LINUX.ORG.RU
ФорумSecurity

избитый iptables


0

2

Доброй ночи,уважаемое комюнити!

есть вот такой фаер,необходимо разрешить все внутри локалки...

######################## Input chains ################################
echo Input
######################################################################

# accept icmp echo-request from server to any
#/sbin/iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
/sbin/iptables -A INPUT -p icmp -j ACCEPT

# Allow loopback
/sbin/iptables -A INPUT -p ALL -i $loint -s $loip -j ACCEPT

# Allow connect LAN
/sbin/iptables -A INPUT -p tcp -s 192.168.192.0/24 -j ACCEPT
/sbin/iptables -A INPUT -p udp -s 192.168.192.0/24 -j ACCEPT

# Allow connect SSH
/sbin/iptables -A INPUT -p tcp -d $inetip --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -d $localip --dport 22 -j ACCEPT

# Allow HTTP
/sbin/iptables -A INPUT -p tcp -d $inetip --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -d $inetip --sport 80 -j ACCEPT

/sbin/iptables -A INPUT -p tcp -d $inetip --dport 443 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -d $inetip --sport 443 -j ACCEPT

# DNS
/sbin/iptables -A INPUT -p udp -d $inetip --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -d $inetip --dport 53 -j ACCEPT

/sbin/iptables -A INPUT -p udp -d $inetip --sport 53 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -d $inetip --sport 53 -j ACCEPT

# Allow Samba
/sbin/iptables -A INPUT -p tcp -i $intint --dport 445 -j ACCEPT

############################# Forward #######################################
echo Forward
#############################################################################

/sbin/iptables -A FORWARD -p icmp -j ACCEPT

# Use internet only with squid
/sbin/iptables -t nat -A PREROUTING ! -d 192.168.192.0/24 -p tcp -m multiport --dport 80,8080 -j REDIRECT --to-port 3128

# Make NAT
#/sbin/iptables -t nat -A POSTROUTING -o $outint -j MASQUERADE
/sbin/iptables -t nat -A POSTROUTING -o $outint -j SNAT --to-source $inetip

# Allow FORWARD from LAN to Internet
/sbin/iptables -A FORWARD -i $intint -j ACCEPT
/sbin/iptables -A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

# Allow Melkosoft share
/sbin/iptables -A FORWARD -p tcp -i $vpnint -s $vpnnet  --dport 445 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -o $vpnint -d $vpnnet  --sport 445 -j ACCEPT

############################# Output #######################################
echo Output
############################################################################

# Allow loopback
/sbin/iptables -A OUTPUT -p ALL -s $loip -j ACCEPT

# Allow LAN
/sbin/iptables -A OUTPUT -p tcp -d 192.168.192.0/24 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp -d 192.168.192.0/24 -j ACCEPT

# Allow icmp
/sbin/iptables -A OUTPUT -p icmp -j ACCEPT

# Allow connect SSH
/sbin/iptables -A OUTPUT -p tcp -s $inetip  --sport 22 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -s $localip --sport 22 -j ACCEPT

# Allow connect HTTP
/sbin/iptables -A OUTPUT -p tcp -s $inetip --sport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -s $inetip --dport 80 -j ACCEPT

/sbin/iptables -A OUTPUT -p tcp -s $inetip --sport 443 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -s $inetip --dport 443 -j ACCEPT

# DNS
/sbin/iptables -A OUTPUT -p udp  --dport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp  --dport 53 -j ACCEPT

/sbin/iptables -A OUTPUT -p udp  --sport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp  --sport 53 -j ACCEPT

# Allow Samba
/sbin/iptables -A OUTPUT -p tcp -s $localip --sport 445 -j ACCEPT

Подскажите пожалуйста,что я делаю не так?


а еще лучше iptables-save показать. я буду долго смеяться, если у тебя policy input accept

