Re: Настройка межсетевой экран / файрвол / брандмауэр ufw, iptables, gufw
что принимать будет - Динамически назначаемые номера портов. Вопрос, мне это наверно не нужно, наверно это не безопасно. в файла /etc/services (предназначений) портов нет и вопрос является или в какой мере информация в файла /etc/services является предназначенной ? от какой логики идти при настройке брандмауэра. ? Так же не понимаю: по какой причине и в принципе, сказал бы кто, что написано: Spoiler: Hide ~$ iptables --list iptables v1.6.1: can't initialize iptables table `filter': Permission denied (you must be root) Perhaps iptables or your kernel needs to be upgraded. ~$ sudo iptables --list [sudo] пароль для : Chain INPUT (policy DROP) target prot opt source destination ufw-before-logging-input all -- anywhere anywhere ufw-before-input all -- anywhere anywhere ufw-after-input all -- anywhere anywhere ufw-after-logging-input all -- anywhere anywhere ufw-reject-input all -- anywhere anywhere ufw-track-input all -- anywhere anywhere Chain FORWARD (policy DROP) target prot opt source destination ufw-before-logging-forward all -- anywhere anywhere ufw-before-forward all -- anywhere anywhere ufw-after-forward all -- anywhere anywhere ufw-after-logging-forward all -- anywhere anywhere ufw-reject-forward all -- anywhere anywhere ufw-track-forward all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination ufw-before-logging-output all -- anywhere anywhere ufw-before-output all -- anywhere anywhere ufw-after-output all -- anywhere anywhere ufw-after-logging-output all -- anywhere anywhere ufw-reject-output all -- anywhere anywhere ufw-track-output all -- anywhere anywhere Chain ufw-after-forward (1 references) target prot opt source destination Chain ufw-after-input (1 references) target prot opt source destination ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:netbios-ns ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:netbios-dgm ufw-skip-to-policy-input tcp -- anywhere anywhere tcp dpt:netbios-ssn ufw-skip-to-policy-input tcp -- anywhere anywhere tcp dpt:microsoft-ds ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:bootps ufw-skip-to-policy-input udp -- anywhere anywhere udp dpt:bootpc ufw-skip-to-policy-input all -- anywhere anywhere ADDRTYPE match dst-type BROADCAST Chain ufw-after-logging-forward (1 references) target prot opt source destination LOGall -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] " Chain ufw-after-logging-input (1 references) target prot opt source destination LOGall -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] " Chain ufw-after-logging-output (1 references) target prot opt source destination Chain ufw-after-output (1 references) target prot opt source destination Chain ufw-before-forward (1 references) target prot opt source destination ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED ACCEPT icmp -- anywhere anywhere icmp destination-unreachable ACCEPT icmp -- anywhere anywhere icmp time-exceeded ACCEPT icmp -- anywhere anywhere icmp parameter-problem ACCEPT icmp -- anywhere anywhere icmp echo-request ufw-user-forward all -- anywhere anywhere Chain ufw-before-input (1 references) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED ufw-logging-deny all -- anywhere anywhere ctstate INVALID DROP all -- anywhere anywhere ctstate INVALID ACCEPT icmp -- anywhere anywhere icmp destination-unreachable ACCEPT icmp -- anywhere anywhere icmp time-exceeded ACCEPT
Re: Настройка межсетевой экран / файрвол / брандмауэр ufw, iptables, gufw
суббота, 21 марта 2020 г., 19:50:04 UTC+3 пользователь Dmitry Alexandrov написал: > "L. Gogolev" wrote: > > суббота, 21 марта 2020 г., 17:20:02 UTC+3 пользователь Dmitry Alexandrov > > написал: > >> А теперь уже везде nft(8) > > > > версии стабильные есть? > > Ну если именно он идет из коробки в стабильном (десятом) Дебиане, то наверное > да. Бегло почитал в интернете информацию, не увидел разницы для безопасности, кроме того что (число строк сократили)- так понял, получается что бы быстрей работал и эффективнейшей.
Re: Настройка межсетевой экран / файрвол / брандмауэр ufw, iptables, gufw
суббота, 21 марта 2020 г., 15:10:03 UTC+3 пользователь L. Gogolev написал: > Здравствуйте. > >Скажите как настроить фаервол. Если, хотелось бы. Все запретить, разрешить > только браузер и обновления. > Но смотрю, посредством $ ss state all , много чего есть. Наверно > внутренние сокеты, которые вероятно при такой логике, от желания, перестанут > работать. Да и вопрос, как разобрать сокеты внутренние и для работы с > провайдером. Если реализация соединения провайдера интернета предполагает, > смотрю соединение с моего адреса 10._._._. > > Стал устанавливать gufw: > > > (gufw.py:3320): dbind-WARNING **: 15:46:44.448: Error retrieving > accessibility bus address: org.freedesktop.DBus.Error.ServiceUnknown: The > name org.a11y.Bus was not provided by any .service files > > (WebKitWebProcess:3346): dbind-WARNING **: 15:46:45.594: Error retrieving > accessibility bus address: org.freedesktop.DBus.Error.ServiceUnknown: The > name org.a11y.Bus was not provided by any .service files > > ((gufw.py:3320): dbind-WARNING **: 15: 46: 44.448: Ошибка при получении > адреса шины доступности: org.freedesktop.DBus.Error.ServiceUnknown: Имя > org.a11y.Bus не было предоставлено никакой службой .service файлы > > (WebKitWebProcess: 3346): dbind-WARNING **: 15: 46: 45.594: Ошибка при > получении адреса шины доступности: org.freedesktop.DBus.Error.ServiceUnknown: > Имя org.a11y.Bus не было предоставлено никакими файлами .service ) > > > Стал настраивать правила: > > Ошибка выполнения: /usr/sbin/ufw allow out proto tcp from any to any port 80 > > Skipping adding existing rule | Skipping adding existing rule (v6) | > > ( Ошибка выполнения: / usr / sbin / ufw разрешает протокольный tcp с любого > на любой порт 80> Пропуск добавления существующего правила | Пропуск > добавления существующего правила (v6) |) > > > тем неимение правило установилось: > > sudo ufw status verbose > Состояние: активен > Журналирование: on (full) > По умолчанию: deny (входящие), allow (исходящие), disabled > (маршрутизированные) > Новые профили: skip > > В ДействиеИз > - -- > 80/tcp ALLOW INAnywhere > 80/tcp (v6)ALLOW INAnywhere (v6) > > 8080/tcp ALLOW OUT Anywhere > 443/tcpALLOW OUT Anywhere (log) > 80/tcp ALLOW OUT Anywhere > 8080/tcp (v6) ALLOW OUT Anywhere (v6) > 443/tcp (v6) ALLOW OUT Anywhere (v6) (log) > 80/tcp (v6)ALLOW OUT Anywhere (v6) > > стал удалять правила > методы: sudo ufw delete 2 > > ufw delete allow out 80/tcp > > не удаляется 443 - > > > :~$ sudo ufw status numbered > Состояние: активен > > В ДействиеИз > - -- > [ 1] 443/tcpALLOW OUT Anywhere (log, > out) > [ 2] 443/tcp (v6) ALLOW OUT Anywhere (v6) (log, > out) > > > > ufw delete 2 > Удаление: > allow out log 443/tcp > Продолжить операцию (y|n)? > Прервано > > _:~$ sudo ufw delete 1 > Удаление: > allow out log 443/tcp > Продолжить операцию (y|n)? > Прервано > _:~$ sudo ufw status numbered > Состояние: активен > > В ДействиеИз > - -- > [ 1] 443/tcpALLOW OUT Anywhere (log, > out) > [ 2] 443/tcp (v6) ALLOW OUT Anywhere (v6) (log, > out) > > > Также не понял: устанавливал буквально правила в gufw для протоколов http & > https > Но, как и ошибка так возникшие правила об портах. > Браузер вроде смотрел не на этих портах у меня. > Для удаления сделал так: > > sudo ufw reset > > В настойках так: sudo ufw default reject incoming > > В итоге, что хочу читать сверху, в этом вопрос. > Возможно рассмотрение услуги - как настройка брандмауэра, как вариант. > В этом тоже вопрос, кто может оказать услугу? avahi если удалить, не случится не чего? я им не пользуюсь, думаю он что бы принтер подключить. avahi мне не нужен. Так смотрю sudo ufw show listening , (avahi-daemon) на портах прослушивает.
Re: Настройка межсетевой экран / файрвол / брандмауэр ufw, iptables, gufw
Dmitry Alexandrov -> L. Gogolev @ Sat, 21 Mar 2020 19:48:54 +0300: >>> А теперь уже везде nft(8) >> >> версии стабильные есть? > Ну если именно он идет из коробки в стабильном (десятом) Дебиане, то > наверное да. Пакет ставить надо. И как показала практика, рановато им ещё пользоваться. Управляющая утилита (собственно nft) на сложных задачах падает по нехватке памяти. Это я в нее списочек адресов из-под РКН попытался засунуть. Даже близко не. iptables + ipset в той же позе работает как часы. Плюс к этому ipset позволяет провести проверку на попадание адреса в набор из командной строки, а nft - нет.
Re: Настройка межсетевой экран / файрвол / брандмауэр ufw, iptables, gufw
"L. Gogolev" wrote: > суббота, 21 марта 2020 г., 17:20:02 UTC+3 пользователь Dmitry Alexandrov > написал: >> А теперь уже везде nft(8) > > версии стабильные есть? Ну если именно он идет из коробки в стабильном (десятом) Дебиане, то наверное да. signature.asc Description: PGP signature
Re: Настройка межсетевой экран / файрвол / брандмауэр ufw, iptables, gufw
суббота, 21 марта 2020 г., 17:20:02 UTC+3 пользователь Dmitry Alexandrov написал: > И вдогонку: вы вообще напрасно связались с UFW. Это же, кажется, не более > чем приблуда для превращения казавшегося многим неудобного языка iptables(8) > в нечто iproute2-подобное. А теперь уже везде nft(8), который и так > iproute2-подобный. Посмотрел, может ошибаюсь. "А теперь уже везде nft(8)"- версии стабильные есть? Для gufw в ниспадающем меню для протоколов и http /ps разные строчки. Так на это и ориентировался. Времени нет, рассматриваю оказание услуги, платной.
Re: Настройка межсетевой экран / файрвол / брандмауэр ufw, iptables, gufw
суббота, 21 марта 2020 г., 16:50:02 UTC+3 пользователь Dmitry Alexandrov написал: > "L. Gogolev" wrote: > > Скажите как настроить фаервол. Если, хотелось бы. Все запретить, разрешить > > только браузер и обновления. > > С какой вам это целью? Так или иначе, разрешить «только [некий] браузер или > обновления» — это не совсем файерволл, а скорее мандатный контроль, типа > Apparmorʼа. > > > Но смотрю, посредством $ ss state all, много чего есть. > > Но нам не покажете? Вас там собственно, могут интересовать только слушающие > процессы: > > # netstat -tulnp > > > внутренние сокеты, ... при такой логике ... перестанут работать. Да и > > вопрос, как разобрать сокеты внутренние и для работы с провайдером. > > «Внутренние» — это внутри одной машинки? Они работают по интерфейсу т. н. > «обратной петли» (lo), и ее надо разрешить в первую голову. > > Или внутри локальной сети? Тогда по подсетям. Скорее всего у вас: > — 192.168.0.0/16 # DHCPv4, или не эта, проверьте > — 169.254.0.0/16 # link-local v4 > — fe80::/10 # link-local v6 > —# DHCPv6, вероятно, нет > — 224.0.0.0/24 # мультикаст v4 > — > ff02::/16,ff12::/16,ff22::/16,ff32::/16,ff42::/16,ff52::/16,ff62::/16,ff72::/16 > # мультикаст v6 > > > Стал устанавливать gufw: > > > > (gufw.py:3320): dbind-WARNING **: 15:46:44.448: Error retrieving > > accessibility bus address: org.freedesktop.DBus.Error.ServiceUnknown: The > > name org.a11y.Bus was not provided by any .service files > > Перевожу: у вас нет средств для слепых. > > > Стал настраивать правила: > > > > Ошибка выполнения: /usr/sbin/ufw allow out proto tcp from any to any port > > 80 > Skipping adding existing rule | Skipping adding existing rule (v6) | > > Емнип, UFW идет с комплектом правил из коробки. > > > Также не понял: устанавливал буквально правила в gufw для протоколов http & > > https > > Но, как и ошибка так возникшие правила об портах. > > В контексте файерволла http и https — могут быть только мнемониками портов: > 80 и 443 соответственно, а не протоколами. > > > Браузер вроде смотрел не на этих портах у меня. > > Если у вас браузер что-то слушает (listen) извне, то это какой-то > неправильный браузер. > > > Возможно рассмотрение услуги - как настройка брандмауэра, как вариант. > > В этом тоже вопрос, кто может оказать услугу? > > Те, кто захотят получить с вас немного денег. Здесь же вам скорее честно > скажут, что вы занимаетесь какой-то фигней. ;-) Не настаиваю, не являюсь специалистом, но: " Это означает, что доменные сокеты могут быть использованы как объектно-возможностная коммуникационная система. " -https://ru.wikipedia.org/wiki/%D0%A1%D0%BE%D0%BA%D0%B5%D1%82_%D0%B4%D0%BE%D0%BC%D0%B5%D0%BD%D0%B0_Unix Цель личная, остальное тоже сути не меняет.
Re: Настройка межсетевой экран / файрвол / брандмауэр ufw, iptables, gufw
И вдогонку: вы вообще напрасно связались с UFW. Это же, кажется, не более чем приблуда для превращения казавшегося многим неудобного языка iptables(8) в нечто iproute2-подобное. А теперь уже везде nft(8), который и так iproute2-подобный. signature.asc Description: PGP signature
Re: Настройка межсетевой экран / файрвол / брандмауэр ufw, iptables, gufw
"L. Gogolev" wrote: > Скажите как настроить фаервол. Если, хотелось бы. Все запретить, разрешить > только браузер и обновления. С какой вам это целью? Так или иначе, разрешить «только [некий] браузер или обновления» — это не совсем файерволл, а скорее мандатный контроль, типа Apparmorʼа. > Но смотрю, посредством $ ss state all, много чего есть. Но нам не покажете? Вас там собственно, могут интересовать только слушающие процессы: # netstat -tulnp > внутренние сокеты, ... при такой логике ... перестанут работать. Да и вопрос, > как разобрать сокеты внутренние и для работы с провайдером. «Внутренние» — это внутри одной машинки? Они работают по интерфейсу т. н. «обратной петли» (lo), и ее надо разрешить в первую голову. Или внутри локальной сети? Тогда по подсетям. Скорее всего у вас: — 192.168.0.0/16 # DHCPv4, или не эта, проверьте — 169.254.0.0/16 # link-local v4 — fe80::/10 # link-local v6 —# DHCPv6, вероятно, нет — 224.0.0.0/24 # мультикаст v4 — ff02::/16,ff12::/16,ff22::/16,ff32::/16,ff42::/16,ff52::/16,ff62::/16,ff72::/16 # мультикаст v6 > Стал устанавливать gufw: > > (gufw.py:3320): dbind-WARNING **: 15:46:44.448: Error retrieving > accessibility bus address: org.freedesktop.DBus.Error.ServiceUnknown: The > name org.a11y.Bus was not provided by any .service files Перевожу: у вас нет средств для слепых. > Стал настраивать правила: > > Ошибка выполнения: /usr/sbin/ufw allow out proto tcp from any to any port 80 > > Skipping adding existing rule | Skipping adding existing rule (v6) | Емнип, UFW идет с комплектом правил из коробки. > Также не понял: устанавливал буквально правила в gufw для протоколов http & > https > Но, как и ошибка так возникшие правила об портах. В контексте файерволла http и https — могут быть только мнемониками портов: 80 и 443 соответственно, а не протоколами. > Браузер вроде смотрел не на этих портах у меня. Если у вас браузер что-то слушает (listen) извне, то это какой-то неправильный браузер. > Возможно рассмотрение услуги - как настройка брандмауэра, как вариант. > В этом тоже вопрос, кто может оказать услугу? Те, кто захотят получить с вас немного денег. Здесь же вам скорее честно скажут, что вы занимаетесь какой-то фигней. ;-) signature.asc Description: PGP signature
Настройка межсетевой экран / файрвол / брандмауэр ufw, iptables, gufw
Здравствуйте. Скажите как настроить фаервол. Если, хотелось бы. Все запретить, разрешить только браузер и обновления. Но смотрю, посредством $ ss state all , много чего есть. Наверно внутренние сокеты, которые вероятно при такой логике, от желания, перестанут работать. Да и вопрос, как разобрать сокеты внутренние и для работы с провайдером. Если реализация соединения провайдера интернета предполагает, смотрю соединение с моего адреса 10._._._. Стал устанавливать gufw: (gufw.py:3320): dbind-WARNING **: 15:46:44.448: Error retrieving accessibility bus address: org.freedesktop.DBus.Error.ServiceUnknown: The name org.a11y.Bus was not provided by any .service files (WebKitWebProcess:3346): dbind-WARNING **: 15:46:45.594: Error retrieving accessibility bus address: org.freedesktop.DBus.Error.ServiceUnknown: The name org.a11y.Bus was not provided by any .service files ((gufw.py:3320): dbind-WARNING **: 15: 46: 44.448: Ошибка при получении адреса шины доступности: org.freedesktop.DBus.Error.ServiceUnknown: Имя org.a11y.Bus не было предоставлено никакой службой .service файлы (WebKitWebProcess: 3346): dbind-WARNING **: 15: 46: 45.594: Ошибка при получении адреса шины доступности: org.freedesktop.DBus.Error.ServiceUnknown: Имя org.a11y.Bus не было предоставлено никакими файлами .service ) Стал настраивать правила: Ошибка выполнения: /usr/sbin/ufw allow out proto tcp from any to any port 80 > Skipping adding existing rule | Skipping adding existing rule (v6) | ( Ошибка выполнения: / usr / sbin / ufw разрешает протокольный tcp с любого на любой порт 80> Пропуск добавления существующего правила | Пропуск добавления существующего правила (v6) |) тем неимение правило установилось: sudo ufw status verbose Состояние: активен Журналирование: on (full) По умолчанию: deny (входящие), allow (исходящие), disabled (маршрутизированные) Новые профили: skip В ДействиеИз - -- 80/tcp ALLOW INAnywhere 80/tcp (v6)ALLOW INAnywhere (v6) 8080/tcp ALLOW OUT Anywhere 443/tcpALLOW OUT Anywhere (log) 80/tcp ALLOW OUT Anywhere 8080/tcp (v6) ALLOW OUT Anywhere (v6) 443/tcp (v6) ALLOW OUT Anywhere (v6) (log) 80/tcp (v6)ALLOW OUT Anywhere (v6) стал удалять правила методы: sudo ufw delete 2 ufw delete allow out 80/tcp не удаляется 443 - :~$ sudo ufw status numbered Состояние: активен В ДействиеИз - -- [ 1] 443/tcpALLOW OUT Anywhere (log, out) [ 2] 443/tcp (v6) ALLOW OUT Anywhere (v6) (log, out) ufw delete 2 Удаление: allow out log 443/tcp Продолжить операцию (y|n)? Прервано _:~$ sudo ufw delete 1 Удаление: allow out log 443/tcp Продолжить операцию (y|n)? Прервано _:~$ sudo ufw status numbered Состояние: активен В ДействиеИз - -- [ 1] 443/tcpALLOW OUT Anywhere (log, out) [ 2] 443/tcp (v6) ALLOW OUT Anywhere (v6) (log, out) Также не понял: устанавливал буквально правила в gufw для протоколов http & https Но, как и ошибка так возникшие правила об портах. Браузер вроде смотрел не на этих портах у меня. Для удаления сделал так: sudo ufw reset В настойках так: sudo ufw default reject incoming В итоге, что хочу читать сверху, в этом вопрос. Возможно рассмотрение услуги - как настройка брандмауэра, как вариант. В этом тоже вопрос, кто может оказать услугу?
Re: Почему "iptables" показывает нулевые значения после работы с сетью?
2015-01-08 7:34 GMT+03:00 Ста Деюс : > Доброго времени суток. > > > Я только что установил Д-7.7 с помощью сетевого установочного диску. > Загрузившись пару раз с ЖМД, и установив/удалив ещё несколько пакетов > (по Сети), я заметил, что > > iptables -nvL > > показывает всё по нулям. -- Кто мог сбросить счётчики пакетов? > может быть у вас не стоит в автозагрузке iptables , и при первом использовании команды, модули ядра были загружены и вам показало новую статистику?
Почему "iptables" показывает нулевые значения после работы с сетью?
Доброго времени суток. Я только что установил Д-7.7 с помощью сетевого установочного диску. Загрузившись пару раз с ЖМД, и установив/удалив ещё несколько пакетов (по Сети), я заметил, что iptables -nvL показывает всё по нулям. -- Кто мог сбросить счётчики пакетов? Я специально, тогда, сделал aptitude update и снова проверил счётчкии пакетов - теперь они не были нулевыми. Спасибо за любые разъяснения. С уважением, Ста. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20150108113411.1f3a3ecd@STNset
Re: iptables mac
At Tue, 18 Jun 2013 20:15:23 +0400, Alex Dubinin wrote: > > [1 ] > 17.06.2013 12:39, Victor Wagner пишет: > > On 2013.06.15 at 14:29:18 +0400, Alex Dubinin wrote: > > > >>> mac меняется легко. > >> Ну не как способ защиты, а идея была например разрешить коннект к SSH > >> только с перечисленных MAC. Идея была примерно такая. > > ... > > (очень правильные вещи) > > ... > > В общем Вы либо не поняли зачем я это делал, либо не захотели понять. Озвучьте, что ли. Коли так, Вас наверное много людей не поняли. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87hagur9ev.wl%free...@gmail.com
Re: iptables mac
17.06.2013 12:39, Victor Wagner пишет: > On 2013.06.15 at 14:29:18 +0400, Alex Dubinin wrote: > >>> mac меняется легко. >> Ну не как способ защиты, а идея была например разрешить коннект к SSH >> только с перечисленных MAC. Идея была примерно такая. > В ssh для этой цели предусмотрены криптографические ключи хостов. > Вот криптографический ключ это вещь, которая достаточно надежно > идентифицирует сторону соединения. > > Оно, конечно, проверяется несколько позже чем в момент коннекта. > Но поскольку огромное количество людей этим пользуется, даже если в > обработке хендшейка в какой-нибудь популярной реа SSH появится дырка, > позволяющая получить доступ к хосту до предоставления ключа, её заткнут > в момент. > > В общем, надо просто отключить парольную и PAM-овскую реализацию в ssh и > не заморачиваться ни с каким port knoking. В общем Вы либо не поняли зачем я это делал, либо не захотели понять. Ну да ладно, не суть столь важно. Вопрос все равно был в другом и на свой вопрос я получил уже исчерпывающий ответ. signature.asc Description: OpenPGP digital signature
Re: iptables mac
17.06.2013 04:06, Mikhail A Antonov пишет: > Правила, которые я привёл делают так: > * 3 коннекта в минуту - разрешено. > * Больше 3 коннектов в минуту - в дроп. > * Если за минуту дропа пришла ещё одна попытка подключиться - таймер > доставания из дропа начинает отсчёт заново. > * Плюс заведомо белые хосты в SSH. Туда можно добавить пару-тройку > всегда статичных серверов/сетей, чтобы если что - с них зайти. > В моём варианте все строчки дописаны целиком и написаны верно. Разве что > IP надо нужные поставить при желании :) > А ещё мой способ можно применять, например, к smtp для особо упоротых > спамеров. Дошло, --update начинает отсчёт заново. Понятно, спасибо. Наверное на SMTP самое то действительно. > Когда один сервер и ты единственные его админ - можно и по приколу > заморочиться. Когда серверов под сотню и ты не один туда ходишь - не > очень удобно. Особенно если порты для PK везде разные. > Да и как всё это веселье в ~/.ssh/config писать? > Ведь гораздо удобнее сказать ssh some-name чем ssh user@1.2.3.4 -p 222 > особенно если вместо 1.2.3.4 будет что-то типа > 2001:db8:5abc:3cde:fe9d:a3dc:8b65:a5c7 > А если к этому 2001:db8:5abc:3cde:fe9d:a3dc:8b65:a5c7 ещё и PK > прикрутить и каждый раз о нём вспоминать (ага, при каждом реконнекте на > gprs) - нет уж, спасибо. Ну сервер не один, а админ один. PK не прописываю в ~/.ssh/config. Все имена хостов имеют алиасы в /etc/hosts, так что бонально nc s1 222 (к примеру). Все остальные настройки ssh в конфиге, т.ч. процесс коннекта на сервер выглядит четырьмя действиями: 1. nc s1 222 2. ctrl + c 3. ssh s1 4. passphrase все довольно быстро, в течение пары секунд, на gprs - в пределах 10 секунд всегда. Ну это как говорится каждому свое ))) P.S. Еще раз спасибо за совет по поводу --update. Остальные конструкции в похожем виде использовал и ранее. signature.asc Description: OpenPGP digital signature
Re: iptables mac
16.06.2013 10:40, Alex Dubinin пишет: > iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set > Эта строка точно дописана? Никак не пойму что она делает? По-моему она > должна "маркировать" что-то как-то например так: > iptables -A INPUT -p tcp -m tcp --dport 80 -m recent --set --name httpddos > --rsource > Я прав? Вы это хотели написать? > И мне осталась непонятной строка: > iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update > --seconds 60 --hitcount 3 -j DROP > я почти вижу что это ограничение на количество коннектов в минуту > тремя, вернее пакетов с флагом NEW. > только фрагмент с --update мне опять же непонятен. Правила, которые я привёл делают так: * 3 коннекта в минуту - разрешено. * Больше 3 коннектов в минуту - в дроп. * Если за минуту дропа пришла ещё одна попытка подключиться - таймер доставания из дропа начинает отсчёт заново. * Плюс заведомо белые хосты в SSH. Туда можно добавить пару-тройку всегда статичных серверов/сетей, чтобы если что - с них зайти. В моём варианте все строчки дописаны целиком и написаны верно. Разве что IP надо нужные поставить при желании :) А ещё мой способ можно применять, например, к smtp для особо упоротых спамеров. > P.S. На SSH по моему мнению это вполне удобно. стукнулся на порт и > делай что нужно. С любого IP без ограничений каких-бы то ни было для > меня и с недоступным портом для других. С момента введения PK не было > ни одного левого SYN к SSH (за более чем 5 лет). Когда один сервер и ты единственные его админ - можно и по приколу заморочиться. Когда серверов под сотню и ты не один туда ходишь - не очень удобно. Особенно если порты для PK везде разные. Да и как всё это веселье в ~/.ssh/config писать? Ведь гораздо удобнее сказать ssh some-name чем ssh user@1.2.3.4 -p 222 особенно если вместо 1.2.3.4 будет что-то типа 2001:db8:5abc:3cde:fe9d:a3dc:8b65:a5c7 А если к этому 2001:db8:5abc:3cde:fe9d:a3dc:8b65:a5c7 ещё и PK прикрутить и каждый раз о нём вспоминать (ага, при каждом реконнекте на gprs) - нет уж, спасибо. -- Best regards, Mikhail - WWW: http://www.antmix.ru/ XMPP: ant...@stopicq.ru signature.asc Description: OpenPGP digital signature
Re: iptables mac
