LINUX.ORG.RU
ФорумAdmin

iptables

 ,


0

1

Линуксоид привет! Мне требуется твоя помощь ;)

Есть сервер Asterisk и провайдер. Провайдер пускает sip трафик по 222.57.104.32/28 109.69.76.128/25, порты стандарт 5060 и 10000:65000. Весь трафик DROP кроме разрешённых. (180.40.61.186 OpenVPN)

Прописываю в /etc/sysconfig/iptables


*nat
:PREROUTING ACCEPT [2:478]
:POSTROUTING ACCEPT [5:856]
:OUTPUT ACCEPT [5:856]
COMMIT

*mangle
:PREROUTING ACCEPT [31:11490]
:INPUT ACCEPT [31:11490]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [33:16218]
:POSTROUTING ACCEPT [33:16218]
COMMIT

*filter
:FORWARD DROP [0:0]
:INPUT DROP [0:0]
:OUTPUT DROP [0:0]

-A INPUT -s 127.0.0.1 -j ACCEPT
-A INPUT -d 127.0.0.1 -j ACCEPT
-A INPUT -s 192.168.0.1/24 -j ACCEPT
-A INPUT -d 192.168.0.1/24 -j ACCEPT
-A INPUT -s 222.57.104.32/28 -j ACCEPT
-A INPUT -d 222.57.104.32/28 -j ACCEPT
-A INPUT -s 109.69.76.128/25 -j ACCEPT
-A INPUT -d 109.69.76.128/25 -j ACCEPT
-A INPUT -s 185.4.66.186 -j ACCEPT
-A FORWARD -s 127.0.0.1 -j ACCEPT
-A FORWARD -d 127.0.0.1 -j ACCEPT
-A FORWARD -s 192.168.0.1/24 -j ACCEPT
-A FORWARD -d 192.168.0.1/24 -j ACCEPT
-A FORWARD -s 222.57.104.32/28 -j ACCEPT
-A FORWARD -d 222.57.104.32/28 -j ACCEPT
-A FORWARD -s 109.69.76.128/25 -j ACCEPT
-A FORWARD -d 109.69.76.128/25 -j ACCEPT
-A OUTPUT -s 127.0.0.1 -j ACCEPT
-A OUTPUT -d 127.0.0.1 -j ACCEPT
-A OUTPUT -s 192.168.0.1/24 -j ACCEPT
-A OUTPUT -d 192.168.0.1/24 -j ACCEPT
-A OUTPUT -s 222.57.104.32/28 -j ACCEPT
-A OUTPUT -d 222.57.104.32/28 -j ACCEPT
-A OUTPUT -s 109.69.76.128/25 -j ACCEPT
-A OUTPUT -d 109.69.76.128/25 -j ACCEPT
-A INPUT -d 180.40.61.186 -j ACCEPT
-A FORWARD -s 180.40.61.186 -j ACCEPT
-A FORWARD -d 180.40.61.186 -j ACCEPT
-A OUTPUT -s 180.40.61.186 -j ACCEPT
-A OUTPUT -d 180.40.61.186 -j ACCEPT
-A INPUT -p icmp -i eth0 --icmp-type echo-request -j DROP
COMMIT

Да нуб, да ололо, но ищу среди вас Анателе ;) А вообще ткните носом в ошибку. Спасибо!

INPUT - это входящий трафик через интерфейс на хост. OUTPUT - это исходящий трафик через интерфейс из хоста. FORWARD - это транзитный трафик(не попадает в INPUT/OUTPUT) с одного итерфейса в другой. И читайте iptables tutorial.

anonymous ()

А что не работает то?

Провайдер пускает sip трафик по 222.57.104.32/28 109.69.76.128/25

Это как? Multicast, broadcast? Вообще sip является сигнальным протоколом и работает только через unicast.

menzoberronzan ()

Небольшой оффтоп: правило хорошего тона - кастомные правила для iptables следует прописывать в отдельном скрипте и подгружать его а не лить в сам конфиг.

dvrts ★★★ ()
Ответ на: комментарий от dvrts

кастомные правила для iptables следует прописывать в отдельном скрипте и подгружать его а не лить в сам конфиг.

а мужики-то и не знают в редхате

Rules for filtering packets are created using the iptables command.

не надо пороть чушь, там, где не компетентен.

novitchok ★★★★★ ()
Ответ на: комментарий от novitchok

Речь шла о правилах хорошего тона а не о том что можно, а что нельзя. Если ты быдло, то в вопросах админского этикета ты некомпетентен.

dvrts ★★★ ()

ткните носом в ошибку

Ты забыл задать вопрос.

kernelpanic ★★★★★ ()
Ответ на: комментарий от kernelpanic

Ну так к этому вопросу тоже нужно подходить с умом

dvrts ★★★ ()
Ответ на: комментарий от dvrts

Если мне в руки попадет чужой RH или Centos, то первое куда я полезу это /etc/sysconfig/iptables, а не буду искать какие-то кастомные скрипты. Может в ваших дебианах так и принято, но не стоит распространять это на все дистры и уж тем более называть «правилами хорошего тона».

BOOBLIK ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.