение от alex320388 (ok) on 14-Дек-10, 16:06
	>[оверквотинг удален] >>>> -A FORWARD -o eth2 -p tcp -s 192.168.2.0/24 --dport 80 -j ACCEPT >>>> для проходящих важны правила FORWARD >>> Так чтоли? >>> *********************** >>> -A FORWARD -o eth1 -p tcp --destination 192.168.2.2 --dport 8080 -j ACCEPT >>> *********************** >> Я там твою схему скурить не могу :) Но логично. В обратную >> сторону пакеты тож должны будут ходить, глянь как они у тебя >> пропустятся. > если 192.168.2.2 за eth2, то не логично. а как надо?
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	8. "Настройка iptables"	+/–
	Сообщение от reader (ok) on 14-Дек-10, 16:23
	>[оверквотинг удален] >>>>> для проходящих важны правила FORWARD >>>> Так чтоли? >>>> *********************** >>>> -A FORWARD -o eth1 -p tcp --destination 192.168.2.2 --dport 8080 -j ACCEPT >>>> *********************** >>> Я там твою схему скурить не могу :) Но логично. В обратную >>> сторону пакеты тож должны будут ходить, глянь как они у тебя >>> пропустятся. >> если 192.168.2.2 за eth2, то не логично. > а как надо? если пакет идет от 101.10.10.* , входит через eth1 а уйти должен через eth2, то -A FORWARD -o eth2 -p tcp --destination 192.168.2.2 --dport 8080 -j ACCEPT по поводу маршрутов, если 192.168.2.* могут общаться с 101.10.10.* и nat на eth1 вы не делали, то там уже все есть а вот для чего там -A POSTROUTING -o eth2 -j MASQUERADE не понятно, но если 101.10.10.* за eth2, тогда другое дело.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "Настройка iptables"	+/–
	Сообщение от alex320388 (ok) on 14-Дек-10, 17:02
	> а вот для чего там -A POSTROUTING -o eth2 -j MASQUERADE не > понятно, но если 101.10.10.* за eth2, тогда другое дело. ifconfig eth1 inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0 eth2 inet addr:101.10.10.8 Bcast:101.10.10.255 Mask:255.255.255.0 так что 101.10.10 находится за eth2. Это я при составлении рисунка ошибся { локальная сеть } {____________шлюз____________________} { иная сеть } {___192.168.2.0__}----{ -----eth1-- 192.168.2.1 -eth2-- }-----{ 101.10.10.0 } --------+--------- \| { 192.168.2.2:8080 }--компьютер на котором установлен calibre-server
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "Настройка iptables"	+/–
	Сообщение от reader (ok) on 14-Дек-10, 17:11
	>> а вот для чего там -A POSTROUTING -o eth2 -j MASQUERADE не >> понятно, но если 101.10.10.* за eth2, тогда другое дело. > ifconfig > eth1 inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0 > eth2 inet addr:101.10.10.8 Bcast:101.10.10.255 Mask:255.255.255.0 а 101.10.10.1 - это кто? шлюзом в 101.10.10.0 что указано? > так что 101.10.10 находится за eth2. Это я при составлении рисунка ошибся > { локальная сеть } {____________шлюз____________________} > { иная сеть } > {___192.168.2.0__}----{ -----eth1-- 192.168.2.1 -eth2-- }-----{ 101.10.10.0 } > --------+--------- > \| > { 192.168.2.2:8080 }--компьютер на котором установлен calibre-server
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "Настройка iptables"	+/–
	Сообщение от alex320388 (ok) on 14-Дек-10, 17:15
	route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.2.0 * 255.255.255.0 U 0 0 0 eth1 101.10.10.0 * 255.255.255.0 U 0 0 0 eth2 link-local * 255.255.0.0 U 1002 0 0 eth1 link-local * 255.255.0.0 U 1003 0 0 eth2 default 101.10.10.1 0.0.0.0 UG 0 0 0 eth2 шлюзом в 101.10.10.0 есть 101.10.10.1
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "Настройка iptables"	+/–
	Сообщение от alex320388 (ok) on 14-Дек-10, 17:19
	а за 101.10.10.1 сеть 10.20.8.0
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	14. "Настройка iptables"	+/–
	Сообщение от reader (ok) on 14-Дек-10, 17:29
	> а за 101.10.10.1 сеть 10.20.8.0 а с ней что не так? :)
