iptables, BearMK, 16-Сен-08, 12:18 [смотреть все]Вообщем проблема такая - по локалке хожу, с этой машины доступ к localhost:901 (swat) получить немогу,и немогу выйти с машины в интернет - где ошибка в конфиге предусматривается использовать эту машину в качестве шлюза... # Generated by iptables-save v1.3.5 on Tue Sep 16 10:20:54 2008 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [1064:69492] :allowed - [0:0] :bad_tcp_packets - [0:0] :icmp_packets - [0:0] :tcp_packets - [0:0] :udp_packets - [0:0] -A INPUT -p tcp -j bad_tcp_packets -A INPUT -s 192.168.0.0/255.255.0.0 -i eth0 -j ACCEPT -A INPUT -s 127.0.0.1 -i lo -j ACCEPT -A INPUT -s 192.168.2.88 -i lo -j ACCEPT -A INPUT -s 192.168.2.1 -i lo -j ACCEPT -A INPUT -i eth0 -p udp -m udp --sport 68 --dport 67 -j ACCEPT -A INPUT -d 192.168.2.1 -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i eth0 -p tcp -j tcp_packets -A INPUT -i eth0 -p udp -j udp_packets -A INPUT -i eth0 -p icmp -j icmp_packets -A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT_INPUT_PACKET_DIED:" --log-level 7 -A FORWARD -p tcp -j bad_tcp_packets -A FORWARD -i eth0 -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT_INPUT_PACKET_DIED:" --log-level 7 -A OUTPUT -p tcp -j bad_tcp_packets -A OUTPUT -s 127.0.0.1 -j ACCEPT -A OUTPUT -s 192.168.2.88 -j ACCEPT -A OUTPUT -s 192.168.2.1 -j ACCEPT -A OUTPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT_INPUT_PACKET_DIED:" --log-level 7 -A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT -A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT -A allowed -p tcp -j DROP -A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset -A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "New_not_syn:" -A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP -A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT -A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT -A tcp_packets -p tcp -m tcp --dport 21 -j allowed -A tcp_packets -p tcp -m tcp --dport 22 -j allowed -A tcp_packets -p tcp -m tcp --dport 80 -j allowed -A tcp_packets -p tcp -m tcp --dport 81 -j allowed -A tcp_packets -p tcp -m tcp --dport 53 -j allowed COMMIT # Completed on Tue Sep 16 10:20:54 2008ОС - Red Hat Enterprise Linux 5 Зарание благодарен за помошь!
|
- iptables, reader, 13:29 , 16-Сен-08 (1)
>[оверквотинг удален] >-A tcp_packets -p tcp -m tcp --dport 80 -j allowed >-A tcp_packets -p tcp -m tcp --dport 81 -j allowed >-A tcp_packets -p tcp -m tcp --dport 53 -j allowed >COMMIT ># Completed on Tue Sep 16 10:20:54 2008 > >ОС - Red Hat Enterprise Linux 5 > > >Зарание благодарен за помошь! покажите ifconfig и route -n как подключен интернет? с выключенным firewall-ом к localhost:901 поключается?
