LINUX.ORG.RU
ФорумAdmin

IPTable ... очередной вопрос ....


0

0 

Господа!!!
Как при правилах:
#! /bin/sh
#
#	Настройка firewall
#
case "$1" in
'stop')
 iptables -F
 ;;
'start')
 ext_ip='xxx.xxx.xxx.xx/32'
 int_ip='192.168.0.1/32'
 local_network='192.168.0.0/24'
 ext_dns='195.122.226.1/32 195.122.226.2/32'
# разрешаем форвардить пакеты ...
  echo 1 > /proc/sys/net/ipv4/ip_forward
# устанавливаем политику для правил ...
  iptables -P INPUT DROP
  iptables -P OUTPUT ACCEPT
  iptables -P FORWARD DROP
# сбрасываем все цепочки ...
  iptables -F

# разраешаем все icmp запросы
  iptables -A INPUT -p icmp -s 0/0 -j ACCEPT
# разрешить все с этого сервера
  iptables -A INPUT -s 127.0.0.0/255.0.0.0 -j ACCEPT
  iptables -A INPUT -s $int_ip -j ACCEPT
  iptables -A INPUT -s $ext_ip -j ACCEPT
# разрешить все из локальной сети
  iptables -A INPUT -s $local_network -j ACCEPT
# отрубаем не правильные пакеты
  iptables -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset 
  iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
# разрешить все что надо из InetNet`а
  for port in 21 22 25 53 80 110 123 143 389 3306 5190 5222
  do
   iptables -A INPUT -s 0/0 -p tcp --dport $port -j ACCEPT
   iptables -A INPUT -s 0/0 -p udp --dport $port -j ACCEPT
  done
# разрешаем проходить SYN и прочии нужные пакеты ...
  iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
 ;;
*)
 echo "usage $0 start|stop"
esac

Привала вида:
# разрешаем проходить icq пакетам по порту 5190 (наружу).
  iptables -A FORWARD -p tcp --dport 5190 -s 192.168.0.1/255.255.0.0 -o eth0 -j ACCEPT
  iptables -t nat -A POSTROUTING -s 192.168.0.1/255.255.0.0 -o eth0 -j MASQUERADE -p tcp --to-port 5190
 не работают ...