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	13. "Настройка iptables"	+/–
	Сообщение от reader (ok) on 14-Дек-10, 17:26
	>[оверквотинг удален] > 0 0 eth1 > link-local * > 255.255.0.0 > U 1003 > 0 0 eth2 > default 101.10.10.1 > 0.0.0.0 > UG 0 0 > 0 eth2 > шлюзом в 101.10.10.0 есть 101.10.10.1 101.10.10.0 и 101.10.10.1 вам подконтрольны? если нет, то для попадания на 192.168.2.2:8080 из 101.10.10.0 придется обращаться на 101.10.10.8, а на нем уже делать проброс на 192.168.2.2 http://www.opennet.ru/docs/RUS/iptables/#DNATTARGET
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	15. "Настройка iptables"	+/–
	Сообщение от alex320388 (ok) on 14-Дек-10, 17:32
	> http://www.opennet.ru/docs/RUS/iptables/#DNATTARGET о, наверное то что надо, нутром чую :). Счас попробую
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	16. "Настройка iptables"	+/–
	Сообщение от alien_ (ok) on 27-Дек-10, 12:26
	Здравствуйте. Настраиваю iptables с прозрачным прокси squid. Раньше, на прошлой работе, squid работал в обычном режиме, все было нормально. Форвардинг работал(т.е. я мог с определенного ip в тотале настроить фтп соединение и выходить напрямую мимо прокси). Теперь настроил прозрачный прокси, все работает, iptables в минимальной конфигурации. Редирект работает, а с фтп соединиться не могу, пишет не найден сервер и все... Мой конфиг: mangle :PREROUTING ACCEPT [27148:21108582] :INPUT ACCEPT [27135:21107045] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [22087:2266116] :POSTROUTING ACCEPT [22087:2266116] COMMIT nat :PREROUTING ACCEPT [110:12392] :POSTROUTING ACCEPT [512:30903] :OUTPUT ACCEPT [512:30903] -A PREROUTING -s 192.168.0.0/24 -d ! 192.168.2.1 -p tcp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081 -j REDIRECT --to-port 3128 -A PREROUTING -s 192.168.0.0/24 -d ! 192.168.2.1 -p tcp -m multiport --dport 8082,8083,8091,8100,8101,8102,8103,8080,8888,777 -j REDIRECT --to-port 3128 -A PREROUTING -s 192.168.1.0/24 -d ! 192.168.2.1 -p tcp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081 -j REDIRECT --to-port 3128 -A PREROUTING -s 192.168.1.0/24 -d ! 192.168.2.1 -p tcp -m multiport --dport 8082,8083,8091,8100,8101,8102,8103,8080,8888,777 -j REDIRECT --to-port 3128 COMMIT *filter :FORWARD DROP [0:0] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A FORWARD -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWD-ILL-ROUTING " --log-tcp-options --log-ip-options -A OUTPUT -m limit --limit 3/min -j LOG --log-prefix "SFW2-OUT-ERROR " --log-tcp-options --log-ip-options -A FORWARD -p tcp -m multiport -d 192.168.№.№ -i eth0 -o eth1 -j ACCEPT --sports 110,143,25,21,7777,5020 -A FORWARD -p tcp -m multiport -s 192.168.№.№ -i eth1 -o eth0 -j ACCEPT --dports 80,110,143,25,21,5020,1024:65535 COMMIT
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	17. "Настройка iptables"	+/–
	Сообщение от reader (ok) on 27-Дек-10, 12:57
	начните с чтения как и на каких портах работает ftp
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	18. "Настройка iptables"	+/–
	Сообщение от alien_ (ok) on 27-Дек-10, 13:39
	Да, оно-то конечно правильно. FTP клиент в пассивном режиме шлет команды 21 портом, принимает случайным портом обычно > 1024. Если я все правильно понял(есть сомнения), то в данной конфигурации все работоспособно. -A FORWARD -p tcp -m multiport -d 192.168._._ -i eth0 -o eth1 -j ACCEPT --sports 110,143,25, 21 ,7777,5252 -A FORWARD -p tcp -m multiport -s 192.168._._ -i eth1 -o eth0 -j ACCEPT --dports 80,110,143,25,21,5252, 1024:65535 Когда раньше настраивал, все работало именно в данной конфигурации iptables. Дело даже не в ftp. Есть программа которая использует, скажем, TCP порт 5252. В данный момент она не работает. Как тут быть? спасибо.
	Ответить \| Правка \| ^ к родителю #17 \| Наверх \| Cообщить модератору


