RE: Iptables и порты

2004-01-22 Пенетрантность Олег Литвинов 
   http://www.opennet.ru/docs/RUS/iptables/
 
  ОЛ Это я читал.
  ОЛ Объясню все с начала.
  ...

 Я сильно подозреваю, что в данном случае после не 
 обязательно означает вследствие.  Проверь железо или другие 
 драйвера.  iptables пока работало...

Вот именно джело было в железе - сетевуха глюкнутая ...
Появился еще небольшой вопрос -- 
При первой загрузке (iptables и модулей conntrack) появляется следующее
ip_tables: (C) 2000-2002 Netfilter core team
device eth0 entered promiscuous mode
eth1: Setting promiscuous mode.
device eth1 entered promiscuous mode
ip_conntrack version 2.1 (1913 buckets, 15304 max) - 292 bytes per
conntrack
ASSERT ip_conntrack_core.c:626 ip_conntrack_lock not readlocked

Что бы значила эта последняя строка (зы при этом все нормально
работает)

Олег

Re: Iptables и порты

2004-01-21 Пенетрантность Artem Chuprina 
Олег Литвинов - debian-russian@lists.debian.org  @ Mon, 19 Jan 2004 12:44:25 
+0200:

  http://www.opennet.ru/docs/RUS/iptables/

 ОЛ Это я читал.
 ОЛ Объясню все с начала.

 ОЛ Для начала я все открыл:
 ОЛ $IPTABLES -A FORWARD -s $LAN_IP_RANGE_1 -j ACCEPT
 ОЛ $IPTABLES -t nat -A POSTROUTING -s $LAN_IP_RANGE_1 -j SNAT --to-source
 ОЛ $INET_IP_1

 ОЛ Все работало ОК и без глюкоов.
 ОЛ Дальше начал пробовать кое-что закрывать / открывать, следующим
 ОЛ способом: 

 ОЛ $IPTABLES -A FORWARD -p tcp -m multiport --dport $ACCESS_PORT -s
 ОЛ 192.168.0.2 -j ACCEPT
 ОЛ $IPTABLES -t nat -A POSTROUTING -s 192.168.0.2 -j SNAT --to-source
 ОЛ $INET_IP_1

 ОЛ Линуха, после этого, с некоторой периодичностью начала просто виснуть
 ОЛ Сообщения каждый раз разные следующего типа:
 ОЛUnable to handle Kernel NULL pointer dereference at virtual
 ОЛ address 0018
 ОЛPrinting eip: cf8e4836
 ОЛ всякие циферы 
 ОЛ0 Kernel panic: Aiee, killing interrupt handler
 ОЛIn interrupt handler - not syncing

 ОЛ ГДЕ ЧЕГО КОПАТЬ ПОСОВЕТУЕТЕ?

Я сильно подозреваю, что в данном случае после не обязательно означает
вследствие.  Проверь железо или другие драйвера.  iptables пока работало...

-- 
Artem Chuprina
RFC2822: [EMAIL PROTECTED], FIDO: 2:5020/122.256, ICQ: 13038757

RE: Iptables и порты

2004-01-19 Пенетрантность Олег Литвинов 
 http://www.opennet.ru/docs/RUS/iptables/

Это я читал.
Объясню все с начала.

Для начала я все открыл:
$IPTABLES -A FORWARD -s $LAN_IP_RANGE_1 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $LAN_IP_RANGE_1 -j SNAT --to-source
$INET_IP_1

Все работало ОК и без глюкоов.
Дальше начал пробовать кое-что закрывать / открывать, следующим
способом: 

$IPTABLES -A FORWARD -p tcp -m multiport --dport $ACCESS_PORT -s
192.168.0.2 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.2 -j SNAT --to-source
$INET_IP_1

Линуха, после этого, с некоторой периодичностью начала просто виснуть
Сообщения каждый раз разные следующего типа:
Unable to handle Kernel NULL pointer dereference at virtual
address 0018
Printing eip: cf8e4836
 всякие циферы 
0 Kernel panic: Aiee, killing interrupt handler
In interrupt handler - not syncing

ГДЕ ЧЕГО КОПАТЬ ПОСОВЕТУЕТЕ?

Linux - DEBIAN, ядро 2.2.20, iptables v1.2.6a

Олег.

RE: Iptables и порты

2004-01-19 Пенетрантность Олег Литвинов 
  Linux - DEBIAN, ядро 2.2.20, iptables v1.2.6a
 А разве ядро 2.2 работает с iptables?

Сорри - 2.4.22

Re[2]: Iptables и порты

2004-01-19 Пенетрантность Maxim Krentovskiy 
Здравствуйте.

Вы писали 19 января 2004 г., 13:44:25:

 http://www.opennet.ru/docs/RUS/iptables/

ОЛ Это я читал.
ОЛ Объясню все с начала.

ОЛ Для начала я все открыл:
ОЛ $IPTABLES -A FORWARD -s $LAN_IP_RANGE_1 -j ACCEPT
ОЛ $IPTABLES -t nat -A POSTROUTING -s $LAN_IP_RANGE_1 -j SNAT --to-source
ОЛ $INET_IP_1

ОЛ Все работало ОК и без глюкоов.
ОЛ Дальше начал пробовать кое-что закрывать / открывать, следующим
ОЛ способом: 

ОЛ $IPTABLES -A FORWARD -p tcp -m multiport --dport $ACCESS_PORT -s
ОЛ 192.168.0.2 -j ACCEPT
ОЛ $IPTABLES -t nat -A POSTROUTING -s 192.168.0.2 -j SNAT --to-source
ОЛ $INET_IP_1

ОЛ Линуха, после этого, с некоторой периодичностью начала просто виснуть
ОЛ Сообщения каждый раз разные следующего типа:
ОЛ Unable to handle Kernel NULL pointer dereference at virtual
ОЛ address 0018
ОЛ Printing eip: cf8e4836
ОЛ  всякие циферы 
ОЛ 0 Kernel panic: Aiee, killing interrupt handler
ОЛ In interrupt handler - not syncing

ОЛ ГДЕ ЧЕГО КОПАТЬ ПОСОВЕТУЕТЕ?

Железку проверь. Есть подозрение, что аппаратные проблемы. Какие - не
скажу, но процессор и память посмотреть стоит.

-- 
С уважением,
Максим Крентовский

RE: Iptables и порты

2004-01-19 Пенетрантность Sergey 
В Пнд, 19.01.2004, в 15:44, Олег Литвинов пишет:
  http://www.opennet.ru/docs/RUS/iptables/
 
 Это я читал.
 Объясню все с начала.
 
 Для начала я все открыл:
 $IPTABLES -A FORWARD -s $LAN_IP_RANGE_1 -j ACCEPT
 $IPTABLES -t nat -A POSTROUTING -s $LAN_IP_RANGE_1 -j SNAT --to-source
 $INET_IP_1
 
 Все работало ОК и без глюкоов.
 Дальше начал пробовать кое-что закрывать / открывать, следующим
 способом: 
 
 $IPTABLES -A FORWARD -p tcp -m multiport --dport $ACCESS_PORT -s
 192.168.0.2 -j ACCEPT
 $IPTABLES -t nat -A POSTROUTING -s 192.168.0.2 -j SNAT --to-source
 $INET_IP_1
может после POSTROUTING-а 92.168.0.2 нужно 
$IPTABLES -A FORWARD -p tcp -m multiport --dport $ACCESS_PORT -s
$INET_IP_1 -j ACCEPT?
 
 Линуха, после этого, с некоторой периодичностью начала просто виснуть
 Сообщения каждый раз разные следующего типа:
   Unable to handle Kernel NULL pointer dereference at virtual
 address 0018
   Printing eip: cf8e4836
    всякие циферы 
   0 Kernel panic: Aiee, killing interrupt handler
   In interrupt handler - not syncing
 
 ГДЕ ЧЕГО КОПАТЬ ПОСОВЕТУЕТЕ?
 
 Linux - DEBIAN, ядро 2.2.20, iptables v1.2.6a
 
 Олег.
 ЪТХPт■ ▒ Ъzf╒√зy╦ ÷ЗН╡х ÷Зч╙Г╛╥Ыb╡шЪuФБjХ╝
 ╤╛╧╦чrзЧИЛ╧╩╝чЪТК╒ФЕ{П╗·ж°╤X╛╤f╛╣ЙЪ√+-ЁВ^n╖Ч┼Ю

Iptables и порты

2004-01-18 Пенетрантность Олег Литвинов 
Каким образом (каким правилом) правильно закрыть с помошью iptables
(поднят нат) порты из внутреней сети?

Олег.

Re: Iptables и порты

2004-01-18 Пенетрантность Denis A. Egorov 
Здравствуйте, Олег Литвинов!

http://www.opennet.ru/docs/RUS/iptables/

On Sun, Jan 18, 2004 at 11:55:08AM +0200, you wrote:

- Каким образом (каким правилом) правильно закрыть с помошью iptables
- (поднят нат) порты из внутреней сети?
- 

-- 
Denis A. Egorov

Re: Iptables и порты

2004-01-18 Пенетрантность Sergey 

В Вск, 18.01.2004, в 14:55, Олег Литвинов пишет:
 Каким образом (каким правилом) правильно закрыть с помошью iptables
 (поднят нат) порты из внутреней сети?
Например
iptables -t filter -A FORWARD -s 192.168.0.0/16 -p tcp --syn -m state
--state NEW -j REJECT
iptables -t filter -A FORWARD -s 192.168.0.0/16 -p udp -m state --state
NEW -j REJECT
Соответственно нада поправить адрес сети, можно добавить интерфейсы (-i
, -o).
Короче, man iptables :-)
 
 Олег.
 ЪТХPт■ ▒ Ъzf╒√зy╦ ÷ЗН╡х ÷Зч╙Г╛╥Ыb╡шЪuФБjХ╝
 ╤╛╧╦чrзЧИЛ╧╩╝чЪТК╒ФЕ{П╗·ж°╤X╛╤f╛╣ЙЪ√+-ЁВ^n╖Ч┼Ю

Re: Iptables и порты

2004-01-18 Пенетрантность Evgeny Yurkin 
В сообщении от 19 Январь 2004 00:00 Denis A. Egorov написал(a):
 Здравствуйте, Олег Литвинов!

 http://www.opennet.ru/docs/RUS/iptables/

 On Sun, Jan 18, 2004 at 11:55:08AM +0200, you wrote:

 - Каким образом (каким правилом) правильно закрыть с помошью iptables
 - (поднят нат) порты из внутреней сети?
iptables -P FORWARD DROP
а потом уже открывать только то что нужно
 -

 --
 Denis A. Egorov

-- 
С уважением,
Юркин Евгений