- iptables, BearMK, 13:59 , 16-Сен-08 (2)
ifconfig eth0 Link encap:Ethernet HWaddr 00:0E:2E:99:67:71 inet addr:192.168.2.88 Bcast:192.168.2.255 Mask:255.255.255.0 inet6 addr: fe80::20e:2eff:fe99:6771/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:906 errors:0 dropped:0 overruns:0 frame:0 TX packets:223 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:77456 (75.6 KiB) TX bytes:30420 (29.7 KiB) Interrupt:185 Base address:0x6000lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:2048 errors:0 dropped:0 overruns:0 frame:0 TX packets:2048 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:7539832 (7.1 MiB) TX bytes:7539832 (7.1 MiB) route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0 0.0.0.0 192.168.2.1 0.0.0.0 UG 0 0 0 eth0 Интернет подключен так: ADSL модем с IP=192.168.2.1 DNS - 82.207.69.34
- iptables, reader, 14:26 , 16-Сен-08 (3)
>[оверквотинг удален] > 0 0 > 0 eth0 >0.0.0.0 192.168.2.1 > 0.0.0.0 >UG 0 0 > 0 eth0 > >Интернет подключен так: >ADSL модем с IP=192.168.2.1 >DNS - 82.207.69.34 попровуйте изменить -A INPUT -d 192.168.2.1 -m state --state RELATED,ESTABLISHED -j ACCEPT на -A INPUT -d 192.168.2.88 -m state --state RELATED,ESTABLISHED -j ACCEPT
- iptables, BearMK, 15:01 , 16-Сен-08 (4)
reader! Спасибо большое интернет начал работать! SWAT нехочет работать... И непускает через эту машину в сеть другие компьютеры Вопрос: Можно ли реализовать доступ в интернет через данный шлюз определённым ай-пи в локале и ещё хотелось бы реализовать этот доступ по мак адресам сетевых карт. Каким может быть решение защиты от проникновения троянов и вирусов в сеть на windows машины
- iptables, reader, 15:38 , 16-Сен-08 (5)
>reader! >Спасибо большое интернет начал работать! >SWAT нехочет работать... не работает и при выключении firewall-а? если да, то копайте swat и его настройки >И непускает через эту машину в сеть другие компьютеры в FORWARD у вас разрешены входящие и установленные соединения, а исходящие - нет. так же похоже придется всем транзитным делать SNAT, что бы пакеты возвращались по тому же пути. >Вопрос: >Можно ли реализовать доступ в интернет через данный шлюз определённым ай-пи в на клиентах шлюзом 192.168.2.88, и в FORWARD рулить ими, только кто помешает клиенту изменить адрес шлюза у себя на 192.168.2.1 :) http://www.opennet.dev/docs/RUS/iptables/ >локале и ещё хотелось бы реализовать этот доступ по мак адресам >сетевых карт. можно, только мак меняется не сложнее чем ip >Каким может быть решение защиты от проникновения троянов и вирусов в сеть >на windows машины проверка http , почтового, ... трафика, но их наличие и соответственно блокировка его вариантов куча, но не 100% гарантия, поисковики вам в помощь.
- iptables, BearMK, 16:00 , 16-Сен-08 (6)
Спасибо! > >на клиентах шлюзом 192.168.2.88, и в FORWARD рулить ими, только кто помешает >клиенту изменить адрес шлюза у себя на 192.168.2.1 :) Хотелось бы подкинуть сетевую карту ещё одну и к ней напрямую повесить модем Как лучше всётаки организовать доступ по mak адресам?
- iptables, reader, 16:17 , 16-Сен-08 (7)
>Спасибо! >> >>на клиентах шлюзом 192.168.2.88, и в FORWARD рулить ими, только кто помешает >>клиенту изменить адрес шлюза у себя на 192.168.2.1 :) > >Хотелось бы подкинуть сетевую карту ещё одну и к ней напрямую повесить >модем это лучше > >Как лучше всётаки организовать доступ по mak адресам? -m mac --mac-source 00:70:70:70:70:70 -j ACCEPT
- iptables, BearMK, 16:38 , 16-Сен-08 (8)
>>Как лучше всётаки организовать доступ по mak адресам? > >-m mac --mac-source 00:70:70:70:70:70 -j ACCEPT ясненько буду пробовать чтобы добавтить в форвард доступ с локалки мне нужно сделать iptables -A FORWARD -i $LAN_IP -j ACCEPT ? Извиняюсь за такие вопросы - только учусь
- iptables, reader, 17:11 , 16-Сен-08 (9)
>>>Как лучше всётаки организовать доступ по mak адресам? >> >>-m mac --mac-source 00:70:70:70:70:70 -j ACCEPT > >ясненько буду пробовать >чтобы добавтить в форвард доступ с локалки мне нужно сделать >iptables -A FORWARD -i $LAN_IP -j ACCEPT ? >Извиняюсь за такие вопросы - только учусь в FORWARD попадет то что идет транзитом, в INPUT то что к машине, прочитайте то что было по ссылке , там описаны грабли по которым вам предстоит пройти.
|