	19. "Настройка iptables"	+/–
	Сообщение от reader (ok) on 27-Дек-10, 13:48
	>[оверквотинг удален] > -A FORWARD -p tcp -m multiport -d 192.168._._ -i eth0 -o eth1 > -j ACCEPT --sports 110,143,25, 21 ,7777,5252 > -A FORWARD -p tcp -m multiport -s 192.168._._ -i eth1 -o eth0 > -j ACCEPT --dports 80,110,143,25,21,5252, 1024:65535 > Когда раньше настраивал, все работало именно в данной конфигурации iptables. > Дело даже не в ftp. Есть программа которая использует, скажем, TCP > порт 5252. > В данный момент она не работает. > Как тут быть? > спасибо. куда она должна обратится? в инет из вашей серой сети? если да, то делайте SNAT
	Ответить \| Правка \| ^ к родителю #18 \| Наверх \| Cообщить модератору


	20. "Настройка iptables"	+/–
	Сообщение от alien_ (ok) on 27-Дек-10, 14:56
	> куда она должна обратится? в инет из вашей серой сети? если да, > то делайте SNAT Да из внутренней сети к серверу на tcp port 5252. Ну, и обратно... *nat -A POSTROUTING -o eth0 -s 192.168.№.№ -j SNAT --to-source внешний-ip где 192.168.№.№ - айпи компа, с которого осуществляется доступ к серверу в интернете. Где-то так? А если динамический ip, то может лучше использовать маскарадинг? -A POSTROUTING -p TCP -o eth0 -s 192.168.№.№ -j MASQUERADE
	Ответить \| Правка \| ^ к родителю #19 \| Наверх \| Cообщить модератору


	21. "Настройка iptables"	+/–
	Сообщение от reader (ok) on 27-Дек-10, 15:04
	>[оверквотинг удален] >> то делайте SNAT > Да из внутренней сети к серверу на tcp port 5252. Ну, > и обратно... > *nat > -A POSTROUTING -o eth0 -s 192.168.№.№ -j SNAT --to-source внешний-ip > где 192.168.№.№ - айпи компа, с которого осуществляется доступ к серверу в > интернете. > Где-то так? > А если динамический ip, то может лучше использовать маскарадинг? > -A POSTROUTING -p TCP -o eth0 -s 192.168.№.№ -j MASQUERADE само собой
	Ответить \| Правка \| ^ к родителю #20 \| Наверх \| Cообщить модератору


	22. "Настройка iptables"	+/–
	Сообщение от alien_ (ok) on 27-Дек-10, 15:47
	Еще вопросик. Как сделать, чтобы пинг проходил наружу? С определенного ip внутри сети наружу, например, ping ya.ru и получал ответ 93.158.134.3 и т.д. *filter -A FORWARD -p icmp -m icmp -d 192.168.#.# -i eth0 -o eth1 -j ACCEPT -A FORWARD -p icmp -m icmp -s 192.168.#.# -i eth1 -o eth0 -j ACCEPT Правильно мыслю?
	Ответить \| Правка \| ^ к родителю #21 \| Наверх \| Cообщить модератору


	23. "Настройка iptables"	+/–
	Сообщение от reader (ok) on 27-Дек-10, 16:22
	> Еще вопросик. > Как сделать, чтобы пинг проходил наружу? > С определенного ip внутри сети наружу, например, ping ya.ru и получал ответ > 93.158.134.3 и т.д. > *filter > -A FORWARD -p icmp -m icmp -d 192.168.#.# -i eth0 -o eth1 > -j ACCEPT > -A FORWARD -p icmp -m icmp -s 192.168.#.# -i eth1 -o eth0 > -j ACCEPT > Правильно мыслю? да , но SNAT или MASQUERADE этому протоколу тоже нужен
	Ответить \| Правка \| ^ к родителю #22 \| Наверх \| Cообщить модератору


	24. "Настройка iptables"	+/–
	Сообщение от alien_ (ok) on 27-Дек-10, 16:43
	Т.е. добавить *nat -A POSTROUTING -p icmp -m icmp -o eth0 -s 192.168.№.№ -j MASQUERADE И будет счастье? пс: Не могу сейчас испытывать, инет отключу всем...
	Ответить \| Правка \| ^ к родителю #23 \| Наверх \| Cообщить модератору


	25. "Настройка iptables"	+/–
	Сообщение от reader (ok) on 27-Дек-10, 16:58
	> Т.е. добавить > *nat > -A POSTROUTING -p icmp -m icmp -o eth0 -s 192.168.№.№ -j MASQUERADE > И будет счастье? > пс: Не могу сейчас испытывать, инет отключу всем... правильней MASQUERADE сделать для всего и для всех, а в таблице фильтров уже разрешать или запрещать, а так вы просто ограничили для кого и чего делать snat, а остальные пакеты если они не были заблокированы отправятся к провайдеру с серым адресом, это не лучший вариант. -A POSTROUTING -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE - добавить правило к текущим без разрыва сессий пользователей. iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE - удалить правило из текущих
	Ответить \| Правка \| ^ к родителю #24 \| Наверх \| Cообщить модератору


	26. "Настройка iptables"	+/–
	Сообщение от alien_ (ok) on 28-Дек-10, 10:10
	Не сильно ли маскарадинг будет нагружать сервер? У меня его роль выполняет athlon 1200 256 ram, дистрибутив suse 10.2.
	Ответить \| Правка \| ^ к родителю #25 \| Наверх \| Cообщить модератору


	27. "Настройка iptables"	+/–
	Сообщение от reader (ok) on 28-Дек-10, 11:11
	> Не сильно ли маскарадинг будет нагружать сервер? > У меня его роль выполняет athlon 1200 256 ram, дистрибутив suse 10.2. меньше чем squid, и при правильной фильтрации через него пойдет не больше чем при вашем методе. а некоторые пакета, так вообще полезно убить еще при получении, например со статусом INVALID
	Ответить \| Правка \| ^ к родителю #26 \| Наверх \| Cообщить модератору


	28. "Настройка iptables"	+/–
	Сообщение от alien_ (ok) on 28-Дек-10, 11:23
	> меньше чем squid, и при правильной фильтрации через него пойдет не больше > чем при вашем методе. а некоторые пакета, так вообще полезно убить > еще при получении, например со статусом INVALID Да, у меня в старом конфиге в filter по умолчанию все drop и описаны правила для lo, локальной сети (доступ к ресурсам сервера: squid, mysql, bind, apache, webmin ...) и внешние правила... Внешние правила вызывают наибольшие затруднения.
	Ответить \| Правка \| ^ к родителю #27 \| Наверх \| Cообщить модератору


	29. "Настройка iptables"	+/–
	Сообщение от reader (ok) on 28-Дек-10, 11:39
	>> меньше чем squid, и при правильной фильтрации через него пойдет не больше >> чем при вашем методе. а некоторые пакета, так вообще полезно убить >> еще при получении, например со статусом INVALID > Да, у меня в старом конфиге в filter по умолчанию все > drop и описаны правила для lo, локальной сети (доступ к ресурсам > сервера: squid, mysql, bind, apache, webmin ...) и внешние правила... > Внешние правила вызывают наибольшие затруднения. если из внешки никто не будет подключаться, то зачастую достаточно разрешить только ответные пакеты -A FORWARD -m state --state ESTABLISHED -j ACCEPT на время проверки включить логирование того что блокируется и добавлять правила для того что нужно было бы пропустить
	Ответить \| Правка \| ^ к родителю #28 \| Наверх \| Cообщить модератору


	30. "Настройка iptables"	+/–
	Сообщение от alien_ (ok) on 28-Дек-10, 12:42
	> если из внешки никто не будет подключаться, то зачастую достаточно разрешить только > ответные пакеты > -A FORWARD -m state --state ESTABLISHED -j ACCEPT > на время проверки включить логирование того что блокируется и добавлять правила для > того что нужно было бы пропустить А как выглядят правила для *filter input и output? У меня наверное не очень правильно но все работало eth2-adsl; eth0,eth1-lan; # http https -A OUTPUT -p tcp -m tcp -m multiport -o eth2 --sport 1024:65535 -j ACCEPT --dports 80,443 -A INPUT -p tcp -m tcp -m multiport -i eth2 --dport 1024:65535 -j ACCEPT --sports 80,443 ! --syn -A INPUT -p tcp -m tcp -i eth2 --dport 1024:65535 --sport 20 -j ACCEPT -A OUTPUT -p tcp -m tcp -o eth2 --dport 20 --sport 1024:65535 -j ACCEPT ! --syn -A OUTPUT -p tcp -m tcp -o eth2 --dport 1024:65535 --sport 1024:65535 -j ACCEPT -A INPUT -p tcp -m tcp -i eth2 --dport 1024:65535 --sport 1024:65535 -j ACCEPT ! --syn -A OUTPUT -p tcp -m tcp -o eth2 --dport 23 --sport 1024:65535 -j ACCEPT -A INPUT -p tcp -m tcp -i eth2 --dport 1024:65535 --sport 23 -j ACCEPT ! --syn -A OUTPUT -p tcp -m tcp -o eth2 --dport 79 --sport 1024:65535 -j ACCEPT -A INPUT -p tcp -m tcp -i eth2 --dport 1024:65535 --sport 79 -j ACCEPT ! --syn -A OUTPUT -p tcp -m tcp -o eth2 --dport 43 --sport 1024:65535 -j ACCEPT -A INPUT -p tcp -m tcp -i eth2 --dport 1024:65535 --sport 43 -j ACCEPT ! --syn -A OUTPUT -p tcp -m tcp -o eth2 --dport 70 --sport 1024:65535 -j ACCEPT -A INPUT -p tcp -m tcp -i eth2 --dport 1024:65535 --sport 70 -j ACCEPT ! --syn -A OUTPUT -p tcp -m tcp -o eth2 --dport 210 --sport 1024:65535 -j ACCEPT -A INPUT -p tcp -m tcp -i eth2 --dport 1024:65535 --sport 210 -j ACCEPT ! --syn -A OUTPUT -p udp -m udp -o eth2 --dport 33434:33523 --sport 32769:65535 -j ACCEPT -A OUTPUT -p udp -m udp -o eth2 --dport 67 --sport 68 -j ACCEPT -A INPUT -p udp -m udp -i eth2 --dport 68 --sport 67 -j ACCEPT #dns -A OUTPUT -p udp -m udp -o eth2 --dport 53 --sport 1024:65535 -j ACCEPT -A OUTPUT -p tcp -m tcp -o eth2 --dport 53 --sport 1024:65535 -j ACCEPT -A INPUT -p udp -m udp -i eth2 --dport 1024:65535 --sport 53 -j ACCEPT -A INPUT -p tcp -m tcp -i eth2 --dport 1024:65353 --sport 53 -j ACCEPT #other -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p udp -m udp -s 0/0 --dport 68 --sport 67 -j ACCEPT -A OUTPUT -p udp -m udp -s 0/0 -j ACCEPT -A INPUT -p icmp -j DROP --fragment -A OUTPUT -p icmp -j DROP --fragment -A INPUT -p icmp -m icmp -i eth2 --icmp-type source-quench -j ACCEPT -A OUTPUT -p icmp -m icmp -o eth2 --icmp-type source-quench -j ACCEPT -A INPUT -p icmp -m icmp -i eth2 --icmp-type echo-reply -j ACCEPT -A OUTPUT -p icmp -m icmp -o eth2 --icmp-type echo-request -j ACCEPT -A INPUT -p icmp -m icmp -i eth2 --icmp-type parameter-problem -j ACCEPT -A OUTPUT -p icmp -m icmp -o eth2 --icmp-type parameter-problem -j ACCEPT -A INPUT -p tcp -m tcp -i eth2 --dport 6000:6063 -j DROP --syn
	Ответить \| Правка \| ^ к родителю #29 \| Наверх \| Cообщить модератору