Новые ответы

iptables,

BearMK, 16-Сен-08, 12:18 [смотреть все]

Вообщем проблема такая - по локалке хожу, с этой машины доступ к localhost:901 (swat) получить немогу,и немогу выйти с машины в интернет - где ошибка в конфиге
предусматривается использовать эту машину в качестве шлюза...
# Generated by iptables-save v1.3.5 on Tue Sep 16 10:20:54 2008
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [1064:69492]
:allowed - [0:0]
:bad_tcp_packets - [0:0]
:icmp_packets - [0:0]
:tcp_packets - [0:0]
:udp_packets - [0:0]
-A INPUT -p tcp -j bad_tcp_packets
-A INPUT -s 192.168.0.0/255.255.0.0 -i eth0 -j ACCEPT
-A INPUT -s 127.0.0.1 -i lo -j ACCEPT
-A INPUT -s 192.168.2.88 -i lo -j ACCEPT
-A INPUT -s 192.168.2.1 -i lo -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 68 --dport 67 -j ACCEPT
-A INPUT -d 192.168.2.1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -j tcp_packets
-A INPUT -i eth0 -p udp -j udp_packets
-A INPUT -i eth0 -p icmp -j icmp_packets
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT_INPUT_PACKET_DIED:" --log-level 7
-A FORWARD -p tcp -j bad_tcp_packets
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT_INPUT_PACKET_DIED:" --log-level 7
-A OUTPUT -p tcp -j bad_tcp_packets
-A OUTPUT -s 127.0.0.1 -j ACCEPT
-A OUTPUT -s 192.168.2.88 -j ACCEPT
-A OUTPUT -s 192.168.2.1 -j ACCEPT
-A OUTPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT_INPUT_PACKET_DIED:" --log-level 7
-A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A allowed -p tcp -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New_not_syn:"
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A tcp_packets -p tcp -m tcp --dport 21 -j allowed
-A tcp_packets -p tcp -m tcp --dport 22 -j allowed
-A tcp_packets -p tcp -m tcp --dport 80 -j allowed
-A tcp_packets -p tcp -m tcp --dport 81 -j allowed
-A tcp_packets -p tcp -m tcp --dport 53 -j allowed
COMMIT
# Completed on Tue Sep 16 10:20:54 2008
ОС - Red Hat Enterprise Linux 5

Зарание благодарен за помошь!

Ответить | Сообщить модератору

iptables, reader, 13:29 , 16-Сен-08 (1)
>[оверквотинг удален]
>-A tcp_packets -p tcp -m tcp --dport 80 -j allowed
>-A tcp_packets -p tcp -m tcp --dport 81 -j allowed
>-A tcp_packets -p tcp -m tcp --dport 53 -j allowed
>COMMIT
># Completed on Tue Sep 16 10:20:54 2008
>
>ОС - Red Hat Enterprise Linux 5
>
>
>Зарание благодарен за помошь!
покажите ifconfig и route -n
как подключен интернет?
с выключенным firewall-ом к localhost:901 поключается?
Ответить | Сообщить модератору

iptables, BearMK, 13:59 , 16-Сен-08 (2)
ifconfig
eth0      Link encap:Ethernet  HWaddr 00:0E:2E:99:67:71
          inet addr:192.168.2.88  Bcast:192.168.2.255  Mask:255.255.255.0
          inet6 addr: fe80::20e:2eff:fe99:6771/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:906 errors:0 dropped:0 overruns:0 frame:0
          TX packets:223 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:77456 (75.6 KiB)  TX bytes:30420 (29.7 KiB)
          Interrupt:185 Base address:0x6000
lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:2048 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2048 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:7539832 (7.1 MiB)  TX bytes:7539832 (7.1 MiB)
route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth0
0.0.0.0         192.168.2.1     0.0.0.0         UG    0      0        0 eth0
Интернет подключен так:
ADSL модем с IP=192.168.2.1
DNS - 82.207.69.34
Ответить | Сообщить модератору

iptables, reader, 14:26 , 16-Сен-08 (3)
>[оверквотинг удален]
> 0      0
>    0 eth0
>0.0.0.0         192.168.2.1
>  0.0.0.0
>UG    0      0
>       0 eth0
>
>Интернет подключен так:
>ADSL модем с IP=192.168.2.1
>DNS - 82.207.69.34
попровуйте изменить
-A INPUT -d 192.168.2.1 -m state --state RELATED,ESTABLISHED -j ACCEPT
на
-A INPUT -d 192.168.2.88 -m state --state RELATED,ESTABLISHED -j ACCEPT
Ответить | Сообщить модератору

iptables, BearMK, 15:01 , 16-Сен-08 (4)
reader!
Спасибо большое интернет начал работать!
SWAT нехочет работать...
И непускает через эту машину в сеть другие компьютеры
Вопрос:
Можно ли реализовать доступ в интернет через данный шлюз определённым ай-пи в локале и ещё хотелось бы реализовать этот доступ по мак адресам сетевых карт.
Каким может быть решение защиты от проникновения троянов и вирусов в сеть на windows машины

Ответить | Сообщить модератору

iptables, reader, 15:38 , 16-Сен-08 (5)
>reader!
>Спасибо большое интернет начал работать!
>SWAT нехочет работать...
не работает и при выключении firewall-а? если да, то копайте swat и его настройки
>И непускает через эту машину в сеть другие компьютеры
в FORWARD у вас разрешены входящие и установленные соединения, а исходящие - нет.
так же похоже придется всем транзитным делать SNAT, что бы пакеты возвращались по тому же пути.
>Вопрос:
>Можно ли реализовать доступ в интернет через данный шлюз определённым ай-пи в
на клиентах шлюзом 192.168.2.88, и в FORWARD рулить ими, только кто помешает клиенту изменить адрес шлюза у себя на 192.168.2.1 :)
http://www.opennet.dev/docs/RUS/iptables/
>локале и ещё хотелось бы реализовать этот доступ по мак адресам
>сетевых карт.
можно, только мак меняется не сложнее чем ip
>Каким может быть решение защиты от проникновения троянов и вирусов в сеть
>на windows машины
проверка http , почтового, ... трафика, но их наличие и соответственно блокировка его
вариантов куча, но не 100% гарантия, поисковики вам в помощь.
Ответить | Сообщить модератору

iptables, BearMK, 16:00 , 16-Сен-08 (6)
Спасибо!
>
>на клиентах шлюзом 192.168.2.88, и в FORWARD рулить ими, только кто помешает
>клиенту изменить адрес шлюза у себя на 192.168.2.1 :)
Хотелось бы подкинуть сетевую карту ещё одну и к ней напрямую повесить модем
Как лучше всётаки организовать доступ по mak адресам?
Ответить | Сообщить модератору

iptables, reader, 16:17 , 16-Сен-08 (7)
>Спасибо!
>>
>>на клиентах шлюзом 192.168.2.88, и в FORWARD рулить ими, только кто помешает
>>клиенту изменить адрес шлюза у себя на 192.168.2.1 :)
>
>Хотелось бы подкинуть сетевую карту ещё одну и к ней напрямую повесить
>модем
это лучше
>
>Как лучше всётаки организовать доступ по mak адресам?
-m mac --mac-source 00:70:70:70:70:70 -j ACCEPT
Ответить | Сообщить модератору

iptables, BearMK, 16:38 , 16-Сен-08 (8)
>>Как лучше всётаки организовать доступ по mak адресам?
>
>-m mac --mac-source 00:70:70:70:70:70 -j ACCEPT
ясненько буду пробовать
чтобы добавтить в форвард доступ с локалки мне нужно сделать
iptables -A FORWARD -i $LAN_IP -j ACCEPT ?
Извиняюсь за такие вопросы - только учусь

Ответить | Сообщить модератору

iptables, reader, 17:11 , 16-Сен-08 (9)
>>>Как лучше всётаки организовать доступ по mak адресам?
>>
>>-m mac --mac-source 00:70:70:70:70:70 -j ACCEPT
>
>ясненько буду пробовать
>чтобы добавтить в форвард доступ с локалки мне нужно сделать
>iptables -A FORWARD -i $LAN_IP -j ACCEPT ?
>Извиняюсь за такие вопросы - только учусь
в FORWARD попадет то что идет транзитом, в INPUT то что к машине, прочитайте то что было по ссылке , там описаны грабли по которым вам предстоит пройти.
Ответить | Сообщить модератору