Сообщения Humaxoid

Перенаправление через iptables

Форум — General

В локальной сетке сидит комп с настроенным «удаленным рабочим столом» c ip 192.168.2.5 Нужно сделать редирект к этому компу по порту 3389. Причем сделать чтобы к нему могли'ходить' только с одного внешнего айпишника, например 255.255.192.1 ))). Пробовал так, не прокатилою В чем косяк?

iptables -t nat -A PREROUTING -d 255.255.192.1 -p tcp --dport 3389 -j REDIRECT --to-port 192.168.2.5:3389

Или правильней взглянуть в сторону DNAT ?

Humaxoid
(06.11.13 08:17:52 MSK)

3 комментария

Чистка от мусора.

Форум — General

Не пинайте. Катастрофически не хватает места. Постоянно приходится чистить кеш сквида и логи. А как с этим справляетесь вы? Сделать скрипт и запускать по кронтабу? Ограничить размер кеша в конфиге сквида?

/dev/sda2         31712436     23898320   6203200           80% /
tmpfs              4065488            0   4065488            0% /dev/shm

И это всего за три дня работы! Советы по глобальной чистке тоже привесттвуются.

Humaxoid
(03.10.13 10:35:23 MSK)

16 комментариев

Samba, скрыть папки

Форум — General

Настроил самбу. Хочу три папки. 1. Папка «Public» расшарена для всех! 2. Папка «Бухгалтерия» Должна быть видна только группе buh 3. Папка «Техотдел» Должна быть видна только группе tech Грубо говоря чужие папки для каждой из групп, должны быть скрытыми. Сделал так

[Общие]
comment = Общие
path = /home/public
force user = public
force group = nogroup
read only = No
create mask = 0777
directory mask = 0777
guest ok = Yes

[Бухгалтерия]
comment = Бухгалтерия
path = /home/buh
writable = Yes
valid users = kiseleva, zablockaya, zam_buh, semenchenko_nl, smetannik
read only = No
force user = nobody
force group = buh

[Техотдел]
comment = Техотдел
path = /home/tech
writable = Yes
valid users = gl_energ, ingenertb, proizvodstvo
force user = nobody
 force group = tech

Всё работает. При попытке зайти в папку чужой группы, запрашивает пароль. А мне нужно чтобы она вообще не отображалась! Как сделать?

Humaxoid
(20.09.13 17:01:11 MSK)

3 комментария

Какой бондинг выбрать?

Форум — General

Есть на сервере 4 сетевых интерфейса по 1 гигбита. каждый. Есть комутатор с поддержкой IEEE 802.3 10Base-T; IEEE 802.3u 100Base-TX IEEE 802.3ab 1000Base-T; IEEE 802.3x Flow Control стандартов. Хочется объеденить интерфейсы таким образом, что бы в сумме полцучить полный дуплекс на 4 гбит + отказоустойчивость. Скажем упал однин интерфейс - скорость упала до 3 мгбит, упал второй интерфейс - скорость упала до 2 мгбит.и.т.д Какой режим для бондинга наиболее подходящий будет?

Humaxoid
(13.09.13 11:09:22 MSK)

2 комментария

RAID-1 на загрузочном разделе

Форум — General

Создал raid1 и не могу с него загрузится. Когда загрузка доходит до монтирования корневого раздела, то на этом стоп! И так по порядку. Разбиваем разделы на sda1 и делаем его активным(тут будет корневой раздел) sda2 отведем для своп. Копируем таблицу разделов на второй ХДД

sfdisk -d /dev/sda | sfdisk /dev/sdb

Создаем RAID1

mdadm --create /dev/md0 --level 1 --raid-devices 2 /dev/sda1 /dev/sdb1 --metadata=0.90
mdadm --create /dev/md1 --level 1 --raid-devices 2 /dev/sda2 /dev/sdb2

Посмотрели процесс создания

cat /proc/mdstat

Вроде всё идет нормально, дождались завершения. Проверяем

cat /proc/partitions

видим что md0 и md1 созданы. На всякий случай смотрим корневой

mdadm -D /dev/md0

Всё без сомнений. Ставим систему как обычно. Правим fstab

/dev/md0  /   ext4   defaults   1   1
/dev/md1      swap   defaults   0   0

Теперь lilo

boot = /dev/md0
raid-extra-boot = mbr-only
root=/dev/md0

Передергиваем lilo и перегружаемся. Сначала процесс загрузки идет нормально. Но в самом конце вылетает. Если указать в fstab и lilo загрузку и монтирование с одного раздела sda1 или sdb1,

/dev/sda1  /   ext4   defaults   1   1
/dev/md1       swap   defaults   0   0

В lilo

boot = /dev/sda
####raid-extra-boot = mbr-only
root=/dev/sda1

то грузится нормально. Что же он с md0 грузится то не хочет?