uspen ★★★★★
()
Ответ на: комментарий от uspen 

# Generated by iptables-save v1.4.8 on Wed Mar 28 22:25:31 2012
*mangle
:PREROUTING ACCEPT [1946265:187571431]
:INPUT ACCEPT [1946112:187563271]
:FORWARD ACCEPT [127:6840]
:OUTPUT ACCEPT [1945946:175874294]
:POSTROUTING ACCEPT [1946029:175878198]
COMMIT
# Completed on Wed Mar 28 22:25:31 2012
# Generated by iptables-save v1.4.8 on Wed Mar 28 22:25:31 2012
*nat
:PREROUTING ACCEPT [136:16404]
:POSTROUTING ACCEPT [2:569]
:OUTPUT ACCEPT [38:3494]
-A PREROUTING ! -d 192.168.192.0/24 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128 
-A POSTROUTING -o eth0 -j SNAT --to-source inetip 
COMMIT
# Completed on Wed Mar 28 22:25:31 2012
# Generated by iptables-save v1.4.8 on Wed Mar 28 22:25:31 2012
*filter
:INPUT DROP [121:14429]
:FORWARD DROP [0:0]
:OUTPUT DROP [4:475]
-A INPUT -p icmp -j ACCEPT 
-A INPUT -s 127.0.0.1/32 -i lo -j ACCEPT 
-A INPUT -s 192.168.192.0/24 -p tcp -j ACCEPT 
-A INPUT -s 192.168.192.0/24 -p udp -j ACCEPT 
-A INPUT -d inetip/32 -p tcp -m tcp --dport 22 -j ACCEPT 
-A INPUT -d 192.168.192.254/32 -p tcp -m tcp --dport 22150 -j ACCEPT 
-A INPUT -d inetip/32 -p tcp -m tcp --dport 80 -j ACCEPT 
-A INPUT -d inetip/32 -p tcp -m tcp --sport 80 -j ACCEPT 
-A INPUT -d inetip/32 -p tcp -m tcp --dport 443 -j ACCEPT 
-A INPUT -d inetip/32 -p tcp -m tcp --sport 443 -j ACCEPT 
-A INPUT -d inetip/32 -p udp -m udp --dport 53 -j ACCEPT 
-A INPUT -d inetip/32 -p tcp -m tcp --dport 53 -j ACCEPT 
-A INPUT -d inetip/32 -p udp -m udp --sport 53 -j ACCEPT 
-A INPUT -d inetip/32 -p tcp -m tcp --sport 53 -j ACCEPT 
-A INPUT -i eth1 -p tcp -m tcp --dport 445 -j ACCEPT 
-A FORWARD -p icmp -j ACCEPT 
-A FORWARD -i eth1 -j ACCEPT 
-A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -s 192.168.110.128/25 -i ppp+ -p tcp -m tcp --dport 445 -j ACCEPT 
-A FORWARD -d 192.168.110.128/25 -o ppp+ -p tcp -m tcp --sport 445 -j ACCEPT 
-A OUTPUT -s 127.0.0.1/32 -j ACCEPT 
-A OUTPUT -d 192.168.192.0/24 -p tcp -j ACCEPT 
-A OUTPUT -d 192.168.192.0/24 -p udp -j ACCEPT 
-A OUTPUT -p icmp -j ACCEPT 
-A OUTPUT -s inetip/32 -p tcp -m tcp --sport 22 -j ACCEPT 
-A OUTPUT -s 192.168.192.254/32 -p tcp -m tcp --sport 22150 -j ACCEPT 
-A OUTPUT -s inetip/32 -p tcp -m tcp --sport 80 -j ACCEPT 
-A OUTPUT -s inetip/32 -p tcp -m tcp --dport 80 -j ACCEPT 
-A OUTPUT -s inetip/32 -p tcp -m tcp --sport 443 -j ACCEPT 
-A OUTPUT -s inetip/32 -p tcp -m tcp --dport 443 -j ACCEPT 
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT 
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT 
-A OUTPUT -p udp -m udp --sport 53 -j ACCEPT 
-A OUTPUT -p tcp -m tcp --sport 53 -j ACCEPT 
-A OUTPUT -s 192.168.192.254/32 -p tcp -m tcp --sport 445 -j ACCEPT 
COMMIT
# Completed on Wed Mar 28 22:25:31 2012
kbu
() автор топика
Ответ на: комментарий от kbu

рекомендую не заморачиваться с OUTPUT, оставить его ACCEPT и сосредоточиться на блокировке INPUT

Pinkbyte ★★★★★
()

А в чём смысл от вот таких скриптов, когда можно сразу писать в формате, пригодном для заталкивания в ip{,6}tables-restore?

Deleted
()

Что значит «разрешить все внутри локалки»? Сервер только одним интерфейсом подключён к локальной сети, он там никак траффик не фильтрует.

mky ★★★★★
()
Ответ на: комментарий от mky

Да,спасибо большое.Я это уже понял...просто возникли понты с сетевым принтером...ни в какую не идет на него печать...принтер находится и вроде как отправляется на него печать...но задание висит в очереди и ничего не печатается...по usb все работает хорошо...

kbu
() автор топика
Ответ на: комментарий от anonymous

Потому что читать это неудобно.

Почему? /sbin/iptables постоянно писать не надо, комментарии поддерживаются. Из плюсов, не относящихся к читабельности - атомарность загрузки таблиц.

Deleted
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security