16.06.2013 02:06, Mikhail A Antonov пишет: > Для SSH удобно делать так: > iptables -N SSH > iptables -A INPUT -p tcp --dport 22 -j SSH > iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set > iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent > --update --seconds 60 --hitcount 3 -j DROP > iptables -A SSH -s 1.2.3.4 -j ACCEPT > iptables -A SSH -s 4.3.2.1 -j ACCEPT > iptables -A SSH -s 5.6.7.0/24 -j ACCEPT > > А ещё боты обламываются и быстро уходят если отключена авторизация по > паролю и оставлена только по ключам. > > Про port-knocking я читал-читал и так и не придумал где это можно > _удобно_ использовать. Спасибо за Ваш ответ. Авторизация по паролю отключена в первый же день, с SSH (по моему мнению) я уже сделал всё, что было можно. Но любой сервис содержит по определению баги и лучше максимально все защищать. Вы предлагаете своим примером пустить всех с доверенных хостов (в моем случае их просто нет), остальные - с ограничениями. iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set Эта строка точно дописана? Никак не пойму что она делает? По-моему она должна "маркировать" что-то как-то например так: iptables -A INPUT -p tcp -m tcp --dport 80 -m recent --set --name httpddos --rsource Я прав? Вы это хотели написать? И мне осталась непонятной строка: iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 -j DROP я почти вижу что это ограничение на количество коннектов в минуту тремя, вернее пакетов с флагом NEW. только фрагмент с --update мне опять же непонятен. P.S. На SSH по моему мнению это вполне удобно. стукнулся на порт и делай что нужно. С любого IP без ограничений каких-бы то ни было для меня и с недоступным портом для других. С момента введения PK не было ни одного левого SYN к SSH (за более чем 5 лет). signature.asc Description: OpenPGP digital signature
Re: iptables mac
15.06.2013 14:29, Alex Dubinin пишет: > Ну не как способ защиты, а идея была например разрешить коннект к SSH > только с перечисленных MAC. Идея была примерно такая. Для SSH удобно делать так: iptables -N SSH iptables -A INPUT -p tcp --dport 22 -j SSH iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 3 -j DROP iptables -A SSH -s 1.2.3.4 -j ACCEPT iptables -A SSH -s 4.3.2.1 -j ACCEPT iptables -A SSH -s 5.6.7.0/24 -j ACCEPT А ещё боты обламываются и быстро уходят если отключена авторизация по паролю и оставлена только по ключам. Про port-knocking я читал-читал и так и не придумал где это можно _удобно_ использовать. -- Best regards, Mikhail - WWW: http://www.antmix.ru/ XMPP: ant...@stopicq.ru signature.asc Description: OpenPGP digital signature
Re: iptables mac
At Sat, 15 Jun 2013 13:58:47 +0400, Mikhail A Antonov wrote: > > [1 ] > 15.06.2013 11:31, Alex Dubinin пишет: > > > Сама идея интерессная, но > Но бестолкова в данном случае. > > > Т.о. как я понял фильтровать по mac не получится, потому как > > оборудование провайдера перебивает мой mac своим. Так должно быть? > Да. До меня уже предложили почитать. > Для начала - осознать модель OSI... ...которая в мире не прижилась и нигде не используется. На OSI свет клином не сошелся, и все как пользовались моделью TCP/IP, которая состоит всего из 4 уровней, так и пользуются. > > Потому как очень хочется там видеть прежде всего mac моего > > компьютера, а не шлюза прова. > > Даже если бы было можно - зачем оно такое? Особенно с учётом того, > что mac меняется легко. LOL. А что он там, по-вашему, видит? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87k3lvobzr.wl%free...@gmail.com
Re: iptables mac
At Sat, 15 Jun 2013 13:51:50 +0400, Artem Chuprina wrote: > > MAC-адреса ставятся в заголовках Ethernet-пакетов, а отношение к > делу имеет в основном устройство IP. Артем, при всем уважении, FIX: > MAC-адреса ставятся в заголовках Ethernet-фреймов, а отношение к > делу имеет в основном устройство стека протоколов TCP/IP. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87li6bocdn.wl%free...@gmail.com
Re: iptables mac
15.06.2013 13:58, Mikhail A Antonov пишет: > 15.06.2013 11:31, Alex Dubinin пишет: > Фильтрацию по MAC можно использовать только в пределах одного > L2-сегмента. Чаще всего её используют чтобы соседи не воровали > интернет друг у друга. На свитче привязка порт+mac, на шлюзе - mac+ip. > Когда-то давно считалось что MAC сменить это целое дело. Особенно в > Win95/Win98. Сейчас же поменять MAC можно меньше чем за минуту. Для > фильтрации внешнего интернета (да и вообще даже следующего L2-сегмента > сети) данная фильтрация не подойдёт. Спасибо за обстоятельный ответ. Теперь всё ясно и понятно. > Да. До меня уже предложили почитать. Для начала - осознать модель OSI > [1]. Будет интересно - можешь обложиться книжками. > Можно это [2] ещё почитать. Я обязательно почитаю Ваши ссылки, спасибо за них. > Даже если бы было можно - зачем оно такое? Особенно с учётом того, что > mac меняется легко. Ну не как способ защиты, а идея была например разрешить коннект к SSH только с перечисленных MAC. Идея была примерно такая. MAC то можно поменять без проблем, но нельзя же все MAC перебрать. Просто на данный момент использую port knoking для открытия/закрытия доступа к порту. Но в общем все понятно по моей идее. P.S. Считаю, что вопрос исчерпан. Большое спасибо за ответы. signature.asc Description: OpenPGP digital signature
Re: iptables mac
15.06.2013 11:31, Alex Dubinin пишет: > Решил поиграться с фильтрацией по mac'ам. Фильтрацию по MAC можно использовать только в пределах одного L2-сегмента. Чаще всего её используют чтобы соседи не воровали интернет друг у друга. На свитче привязка порт+mac, на шлюзе - mac+ip. Когда-то давно считалось что MAC сменить это целое дело. Особенно в Win95/Win98. Сейчас же поменять MAC можно меньше чем за минуту. Для фильтрации внешнего интернета (да и вообще даже следующего L2-сегмента сети) данная фильтрация не подойдёт. > Сама идея интерессная, но Но бестолкова в данном случае. > Т.о. как я понял фильтровать по mac не получится, потому как > оборудование провайдера перебивает мой mac своим. Так должно быть? Да. До меня уже предложили почитать. Для начала - осознать модель OSI [1]. Будет интересно - можешь обложиться книжками. Можно это [2] ещё почитать. > Можно ли это поменять? Ну например обратившись к прову? Нет. > Потому как очень хочется там видеть прежде всего mac моего компьютера, а не > шлюза прова. Даже если бы было можно - зачем оно такое? Особенно с учётом того, что mac меняется легко. - [1]: https://ru.wikipedia.org/wiki/%D0%A1%D0%B5%D1%82%D0%B5%D0%B2%D0%B0%D1%8F_%D0%BC%D0%BE%D0%B4%D0%B5%D0%BB%D1%8C_OSI [2]: http://book.itep.ru/ -- Best regards, Mikhail - WWW: http://www.antmix.ru/ XMPP: ant...@stopicq.ru signature.asc Description: OpenPGP digital signature
Re: iptables mac
Andrey Rahmatullin -> debian-russian@lists.debian.org @ Sat, 15 Jun 2013 15:00:18 +0600: >> >> Т.о. как я понял фильтровать по mac не получится, потому как >> >> оборудование провайдера перебивает мой mac своим. Так должно быть? Можно >> >> ли это поменять? Ну например обратившись к прову? Потому как очень >> >> хочется там видеть прежде всего mac моего компьютера, а не шлюза прова. >> AR> Вы бы почитали что-нибудь базовое про то, как устроен Ethernet. >> Про то, как устроен IP. Устройство Ethernet в данном случае имеет >> довольно мало отношения к делу. AR> А MAC-адреса в заголовках чьих пакетов ставятся? Ты вроде не был раньше похож на журналиста, который выдает заготовленные реплики, когда видит ключевые слова... MAC-адреса ставятся в заголовках Ethernet-пакетов, а отношение к делу имеет в основном устройство IP. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87ppvnu2fd@wizzle.ran.pp.ru
Re: iptables mac
On Sat, Jun 15, 2013 at 12:41:50PM +0400, Artem Chuprina wrote: > >> Т.о. как я понял фильтровать по mac не получится, потому как > >> оборудование провайдера перебивает мой mac своим. Так должно быть? Можно > >> ли это поменять? Ну например обратившись к прову? Потому как очень > >> хочется там видеть прежде всего mac моего компьютера, а не шлюза прова. > AR> Вы бы почитали что-нибудь базовое про то, как устроен Ethernet. > Про то, как устроен IP. Устройство Ethernet в данном случае имеет > довольно мало отношения к делу. А MAC-адреса в заголовках чьих пакетов ставятся? -- WBR, wRAR signature.asc Description: Digital signature
Re: iptables mac
At Sat, 15 Jun 2013 11:31:59 +0400, Alex Dubinin wrote: > > Jun 15 11:18:03 srv kernel: [845908.278759] Web: IN=eth0 OUT= > MAC=68:05:ca:01:f1:04:00:1b:0d:e5:f7:00:08:00 SRC=SRC_IP DST=DST_IP > Т.о. как я понял фильтровать по mac не получится, потому как > оборудование провайдера перебивает мой mac своим. Это не адрес, это MAC Header пакета, который содержит, соответственно, адрес доставки и источника. На Ваши вопросы не знаю как ответить. У Вас такая каша в голове сейчас. Почитайте что-нибудь по канальному уровню. Таненбаума, например. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87mwqroj79.wl%free...@gmail.com
Re: iptables mac
Andrey Rahmatullin -> debian-russian@lists.debian.org @ Sat, 15 Jun 2013 13:50:35 +0600: >> Т.о. как я понял фильтровать по mac не получится, потому как >> оборудование провайдера перебивает мой mac своим. Так должно быть? Можно >> ли это поменять? Ну например обратившись к прову? Потому как очень >> хочется там видеть прежде всего mac моего компьютера, а не шлюза прова. AR> Вы бы почитали что-нибудь базовое про то, как устроен Ethernet. Про то, как устроен IP. Устройство Ethernet в данном случае имеет довольно мало отношения к делу. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87y5abu5o1@wizzle.ran.pp.ru
Re: iptables mac
On Sat, Jun 15, 2013 at 11:31:59AM +0400, Alex Dubinin wrote: > Т.о. как я понял фильтровать по mac не получится, потому как > оборудование провайдера перебивает мой mac своим. Ламерская формулировка, но результат примерно такой... > Так должно быть? Да. > Можно ли это поменять? Ну например обратившись к прову? Нет. > Потому как очень > хочется там видеть прежде всего mac моего компьютера, а не шлюза прова. Нужно учить матчасть по компьютерным сетям, а не мечтать о том, как подогнать реальный мир под свои нелепые фантазии... Для начала разберитесь что такое MAC и как он относится к маршрутизации. -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130615081613.gi3...@sie.protva.ru
Re: iptables mac
On Sat, Jun 15, 2013 at 12:07:32PM +0400, Alex Dubinin wrote: > > Фильтрацией чего? > Фильтрацией пакетов Каких пакетов? Где? > > Вы бы почитали что-нибудь базовое про то, как устроен Ethernet. > Базовые основы я знаю. А чего тогда спрашиваете? > P.S. Спасибо за дельный совет - теперь я точно разберусь в своём вопросе. Сомневаюсь, вы ж не будете его исполнять. -- WBR, wRAR signature.asc Description: Digital signature
Re: iptables mac
15.06.2013 11:50, Andrey Rahmatullin пишет: > Фильтрацией чего? Фильтрацией пакетов > Вы бы почитали что-нибудь базовое про то, как устроен Ethernet. Базовые основы я знаю. P.S. Спасибо за дельный совет - теперь я точно разберусь в своём вопросе. signature.asc Description: OpenPGP digital signature
Re: iptables mac
On Sat, Jun 15, 2013 at 11:31:59AM +0400, Alex Dubinin wrote: > Решил поиграться с фильтрацией по mac'ам. Фильтрацией чего? > Т.о. как я понял фильтровать по mac не получится, потому как > оборудование провайдера перебивает мой mac своим. Так должно быть? Можно > ли это поменять? Ну например обратившись к прову? Потому как очень > хочется там видеть прежде всего mac моего компьютера, а не шлюза прова. Вы бы почитали что-нибудь базовое про то, как устроен Ethernet. -- WBR, wRAR signature.asc Description: Digital signature
iptables mac
Решил поиграться с фильтрацией по mac'ам. Сама идея интерессная, но столкнулся с такой проблемой: настроил логирование пакетов (для начала), чтобы так сказать потренироваться. И не прогадал. В логах появляются такие строки: Jun 15 11:18:03 srv kernel: [845908.278759] Web: IN=eth0 OUT= MAC=68:05:ca:01:f1:04:00:1b:0d:e5:f7:00:08:00 SRC=SRC_IP DST=DST_IP LEN=52 TOS=0x00 PREC=0x00 TTL=56 ID=47837 DF PROTO=TCP SPT=44483 DPT=80 WINDOW=14600 RES=0x00 SYN URGP=0 Откуда бы и как бы не обращался к 80-му порту - поле MAC в логе не меняется! В данном случае: 68:05:ca:01:f1:04 - MAC eth0 сервера 00:1b:0d:e5:f7:00 - MAC шлюза провайдера! Т.о. как я понял фильтровать по mac не получится, потому как оборудование провайдера перебивает мой mac своим. Так должно быть? Можно ли это поменять? Ну например обратившись к прову? Потому как очень хочется там видеть прежде всего mac моего компьютера, а не шлюза прова. signature.asc Description: OpenPGP digital signature
Re: iptables и непонятки...
26.09.2011 11:55, Ilya Sapytsky пишет: > Добрый день! > есть у меня некая сеть, где transparent squid стоит, но понадобилось для > одной машины сделать исключение. > Нарисовал в правилах вместо > $IPT -t nat --append PREROUTING --protocol tcp --dport 80 --in-interface > $IF_GINT --jump REDIRECT --to-port 3128 > > вот такую конструкцию: > $IPT --new-chain gors Это ты создал цепочку в -t filter (поумолчанию именно она, если не указано иное) > $IPT -t nat --append PREROUTING --protocol tcp --dport 80 --in-interface > $IF_GINT --jump gors А тут уже -t nat > и ни в какую не хочет > я так понимаю, что а nat нельзя делать jump в другие chain? > как вообще реализовать мою задачу? > Спасибо! Задача решается проще -t nat -A PREROUTING -p tcp --dport 80 -s 192.168.99.2 -j ACCEPT -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128 -- Best regards, Mikhail. signature.asc Description: OpenPGP digital signature
iptables и непонятки...
Добрый день! есть у меня некая сеть, где transparent squid стоит, но понадобилось для одной машины сделать исключение. Нарисовал в правилах вместо $IPT -t nat --append PREROUTING --protocol tcp --dport 80 --in-interface $IF_GINT --jump REDIRECT --to-port 3128 вот такую конструкцию: $IPT --new-chain gors echo 2 $IPT -t nat --append PREROUTING --protocol tcp --dport 80 --in-interface $IF_GINT --jump gors echo 3 $IPT --append gors --protocol tcp --src 192.168.99.2 --dport 80 --in-interface $IF_GINT --jump RETURN echo 4 $IPT --append gors --protocol tcp --dport 80 --in-interface $IF_GINT --jump REDIRECT --to-port 3128 echo 5 а мне в ответ 2 iptables v1.4.2: Couldn't load target `gors':/lib/xtables/libipt_gors.so: cannot open shared object file: No such file or directory Try `iptables -h' or 'iptables --help' for more information. 3 4 iptables: Invalid argument 5 и ни в какую не хочет я так понимаю, что а nat нельзя делать jump в другие chain? как вообще реализовать мою задачу? Спасибо!
Re: Вопрос про iptables
Спасибо, но мне нужно обеспечить некоторый специальный протокол на выделенный порт. Поэтому нужно олноценное IP соединение. Но у меня уже все заработало. Просто я имел дело с iptables пару лет назад, когда конфигурировал файервол, и уже подзабыл. Помощь debian-russian уже оказалась существенна. Спасибо всем, особенно evgeny_ver...@mail.ru. Николай On 19.05.2011 10:05, Nikolai Kondratiev wrote: Заработало. Если вам нужно только по ssh давать команды на сервер 1, то можно было обойтись без iptables, а использовать только ssh, как мне здесь в прошлом году подсказали: на сервере_1 один раз дать команду проброса порта: (в вашем случае порт, возможно, будет другим, а возможно и нет - запрос идет _с_ сервера_1, про этот случай не известно - только разрешен или нет ) ssh -N -R 2020:localhost:22 root@server_2 -p 22 после чего, с любой машины можно залогиниться на сервер_1, через сервер_2: ssh -p 2020 root@server_2 или через алиас в zsh .zshrc alias -g server_1="uxterm -e ssh -t user@server_2 'ssh -p 2020 root@localhost' &! exit" -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4dd60df4.6000...@mail.ru
Re: Вопрос про iptables
On 19.05.2011 10:05, Nikolai Kondratiev wrote: Заработало. Если вам нужно только по ssh давать команды на сервер 1, то можно было обойтись без iptables, а использовать только ssh, как мне здесь в прошлом году подсказали: на сервере_1 один раз дать команду проброса порта: (в вашем случае порт, возможно, будет другим, а возможно и нет - запрос идет _с_ сервера_1, про этот случай не известно - только разрешен или нет ) ssh -N -R 2020:localhost:22 root@server_2 -p 22 после чего, с любой машины можно залогиниться на сервер_1, через сервер_2: ssh -p 2020 root@server_2 или через алиас в zsh .zshrc alias -g server_1="uxterm -e ssh -t user@server_2 'ssh -p 2020 root@localhost' &! exit" -- Sincerely, Nicholas -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/ir4ntr$lod$1...@dough.gmane.org
Re: Вопрос про iptables
1) попробуйте tcpdump'ом на компе 77.77.77.77 посмотреть, как ходят пакетики, может, что-то прояснится. 2) а какие модули загружены на 77.77.77.77 ? ip_nat, ip_conntrack присутствуют? Grue -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/ir2rc6$92m$1...@dough.gmane.org
Re: Вопрос про iptables
Заработало. Добавил iptables -t nat -A POSTROUTING -d 88.88.88.88 -j MASQUERADE Итого, результат: # stop firewall сбрасываются все iptables /etc/init.d/firewall stop # forwarding echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A PREROUTING -p tcp --dport -j DNAT --to-destination 88.88.88.88:5555 iptables -A FORWARD -p tcp --dport -j ACCEPT iptables -A FORWARD -s 88.88.88.88 -p tcp -j ACCEPT iptables -t nat -A POSTROUTING -d 88.88.88.88 -j MASQUERADE спасибо за помощь! Николай Нет, не работает. На сервере 1 (77.77.77.77) выполняю: # stop firewall /etc/init.d/firewall stop # forwarding echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A PREROUTING -p tcp --dport -j DNAT --to-destination 88.88.88.88: iptables -A FORWARD -p tcp --dport -j ACCEPT iptables -A FORWARD -s 88.88.88.88 -p tcp -j ACCEPT telnet 88.88.88.88 с сервера 2 соединяется, а telnet 77.77.77.77 с моего локального компьютера - нет Всё заработало? По-моему, вы уже отвечаете только мне, а не в рассылку. Ошибся On 19.05.2011 12:19, Николай Кондратьев wrote: Извиняюсь, забыл -t nat Спасибо, но не принимает: srv0:~# iptables -A PREROUTING -i eth0 -p tcp --dport 5090 -j DNAT --to-destination 10.0.0.34:5090 iptables: No chain/target/match by that name On 19.05.2011 10:36, Николай Кондратьев wrote: Добрый день всем! Помогите, пожалуйста, настроить iptables. Имеются два сервера с фиксированными IP-адресами. Сервер 1: 77.77.77.77 Сервер 2: 88.88.88.88 Сервер 2 имеет файервол, который пропускает обращения от севера 1 на порт . Других возможностей конфигурировать этот сервер нет. Для отладки программ на других компьютерах необходимо обращаться с запросами с произвольных адресов на сервер 2. Требуется настроить сервер 1 так, чтобы он перенаправлял запросы на порт на сервер 2, подставляя свой адрес. Можно сделать это с помощью iptables (можно, насколь я понимаю) и как? Спасибо! Николай Прероутинг, НАТ "наоборот": -A PREROUTING -i eth3 -p tcp --dport 5090 -j DNAT --to-destination 10.0.0.34:5090 Все входящие на порт 5090 перенаправлять во внутреннюю сеть на ИП 10.0.0.34. Номер порта доставки можно менять, то есть приём с внешнего мира на порт 80, а внутри будет порт 21 - легко, хоть и извращённо. Не забыть разрешить пакетам ходить: -A FORWARD -s 10.0.0.34 -i eth1 -p tcp -j ACCEPT -A FORWARD -d 10.0.0.34 -o eth1 -p tcp -j ACCEPT -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4dd4eb70.7090...@googlemail.com
Re: Вопрос про iptables
Нет, не работает. На сервере 1 (77.77.77.77) выполняю: # stop firewall /etc/init.d/firewall stop # forwarding echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A PREROUTING -p tcp --dport -j DNAT --to-destination 88.88.88.88:5555 iptables -A FORWARD -p tcp --dport -j ACCEPT iptables -A FORWARD -s 88.88.88.88 -p tcp -j ACCEPT telnet 88.88.88.88 с сервера 2 соединяется, а telnet 77.77.77.77 с моего локального компьютера - нет Всё заработало? По-моему, вы уже отвечаете только мне, а не в рассылку. Ошибся On 19.05.2011 12:19, Николай Кондратьев wrote: Извиняюсь, забыл -t nat Спасибо, но не принимает: srv0:~# iptables -A PREROUTING -i eth0 -p tcp --dport 5090 -j DNAT --to-destination 10.0.0.34:5090 iptables: No chain/target/match by that name On 19.05.2011 10:36, Николай Кондратьев wrote: Добрый день всем! Помогите, пожалуйста, настроить iptables. Имеются два сервера с фиксированными IP-адресами. Сервер 1: 77.77.77.77 Сервер 2: 88.88.88.88 Сервер 2 имеет файервол, который пропускает обращения от севера 1 на порт . Других возможностей конфигурировать этот сервер нет. Для отладки программ на других компьютерах необходимо обращаться с запросами с произвольных адресов на сервер 2. Требуется настроить сервер 1 так, чтобы он перенаправлял запросы на порт на сервер 2, подставляя свой адрес. Можно сделать это с помощью iptables (можно, насколь я понимаю) и как? Спасибо! Николай Прероутинг, НАТ "наоборот": -A PREROUTING -i eth3 -p tcp --dport 5090 -j DNAT --to-destination 10.0.0.34:5090 Все входящие на порт 5090 перенаправлять во внутреннюю сеть на ИП 10.0.0.34. Номер порта доставки можно менять, то есть приём с внешнего мира на порт 80, а внутри будет порт 21 - легко, хоть и извращённо. Не забыть разрешить пакетам ходить: -A FORWARD -s 10.0.0.34 -i eth1 -p tcp -j ACCEPT -A FORWARD -d 10.0.0.34 -o eth1 -p tcp -j ACCEPT -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4dd4e146.2040...@mail.ru
Re: Вопрос про iptables
On 19.05.2011 10:36, Николай Кондратьев wrote: Добрый день всем! Помогите, пожалуйста, настроить iptables. Имеются два сервера с фиксированными IP-адресами. Сервер 1: 77.77.77.77 Сервер 2: 88.88.88.88 Сервер 2 имеет файервол, который пропускает обращения от севера 1 на порт . Других возможностей конфигурировать этот сервер нет. Для отладки программ на других компьютерах необходимо обращаться с запросами с произвольных адресов на сервер 2. Требуется настроить сервер 1 так, чтобы он перенаправлял запросы на порт на сервер 2, подставляя свой адрес. Можно сделать это с помощью iptables (можно, насколь я понимаю) и как? Спасибо! Николай Прероутинг, НАТ "наоборот": -A PREROUTING -i eth3 -p tcp --dport 5090 -j DNAT --to-destination 10.0.0.34:5090 Все входящие на порт 5090 перенаправлять во внутреннюю сеть на ИП 10.0.0.34. Номер порта доставки можно менять, то есть приём с внешнего мира на порт 80, а внутри будет порт 21 - легко, хоть и извращённо. Не забыть разрешить пакетам ходить: -A FORWARD -s 10.0.0.34 -i eth1 -p tcp -j ACCEPT -A FORWARD -d 10.0.0.34 -o eth1 -p tcp -j ACCEPT -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4dd4c34e.5060...@mail.ru
Вопрос про iptables
Добрый день всем! Помогите, пожалуйста, настроить iptables. Имеются два сервера с фиксированными IP-адресами. Сервер 1: 77.77.77.77 Сервер 2: 88.88.88.88 Сервер 2 имеет файервол, который пропускает обращения от севера 1 на порт . Других возможностей конфигурировать этот сервер нет. Для отладки программ на других компьютерах необходимо обращаться с запросами с произвольных адресов на сервер 2. Требуется настроить сервер 1 так, чтобы он перенаправлял запросы на порт на сервер 2, подставляя свой адрес. Можно сделать это с помощью iptables (можно, насколь я понимаю) и как? Спасибо! Николай -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4dd4ba54.5030...@mail.ru
Re: Не получается удалить правило с IPset из цепочки IPTABLES
Решено! Надо было поставить пакет iptables из sid (версия 1.4.10-1) взамен тому что есть в squeeze (версия 1.4.8-3). Тогда ipset v6.0 на ядре 2.6.38-rc7 работает :) -- Best regards Rubik Andrey email: tirnota...@gmail.com GPGKey: 1024D / 2EA8E207 2010-03-01 7E60 4450 CD90 6E2D E949 6254 7FDC 5F5C 2EA8 E207 signature.asc Description: This is a digitally signed message part
Re: Не получается удалить правило с IPset из цепочки IPTABLES
В Вск, 13/03/2011 в 17:09 +0300, Stanislav Maslovski пишет: > On Sun, Mar 13, 2011 at 03:56:09PM +0300, Rubik Andrey wrote: > > В Вск, 13/03/2011 в 15:39 +0300, Alex Kuklin пишет: > > > Непонятно пока, я ipset не использовал. > > > А как выглядит правило, если посмотреть iptables-save? > > > Может, переформулировать его так, как оно хранится "унутре"? > > > > Не помогло :( > > > > # iptables-save > > # Generated by iptables-save v1.4.8 on Sun Mar 13 15:52:15 2011 > > *filter > > :INPUT ACCEPT [48083:31352536] > > :FORWARD ACCEPT [0:0] > > :OUTPUT ACCEPT [33361:4436871] > > -A INPUT -p tcp -m tcp --dport 80 -m set --match-set ddos src -j DROP > > COMMIT > > > > Попробовал его удалить: > > > > iptables -D INPUT -p tcp -m tcp --dport 80 -m set --match-set ddos src > > -j DROP > > iptables: Bad rule (does a matching rule exist in that chain?). > > Оно и по номеру не удаляется? > (iptables --line-numbers -L; iptables [-t ] -D ) > > -- > Stanislav > > По номеру удалить получается, спасибо :) Но дело в том, что эти правила могут меняться с течением времени (fail2ban). Вообщем-то, можно было бы написать скрипт, который, используя описанные Вами команды, парсит вывод для определения номера искомого правила, а потом и удаляет правило с этим номером. Однако я так и не понял, почему мой способ не работает... особенно тот факт что он частично не работает (ведь правила без ipset система удаляет). Кстати, если это важно: # uname -mr 2.6.38-rc7-ipset x86_64 # iptables -V iptables v1.4.8 # ipset -V ipset v6.0, protocol version: 6 -- Best regards Rubik Andrey email: tirnota...@gmail.com GPGKey: 1024D / 2EA8E207 2010-03-01 7E60 4450 CD90 6E2D E949 6254 7FDC 5F5C 2EA8 E207 signature.asc Description: This is a digitally signed message part
Re: Не получается удалить правило с IPset из цепочки IPTABLES
On Sun, Mar 13, 2011 at 03:56:09PM +0300, Rubik Andrey wrote: > В Вск, 13/03/2011 в 15:39 +0300, Alex Kuklin пишет: > > Непонятно пока, я ipset не использовал. > > А как выглядит правило, если посмотреть iptables-save? > > Может, переформулировать его так, как оно хранится "унутре"? > > Не помогло :( > > # iptables-save > # Generated by iptables-save v1.4.8 on Sun Mar 13 15:52:15 2011 > *filter > :INPUT ACCEPT [48083:31352536] > :FORWARD ACCEPT [0:0] > :OUTPUT ACCEPT [33361:4436871] > -A INPUT -p tcp -m tcp --dport 80 -m set --match-set ddos src -j DROP > COMMIT > > Попробовал его удалить: > > iptables -D INPUT -p tcp -m tcp --dport 80 -m set --match-set ddos src > -j DROP > iptables: Bad rule (does a matching rule exist in that chain?). Оно и по номеру не удаляется? (iptables --line-numbers -L; iptables [-t ] -D ) -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110313140955.GA28973@kaiba.homelan
Re: Не получается удалить правило с IPset из цепочки IPTABLES
В Вск, 13/03/2011 в 15:39 +0300, Alex Kuklin пишет: > Непонятно пока, я ipset не использовал. > А как выглядит правило, если посмотреть iptables-save? > Может, переформулировать его так, как оно хранится "унутре"? Не помогло :( # iptables-save # Generated by iptables-save v1.4.8 on Sun Mar 13 15:52:15 2011 *filter :INPUT ACCEPT [48083:31352536] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [33361:4436871] -A INPUT -p tcp -m tcp --dport 80 -m set --match-set ddos src -j DROP COMMIT Попробовал его удалить: iptables -D INPUT -p tcp -m tcp --dport 80 -m set --match-set ddos src -j DROP iptables: Bad rule (does a matching rule exist in that chain?). -- Best regards Rubik Andrey email: tirnota...@gmail.com GPGKey: 1024D / 2EA8E207 2010-03-01 7E60 4450 CD90 6E2D E949 6254 7FDC 5F5C 2EA8 E207 signature.asc Description: This is a digitally signed message part
Re: Не получается удалить правило с IPset из цепочки IPTABLES
On 13.03.2011 15:36, Rubik Andrey wrote: Создана таблица в ipset: ipset -N ddos iphash Есть правило в iptables: iptables -A INPUT -p tcp --dport 80 -m set --match-set ddos src -j DROP Не могу его удалить: iptables -D INPUT -p tcp --dport 80 -m set --match-set ddos src -j DROP iptables: Bad rule (does a matching rule exist in that chain?). Вариант iptables -F INPUT не подходит, т.к. мне нужно удалить только одно это правило. Если работать с правилами которые не содержат таблиц ipset, то всё работает: iptables -A INPUT -p tcp --dport 80 -j DROP iptables -D INPUT -p tcp --dport 80 -j DROP В чём я не прав? Непонятно пока, я ipset не использовал. А как выглядит правило, если посмотреть iptables-save? Может, переформулировать его так, как оно хранится "унутре"? -- Alex -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4d7cbb04.4040...@kuklin.ru
Не получается удалить правило с IPset из цепочки IPTABLES
Всем доброго дня! Создана таблица в ipset: ipset -N ddos iphash Есть правило в iptables: iptables -A INPUT -p tcp --dport 80 -m set --match-set ddos src -j DROP Не могу его удалить: iptables -D INPUT -p tcp --dport 80 -m set --match-set ddos src -j DROP iptables: Bad rule (does a matching rule exist in that chain?). Вариант iptables -F INPUT не подходит, т.к. мне нужно удалить только одно это правило. Если работать с правилами которые не содержат таблиц ipset, то всё работает: iptables -A INPUT -p tcp --dport 80 -j DROP iptables -D INPUT -p tcp --dport 80 -j DROP В чём я не прав? -- Best regards Rubik Andrey email: tirnota...@gmail.com GPGKey: 1024D / 2EA8E207 2010-03-01 7E60 4450 CD90 6E2D E949 6254 7FDC 5F5C 2EA8 E207 signature.asc Description: This is a digitally signed message part
Re: правильный debian-way для запуска iptables
использую Shorewall для работы с iptables особых проблем не наблюдаю, правдя для элеметарных правил создает кучу правил тут прочитал про еще одну надстройку, на дня попробую ее на своем домашнем роутере LLC Master-Byte Munko O. Bazarzhapov JabberID: v...@aginskoe.ru ICQ:169245258 mail: vec...@gmail.com 23 февраля 2011 г. 23:03 пользователь Roman Sokolov написал: > Hello, > > Max Kosmach wrote: >>> >>> Гугл говорит, что скрипт из init.d, который делал iptables-save давно >>> уже выпилили и надо смотреть на http://wiki.debian.org/Firewalls . >> >> Помимо уже озвученных способов есть еще >> iptables-persistent >> (http://packages.debian.org/search?keywords=iptables-persistent) > > Который делает всё тот же iptables-save/restore и даже в своём минимальном > init-скрипте имеет опечатку в сохранении правил ipv6. Зато действительно > минималистичен. > > -- > wbr, > Roman Sokolov > mailto:r...@cheater.ru > > > -- > To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact > listmas...@lists.debian.org > Archive: http://lists.debian.org/4d65139f.3000...@cheater.ru > >
Re: правильный debian-way для запуска iptables
Hello, Max Kosmach wrote: Гугл говорит, что скрипт из init.d, который делал iptables-save давно уже выпилили и надо смотреть на http://wiki.debian.org/Firewalls . Помимо уже озвученных способов есть еще iptables-persistent (http://packages.debian.org/search?keywords=iptables-persistent) Который делает всё тот же iptables-save/restore и даже в своём минимальном init-скрипте имеет опечатку в сохранении правил ipv6. Зато действительно минималистичен. -- wbr, Roman Sokolov mailto:r...@cheater.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4d65139f.3000...@cheater.ru
Re: правильный debian-way для запуска iptables
19.02.2011 12:59, Oleg Motienko пишет: Привет. Подскажите правильный debian-way для запуска iptables . Пользуюсь своим скриптом из rc.local , также пробовал firehol, но почему-то мне кажется, что это не true way. Гугл говорит, что скрипт из init.d, который делал iptables-save давно уже выпилили и надо смотреть на http://wiki.debian.org/Firewalls . Помимо уже озвученных способов есть еще iptables-persistent (http://packages.debian.org/search?keywords=iptables-persistent) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4d616e67.8000...@tcen.ru
Re: правильный debian-way для запуска iptables
> А какая паранойя-то мешает поднять правила после поднятия интерфейсов? > или время загрузки в 2-3 секунды достаточно для целенаправленной атаки > на несуществующие сервисы? На несуществующие недостаточно. А на те, которые за эти 2-3 секунды успеют стать существующими - вполне. -- Творить - не делать! (c)Элхэ Ниеннах -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87mxlqn58m.wl%...@ran.pp.ru
Re: правильный debian-way для запуска iptables
Sun, 20 Feb 2011 16:10:46 +0200 було написано Dmitry E. Oboukhov : то есть без знаний синтаксиса iptables никуда. а если мы его знаем то какой смысл в этом проекте? ладно бы еще постоянно приходилось решать очень сложные задачи (аналогия с ЯП, скажем Си vs Perl бы подошла), но с фаерволами объем задач обычно ограничен, а когда какие-то хитрые вещи приходится делать, то у ferm может не оказаться заготовки. стоит овчинка выделки? Решать тебе. Я не жалею потраченого на изучение времени. Пара человек, которые по моему совету потрогали ferm - тоже не жалеют. -- xmpp:ale...@boyko.km.ua
Re: правильный debian-way для запуска iptables
AB> Да, я регулярно проверию iptables-save и смотрю, не ~~ то есть без знаний синтаксиса iptables никуда. а если мы его знаем то какой смысл в этом проекте? ладно бы еще постоянно приходилось решать очень сложные задачи (аналогия с ЯП, скажем Си vs Perl бы подошла), но с фаерволами объем задач обычно ограничен, а когда какие-то хитрые вещи приходится делать, то у ferm может не оказаться заготовки. стоит овчинка выделки? -- ... mpd is off . ''`. Dmitry E. Oboukhov : :’ : email: un...@debian.org jabber://un...@uvw.ru `. `~’ GPGKey: 1024D / F8E26537 2006-11-21 `- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537 signature.asc Description: Digital signature
Re: правильный debian-way для запуска iptables
>>> Я в rc.local держу скрипт, который очищает таблицы и заливает >>> iptables-restore из файла. Файл в /etc/ и всё, ТруЪ >> Ну, с точностью до того, что в rc.local файрвол грузить уже поздновато... >> В> А какая паранойя-то мешает поднять правила после поднятия В> интерфейсов? или время загрузки в 2-3 секунды достаточно для В> целенаправленной атаки на несуществующие сервисы? если например ресурс DDOS'ят, то за 2-3 секунды интерфейс может нахватать уже много-много коннектов. другой вопрос будет ли поднят нужный демон на этом интерфейсе в эти две секунды :) -- ... mpd is off . ''`. Dmitry E. Oboukhov : :’ : email: un...@debian.org jabber://un...@uvw.ru `. `~’ GPGKey: 1024D / F8E26537 2006-11-21 `- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537 signature.asc Description: Digital signature
Re: правильный debian-way для запуска iptables
Sun, 20 Feb 2011 14:26:26 +0200 було написано Dmitry E. Oboukhov : AB> Разобраться нужно с обоими языками, чтобы пользоваться AB> ferm, но мы ведь не считаем, AB> что можно не изучать инструмент, которым собрались пользоваться? :) конечно все чем пользуешься надо изучить. и вот тут вопрос в том что проще изучить "сложный" А *и* сомнительно "упрощающий" В, или только "сложный" А. вот мне показалось что это именно тот случай :) А я проверил свои подозрения. Оказалось, что реально упрощающий, а не сомнительно. Да, я регулярно проверию iptables-save и смотрю, не накосялил ли где-то ferm - ещё ни разу не накосячил. -- xmpp:ale...@boyko.km.ua
Re: правильный debian-way для запуска iptables
Sun, 20 Feb 2011 14:23:23 +0200 було написано Artem Chuprina : А ты вот скажи, как опытный пользователь, знающий инструмент: ferm пользуется механизмом iptables-restore (т.е. заливает транзакционно, "всё или ничего") или загружает правила по одному? Аналогом iptables-apply (загружаем правила, ждем таймаут, если в течение таймаута нам не подтвердили, что могут залогиниться, откатываем загрузку обратно) ferm обладает? Или хотя бы умеет вместо этого сделать файл для iptables-restore, который можно потом пинать посредством iptables-apply? Уже ответили, но сам он не умеет откатывать правила. Может создать файл для iptables-restore, может последовательность вызовов iptables. может сам потом вызвать iptables/iptables-restore, а может и не вызывать. -- xmpp:ale...@boyko.km.ua
Re: правильный debian-way для запуска iptables
20.02.2011 16:20, Artem Chuprina пишет: Я в rc.local держу скрипт, который очищает таблицы и заливает iptables-restore из файла. Файл в /etc/ и всё, ТруЪ Ну, с точностью до того, что в rc.local файрвол грузить уже поздновато... А какая паранойя-то мешает поднять правила после поднятия интерфейсов? или время загрузки в 2-3 секунды достаточно для целенаправленной атаки на несуществующие сервисы? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4d611943.9020...@mail.ru
Re: правильный debian-way для запуска iptables
> Я в rc.local держу скрипт, который очищает таблицы и заливает > iptables-restore из файла. Файл в /etc/ и всё, ТруЪ Ну, с точностью до того, что в rc.local файрвол грузить уже поздновато... -- Нажатие на кнопку "Запомнить пароль" не поможет ВАМ запомнить пароль. -- http://bash.org.ru/quote/101483 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87oc66n8p0.wl%...@ran.pp.ru
Re: правильный debian-way для запуска iptables
20.02.2011 12:31, Alexey Boyko пишет: Sat, 19 Feb 2011 12:52:00 +0200 було написано Artem Chuprina : Подскажите правильный debian-way для запуска iptables . Пользуюсь своим скриптом из rc.local , также пробовал firehol, но почему-то мне кажется, что это не true way. Гугл говорит, что скрипт из init.d, который делал iptables-save давно уже выпилили и надо смотреть на http://wiki.debian.org/Firewalls . Я в rc.local держу скрипт, который очищает таблицы и заливает iptables-restore из файла. Файл в /etc/ и всё, ТруЪ -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4d61105d.8070...@mail.ru
Re: правильный debian-way для запуска iptables
Умеет и то и то. И даже может шелл скрипт сделать. Который воткнёт правила без самого ferm'а. -- sergio. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4d610ac0.1030...@sergio.spb.ru
Re: правильный debian-way для запуска iptables
AB>>> ps: в очередной раз порекоммендую ferm >> >> мне когда-то его порекомендовали, я его поразглядывал и понял, что с >> правилами iptables (при том что его синтаксис постоянно расширяется) >> разобраться-то попроще чем с цельным языком его конфига. или по >> меньшей мере одинаково >> :) AB> Разобраться нужно с обоими языками, чтобы пользоваться AB> ferm, но мы ведь не считаем, AB> что можно не изучать инструмент, которым собрались пользоваться? :) конечно все чем пользуешься надо изучить. и вот тут вопрос в том что проще изучить "сложный" А *и* сомнительно "упрощающий" В, или только "сложный" А. вот мне показалось что это именно тот случай :) -- ... mpd is off . ''`. Dmitry E. Oboukhov : :’ : email: un...@debian.org jabber://un...@uvw.ru `. `~’ GPGKey: 1024D / F8E26537 2006-11-21 `- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537 signature.asc Description: Digital signature
Re: правильный debian-way для запуска iptables
> > AB> ps: в очередной раз порекоммендую ferm > > > > мне когда-то его порекомендовали, я его поразглядывал и понял, что с > > правилами iptables (при том что его синтаксис постоянно расширяется) > > разобраться-то попроще чем с цельным языком его конфига. или по > > меньшей мере одинаково > > :) > > Разобраться нужно с обоими языками, чтобы пользоваться ferm, но мы ведь не > считаем, > что можно не изучать инструмент, которым собрались пользоваться? :) > > суть в том, что на ferm писать меньше и читать легче, чем с голым iptables. А ты вот скажи, как опытный пользователь, знающий инструмент: ferm пользуется механизмом iptables-restore (т.е. заливает транзакционно, "всё или ничего") или загружает правила по одному? Аналогом iptables-apply (загружаем правила, ждем таймаут, если в течение таймаута нам не подтвердили, что могут залогиниться, откатываем загрузку обратно) ferm обладает? Или хотя бы умеет вместо этого сделать файл для iptables-restore, который можно потом пинать посредством iptables-apply? Если он не умеет заливать транзакционно, то это не инструмент, а дизастер с ручками. -- Если ты не боишься синего экрана, то почему боишься черного? -- Д.Белявский -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87pqqmnbd0.wl%...@ran.pp.ru
Re: правильный debian-way для запуска iptables
Sun, 20 Feb 2011 12:42:23 +0200 було написано Dmitry E. Oboukhov : AB> ps: в очередной раз порекоммендую ferm мне когда-то его порекомендовали, я его поразглядывал и понял, что с правилами iptables (при том что его синтаксис постоянно расширяется) разобраться-то попроще чем с цельным языком его конфига. или по меньшей мере одинаково :) Разобраться нужно с обоими языками, чтобы пользоваться ferm, но мы ведь не считаем, что можно не изучать инструмент, которым собрались пользоваться? :) суть в том, что на ferm писать меньше и читать легче, чем с голым iptables. -- xmpp:ale...@boyko.km.ua
Re: правильный debian-way для запуска iptables
AB> ps: в очередной раз порекоммендую ferm мне когда-то его порекомендовали, я его поразглядывал и понял, что с правилами iptables (при том что его синтаксис постоянно расширяется) разобраться-то попроще чем с цельным языком его конфига. или по меньшей мере одинаково :) -- ... mpd is off . ''`. Dmitry E. Oboukhov : :’ : email: un...@debian.org jabber://un...@uvw.ru `. `~’ GPGKey: 1024D / F8E26537 2006-11-21 `- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537 signature.asc Description: Digital signature
Re: правильный debian-way для запуска iptables
> >> Подскажите правильный debian-way для запуска iptables . > >> > >> Пользуюсь своим скриптом из rc.local , также пробовал firehol, но > >> почему-то мне кажется, что это не true way. > >> > >> Гугл говорит, что скрипт из init.d, который делал iptables-save давно > >> уже выпилили и надо смотреть на http://wiki.debian.org/Firewalls . > > > > По идее правильный - это pre-up в /etc/network/interfaces. pre, потому > > что > > файрвол должен быть сконфигурирован до включения соответствующих > > интерфейсов. > > pre-up вызывается для каждого интерфейса. предлагаешь писать под каждый > интерфейс > свой набор правил или запускать их несколько раз? Я обычно пишу общий и дергаю его из pre-up для lo, который поднимается первым. Но если есть специфические правила, которые должны подниматься вместе с определенным интерфейсом и вместе с ним же убираться обратно (такое бывает), механизм interfaces позволяет это сделать. -- НИИ требуются: 1. Кто бы мог подумать. Кнышев. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/87r5b3m1xp.wl%...@ran.pp.ru
Re: правильный debian-way для запуска iptables
Sat, 19 Feb 2011 12:52:00 +0200 було написано Artem Chuprina : Подскажите правильный debian-way для запуска iptables . Пользуюсь своим скриптом из rc.local , также пробовал firehol, но почему-то мне кажется, что это не true way. Гугл говорит, что скрипт из init.d, который делал iptables-save давно уже выпилили и надо смотреть на http://wiki.debian.org/Firewalls . По идее правильный - это pre-up в /etc/network/interfaces. pre, потому что файрвол должен быть сконфигурирован до включения соответствующих интерфейсов. pre-up вызывается для каждого интерфейса. предлагаешь писать под каждый интерфейс свой набор правил или запускать их несколько раз? ps: в очередной раз порекоммендую ferm -- xmpp:ale...@boyko.km.ua
Re: правильный debian-way для запуска iptables
19 февраля 2011 г. 12:59 пользователь Oleg Motienko написал: > Привет. > > Подскажите правильный debian-way для запуска iptables . > > Пользуюсь своим скриптом из rc.local , также пробовал firehol, но > почему-то мне кажется, что это не true way. > > Гугл говорит, что скрипт из init.d, который делал iptables-save давно > уже выпилили и надо смотреть на http://wiki.debian.org/Firewalls . http://wiki.debian.org/iptables и чтоб поднимался из /etc/network/if-pre-up.d/iptables -- Boris
Re: правильный debian-way для запуска iptables
> Подскажите правильный debian-way для запуска iptables . > > Пользуюсь своим скриптом из rc.local , также пробовал firehol, но > почему-то мне кажется, что это не true way. > > Гугл говорит, что скрипт из init.d, который делал iptables-save давно > уже выпилили и надо смотреть на http://wiki.debian.org/Firewalls . По идее правильный - это pre-up в /etc/network/interfaces. pre, потому что файрвол должен быть сконфигурирован до включения соответствующих интерфейсов. -- А рафинированных эстетов на праздник жизни не приглашали. Ольга Брилева в -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/877hcwnvov.wl%...@ran.pp.ru
правильный debian-way для запуска iptables
Привет. Подскажите правильный debian-way для запуска iptables . Пользуюсь своим скриптом из rc.local , также пробовал firehol, но почему-то мне кажется, что это не true way. Гугл говорит, что скрипт из init.d, который делал iptables-save давно уже выпилили и надо смотреть на http://wiki.debian.org/Firewalls . -- Олег
Re: правило iptables
2010/8/26 Sohin Vyacheslaw : > Hi2all , > с помощью iptables можно составить правило, позволяющее доступ к одному из > портов, на котором висит didiwiki определенным ip-адресам в сети? Оно, по большей части, для того и предназначено. -- С уважением, Константин Матюхин
правило iptables
Hi2all , с помощью iptables можно составить правило, позволяющее доступ к одному из портов, на котором висит didiwiki определенным ip-адресам в сети? Best wishes, Сохин Вячеслав -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4c76240e.7040...@yandex.ua
Re: Настройки iptables для transmission
On 06.02.2010 18:14, Dmitry Marin wrote: > В Сбт, 06/02/2010 в 17:25 +0300, Yuriy Kaminskiy пишет: > >> PS ага, [записывает], чтобы узнать ip-адрес James Brown достаточно >> поглядеть кто >> на torrents.ru аннонсирует порт 58663 ;-) > > Ну вот кто за язык тянул!? Теперь человек будет мучаться, Пуф, когда человек понимает, какие нужно прилагать усилия для реализации разумной паранойи, желание паранойить заметно уменьшается ;-) > заворачивать траффик в tor :-)) Ну и при недостаточной продуманности, заворот в tor не поможет. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Настройки iptables для transmission
On 06.02.2010 18:05, James Brown wrote:
> Yuriy Kaminskiy wrote:
>>> ОС - Lenny AMD64
>>> Transmission 1.22 (6191) (пакеты transmission-gtk и transmission-common)
>> чисто для справки, 1.22 - древняя, как дерьмо мамонта, DHT - не умеет
>> (1.70+),
>> magnet - не умеет (1.80+); DHT сейчас вообще жизненно необходима, magnet -
>> полезна.