В логах:
 Jul  7 14:42:14 mail kernel: IN=eth0 OUT=eth1 SRC=64.12.24.17 DST=192.168.0.7 LEN=226 TOS=0x00 PREC=0x00 TTL=102 ID=14887 DF PROTO=TCP SPT=5190 DPT=3101 WINDOW=16384 RES=0x00 ACK PSH URGP=0 
Jul  7 14:42:15 mail kernel: IN=eth0 OUT=eth1 SRC=64.12.24.17 DST=192.168.0.7 LEN=338 TOS=0x00 PREC=0x00 TTL=102 ID=15715 DF PROTO=TCP SPT=5190 DPT=3101 WINDOW=16384 RES=0x00 ACK PSH URGP=0 
Jul  7 14:42:16 mail kernel: IN=eth0 OUT=eth1 SRC=64.12.26.115 DST=192.168.0.225 LEN=217 TOS=0x00 PREC=0x00 TTL=102 ID=61475 DF PROTO=TCP SPT=5190 DPT=1039 WINDOW=16384 RES=0x00 ACK PSH URGP=0 
Jul  7 14:42:17 mail kernel: IN=eth0 OUT=eth1 SRC=64.12.24.17 DST=192.168.0.7 LEN=338 TOS=0x00 PREC=0x00 TTL=102 ID=16723 DF PROTO=TCP SPT=5190 DPT=3101 WINDOW=16384 RES=0x00 ACK PSH URGP=0 
Jul  7 14:42:18 mail kernel: IN=eth0 OUT=eth1 SRC=64.12.26.115 DST=192.168.0.225 LEN=217 TOS=0x00 PREC=0x00 TTL=102 ID=62457 DF PROTO=TCP SPT=5190 DPT=1039 WINDOW=16384 RES=0x00 ACK PSH URGP=0 
Jul  7 14:42:19 mail kernel: IN=eth0 OUT=eth1 SRC=64.12.24.17 DST=192.168.0.7 LEN=40 TOS=0x00 PREC=0x00 TTL=102 ID=18635 DF PROTO=TCP SPT=5190 DPT=3101 WINDOW=16384 RES=0x00 ACK RST URGP=0 
Jul  7 14:42:20 mail kernel: IN=eth0 OUT=eth1 SRC=64.12.26.115 DST=192.168.0.225 LEN=217 TOS=0x00 PREC=0x00 TTL=102 ID=64419 DF PROTO=TCP SPT=5190 DPT=1039 WINDOW=16384 RES=0x00 ACK PSH URGP=0 
Jul  7 14:42:21 mail kernel: IN=eth0 OUT=eth1 SRC=205.188.179.233 DST=192.168.0.7 LEN=44 TOS=0x00 PREC=0x00 TTL=102 ID=5901 DF PROTO=TCP SPT=5190 DPT=3112 WINDOW=16384 RES=0x00 ACK SYN URGP=0 
Jul  7 14:42:24 mail kernel: IN=eth0 OUT=eth1 SRC=205.188.179.233 DST=192.168.0.7 LEN=44 TOS=0x00 PREC=0x00 TTL=102 ID=6759 DF PROTO=TCP SPT=5190 DPT=3112 WINDOW=16384 RES=0x00 ACK SYN URGP=0 
Jul  7 14:42:25 mail kernel: IN=eth0 OUT=eth1 SRC=64.12.26.115 DST=192.168.0.225 LEN=217 TOS=0x00 PREC=0x00 TTL=102 ID=2852 DF PROTO=TCP SPT=5190 DPT=1039 WINDOW=16384 RES=0x00 ACK PSH URGP=0 
Jul  7 14:42:30 mail kernel: IN=eth0 OUT=eth1 SRC=205.188.179.233 DST=192.168.0.7 LEN=44 TOS=0x00 PREC=0x00 TTL=102 ID=8535 DF PROTO=TCP SPT=5190 DPT=3112 WINDOW=16384 RES=0x00 ACK SYN URGP=0 
Jul  7 14:42:30 mail kernel: IN=eth0 OUT=eth1 SRC=205.188.179.233 DST=192.168.0.7 LEN=44 TOS=0x00 PREC=0x00 TTL=102 ID=8536 DF PROTO=TCP SPT=5190 DPT=3112 WINDOW=16384 RES=0x00 ACK SYN URGP=0

galchyonok ★★
() автор топика
Ответ на: комментарий от galchyonok 

как правильно прописать что-бы пакетики на порт 5190 уходили нормально через NAT ...


так-же вопрос ...
 как правильно прописать NAT для ftp`ного сервера: yyy.yyy.yyy.yyy/32
???

galchyonok ★★
() автор топика

iptables -A INPUT -s $int_ip -j ACCEPT iptables -A INPUT -s $ext_ip -j ACCEPT 1) Этими правилами ты открываешь машину обратно 2) Аську пускай через проксю 3) Читай iptables-howto

Deleted
()

> не работают ...
А как же на счет
iptables -A FORWARD -p tcp --sport 5190 -d 192.168.0.1/255.255.0.0 -i eth0 -j ACCEPT

spirit ★★★★★
()
Ответ на: комментарий от galchyonok

> как правильно прописать NAT для ftp`ного сервера: yyy.yyy.yyy.yyy/32
В каком плане ? Это локальный сервер, который нужно выставить наружу, или это внешний, на который локальные клиенты должны ходить через NAT ?

spirit ★★★★★
()
Ответ на: комментарий от spirit

yyy.yyy.yyy.yyy/32 - это внешний сервер ... на который надо сделать доступ с локальки.

galchyonok ★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin