ReSQL.ru
     
powered by simpleCommunicator - 2.0.59     © 2026 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / Настройка IPTables
25 сообщений из 29, страница 1 из 2
  1  все
Настройка IPTables
    #32808371
ALex_hha
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ALex_hha
Участник
Народ подскажите пожайлуста что разрешают/запрещают след. строки
Код: plaintext
1.
2.
3.
4.
iptables -F FORWARD
iptables -P FORWARD DROP
iptables -A FORWARD -i внутр_интерф -o внешн_интерф -j ACCEPT
iptables -A FORWARD -i внешн_интерф -o внутр_интерф --state ESTABLISHED,RELATED -j QUEUE

Что мне надо указывать вместо внутр_интерф , внешн_интерф ?
Внутренний интерфейс я так понимаю это eth0, а внешний?
# ifconfig выводит следующее:
Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
eth0   Link encap:Ethernet  HWaddr  00 : 30 :4F:1D:FE:2C
          inet addr: 192 . 168 . 127 . 254   Bcast: 192 . 168 . 127 . 255  Mask: 255 . 255 . 255 . 0 
          UP BROADCAST RUNNING MULTICAST  MTU: 1500   Metric: 1 
          RX packets: 1067  errors: 0  dropped: 0  overruns: 0  frame: 0 
          TX packets: 97  errors: 0  dropped: 0  overruns: 0  carrier: 0 
          collisions: 0  txqueuelen: 1000 
          RX bytes: 103521  ( 101 . 0  Kb)  TX bytes: 13171  ( 12 . 8  Kb)
          Interrupt: 11  Base address:0x3000
 
lo        Link encap:Local Loopback
          inet addr: 127 . 0 . 0 . 1   Mask: 255 . 0 . 0 . 0 
          UP LOOPBACK RUNNING  MTU: 16436   Metric: 1 
          RX packets: 3313  errors: 0  dropped: 0  overruns: 0  frame: 0 
          TX packets: 3313  errors: 0  dropped: 0  overruns: 0  carrier: 0 
          collisions: 0  txqueuelen: 0 
          RX bytes: 3365130  ( 3 . 2  Mb)  TX bytes: 3365130  ( 3 . 2  Mb)
...
Рейтинг: 0 / 0
01.12.2004, 19:09
| Ответить | Цитировать | Написать  
Настройка IPTables
    #32813568
Tiv
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Tiv
Гость
Что ты хочешь сделать?
Через цепочку FORWARD идет только транзитный трафик. Трафик от/к твоим приложениям туда не попадает.
http://www.opennet.ru/docs/RUS/iptables/misc/iptables-tutorial/images/tables_traverse.jpg
http://www.opennet.ru/docs/RUS/iptables/index.html
ЗЫ Лучше поздно, чем никогда.
...
Рейтинг: 0 / 0
06.12.2004, 01:19
| Ответить | Цитировать | Написать  
Настройка IPTables
    #32813571
Tiv
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Tiv
Гость
iptables -F FORWARD # Сброс правил в цепочке FORWARD
iptables -P FORWARD DROP #Политика по умолчанию в цепочке
iptables -A FORWARD -i внутр_интерф -o внешн_интерф -j ACCEPT # Выпускаем все транзитные пакеты наружу.
iptables -A FORWARD -i внешн_интерф -o внутр_интерф --state ESTABLISHED,RELATED -j QUEUE # Все входящие в сеть пакеты, которые идут в потоках, для которых соединение установленно пускаются в очередь на обработку пользовательскому процессу.
...
Рейтинг: 0 / 0
06.12.2004, 01:28
| Ответить | Цитировать | Написать  
Настройка IPTables
    #32813835
salt
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
salt
Участник
ALex_hha,
Судя по выводу ifconfig, у тебя всего один интерфейс.
Внутренний интерфейс, как ты правильно понял, это eth0
А внешнего интерфейса у тебя либо нет, либо он не настроен.
Каждый интерфейс - это, проще говоря, сетевая карта.

Ты скорее всего взял пример конфига для машины, работающей в качестве роутера.
...
Рейтинг: 0 / 0
06.12.2004, 10:28
| Ответить | Цитировать | Написать  
Настройка IPTables
    #32813899
ALex_hha
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ALex_hha
Участник
Это внутренний сервер. Поэтому всего одна сетевая.
...
Рейтинг: 0 / 0
06.12.2004, 10:51
| Ответить | Цитировать | Написать  
Настройка IPTables
    #32813903
ALex_hha
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ALex_hha
Участник
На каком порту поумолчанию работает самба? А то при включении файрвола сервер не виден через сетевое окружение.
...
Рейтинг: 0 / 0
06.12.2004, 10:53
| Ответить | Цитировать | Написать  
Настройка IPTables
    #32814662
salt
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
salt
Участник
139 и 445
...
Рейтинг: 0 / 0
06.12.2004, 15:23
| Ответить | Цитировать | Написать  
Настройка IPTables
    #32814739
alex_k
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
alex_k
Участник
еще 138 вроде, не уверен...
...
Рейтинг: 0 / 0
06.12.2004, 15:49
| Ответить | Цитировать | Написать  
Настройка IPTables
    #32814799
salt
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
salt
Участник
Да, сетевое окружение слушается по 137 и 138 портам и ответственна за неё служба nmbd.
читайте man smb.conf - там всё написано.
...
Рейтинг: 0 / 0
06.12.2004, 16:10
| Ответить | Цитировать | Написать  
Настройка IPTables
    #32817932
ALex_hha
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ALex_hha
Участник
Вот что у меня в /etc/services
Код: plaintext
1.
2.
3.
4.
5.
6.
netbios-ns	 137 /tcp				# NETBIOS Name Service
netbios-ns	 137 /udp
netbios-dgm	 138 /tcp				# NETBIOS Datagram Service
netbios-dgm	 138 /udp
netbios-ssn	 139 /tcp				# NETBIOS session service
netbios-ssn	 139 /udp
Так какой порт надо открыть?
...
Рейтинг: 0 / 0
08.12.2004, 10:09
| Ответить | Цитировать | Написать  
Настройка IPTables
    #32819235
ALex_hha
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ALex_hha
Участник
Народ может кто подскажет почему после настройки файрвола не виден апаче.
Все установлено в локальной сети. Параметры след.:
IP сервера - 192.168.127.254
Маска подсети 255.255.255.0

Настройки следующие:
Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
iptables -F FORWARD 
iptables -F INPUT
iptables -F OUTPUT

iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP

iptable -A INPUT -p tcp -s  192 . 168 . 127 . 0 / 24  --sport 80 -d 192.168.127.254 --dport 80 -j ACCEPT
iptable -A INPUT -p tcp -s  192 . 168 . 127 . 254  --sport 80 -d 192.168.127.0/24 --dport 80 -j ACCEPT
...
Рейтинг: 0 / 0
08.12.2004, 17:00
| Ответить | Цитировать | Написать  
Настройка IPTables
    #32819626
Somebody2
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Somebody2
Гость
ALex_hhaНарод может кто подскажет почему после настройки файрвола не виден апаче.
Все установлено в локальной сети. Параметры след.:
IP сервера - 192.168.127.254
Маска подсети 255.255.255.0

Настройки следующие:
Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
iptables -F FORWARD 
iptables -F INPUT
iptables -F OUTPUT

iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP

iptable -A INPUT -p tcp -s  192 . 168 . 127 . 0 / 24  --sport 80 -d 192.168.127.254 --dport 80 -j ACCEPT
iptable -A INPUT -p tcp -s  192 . 168 . 127 . 254  --sport 80 -d 192.168.127.0/24 --dport 80 -j ACCEPT

Ну ни фига себе настройка
...
kdv с Interbase-совского форума на вас нет - он бы быстро научил man-ы читать

Коротко:
1) Дефалтовая политика для INPUT есть DROP.
2) Согласно вашим правилам и порт клиента и порт сервера должен быть равен 80 - не бывает такого в реальной жизни, а значит правила никогда не заматчатся и пакеты будут дропаться.

Попробуйте в первом правиле убрать --sport, а во втором --dport
...
Рейтинг: 0 / 0
08.12.2004, 20:46
| Ответить | Цитировать | Написать  
Настройка IPTables
    #32819904
ALex_hha
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ALex_hha
Участник
А на каких портах они общаются? Вроде 80 порт специально для http или я ошибаюсь?
...
Рейтинг: 0 / 0
09.12.2004, 09:26
| Ответить | Цитировать | Написать  
Настройка IPTables
    #32819961
Somebody2
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Somebody2
Гость
ALex_hhaА на каких портах они общаются? Вроде 80 порт специально для http или я ошибаюсь?
У сервера 80, у клиента какой угодно (в разумных пределах)
...
Рейтинг: 0 / 0
09.12.2004, 10:03
| Ответить | Цитировать | Написать  
Настройка IPTables
    #32819994
ALex_hha
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ALex_hha
Участник
Так тогда в первой строке можно указать?
--sport 0/0
...
Рейтинг: 0 / 0
09.12.2004, 10:19
| Ответить | Цитировать | Написать  
Настройка IPTables
    #32820065
ALex_hha
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ALex_hha
Участник
2 Somebody2
Сделал как ты посоветовал. Работает, но как только ставлю для INPUT политику по умолчанию DROP, т.е.

Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
iptables -F FORWARD 
iptables -F INPUT
iptables -F OUTPUT

iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP

iptable -A INPUT -p tcp -s  192 . 168 . 127 . 0 / 24  -d  192 . 168 . 127 . 254  --dport 80 -j ACCEPT
iptable -A INPUT -p tcp -s  192 . 168 . 127 . 254  --sport 80 -d 192.168.127.0/24 80 -j ACCEPT
Не могу подключиться к веб серверу
...
Рейтинг: 0 / 0
09.12.2004, 10:48
| Ответить | Цитировать | Написать  
Настройка IPTables
    #32820086
ALex_hha
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ALex_hha
Участник
А апаче по какому порту отвечает ?
...
Рейтинг: 0 / 0
09.12.2004, 10:52
| Ответить | Цитировать | Написать  
Настройка IPTables
    #32820559
Somebody2
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Somebody2
Гость
ALex_hhaА апаче по какому порту отвечает ?
Отвечает по 80-му В смысле данные идут с 80-го порта на порт клиента

Да почитай ты доки лучше. Быстрее разберешься, а то этому топику уже вторая неделя пошла, а воз все ныне там . Реально разобраться можно ну за пару дней максиммум (если время и желание есть конечно).
...
Рейтинг: 0 / 0
09.12.2004, 12:54
| Ответить | Цитировать | Написать  
Настройка IPTables
    #32820823
ALex_hha
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ALex_hha
Участник
Хорошо буду читать. Последний вопрос объясни почему не работает эта настройка файрвола. Точнее работает но к апаче обратиться нельзя. Что у меня неправильно. Хотел сделать след. политику - запрещено все, кроме разрешенного.
Код: plaintext
1.
2.
3.
4.
5.
6.
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP

iptable -A INPUT -p tcp -s  192 . 168 . 127 . 0 / 24  -d  192 . 168 . 127 . 254  --dport 80 -j ACCEPT
iptable -A INPUT -p tcp -s  192 . 168 . 127 . 254  --sport 80 -d 192.168.127.0/24 -j ACCEPT
...
Рейтинг: 0 / 0
09.12.2004, 14:15
| Ответить | Цитировать | Написать  
Настройка IPTables
    #32821371
DocAl
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
DocAl
Участник
Нда, всё ж таки, политику "запрещено всё, кроме разрешённого" в ipfw реализовать как-то попроще...)
...
Рейтинг: 0 / 0
09.12.2004, 16:19
| Ответить | Цитировать | Написать  
Настройка IPTables
    #32822005
Somebody2
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Somebody2
Гость
ALex_hhaХорошо буду читать. Последний вопрос объясни почему не работает эта настройка файрвола. Точнее работает но к апаче обратиться нельзя. Что у меня неправильно. Хотел сделать след. политику - запрещено все, кроме разрешенного.
Код: plaintext
1.
2.
3.
4.
5.
6.
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP

iptable -A INPUT -p tcp -s  192 . 168 . 127 . 0 / 24  -d  192 . 168 . 127 . 254  --dport 80 -j ACCEPT
iptable -A INPUT -p tcp -s  192 . 168 . 127 . 254  --sport 80 -d 192.168.127.0/24 -j ACCEPT

Значится у iptables таблица по дефалту это filter.
Цепочка INPUT для входящих пакетов, OUTPUT для исходящих, FORWARD для транзитных (роутинг) Разрешение есть на входящие пакеты (INPUT) и нет на исходящие (OUTPUT) Поскольку дефалтовая политика DROP, то входящий пакет будет разрешен, а исходящий дропнут - бегло глянул и не заметил этого сразу.

Попробуй так на компе где находится апач:
Код: plaintext
1.
2.
iptable -A INPUT -p tcp -s  192 . 168 . 127 . 0 / 24  -d  192 . 168 . 127 . 254  --dport 80 -j ACCEPT
iptable -A OUTPUT -p tcp -s  192 . 168 . 127 . 254  --sport 80 -d 192.168.127.0/24 -j ACCEPT

(192.168.127.254 - это IP веб-сервера?)

или так:

Код: plaintext
1.
2.
iptable -A INPUT -p tcp -s  192 . 168 . 127 . 0 / 24  --dport 80 -j ACCEPT
iptable -A OUTPUT -p tcp --sport 80 -d 192.168.127.0/24 -j ACCEPT

Если нужен еще и доступ с localhost, то примерно так:
Код: plaintext
1.
2.
3.
4.
iptables -A INPUT -d localhost -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s localhost -p tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -s localhost -p tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -d localhost -p tcp --dport 80 -j ACCEPT
(сам догадаешься, почему 4 правила надо вводить?
)

Подчеркиваю - делается на компе, где болтается апач

Если хочешь блокировать доступ через роутер (например из других сетей) роутер!=апач, то надо использовать цепочку FORWARD.

DocAl
Нда, всё ж таки, политику "запрещено всё, кроме разрешённого" в ipfw реализовать
как-то попроще...)

И как? Если не секрет.
...
Рейтинг: 0 / 0
09.12.2004, 21:17
| Ответить | Цитировать | Написать  
Настройка IPTables
    #32822230
ALex_hha
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ALex_hha
Участник
Да 192.168.127.254 это IP сервера.
...
Рейтинг: 0 / 0
10.12.2004, 09:16
| Ответить | Цитировать | Написать  
Настройка IPTables
    #32823641
ALex_hha
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ALex_hha
Участник
Народ подскажите может я туплю, но почему апаче не виден при след. настройках iptables? ssh и ping - работает.
И еще странная вещь с помощью Putty можно подключиться по FTP. Хотя вроде все порты кроме 80(http) и 22(ssh) закрыты??? Или я что-то не учел?
Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
[root@SRV1 root]# iptables -L -n
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  192.168.127.0/24     192.168.127.254    tcp dpt:80
ACCEPT     tcp  --  192.168.127.100      192.168.127.254    tcp dpt:22
ACCEPT     icmp --  192.168.127.0/24     192.168.127.254    icmp type 8
 
Chain FORWARD (policy DROP)
target     prot opt source               destination
 
Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  192.168.127.254      192.168.127.0/24   tcp spt:80
ACCEPT     tcp  --  192.168.127.254      192.168.127.100    tcp spt:22
ACCEPT     icmp --  192.168.127.254      192.168.127.0/24   icmp type 0
[root@SRV1 root]#
...
Рейтинг: 0 / 0
10.12.2004, 16:09
| Ответить | Цитировать | Написать  
Настройка IPTables
    #32824472
Somebody2
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Somebody2
Гость
ALex_hhaНарод подскажите может я туплю, но почему апаче не виден при след. настройках iptables? ssh и ping - работает.
И еще странная вещь с помощью Putty можно подключиться по FTP. Хотя вроде все порты кроме 80(http) и 22(ssh) закрыты??? Или я что-то не учел?
Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
[root@SRV1 root]# iptables -L -n
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  192.168.127.0/24     192.168.127.254    tcp dpt:80
ACCEPT     tcp  --  192.168.127.100      192.168.127.254    tcp dpt:22
ACCEPT     icmp --  192.168.127.0/24     192.168.127.254    icmp type 8
 
Chain FORWARD (policy DROP)
target     prot opt source               destination
 
Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  192.168.127.254      192.168.127.0/24   tcp spt:80
ACCEPT     tcp  --  192.168.127.254      192.168.127.100    tcp spt:22
ACCEPT     icmp --  192.168.127.254      192.168.127.0/24   icmp type 0
[root@SRV1 root]#


Странные какие-то вещи у тебя происходят. Формально все правильно, а на самом деле либо что-то не договариваешь, либо есть какие-нибудь ньюансы, о которых ты сам не знаешь (может у тебя апаче не на 80 порту вовсе или апаче-ssl установлен или еще что-либо в этом роде). В любом случае определить можно только взглянув непосредственно на систему root-овым взглядом, так что скорее всего тебе самому надо разбираться.

Насчет твоего топика Не грузится Линух . На нормальных системах монтирование файловых систем (в том числе и swap) происходит до загрузки iptables, поэтому надо очень постараться, чтобы настраивая iptables напортачить до такой степени. Но опять таки гадать тут дело неблагодарное. Может ты в каком из скриптов паузу поставил или условие какое должно выполниться или у тебя происходит попытка доступа к какому-либо сетевому ресурсу, а сам доступ закрыт iptables-ами и имеет место быть длинный тайм-аут - да мало ли что. Можно попробовать загрузиться сингл мод или указать init=/bin/bash как параметр загрузки ядра, а дальше по обстоятельствам

Как показывает мой опыт, любым самым странным на первый взгляд явлениями, всегда есть очень простое объяснение.

... Linux XP Pro - фу какая гадость - sorry, не удержался .


P.S.
2 DocAl
А я то думал это ты мне ответил и показал пример того как просто релизовать
DocAl
политику "запрещено всё, кроме разрешённого"

с помощью ipwf

Хотя пожалуй лучше не надо - а то такой флуд разведем
...
Рейтинг: 0 / 0
11.12.2004, 13:10
| Ответить | Цитировать | Написать  
Настройка IPTables
    #32824493
ALex_hha
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ALex_hha
Участник
Насчет порта апаче сейчас сказать ничего не могу, т.к. линух не грузится :(.
При компиляции порт не указывал, а по умолчанию если я не ошибаюсь 80.

автор
Можно попробовать загрузиться сингл мод или указать init=/bin/bash как параметр загрузки ядра, а дальше по обстоятельствам


А это под LILO или все равно какой загрузчик? А то на Linux XP стоит grub.
...
Рейтинг: 0 / 0
11.12.2004, 13:49
| Ответить | Цитировать | Написать  
25 сообщений из 29, страница 1 из 2
  1  все
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / Настройка IPTables
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]