> Да я как бы вкурсе, что древняя, я уже некоторое время думаю, на что ее
> заменить.
> Как думаете, стоит ли поставить 1.77 с бэкпортс, или что еще выбрать?
я обычно делаю самосбор, без пакета, в stow; сейчас - на 1.83, до того -
пользовал 1.82 и 1.76 (и более ранние по мере выхода ;-))
но я вообще качаю мало, на тонком канале, и редкое, так что мой опыт несколько
ограничен и biased...
> Кто-то мне говорил, что какая то версия 1.80+ из убунтоидных
> репозиториев у него вроде неплохо работает.
текущая - 1.83; поскольку 1.8x недавно дошла до релиза, там ещё плюхи
допиливают; полагаю, 1.77 тоже можно использовать, magnet пока ещё не жизненно
необходим ;-)
> Пробовал ставить делюгу, мне очень понравился ее интерфейс,
я предпочёл без интерфейса - transmission-daemon, и к нему при желании поглядеть
на процентики пускаю transmission-remote-cli; гуй во время работы жрёт в среднем
несколько процентов cpu (3-5%), daemon - ~0.2-0.4%;
и (специально для параноиков) его можно пускать от отдельного юзверя ;-)
[{смотрит на ldd /path/to/transmission-daemon} а вот с chroot будет пожалуй
облом]
>> были дополнительные соображения - экономия памяти на очень дохлом
>> adsl-модеме/роутере).
>>
> А сколько портов ему (торрент-клиенту) вообще надо? Один? Или несколько?
Вообще, торрент может обходится и без открытых портов вовсе, но тогда он может
соединится с меньшим числом пиров; соответственно, с популярными торрентами оно
работает практически ничем не хуже, а с редкими и рассеянными - плохо; впрочем,
насколько работоспособна DHT без открытых портов - сильно не уверен.
У некоторых клиентов есть особые закидоны, но большинству (из тех, что я
пробовал - bitflu, rtorrent, transmission) нужен один входящий tcp порт для
обычной работы, и один порт входящий udp порт для работы через DHT [который
может/должен совпадать с tcp-портом] (соответственно, для transmission 1.22
достаточно только tcp порта, поскольку DHT он не умеет ;-))
Для исходящих соединений локальный порт не биндится (используется стандартным
образом выделяемый случайный порт из local_range), и в какой-либо специальной
обработке в iptables не нуждается (исходящие обычно разрешены, входящие -
попадают под ESTABLISHED).
> Т.е. я должен прописать проброс одного и того же (одних и тех же)
> порта(ов) на рутере, в iptables и в клиенте?
Насколько я понимаю, да. Какие коррективы в это вносит использование UPnP -
толком не разбирался за ненадобностью (пропускает он тот порт, что просили, или
выделяет из какого-то пула? как согласовывать его с локальным файрволом?...)
> А какого тогда вопрос? Если в клиенте прописан один порт, а
> пробрасывается другой?
Насколько я понимаю, клиент сообщает трекеру, какой у него открытый порт на
входящие соединения (аналогично и с DHT). Так что такое работать НЕ должно (во
всяком случае без [несуществующего в природе] modprobe nat_torrent).
> Я ведь делал так (правда из соображений безопасности, типа если кто
> поставит трояна, а я еще не замечу, чтобы этот троян не мог проброс
> портов сделать). И указывал порт, который указан в клиенте. И не
> открывался он!!!
> Или это чисто глюк древного трансмишна?
>> И у тебя порядок правил в файрволе неправильный.
>>
>> Одним из первых должно идти правило с ESTABLISHED,RELATED -j ACCEPT (потому
>> что
>> под него попадает подавляющее число пакетов);
>>
> А если "нечаянно" (точнее, из-за неправильного определения последующих
> настроек) установиться нежелательное соединение? Или от него я уже таким
> путем не спасусь?
Угу. Если совсем параноидально, то, наверно, можно разнести
--state ESTABLISHED -j ACCEPT
[дроп всего подозрительного что может иметь --state RELATED]
--state RELATED -j ACCEPT
[дроп оставшегося подозрительного]
[пропуск нужных входящих портов и так далее]
... но я в этом особого смысла не вижу
>> [...]
>>
> Премного благодарен за совет. Буду его курить.
> P.S. Где бы найти умное, подробное и в то же время доступное руководство
> по iptables?
> http://www.opennet.ru/docs/RUS/iptables/
я именно его и курил вдумчиво когда-то; потом - оригинал; и добавил соображения
здравого смысла (основная часть пакетов должна проходить как можно более
короткую и простую цепочку).
> http://www.xakep.ru/magazine/xs/058/066/1.asp - это конечно все хорошо,
> но на этих материалах, по-моему, нельзя научиться создавать сложные
> цепочки правил для iptables.
>>> Видимо, я как-то неправильно определяю порты, которые нужно
>>> откр
Re: Настройки iptables для transmission
Yuriy Kaminskiy wrote: > On 06.02.2010 09:55, James Brown wrote: > >> ОС - Lenny AMD64 >> Transmission 1.22 (6191) (пакеты transmission-gtk и transmission-common) >> > чисто для справки, 1.22 - древняя, как дерьмо мамонта, DHT - не умеет (1.70+), > magnet - не умеет (1.80+); DHT сейчас вообще жизненно необходима, magnet - > полезна. > Да я как бы вкурсе, что древняя, я уже некоторое время думаю, на что ее заменить. Как думаете, стоит ли поставить 1.77 с бэкпортс, или что еще выбрать? Кто-то мне говорил, что какая то версия 1.80+ из убунтоидных репозиториев у него вроде неплохо работает. Пробовал ставить делюгу, мне очень понравился ее интерфейс, но она похоже в дистре ленни еще более древняя, и совсем не хотела работать :) Поэтому я ее снес. На бэкпортс не нахожу более нового, видимо надо опять-таки или на убунтушных искать, или самому компилить? P.S. Последнее я еще ни разу, за почти год моего линуксоидства, не пробовал, но надо когда-то начинать видимо :-) >> iptables 1.4.2 >> >> Схема подлкючения: компьютер подключен к роутеру (nat), который >> подключен к WAP. >> На роутере включена переадресация портов. >> /Примечание-1: /когда я еще не настроил конфиг iptables, я пытался >> вручную настроить на роутере переадресацию портов на порт, указанный в >> настройках трансмишна, однако переадресация не включалась, порт на >> трансмишне оставлася закрытым. Соответственно, когда я включил на >> роутере UPnP, переадресация портов включилась, но почему-то шла на >> другие порты, нежели указанные в настройках трансмишна. >> > Во. А теперь, наверно, ты своим файрволом режешь UPnP. Ну и даже если бы и не, > transmission договаривался бы через UPnP об одних портах, а ты открываешь > другие. Я предпочёл вручную пробросить порты, и не включать UPnP (но тут у > меня > были дополнительные соображения - экономия памяти на очень дохлом > adsl-модеме/роутере). > А сколько портов ему (торрент-клиенту) вообще надо? Один? Или несколько? Т.е. я должен прописать проброс одного и того же (одних и тех же) порта(ов) на рутере, в iptables и в клиенте? А какого тогда вопрос? Если в клиенте прописан один порт, а пробрасывается другой? Я ведь делал так (правда из соображений безопасности, типа если кто поставит трояна, а я еще не замечу, чтобы этот троян не мог проброс портов сделать). И указывал порт, который указан в клиенте. И не открывался он!!! Или это чисто глюк древного трансмишна? > И у тебя порядок правил в файрволе неправильный. > > Одним из первых должно идти правило с ESTABLISHED,RELATED -j ACCEPT (потому > что > под него попадает подавляющее число пакетов); > А если "нечаянно" (точнее, из-за неправильного определения последующих настроек) установиться нежелательное соединение? Или от него я уже таким путем не спасусь? > потом отработка заведомо некорректных случаев (NEW !--syn, INVALID); > потом разрешение lo (можно наоборот); > потом открытие нужных портов; > потом запрет всех оставшихся, поначалу лучше с логгированием перед тем (и > вообще, для любого -j DROP - > iptables [...] -j LOG --log-prefix "почему> " > iptables [...] -j DROP; > потом, когда убедишься, что всё работает - можно особенно шумные -j LOG > убрать); > OUTPUT лучше вообще поначалу не трогать (и если трогать - то первым правилом > тоже поставить ESTABLISHED,RELATED -j ACCEPT) > [...] > Премного благодарен за совет. Буду его курить. P.S. Где бы найти умное, подробное и в то же время доступное руководство по iptables? http://www.opennet.ru/docs/RUS/iptables/ http://www.xakep.ru/magazine/xs/058/066/1.asp - это конечно все хорошо, но на этих материалах, по-моему, нельзя научиться создавать сложные цепочки правил для iptables. >> Видимо, я как-то неправильно определяю порты, которые нужно >> открывать в фаерволе? >> Каким образом определить их для торрент-клиента? >> > открывать нужно входящий tcp и udp; исходящие должны и так работать; > Пасибо. Но один порт? Или их д.б. несколько? С учетом вышеизложенного, я так и не понял. По-видимому, это глюк клиента, который надо менять на более новую версию. > PS ага, [записывает], чтобы узнать ip-адрес James Brown достаточно поглядеть > кто > на torrents.ru аннонсирует порт 58663 ;-) > > Дерзай! Только почему именно этот порт и именно torrents.ru? :-P Я ведь мог для рассылки специально указать другой и могу пользоваться другими трекерами, не? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Настройки iptables для transmission
В Сбт, 06/02/2010 в 17:25 +0300, Yuriy Kaminskiy пишет: > PS ага, [записывает], чтобы узнать ip-адрес James Brown достаточно > поглядеть кто > на torrents.ru аннонсирует порт 58663 ;-) Ну вот кто за язык тянул!? Теперь человек будет мучаться, заворачивать траффик в tor :-)) -- С уважением, Дмитрий Марин. cor...@corvax.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Настройки iptables для transmission
Yuriy Kaminskiy wrote: > On 06.02.2010 09:55, James Brown wrote: > >> ОС - Lenny AMD64 >> Transmission 1.22 (6191) (пакеты transmission-gtk и transmission-common) >> > чисто для справки, 1.22 - древняя, как дерьмо мамонта, DHT - не умеет (1.70+), > magnet - не умеет (1.80+); DHT сейчас вообще жизненно необходима, magnet - > полезна. > Да я как бы вкурсе, что древняя, я уже некоторое время думаю, на что ее заменить. Как думаете, стоит ли поставить 1.77 с бэкпортс, или что еще выбрать? Кто-то мне говорил, что какая то версия 1.80+ из убунтоидных репозиториев у него вроде неплохо работает. Пробовал ставить делюгу, мне очень понравился ее интерфейс, но она похоже в дистре ленни еще более древняя, и совсем не хотела работать :) Поэтому я ее снес. На бэкпортс не нахожу более нового, видимо надо опять-таки или на убунтушных искать, или самому компилить? P.S. Последнее я еще ни разу, за почти год моего линуксоидства, не пробовал, но надо когда-то начинать видимо :-) >> iptables 1.4.2 >> >> Схема подлкючения: компьютер подключен к роутеру (nat), который >> подключен к WAP. >> На роутере включена переадресация портов. >> /Примечание-1: /когда я еще не настроил конфиг iptables, я пытался >> вручную настроить на роутере переадресацию портов на порт, указанный в >> настройках трансмишна, однако переадресация не включалась, порт на >> трансмишне оставлася закрытым. Соответственно, когда я включил на >> роутере UPnP, переадресация портов включилась, но почему-то шла на >> другие порты, нежели указанные в настройках трансмишна. >> > Во. А теперь, наверно, ты своим файрволом режешь UPnP. Ну и даже если бы и не, > transmission договаривался бы через UPnP об одних портах, а ты открываешь > другие. Я предпочёл вручную пробросить порты, и не включать UPnP (но тут у > меня > были дополнительные соображения - экономия памяти на очень дохлом > adsl-модеме/роутере). > А сколько портов ему (торрент-клиенту) вообще надо? Один? Или несколько? Т.е. я должен прописать проброс одного и того же (одних и тех же) порта(ов) на рутере, в iptables и в клиенте? А какого тогда вопрос? Если в клиенте прописан один порт, а пробрасывается другой? Я ведь делал так (правда из соображений безопасности, типа если кто поставит трояна, а я еще не замечу, чтобы этот троян не мог проброс портов сделать). И указывал порт, который указан в клиенте. И не открывался он!!! Или это чисто глюк древного трансмишна? > И у тебя порядок правил в файрволе неправильный. > > Одним из первых должно идти правило с ESTABLISHED,RELATED -j ACCEPT (потому > что > под него попадает подавляющее число пакетов); > А если "нечаянно" (точнее, из-за неправильного определения последующих настроек) установиться нежелательное соединение? Или от него я уже таким путем не спасусь? > потом отработка заведомо некорректных случаев (NEW !--syn, INVALID); > потом разрешение lo (можно наоборот); > потом открытие нужных портов; > потом запрет всех оставшихся, поначалу лучше с логгированием перед тем (и > вообще, для любого -j DROP - > iptables [...] -j LOG --log-prefix "почему> " > iptables [...] -j DROP; > потом, когда убедишься, что всё работает - можно особенно шумные -j LOG > убрать); > OUTPUT лучше вообще поначалу не трогать (и если трогать - то первым правилом > тоже поставить ESTABLISHED,RELATED -j ACCEPT) > [...] > Премного благодарен за совет. Буду его курить. P.S. Где бы найти умное, подробное и в то же время доступное руководство по iptables? http://www.opennet.ru/docs/RUS/iptables/ http://www.xakep.ru/magazine/xs/058/066/1.asp - это конечно все хорошо, но на этих материалах, по-моему, нельзя научиться создавать сложные цепочки правил для iptables. >> Видимо, я как-то неправильно определяю порты, которые нужно >> открывать в фаерволе? >> Каким образом определить их для торрент-клиента? >> > открывать нужно входящий tcp и udp; исходящие должны и так работать; > Пасибо. Но один порт? Или их д.б. несколько? С учетом вышеизложенного, я так и не понял. По-видимому, это глюк клиента, который надо менять на более новую версию. > PS ага, [записывает], чтобы узнать ip-адрес James Brown достаточно поглядеть > кто > на torrents.ru аннонсирует порт 58663 ;-) > > Дерзай! Только почему именно этот порт и именно torrents.ru? :-P Я ведь мог для рассылки специально указать другой и могу пользоваться другими трекерами, не? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Настройки iptables для transmission
On 06.02.2010 09:55, James Brown wrote: > ОС - Lenny AMD64 > Transmission 1.22 (6191) (пакеты transmission-gtk и transmission-common) чисто для справки, 1.22 - древняя, как дерьмо мамонта, DHT - не умеет (1.70+), magnet - не умеет (1.80+); DHT сейчас вообще жизненно необходима, magnet - полезна. > iptables 1.4.2 > > Схема подлкючения: компьютер подключен к роутеру (nat), который > подключен к WAP. > На роутере включена переадресация портов. > /Примечание-1: /когда я еще не настроил конфиг iptables, я пытался > вручную настроить на роутере переадресацию портов на порт, указанный в > настройках трансмишна, однако переадресация не включалась, порт на > трансмишне оставлася закрытым. Соответственно, когда я включил на > роутере UPnP, переадресация портов включилась, но почему-то шла на > другие порты, нежели указанные в настройках трансмишна. Во. А теперь, наверно, ты своим файрволом режешь UPnP. Ну и даже если бы и не, transmission договаривался бы через UPnP об одних портах, а ты открываешь другие. Я предпочёл вручную пробросить порты, и не включать UPnP (но тут у меня были дополнительные соображения - экономия памяти на очень дохлом adsl-модеме/роутере). И у тебя порядок правил в файрволе неправильный. Одним из первых должно идти правило с ESTABLISHED,RELATED -j ACCEPT (потому что под него попадает подавляющее число пакетов); потом отработка заведомо некорректных случаев (NEW !--syn, INVALID); потом разрешение lo (можно наоборот); потом открытие нужных портов; потом запрет всех оставшихся, поначалу лучше с логгированием перед тем (и вообще, для любого -j DROP - iptables [...] -j LOG --log-prefix "почему> " iptables [...] -j DROP; потом, когда убедишься, что всё работает - можно особенно шумные -j LOG убрать); OUTPUT лучше вообще поначалу не трогать (и если трогать - то первым правилом тоже поставить ESTABLISHED,RELATED -j ACCEPT) [...] > Видимо, я как-то неправильно определяю порты, которые нужно > открывать в фаерволе? > Каким образом определить их для торрент-клиента? открывать нужно входящий tcp и udp; исходящие должны и так работать; PS ага, [записывает], чтобы узнать ip-адрес James Brown достаточно поглядеть кто на torrents.ru аннонсирует порт 58663 ;-) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Настройки iptables для tra nsmission
Dmitry Marin wrote: > В Сбт, 06/02/2010 в 06:55 +, James Brown пишет: > > >> Соответственно, открываю порт, указанный в настройках transmission: >> $iptables -A INPUT -i $INET_IFACE -p udp -m udp --dport 58663 -j ACCEPT >> $iptables -A OUTPUT -o $INET_IFACE -p udp -m udp --sport 58663 -j ACCEPT >> $iptables -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 58663 -j ACCEPT >> $iptables -A OUTPUT -o $INET_IFACE -p tcp -m tcp --sport 58663 -j ACCEPT >> > > Во первых нужная таблица -- FORWARD, во-вторых, раз уж руками залезли, > трансляцию в таблице nat сделайте. > > P.S.: upnpd на asus wl500gP, к примеру, прекрасно работает в связке с > transmission как lenny-версий, так и более нового из lenny-backports. > > Это (приведенные мною) настройки фаервола ноута, а не роутера. Настройки iptables на рутере я еще не курил, они у меня в дефолтном виде пока стоят (dd-wrt) и в таком виде торрент-клиент нормально работал до того, как я создал правила iptables на локальной машине, на которой установлен торент-клиент. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Настройки iptables для transmission
В Сбт, 06/02/2010 в 06:55 +, James Brown пишет: > > Соответственно, открываю порт, указанный в настройках transmission: > $iptables -A INPUT -i $INET_IFACE -p udp -m udp --dport 58663 -j ACCEPT > $iptables -A OUTPUT -o $INET_IFACE -p udp -m udp --sport 58663 -j ACCEPT > $iptables -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 58663 -j ACCEPT > $iptables -A OUTPUT -o $INET_IFACE -p tcp -m tcp --sport 58663 -j ACCEPT Во первых нужная таблица -- FORWARD, во-вторых, раз уж руками залезли, трансляцию в таблице nat сделайте. P.S.: upnpd на asus wl500gP, к примеру, прекрасно работает в связке с transmission как lenny-версий, так и более нового из lenny-backports. -- С уважением, Дмитрий Марин. cor...@corvax.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Настройки iptables для transm ission
ОС - Lenny AMD64 Transmission 1.22 (6191) (пакеты transmission-gtk и transmission-common) iptables 1.4.2 Схема подлкючения: компьютер подключен к роутеру (nat), который подключен к WAP. На роутере включена переадресация портов. /Примечание-1: /когда я еще не настроил конфиг iptables, я пытался вручную настроить на роутере переадресацию портов на порт, указанный в настройках трансмишна, однако переадресация не включалась, порт на трансмишне оставлася закрытым. Соответственно, когда я включил на роутере UPnP, переадресация портов включилась, но почему-то шла на другие порты, нежели указанные в настройках трансмишна. Установил такого рода правила iptables: $iptables -P INPUT DROP $iptables -P FORWARD DROP $iptables -P OUTPUT DROP $iptables -A INPUT -i lo -j ACCEPT $iptables -A INPUT -m state ! -i lo --state NEW -j DROP $iptables -A INPUT -s 127.0.0.1/255.0.0.0 ! -i lo -j DROP OUTPUT -o lo -j ACCEPT $iptables -A INPUT -m state --state INVALID -j DROP $iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP $iptables -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP $iptables -A INPUT -p UDP -s 0/0 --source-port 67 --destination-port 68 -j ACCEPT $iptables -A INPUT -p UDP -j RETURN $iptables -A OUTPUT -p UDP -s 0/0 -j ACCEPT Соответственно, открываю порт, указанный в настройках transmission: $iptables -A INPUT -i $INET_IFACE -p udp -m udp --dport 58663 -j ACCEPT $iptables -A OUTPUT -o $INET_IFACE -p udp -m udp --sport 58663 -j ACCEPT $iptables -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 58663 -j ACCEPT $iptables -A OUTPUT -o $INET_IFACE -p tcp -m tcp --sport 58663 -j ACCEPT После загрузки правил смотрю в трансмишне - порт закрыт. Ставлю последние правила в самый верх, сразу после $iptables -A INPUT -i lo -j ACCEPT - та же история. Видимо, я как-то неправильно определяю порты, которые нужно открывать в фаерволе? Каким образом определить их для торрент-клиента? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: загрузка iptables
On Tue, Dec 01, 2009 at 08:36:06PM +0300, George Shuklin wrote: > Где правильно хранить то, что грузят iptables-restore? > > > Если restore делается из pre-up/post-down, то, видимо, правила должны > храниться в чём-то вида /etc/network/iptables.eth0 и т.д.? У меня в /etc/network/. Но у меня довольно простая конфигурация. > Или есть более правильные места? Если правила каким-нибудь образом автогенерируются и/или автосохраняются, то более подходящее место где-нибудь в /var/ -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: загрузка iptables
,-[Tue, Dec 01, 2009 at 20:36 +0300, George Shuklin:] |Где правильно хранить то, что грузят iptables-restore? | | |Если restore делается из pre-up/post-down, то, видимо, правила должны храниться в чём-то вида /etc/network/iptables.eth0 и т.д.? | |Или есть более правильные места? часто кладут в if_up(down) в /etc/network ) -- __ mpd status: [playing] Muse - Ashamed ** * jabber: devil_ins...@jabber.ru * * Registered linux user #450844* ** -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
загрузка iptables
Где правильно хранить то, что грузят iptables-restore? Если restore делается из pre-up/post-down, то, видимо, правила должны храниться в чём-то вида /etc/network/iptables.eth0 и т.д.? Или есть более правильные места? -- wBR,George. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: iptables and tcpdump
Stanislav Maslovski wrote: >> Идет syn-flood до 20-100 тыс запросов в секунду. >> В syn-flood атаке явно выраженные пакеты, которые не похожи на валидные >> (отсутствие timestamp и так далее) >> Спасибо за правило, очень помогло, уже надропало пакетов на 10Gb > > Ясно. А какая нагрузка на проц при этом, интересно? > Правило стоит перед сервером, на роутере, там все по нулям. -- Only one 0_o -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: iptables and tcpdump
On Mon, Sep 28, 2009 at 07:29:06AM +, Sydoruk Yaroslav wrote: > Stanislav Maslovski wrote: > > On Sun, Sep 27, 2009 at 11:59:32PM +0400, Stanislav Maslovski wrote: > >> On Sun, Sep 27, 2009 at 02:32:14PM +, Sydoruk Yaroslav wrote: > >> > 3. нужно блокать такие syn пакет у которых например offset=0. > >> > >> --u32 "0 >> 22 & 0x3C @ 12 >> 12 = 0" > > > > На всякий случай уточняю: > > > > --protocol tcp --syn --match u32 --u32 "0 >> 22 & 0x3C @ 12 >> 12 = 0" > > > > Ну и хотелось бы узнать еще, зачем Ярославу это надо. > > > Идет syn-flood до 20-100 тыс запросов в секунду. > В syn-flood атаке явно выраженные пакеты, которые не похожи на валидные > (отсутствие timestamp и так далее) > Спасибо за правило, очень помогло, уже надропало пакетов на 10Gb Ясно. А какая нагрузка на проц при этом, интересно? -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: iptables and tcpdump
Stanislav Maslovski wrote: > On Sun, Sep 27, 2009 at 11:59:32PM +0400, Stanislav Maslovski wrote: >> On Sun, Sep 27, 2009 at 02:32:14PM +, Sydoruk Yaroslav wrote: >> > 3. нужно блокать такие syn пакет у которых например offset=0. >> >> --u32 "0 >> 22 & 0x3C @ 12 >> 12 = 0" > > На всякий случай уточняю: > > --protocol tcp --syn --match u32 --u32 "0 >> 22 & 0x3C @ 12 >> 12 = 0" > > Ну и хотелось бы узнать еще, зачем Ярославу это надо. > Идет syn-flood до 20-100 тыс запросов в секунду. В syn-flood атаке явно выраженные пакеты, которые не похожи на валидные (отсутствие timestamp и так далее) Спасибо за правило, очень помогло, уже надропало пакетов на 10Gb -- Only one 0_o -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: iptables and tcpdump
On Sun, Sep 27, 2009 at 11:59:32PM +0400, Stanislav Maslovski wrote: > On Sun, Sep 27, 2009 at 02:32:14PM +, Sydoruk Yaroslav wrote: > > 2. нужно блокать такие syn пакет у которых например wscale > >присудствует/отсутвует в пакете. > > --protocol tcp --syn [!] --tcp-option 10 Кстати, тут вкралась ошибка: Window Scale Option - это --tcp-option 3 (RFC 1323). -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: iptables and tcpdump
On Sun, Sep 27, 2009 at 11:59:32PM +0400, Stanislav Maslovski wrote: > On Sun, Sep 27, 2009 at 02:32:14PM +, Sydoruk Yaroslav wrote: > > 3. нужно блокать такие syn пакет у которых например offset=0. > > --u32 "0 >> 22 & 0x3C @ 12 >> 12 = 0" На всякий случай уточняю: --protocol tcp --syn --match u32 --u32 "0 >> 22 & 0x3C @ 12 >> 12 = 0" Ну и хотелось бы узнать еще, зачем Ярославу это надо. -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: iptables and tcpdump
On Sun, Sep 27, 2009 at 02:32:14PM +, Sydoruk Yaroslav wrote: > > Приветствую всех. > Вывод tcpdump: > > IP(tos 0x0, ttl 45, id 20494, offset 0, flags [DF], proto TCP (6), length 60) > x.60060 > x.80: S, cksum 0x5c93 (correct), 1974571823:1974571823(0) win 5840 > > 0x: 00e0 815e 7b56 0017 e077 cecb 0800 4500 > 0x0010: 003c 500e 4000 2d06 f832 515a 1203 59b8 > 0x0020: 4866 ea9c 0050 75b1 932f a002 > 0x0030: 16d0 5c93 0204 05b4 0402 080a 1543 > 0x0040: c610 0103 0307 > IP(tos 0x0, ttl 45, id 57064, offset 0, flags [DF], proto TCP (6), length 60) > x.45831 > x.80: S, cksum 0x08e1 (correct), 1986207173:1986207173(0) win 5840 > > 0x: 00e0 815e 7b56 0017 e077 cecb 0800 4500 > 0x0010: 003c dee8 4000 2d06 6958 515a 1203 59b8 > 0x0020: 4866 b307 0050 7663 1dc5 a002 > 0x0030: 16d0 08e1 0204 05b4 0402 080a 1543 > 0x0040: c610 0103 0307 > > 1. нужно блокать такие syn пакет у которых например timestamp >присудствует/отсутвует в пакете. --protocol tcp --syn [!] --tcp-option 8 > 2. нужно блокать такие syn пакет у которых например wscale >присудствует/отсутвует в пакете. --protocol tcp --syn [!] --tcp-option 10 > 3. нужно блокать такие syn пакет у которых например offset=0. --u32 "0 >> 22 & 0x3C @ 12 >> 12 = 0" (не проверялось) PS: По-русски правильно писать: "пакеты", "блокировать", "присутствует". -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
iptables and tcpdump
Приветствую всех. Вывод tcpdump: IP(tos 0x0, ttl 45, id 20494, offset 0, flags [DF], proto TCP (6), length 60) x.60060 > x.80: S, cksum 0x5c93 (correct), 1974571823:1974571823(0) win 5840 0x: 00e0 815e 7b56 0017 e077 cecb 0800 4500 0x0010: 003c 500e 4000 2d06 f832 515a 1203 59b8 0x0020: 4866 ea9c 0050 75b1 932f a002 0x0030: 16d0 5c93 0204 05b4 0402 080a 1543 0x0040: c610 0103 0307 IP(tos 0x0, ttl 45, id 57064, offset 0, flags [DF], proto TCP (6), length 60) x.45831 > x.80: S, cksum 0x08e1 (correct), 1986207173:1986207173(0) win 5840 0x: 00e0 815e 7b56 0017 e077 cecb 0800 4500 0x0010: 003c dee8 4000 2d06 6958 515a 1203 59b8 0x0020: 4866 b307 0050 7663 1dc5 a002 0x0030: 16d0 08e1 0204 05b4 0402 080a 1543 0x0040: c610 0103 0307 1. нужно блокать такие syn пакет у которых например timestamp присудствует/отсутвует в пакете. 2. нужно блокать такие syn пакет у которых например wscale присудствует/отсутвует в пакете. 3. нужно блокать такие syn пакет у которых например offset=0. -- Only one 0_o -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Iptables. Изменение поля ToS во входящих пакетах
Alexander Tiurin -> debian-russian@lists.debian.org @ Tue, 15 Sep 2009 10:52:22 +0400: >> В man iptables на предмет осознания того, что цепочка INPUT - это для >> пакетов, _адресованных нам_. В ней ToS менять тождественно >> бессмысленно, поскольку эти пакеты дальше уже не пойдут. AT> Эта штука осознана. Но. AT> Допустим, есть на роутере 2 сервиса, висят на 192.168.5.1:3128 и AT> 192.168.5.1:10128. И весь трафик с локальных хостов на эти сервисы AT> приходит с дефолтным tos. И хочется, что бы входящий трафик для AT> 192.168.5.1:3128 обрабатывался с особым приоритетом. Получается, AT> нельзя такого добиться? Не понимаю, из -за чего? Из-за того, что к тому моменту, как дело дошло до iptables, входящий трафик, собственно, уже обработан. Дальше он уже будет передан в сокет приложению. Каждый в свой. Если это одно и то же приложение, то вопрос о приоритете разгребания трафика в разных сокетах - уже к нему. Система ему расскажет только "в этих и вон тех сокетах есть данные". ToS'ом же можно играться только на ответы - на _исходящие_ пакеты. -- Save the environment. Create a closure today. -- Cormac Flanagan -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Iptables. Изменение поля ToS во входящих пакетах
14 сентября 2009 г. 23:54 пользователь Artem Chuprina написал: > > В man iptables на предмет осознания того, что цепочка INPUT - это для > пакетов, _адресованных нам_. В ней ToS менять тождественно > бессмысленно, поскольку эти пакеты дальше уже не пойдут. > Эта штука осознана. Но. Допустим, есть на роутере 2 сервиса, висят на 192.168.5.1:3128 и 192.168.5.1:10128. И весь трафик с локальных хостов на эти сервисы приходит с дефолтным tos. И хочется, что бы входящий трафик для 192.168.5.1:3128 обрабатывался с особым приоритетом. Получается, нельзя такого добиться? Не понимаю, из -за чего?
Re: Iptables. Изменение поля ToS во входящих пакетах
Alexander Tiurin -> debian-russian@lists.debian.org @ Mon, 14 Sep 2009 22:27:16 +0400: AT> На роутере инретфейс eth1 192.168.5.1/24 AT> Локальный хост 192.168.5.2 AT> На роутере для примера, пытаюсь изменить поле TOS на входящих от всех AT> возможных локальных хостов AT> iptables -t mangle -A INPUT -i eth1 -p tcp -j TOS --set-tos 0x10 AT> В целом по mangle имею AT> Chain PREROUTING (policy ACCEPT) AT> target prot opt source destination AT> Chain INPUT (policy ACCEPT) AT> target prot opt source destination AT> TOStcp -- anywhere anywhereTOS set 0x10/0xff AT> Chain FORWARD (policy ACCEPT) AT> target prot opt source destination AT> Chain OUTPUT (policy ACCEPT) AT> target prot opt source destination AT> Chain POSTROUTING (policy ACCEPT) AT> target prot opt source destination AT> TOStcp -- anywhere anywheretcp AT> dpt:www TOS set 0x10/0xff AT> Но на eth1 вижу, что tos не поменялся? AT> #tcpdump -tvvvni eth1 | grep -v "5.1.22" AT> IP (tos 0x0, ttl 32, id 58543, offset 0, flags [DF], proto TCP (6), AT> length 52) 192.168.5.2.38573 > 192.168.5.1.3128: F, cksum 0xdf37 AT> (correct), 3606:3606(0) ack 22729 win 899 > AT> Куда копать? Может кто подскажет? В man iptables на предмет осознания того, что цепочка INPUT - это для пакетов, _адресованных нам_. В ней ToS менять тождественно бессмысленно, поскольку эти пакеты дальше уже не пойдут. -- Если ничто уже не помогает, прочтите же, наконец, инструкцию! -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Iptables. Изменение поля ToS во вх одящих пакетах
На роутере инретфейс eth1 192.168.5.1/24 Локальный хост 192.168.5.2 На роутере для примера, пытаюсь изменить поле TOS на входящих от всех возможных локальных хостов iptables -t mangle -A INPUT -i eth1 -p tcp -j TOS --set-tos 0x10 В целом по mangle имею Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain INPUT (policy ACCEPT) target prot opt source destination TOStcp -- anywhere anywhereTOS set 0x10/0xff Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination TOStcp -- anywhere anywheretcp dpt:www TOS set 0x10/0xff Но на eth1 вижу, что tos не поменялся? #tcpdump -tvvvni eth1 | grep -v "5.1.22" IP (tos 0x0, ttl 32, id 58543, offset 0, flags [DF], proto TCP (6), length 52) 192.168.5.2.38573 > 192.168.5.1.3128: F, cksum 0xdf37 (correct), 3606:3606(0) ack 22729 win 899 Куда копать? Может кто подскажет?
Re: проброс порто в iptables
On Fri, Aug 21, 2009 at 08:02:35PM +0400, Alexandr Sagadeev wrote: > Stanislav Maslovski пишет: >> On Fri, Aug 21, 2009 at 06:57:07PM +0400, Alexandr Sagadeev wrote: >> >> Ух какая забавная зубодробилка. C iptables-save и iptables-restore >> выйдет гораздо проще и удобнее в том плане, что изменения можно >> вносить на лету и по готовности из сохранять. >> >> Но твой вариант самодокументируемый, это его единственный плюс. >> > Статическая часть (eth0) реализована с iptables-save и iptables-restore. > > Тут кусок скрипта inet.net.rule, запускаемого при поднятии ppp. Аргументация принимается ;) Видимо, я уже реагирую в критическом стиле по инерции. Рассылки - зло! -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: проброс портов iptables
Stanislav Maslovski пишет: On Fri, Aug 21, 2009 at 06:57:07PM +0400, Alexandr Sagadeev wrote: Ух какая забавная зубодробилка. C iptables-save и iptables-restore выйдет гораздо проще и удобнее в том плане, что изменения можно вносить на лету и по готовности из сохранять. Но твой вариант самодокументируемый, это его единственный плюс. Статическая часть (eth0) реализована с iptables-save и iptables-restore. Тут кусок скрипта inet.net.rule, запускаемого при поднятии ppp. Там есть ещё inet.ip.route inet.tc.rule, плюс ещё три inet.[net|ip].[rule|route].del, запускаемых при опускании интерфейса. Всё это помогает держать всё хозяйство в актуальном состоянии. При этом динамически поднимается eth1 по dhcp со своим роутингом и iptables, через который и поднимается ppp. Да, ещё в этих скриптах и load-balancing на два провайдера, а также dmz через dynamic ip. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: проброс порто в iptables
On Fri, Aug 21, 2009 at 06:57:07PM +0400, Alexandr Sagadeev wrote: > У меня всё работает. INET_IFACE, в Вашем случае, eth1. > > Сделано так: > > echo "Пробрасываем порты p2p на srv" > bittorrent="-p tcp --dport 6882" > eDonkey_tcp="-p tcp --dport 12827" > eDonkey_udp="-p udp --dport 12831" > kdemlia_tcp="-p tcp --dport 20914" > kdemlia_udp="-p udp --dport 20914" > Overnet_tcp="-p tcp --dport 12593" > Overnet_udp="-p udp --dport 12593" > gnutella_tcp="-p tcp --dport 6346:6347" > gnutella_udp="-p udp --dport 6346:6347" > > for p in "$bittorrent" "$eDonkey_tcp" "$eDonkey_udp" "$kdemlia_tcp" \ > "$kdemlia_udp" "$Overnet_tcp" "$Overnet_udp" "$gnutella_tcp" \ > "$gnutella_udp" > do > $IPTABLES -I FORWARD -i $INET_IFACE $p -j ACCEPT > $IPTABLES -t nat -A PREROUTING -i $INET_IFACE $p \ > -j DNAT --to-destination 192.168.1.248 > done Ух какая забавная зубодробилка. C iptables-save и iptables-restore выйдет гораздо проще и удобнее в том плане, что изменения можно вносить на лету и по готовности из сохранять. Но твой вариант самодокументируемый, это его единственный плюс. -- Stanislav -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re[2]: проброс портов iptables
помогло написание в цепочках *filter -A FORWARD -p tcp -m state --state NEW -d 10.192.22.1 --dport 4089 -j ACCEPT -A FORWARD -p udp -m state --state NEW -d 10.192.22.1 --dport 1300 -j ACCEPT *nat -A PREROUTING -p tcp --dport 4089 -d 10.3.6.246 -j DNAT --to-destination 10.192.22.1 -A PREROUTING -p udp --dport 1300 -d 10.3.6.246 -j DNAT --to-destination 10.192.22.1 и все заработало всем спасибо за помощь! -Original Message- From: Nick To: Debian Russian Mailing List Date: Fri, 21 Aug 2009 15:55:12 +0300 Subject: Re: проброс портов iptables > > > > -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT > > -A FORWARD -m state --state NEW -i eth0 -s 10.192.22.0/27 -j ACCEPT > > COMMIT > > Может добавить > -A FORWARD -p tcp -m state --state NEW -i eth1 -m tcp --dport 4089 -j ACCEPT > -A FORWARD -p udp -m state --state NEW -i eth1 -m udp --dport 1300 -j > ACCEPT > > > > > *nat > > -A POSTROUTING -o eth1 -j MASQUERADE > > COMMIT > > > > все отлично работает, моя сеть 10.192.22.0/27 имеет доступ, но нужно > > сделать проброс портов для ДЦ(tcp:4089, udp:1300) > > подскажите как это правильно сделать, пробывал > > > > -A PREROUTING -p tcp -m tcp -i eth1 --dport 4089 -j DNAT --to-destination > > 10.192.22.1:4089 > > -A PREROUTING -p udp -m udp -i eth1 --dport 1300 -j DNAT --to-destination > > 10.192.22.1:1300 > > > > не вижу нужного результата > -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: проброс портов iptables
Nick пишет: -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT -A FORWARD -m state --state NEW -i eth0 -s 10.192.22.0/27 -j ACCEPT COMMIT Может добавить -A FORWARD -p tcp -m state --state NEW -i eth1 -m tcp --dport 4089 -j ACCEPT -A FORWARD -p udp -m state --state NEW -i eth1 -m udp --dport 1300 -j ACCEPT *nat -A POSTROUTING -o eth1 -j MASQUERADE COMMIT все отлично работает, моя сеть 10.192.22.0/27 имеет доступ, но нужно сделать проброс портов для ДЦ(tcp:4089, udp:1300) подскажите как это правильно сделать, пробывал -A PREROUTING -p tcp -m tcp -i eth1 --dport 4089 -j DNAT --to-destination 10.192.22.1:4089 -A PREROUTING -p udp -m udp -i eth1 --dport 1300 -j DNAT --to-destination 10.192.22.1:1300 не вижу нужного результата У меня всё работает. INET_IFACE, в Вашем случае, eth1. Сделано так: echo "Пробрасываем порты p2p на srv" bittorrent="-p tcp --dport 6882" eDonkey_tcp="-p tcp --dport 12827" eDonkey_udp="-p udp --dport 12831" kdemlia_tcp="-p tcp --dport 20914" kdemlia_udp="-p udp --dport 20914" Overnet_tcp="-p tcp --dport 12593" Overnet_udp="-p udp --dport 12593" gnutella_tcp="-p tcp --dport 6346:6347" gnutella_udp="-p udp --dport 6346:6347" for p in "$bittorrent" "$eDonkey_tcp" "$eDonkey_udp" "$kdemlia_tcp" \ "$kdemlia_udp" "$Overnet_tcp" "$Overnet_udp" "$gnutella_tcp" \ "$gnutella_udp" do $IPTABLES -I FORWARD -i $INET_IFACE $p -j ACCEPT $IPTABLES -t nat -A PREROUTING -i $INET_IFACE $p \ -j DNAT --to-destination 192.168.1.248 done echo "Пробрасываем порты на dmz" www_tcp="-p tcp --dport 80" smtp_tcp="-p tcp --dport 25" for p in "$smtp_tcp" "$www_tcp". do $IPTABLES -I FORWARD -i $INET_IFACE $p -j ACCEPT $IPTABLES -t nat -A PREROUTING -i $INET_IFACE $p \ -j DNAT --to-destination 192.168.1.100 done -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: проброс портов iptables
> > -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT > -A FORWARD -m state --state NEW -i eth0 -s 10.192.22.0/27 -j ACCEPT > COMMIT Может добавить -A FORWARD -p tcp -m state --state NEW -i eth1 -m tcp --dport 4089 -j ACCEPT -A FORWARD -p udp -m state --state NEW -i eth1 -m udp --dport 1300 -j ACCEPT > > *nat > -A POSTROUTING -o eth1 -j MASQUERADE > COMMIT > > все отлично работает, моя сеть 10.192.22.0/27 имеет доступ, но нужно сделать > проброс портов для ДЦ(tcp:4089, udp:1300) > подскажите как это правильно сделать, пробывал > > -A PREROUTING -p tcp -m tcp -i eth1 --dport 4089 -j DNAT --to-destination > 10.192.22.1:4089 > -A PREROUTING -p udp -m udp -i eth1 --dport 1300 -j DNAT --to-destination > 10.192.22.1:1300 > > не вижу нужного результата
Re: проброс портов iptables
fixec пишет: > -Original Message- > From: Andrey Tataranovich > To: debian-russian@lists.debian.org > Date: Fri, 21 Aug 2009 13:18:31 +0300 > Subject: Re: проброс портов iptables > > >> 12:15 Fri 21 Aug, fixec wrote: >> >>> имею сервер с несколькими интерфейсами, который пускает в сеть через нат >>> т.е. в файле /etc/iptables.rules написано >>> >> [skipped] >> >>> *nat >>> -A POSTROUTING -o eth1 -j MASQUERADE >>> COMMIT >>> >>> все отлично работает, моя сеть 10.192.22.0/27 имеет доступ, но нужно >>> сделать проброс портов для ДЦ(tcp:4089, udp:1300) >>> подскажите как это правильно сделать, пробывал >>> >>> -A PREROUTING -p tcp -m tcp -i eth1 --dport 4089 -j DNAT --to-destination >>> 10.192.22.1:4089 >>> -A PREROUTING -p udp -m udp -i eth1 --dport 1300 -j DNAT --to-destination >>> 10.192.22.1:1300 >>> >>> не вижу нужного результата >>> >> Не видно куда ты это писал... надеюсь после *nat. И в чем выражается твое >> "не вижу"? >> tcpdump на машинке 10.192.22.1 молчит? >> > > да, конечно как вы выразились написал после *nat > 10.192.22.1 это машина на винде > "не вижу" это значит никто не может с меня качать в ДЦ, так же и я не могу > качать((( > > > >> -- >> To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org >> with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org >> >> > > > а что говорит tcpdump на сервере, на интерфейсе, куда внутренняя сеть подключена? видно пакеты к 10.192.22.1? -- Yuriy Shulika -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
