Re: где ошибка в правилах iptables
2008/1/15 Евгений М. Солодухин [EMAIL PROTECTED]: ... pps: а убунту сервер = он как, с гуями поставляется или как дебиановский ? :) Без. Как FreeBSD :-) -- Dmitry -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: где ошибка в правилах iptables
а если запись в логи ставить после набора правил - до них кто добирается --- принятые пакеты, или которые не отфильтровались по цепочке ? :) чего то не могу осознать куда логирование лучше сунуть :) ,--[Kylik Semen [EMAIL PROTECTED] Fri, 04 Jan 2008 14:55:31 +0200] |$IPT -A lan2inet_tcp -p tcp -s $LAN_IP_RANGE --dport 123 -j ACCEPT | |$IPT -A lan2inet_tcp -p tcp -j LOG --log-prefix Lan2Inet TCP: |$IPT -A lan2inet_tcp -p tcp -j REJECT --reject-with |icmp-port-unreachable `- -- _ *** * icq: 161874711* * jabber: [EMAIL PROTECTED] * * irc.starlink.ru,#Gene, Devil_InSide * *Registered linux user #450844* *** -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: где ошибка в правилах iptables
Сейчас буду колупать дальше (и думать) Заранее благодарен за советы В догонку - меня осенило добавил вот такую строчку $IPT -A FORWARD -i eth1 -o eth0 -j ACCEPT и убрал NEW из предыдущей работает - наверно вот в этом и была собака зарыта -- С уважением Сергей -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: где ошибка в правилах iptables
Доброго дня В Сбт, 05/01/2008 в 11:40 +0300, sergicus s пишет: Большое спасибо за ответ рекомендуется к прочтению :-) http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html#TRAVERSINGOFTABLES Плохо смотрел $IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT кажется вы правы Все поскипаетм и рассмотрим цепочку FORWARD skip $IPT -P FORWARD DROP #по умолчанию все транзитные пакеты запрещены skip #FORWARD $IPT -A FORWARD -m state --state INVALID -j DROP $IPT -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT Ниже лишнее, т.к. такое не может быть $IPT -A FORWARD -i ! lo -s 127.0.0.1 -j DROP $IPT -A FORWARD -i ! lo -d 127.0.0.1 -j DROP Как вы видете я разрешил исходящие (это пока) все и добавил в $IPT -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT слово NEW и все начало работать. Добавление NEW здесь эквивалентно $IPT -P FORWARD ACCEPT, т.е никакой фильтрации не происходит. Сейчас буду колупать дальше (и думать) Заранее благодарен за советы Советы: ;-) - прочитать документ (и глянуть другие на том же сайте). - уяснить, что а) транзитный трафик мы фильтруем в цепочке FORWARD и работает с реальными интерфейсами (eth+, ppp+, tun+). б) локальный (для этого хоста) мы фильтруем в цепочках INPUT и OUTPUT и интерфейсы у нас реальные и плюс _lo_. -- С уважением, Семен. -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: где ошибка в правилах iptables
$IPT -F $IPT -t nat -F $IPT -t mangle -F случаем не этими ли командами ты отменяешь iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE ?? Может стоит сделать типа вот так: $IPT -F $IPT -t nat -F $IPT -t mangle -F $IPT -t nat -A POSTROUTING -o eth0 -j MASQUERADE а потом все остальное? -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: где ошибка в правилах iptables
Спасибо за ответ - сейчас сижу на работе копаю Может стоит сделать типа вот так: $IPT -F $IPT -t nat -F $IPT -t mangle -F $IPT -t nat -A POSTROUTING -o eth0 -j MASQUERADE а потом все остальное? Сделал - не срабатывает Вообще если сделать политики по умолчанию ACCEPT для INPUT и FORWARD но все начинает проходить --- из этого следует? Не знаю - что то у меня не учтено -- С уважением Сергей -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: где ошибка в правилах iptables
Доброго дня. skip Плохо смотрел $IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT Но это уже для установленных соединений. А привила для SYS-пакета не видно. Для FORWARD у меня сделано так: $IPT -A FORWARD -p tcp -j bad_tcp_packets # lan - inet $IPT -A FORWARD -p tcp -o $INET_IFACE -j lan2inet_tcp $IPT -A FORWARD -p udp -o $INET_IFACE -j lan2inet_udp $IPT -A FORWARD -p icmp -o $INET_IFACE -j lan2inet_icmp # # lan2inet_tcp # $IPT -A lan2inet_tcp -m state --state RELATED,ESTABLISHED -j ACCEPT # www, ftp $IPT -A lan2inet_tcp -p tcp -s $SRV_SQUID_33 -m multiport --destination-port 20,21,80,443 -j ACCEPT skip # mail # ntpd $IPT -A lan2inet_tcp -p tcp -s $LAN_IP_RANGE --dport 123 -j ACCEPT $IPT -A lan2inet_tcp -p tcp -j LOG --log-prefix Lan2Inet TCP: $IPT -A lan2inet_tcp -p tcp -j REJECT --reject-with icmp-port-unreachable и т.д. и т.п. в зависимости от поставленной цели. -- С уважением, Семен. -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: где ошибка в правилах iptables
В Птн, 04/01/2008 в 14:10 +0300, sergicus s пишет: Спасибо за ответ - сейчас сижу на работе копаю Может стоит сделать типа вот так: $IPT -F $IPT -t nat -F $IPT -t mangle -F $IPT -t nat -A POSTROUTING -o eth0 -j MASQUERADE а потом все остальное? Сделал - не срабатывает Вообще если сделать политики по умолчанию ACCEPT для INPUT и FORWARD но все начинает проходить --- из этого следует? Не знаю - что то у меня не учтено FORWARD - цепочка для транзитных пакетов IPUT - цепочка (на вход ) для хоста (самого себя) $IPT -P FORWARD DROP - политика ничего не пропускать. а -j ACCEPT нигде не видно $IPT -A FORWARD -i ! lo -s 127.0.0.1 -j DROP а этого лишнее в руководстве по iptables есть схемы движения транзитных пакетов и пакетов предназначенных для host. -- С уважение, Семен. -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru