нужен совет по iptables

0

1

есть прокси сервер в локальной сети 192.168.3.48 в этой же сети есть ком с установленой debian squeeze хочу настроить на нём фаервол таким образом чтобы с этог компа можно было ходить только на проксик на порт 8080. Вот прмер моего фаервола


#заппрет всего кроме ssh соединения
iptables -F INPUT 
iptables -F OUTPUT
iptables -A FORWARD

iptables -A INPUT -p tcp --dport 22 -j ACCEPT 
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#включение логов iptables
#префиксы сообщений iptables 
#iptables -A INPUT -p tcp  -j LOG --log-prefix "input tcp"
#iptables -A INPUT -p icmp -j LOG --log-prefix "input icmp"
#логи входящих tcp udp icmp
#iptables -A INPUT -j LOG --log-level 4
#разрешаем входящие исходящие запросы на icmp 
#это даёт возможность пинговать тачку
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
#Открываю 8080 порт но браузер молчит 
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT 
iptables -A OUTPUT -p tcp --sport 8080 -j ACCEPT
#

Ссылка

←	squidGuard со squid3 не фильтрует

можно ли настроить pkg_add для http?

→

iptables -A OUTPUT -p tcp --dport 8080 -j ACCEPT

anton_jugatsu ★★★★
(02.09.10 11:20:36 MSD)

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -p tcp --dport 8080 -j ACCEPT

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

edigaryev ★★★★★
(02.09.10 11:21:51 MSD)

Ответ на: комментарий от anton_jugatsu 02.09.10 11:20:36 MSD

iptables -A OUTPUT -p tcp --dport 8080 -j ACCEPT исправил не помогло

drac753 ★★
(02.09.10 11:25:01 MSD) автор топика

Ссылка

Ответ на: комментарий от edigaryev 02.09.10 11:21:51 MSD

iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -i lo -j ACCEPT

А зачем открывать lo ?

drac753 ★★
(02.09.10 11:26:26 MSD) автор топика

Ссылка

Ответ на: комментарий от anton_jugatsu 02.09.10 11:20:36 MSD

А входящие пакеты с прокси сервера как приходить будут?

edigaryev ★★★★★
(02.09.10 11:30:01 MSD)

Ответ на: комментарий от edigaryev 02.09.10 11:30:01 MSD

тогда получается что с/на lo все пакеты идут беспрепятственно ?

drac753 ★★
(02.09.10 11:35:00 MSD) автор топика

Ответ на: комментарий от drac753 02.09.10 11:35:00 MSD

с/на lo

Это как?

edigaryev ★★★★★
(02.09.10 11:37:40 MSD)

Ответ на: комментарий от edigaryev 02.09.10 11:37:40 MSD

может я чего не понимаю

[code] iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT [/code]

но вроди бы этими правилами я даю разрешение на все входящие и исходящие пакеты c интерфейса l0

drac753 ★★
(02.09.10 11:44:03 MSD) автор топика

Ответ на: комментарий от drac753 02.09.10 11:44:03 MSD

но вроди бы этими правилами я даю разрешение на все входящие и исходящие пакеты c интерфейса l0

Так и есть. http://ru.wikipedia.org/wiki/Loopback

edigaryev ★★★★★
(02.09.10 11:50:50 MSD)

Ссылка

Ответ на: комментарий от edigaryev 02.09.10 11:30:01 MSD

Никак Ж) Задача состояла в

фаервол таким образом чтобы с этог компа можно было ходить только на проксик на порт 8080

Вот он и ходит только на проксик Ж)

anton_jugatsu ★★★★
(02.09.10 11:51:39 MSD)

http://www.linux.org.ru/forum/admin/5289912?lastmod=1283384331096#comment-529...

anonymous
(02.09.10 12:02:04 MSD)

Ссылка

Ответ на: комментарий от anton_jugatsu 02.09.10 11:51:39 MSD

про l0 догнал спасибо

drac753 ★★
(02.09.10 12:40:45 MSD) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	squidGuard со squid3 не фильтрует

можно ли настроить pkg_add для http?

→