Humaxoid
(11.09.13 09:30:50 MSK)

17 комментариев

Нет поддержки LSI MegaRAID

Форум — General

В биосе создаю виртуальный HD RAID1. Загружаемся с установочного диска, смотрим cfdisk /dev/md126, вижу что он есть. Пытаюсь создать разделы и ничего. Фатальная ошибка и.т.п Значит ядро не поддерживает данную виртуальную «файловую систему» плюс там драйвера для раидовского чипсета.Смотрю что нужно lspci Intel corparation 6 series/C200 SATA RAID controller. Точно его нет. В lsmod про раид вообще ничего не виду. Ядро 3.2.29 Пробовал пересобрать, картина не изменилась. Поддержку LSI включил. Поддержку данного чипсета не увидел. Кто знает точно, какие опции еще нужно включать? Стоит ли качать последнее ядро или всеже топать за дравами на сайт производителя?

Humaxoid
(05.09.13 10:00:01 MSK)

16 комментариев

Ищется консольный DVR

Форум — Multimedia

Ищется консольный DVR. Гугл по этому поводу молчит зараза.

Humaxoid
(03.09.13 13:41:51 MSK)

1 комментарий

Lightsquid + Linux 64bit

Форум — General

Кому нибудь удалось заюзать Lightsquid на 64 битных версиях? Дело в том что на 32 битных без проблем всё запускается. Делал всё по стандартной инструкции. А во на лине 64 bit, не хочет. В конфиг апача прописал как положенно

###### Lightsquid #######
<Directory "/srv/httpd/htdocs/lightsquid">
    AddHandler cgi-script .cgi
    AllowOverride All
</Directory>

Запускаю lightparser.pl , отчеты создались успешно. Далее запускаю файл проверки check-setup.pl проверка тоже прошла успешно, не на что не ругается. Забиваю в браузер адрес лайтсквида, вместо странички с отчетами, вижу содержимое файла index.cgi. Сам апач вроде настроен. Тестовую странцу отображает.Перл тоже установлен. В чем может быть проблема.

Humaxoid
(05.08.13 10:42:39 MSK)

4 комментария

Вопрос по разграничению прав в Самбе

Форум — General

Доброго времени суток. Самбисты есть? Собственно простая файловая помойка. Не получается разграничить права так, чтобы общая папка была видна всем, Иванов мог видеть только сво папку и не подозревал о существовании папки Петрова. А Петров наоборот.

[global]
	workgroup = workgr
	server string = Obmen
	security = share
	log file = /var/log/samba.%m
	max log size = 50
	load printers = No
	os level = 65
	local master = No
	domain master = No
	dns proxy = No
	interfaces = eth0

[Pub]
	comment = Public
	path = /home/samba/pub
	read only = No
	public = Yes
	create mask = 0777
	security mask = 0777
	directory security mask = 0777
	guest ok = Yes
	available = Yes

[Petroff]
	comment = Petroff
	path = /home/samba/pet
	read only = No
	create mask = 0777
	security mask = 0777
	directory security mask = 0777
	available = Yes
	hosts allow = ip_petrova

[Ivanoff]
	comment = Ivanoff
	path = /home/samba/iv
	read only = No
	create mask = 0777
	security mask = 0777
	directory security mask = 0777
	available = Yes
	hosts allow = ip_ivanova

Подскажите пожалуйста. Спасибо.

Humaxoid
(21.03.13 11:48:03 MSK)

9 комментариев

ESET NOD32 Gateway Security для Linux. Кто нибудь пробовал?

Форум — Security

По ходу это чудо может зеркало для антивирусных баз создавать. Кто пробовал это? Хотелось бы услышать отзывы.

Humaxoid
(12.03.13 12:08:03 MSK)

Не срабатывает правило nat

Форум — General

В iptables не срабатывает следующее правило.

$IPTABLES -t nat -A POSTROUTING -o eth0   -s 192.168.1.0/24  -j SNAT --to-source 192.168.0.2

Вот такая картина

iptables -t nat -L -v -n
Chain PREROUTING (policy ACCEPT 151 packets, 9126 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REDIRECT   tcp  --  *      *       192.168.2.0/24       0.0.0.0/0           tcp dpt:80 redir ports 3128 

Chain INPUT (policy ACCEPT 99 packets, 5940 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 69 packets, 4177 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 69 packets, 4177 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 MASQUERADE  all  --  *      eth0    192.168.2.0/24       0.0.0.0/0

Humaxoid
(21.10.12 12:59:22 MSK)

2 комментария

Резервное копирование папок

Форум — General

Собственно хочу автоматизировать процесс резервного копирования базы 1с, с виндового компа, к себе в файловое хранилище. Делаю это так

# Монтирование расшаренной папки 1С
mount -t smbfs //192.168.1.3/базы /mnt/192.168.1.3/базы -o password=

# Копирование бызы 1С с заменой файлов
cp -r /192.168.1.3/базы /mnt/md3/1c_base

# Размонтирование расшаренной папки 1С
umount /mnt/192.168.1.3/базы

Подскажите как сделать чтобы размонтирование проходило только после полного завершения процесса копирования? Или Cron и так выполнит команды в строгой последовательности?

Humaxoid
(21.08.12 12:35:41 MSK)

31 комментарий

глюки Squid

Форум — Admin

Версия Сквида 3.1.12, настроен непрозрачно. Работает вроде нормально. Но бывает временами отваливается. У клиентов в локалки пропадает инет. Если быть точней, то почемуто Сквид переходит в прозрачный режим. Рестартим /etc/rc.d/rc.squid restart и бац, сквид опять работает нормально (непрозрачно). Вот конфиг

###
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 192.168.1.0/24 # Диапазон адресов нашей локальной сети
#acl localnet src 192.168.1.1-192.168.1.23 # Диапазон адресов нашей локальной сети
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines
acl ftpproto proto ftp      # Доступ к прокси через ftp протокол
acl SSL_ports port 443
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT
#################################################################################
# Разрешить только cachemgr доступ с локального хоста
http_access allow manager localhost
http_access deny manager
# Запретить запросы к некоторым небезопасным портам
http_access deny !Safe_ports
# Запрещем доступ к другим отличных от SSL безопасн порты
http_access deny CONNECT !SSL_ports
# Позволить доступ к Squid из нашей локалки
http_access allow localnet
# Позволить доступ к Squid, нашему локальному хосту
http_access allow localhost
# Запрещаем доступ всей локалки по ftp протоколу
http_access deny localnet ftpproto
# Всем остальным доступ к проксисерверу запрещаем
http_access deny all
###############################################################################
# Позволить ICP запросы только от локальных сетей
icp_access allow localnet
# Остальные ICP запросы запрещаем
icp_access deny all
htcp_access allow localnet
htcp_access deny all
# Делаем наш Squid прозрачным
http_port 192.168.1.1:3128
hierarchy_stoplist cgi-bin ?
cache_dir ufs /var/cache/squid/ 256 16 256
access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
logfile_rotate 0
pid_filename /var/run/squid/squid.pid
client_netmask 255.255.255.255
cache_log /var/log/squid/cache.log
coredump_dir /var/log/squid/cache
#
# Делаем редирект к программе rejik, чтобы вырезать рекламные банеры
url_rewrite_program /usr/local/rejik3/redirector /usr/local/rejik3/redirector.conf
#
### Установим свежесть объектов, для разных файлов укажем 30 дней (43200 минут)
refresh_pattern -i \.gif$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.bmp$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.png$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.jpg$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.jpeg$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.tiff$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.pdf$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.zip$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.rar$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.tar$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.gz$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.tgz$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.exe$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.prz$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.ppt$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.inf$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.avi$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.vfl$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.flv$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.swf$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.mid$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.wav$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.mp3$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
refresh_pattern .		0	20%	4320
##########################################################################
cache_mgr xxxxxx@mail.ru
cache_effective_user nobody
cache_effective_group nogroup

Где накосячил ?

P.S. В iptables включен NAT IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE

Humaxoid
(06.08.12 17:11:55 MSK)

16 комментариев

Чем отобразить html?

Форум — Web-development

Нужно что бы html отображался графически, т.е что то подобное: Набираешь html о левом окне, в правом отображается так как это бы выглядело в браузере. Существует ли подобное?

Humaxoid
(10.05.12 15:06:45 MSK)

23 комментария

fstab - пароль при монтированиие

Форум — General

Собственно хочу чтобы при загрузке монтировалась расшаренная папка удаленной винды. Прописал в fstab это

//192.168.1.3/D/share /mnt/192.168.1.3 smbfs auto,ro,guiest,iocharset=utf8,codepage=cp866 0 0

Пароль не полчается прописать в fstab (нужно чтобы не спрашивал при монтировании)

Humaxoid
(01.03.12 15:10:31 MSK)

6 комментариев

Как поместить файл в автозагрузку?

Форум — General

Нужно чтобы стартовал скрипт rc.squid, только после старта сетевых интерфейсов. Поместил его в /etc/rc.d/ теперь куда его прописать? rc.local на слаке отсувствует.

Humaxoid
(16.01.12 15:29:23 MSK)

9 комментариев

Squid + iptables

Форум — General

Настроил сквид прозрачно. Теперь нужно iptables настроить так чтобы запросы пользователей локалки на порт 80, пернаправлялись на порт 3128 сквида. Добавил правила

IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

В ответ получил

iptablesiptables: No chain/target/match by that name.

Не существующая цепочка? Или не подгружен какой нить модуль?

Humaxoid
(08.01.12 20:15:25 MSK)

5 комментариев

контроль портов

Форум — General

Как узнать на какой порт стучатся из локалки.

Humaxoid
(01.12.11 17:32:48 MSK)

2 комментария

Samba через Iptables. Где ошибка?

Форум — General

Пользователи не могут зайти на самбу. Самба сервер настроен корректно. Если отключить iptables, то всё нормально. Вот мои правила, где напортачил?

#!/bin/sh

# Задаем некоторые переменные:

# Переменная, задающая путь к файлу запуска iptables.
IPT="/usr/sbin/iptables"

# Ваш сетевой интерфейс. Это нужно, чтобы не писать в правилах одно и тоже.
INET_IFACE="eth0"

# Номера непривилегированных портов 
UNPRIPORTS="1024:65535"

start_fw()
{
    # Включить перенаправление пакетов через ядро.
    echo 1 > /proc/sys/net/ipv4/ip_forward
    
    # Сбросить правила и удалить цепочки.
    $IPT -F
    $IPT -X
    
    # Политики по умолчанию.
    $IPT -P INPUT DROP
    $IPT -P FORWARD ACCEPT
    $IPT -P OUTPUT DROP

    # Разрешаем прохождение любого трафика по интерфейсу обратной петли.
    $IPT -A INPUT -i lo -j ACCEPT
    $IPT -A OUTPUT -o lo -j ACCEPT
    
    # Запрещаем любые новые подключения с любых интерфейсов, кроме lo к компьютеру.
    $IPT -A INPUT -m state ! -i lo --state NEW -j DROP
    
    # Если интерфейс не lo, то запрещаем входить в список его адресов.
    $IPT -A INPUT -s 127.0.0.1/255.0.0.0 ! -i lo -j DROP
    
    # Отбрасывать все пакеты, которые не могут быть идентифицированы и поэтому не могут иметь определенного статуса.
    $IPT -A INPUT   -m state --state INVALID -j DROP
    $IPT -A FORWARD -m state --state INVALID -j DROP
    
    # Принимать все пакеты, которые инициированы из уже установленного соединения, и имеющим признак ESTABLISHED.
    # Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении.
    $IPT -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
    $IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    
    # Предупреждаю вас о туповатых провайдерах, которые назначают IP адреса, отведенные IANA для локальных сетей.
    # Например адреса 10.X.X.X. Для этого надо установить правило, пропускающие трафик с этих серверов, ранее цепочки INPUT.
    $IPT -t nat -I PREROUTING -i $INET_IFACE -s 10.0.0.1/32 -j ACCEPT

#### Разрешить только подсети 192.168.1.0/24 подключатся к Samba серверу
    $IPT -A INPUT -p udp -m udp -s 192.168.1.0/24 --dport 137 -j ACCEPT
    $IPT -A INPUT -p udp -m udp -s 192.168.1.0/24 --dport 138 -j ACCEPT
    $IPT -A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.1.1/24 --dport 139 -j ACCEPT
    $IPT -A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.1.1/24 --dport 445 -j ACCEPT
    
    # Эти правила предохраняют от некоторых типов атак:
    
    # SYN наводнение.
    # Приводит к связыванию системных ресурсов, так что реальных обмен данными становится не возможным.
    $IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
    $IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
    
    # UDP наводнение 
    # Службы использующие UDP, очень часто становятся мишенью для атак с целью вывода системы из строя.
    $IPT -A INPUT -p UDP -s 0/0 --destination-port 138 -j DROP 
    $IPT -A INPUT -p UDP -s 0/0 --destination-port 113 -j REJECT 
    $IPT -A INPUT -p UDP -s 0/0 --source-port 67 --destination-port 68 -j ACCEPT  
    $IPT -A INPUT -p UDP -j RETURN 
    $IPT -A OUTPUT -p UDP -s 0/0 -j ACCEPT 
    
    # ICMP - перенаправление 
    # ICMP - сообщение указывает системе изменить содержимое таблиц маршрутизации с тем, что бы направлять 
    # пакеты по более короткому маршруту. Может быть использовано взломщиком для перенаправления вашего трафика через свою машину.
    $IPT -A INPUT --fragment -p ICMP -j DROP 
    $IPT -A OUTPUT --fragment -p ICMP -j DROP 
    
    # Разрешаем  ICMP соединение. Значительная часть ICMP используется для передачи сообщений о 
    # том, что происходит с тем или иным UDP или TCP соединением.
    $IPT -A INPUT -p icmp -m icmp -i $INET_IFACE --icmp-type source-quench -j ACCEPT
    $IPT -A OUTPUT -p icmp -m icmp -o $INET_IFACE --icmp-type source-quench -j ACCEPT
    
    # Разрешаем себе ping наружу - нас же не попингуешь - пакеты отбрасываются.
    $IPT -A INPUT -p icmp -m icmp -i $INET_IFACE --icmp-type echo-reply -j ACCEPT
    $IPT -A OUTPUT -p icmp -m icmp -o $INET_IFACE --icmp-type echo-request -j ACCEPT
    
    # Разрешаем передачу пакета - некорректный параметр - используется, если в заголовке пакета содержится недопустимая запись,
    # или если контрольная сумма заголовка не соответствует контрольной сумме, указанной передающим узлом.
    $IPT -A INPUT -p icmp -m icmp -i $INET_IFACE --icmp-type parameter-problem -j ACCEPT
    $IPT -A OUTPUT -p icmp -m icmp -o $INET_IFACE --icmp-type parameter-problem -j ACCEPT

    # Запрещаем подключение к X серверу через сетевые интерфейсы.
    $IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 6000:6063 -j DROP --syn
    
    # Прописываем порты, которые открыты в системе, но которые не должны быть открыты на сетевых интерфейсах:
    # $IPT -A INPUT -p tcp -m tcp -m multiport -i $INET_IFACE -j DROP --dports #порта
    $IPT -A INPUT -p tcp -m tcp -m multiport -i $INET_IFACE -j DROP --dports 783
    $IPT -A INPUT -p tcp -m tcp -m multiport -i $INET_IFACE -j DROP --dports 3310
    $IPT -A INPUT -p tcp -m tcp -m multiport -i $INET_IFACE -j DROP --dports 10000

    # DNS сервер имен разрешаем.
    $IPT -A OUTPUT -p udp -m udp -o $INET_IFACE --dport 53 --sport $UNPRIPORTS -j ACCEPT
    $IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 53 --sport $UNPRIPORTS -j ACCEPT
    $IPT -A INPUT -p udp -m udp -i $INET_IFACE --dport $UNPRIPORTS --sport 53 -j ACCEPT
    $IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 1024:65353 --sport 53 -j ACCEPT
    
    # Разрешаем AUTH-запросы на удаленные сервера, на свой же компьютер - запрещаем.
#    $IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 113 --sport $UNPRIPORTS -j ACCEPT
#    $IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 113 -j ACCEPT ! --syn
#    $IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 113 -j DROP
    
    # Открываем некоторые порты:
    
    #### SMTP клиент (25)
    ###$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 25 --sport $UNPRIPORTS -j ACCEPT
    ###$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 25 -j ACCEPT ! --syn
    
    ### POP3 клиент (110)
    ###$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 110 --sport $UNPRIPORTS -j ACCEPT
    ###$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 110 -j ACCEPT ! --syn
    
    #### IMAP4 клиент (143)
    ###$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 143 --sport $UNPRIPORTS -j ACCEPT
    ###$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 143 -j ACCEPT ! --syn
    
    #### SSH клиент (22)
    ###$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 22 --sport $UNPRIPORTS -j ACCEPT
    ###$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 22 -j ACCEPT ! --syn
    ###$IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 22 --sport 1020:1023 -j ACCEPT
    ###$IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport 1020:1023 --sport 22 -j ACCEPT ! --syn
    
    # FPT клиент (21)
    $IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 21 --sport $UNPRIPORTS -j ACCEPT
    $IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 21 -j ACCEPT ! --syn
    
    # HTTP/HTTPS клиент (80,3128,8080,443)
    $IPT -A OUTPUT -p tcp -m tcp -m multiport -o $INET_IFACE --sport $UNPRIPORTS -j ACCEPT --dports 80,443
    $IPT -A INPUT -p tcp -m tcp -m multiport -i $INET_IFACE --dport $UNPRIPORTS -j ACCEPT --sports 80,443 ! --syn
    
    # Разрешаем finger, whois, gorper, wais. Traceroute - разрешаем себе, к нам не проломятся - запрещено. Telnet 
    # запретил, чтобы соблазна не было передавать пароли прямым текстом.
    $IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 20 -j ACCEPT
    $IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 20 --sport $UNPRIPORTS -j ACCEPT ! --syn
    $IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport $UNPRIPORTS --sport $UNPRIPORTS -j ACCEPT
    $IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport $UNPRIPORTS -j ACCEPT ! --syn
    $IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 23 --sport $UNPRIPORTS -j ACCEPT
    $IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 23 -j ACCEPT ! --syn
    $IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 79 --sport $UNPRIPORTS -j ACCEPT
    $IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 79 -j ACCEPT ! --syn
    $IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 43 --sport $UNPRIPORTS -j ACCEPT
    $IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 43 -j ACCEPT ! --syn
    $IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 70 --sport $UNPRIPORTS -j ACCEPT
    $IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 70 -j ACCEPT ! --syn
    $IPT -A OUTPUT -p tcp -m tcp -o $INET_IFACE --dport 210 --sport $UNPRIPORTS -j ACCEPT
    $IPT -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIPORTS --sport 210 -j ACCEPT ! --syn
    $IPT -A OUTPUT -p udp -m udp -o $INET_IFACE --dport 33434:33523 --sport 32769:65535 -j ACCEPT
      
    #### Разрешаем прохождение DHCP запросов через iptables. Нужно, если IP адрес динамический.
    ###$IPT -A OUTPUT -p udp -m udp -o $INET_IFACE --dport 67 --sport 68 -j ACCEPT
    ###$IPT -A INPUT -p udp -m udp -i $INET_IFACE --dport 68 --sport 67 -j ACCEPT
    
}

case "$1" in
start)	echo -n "Starting firewall: iptables"
	start_fw
        echo "." 
	;;
stop)	echo -n "Stopping firewall: iptables"
	iptables -F
	iptables -X
        echo "."
        ;;
save)	echo -n "Saving firewall: iptables"
	iptables-save > /etc/rules-save
	echo "."
	;;    
restart) echo -n "Restarting firewall: iptables"
	iptables -F
	iptables -X
	cat /etc/rules-save | iptables-restore
        echo "."
        ;;
reload|force-reload) echo -n "Reloading configuration files for firewall: iptables"
        echo "."
        ;;
*)	echo "Usage: /etc/init.d/rc.iptables start|stop|restart|reload|force-reload"
        exit 1 
        ;;
esac
exit 0

Humaxoid
(29.11.11 16:33:09 MSK)

1 комментарий

iptables не пускает пользователей на Samba сервер

Форум — General

Если фаеревол отключен, то пользователи без проблем пользуются шарой на Samba. Стартуем фаервол и всё, всех отсекает! Что начудил в правилах iptables ? Вот кусок.

    # Открываем локальный доступ к Samba серверу:
    $IPT -A INPUT -s 192.168.1.1/24 -p udp -m udp --dport 137 -j ACCEPT
    $IPT -A INPUT -s 192.168.1.1/24 -p tcp -m tcp --dport 137 -j ACCEPT
    $IPT -A INPUT -s 192.168.1.1/24 -p udp -m udp --dport 138 -j ACCEPT
    $IPT -A INPUT -s 192.168.1.1/24 -p tcp -m tcp --dport 138 -j ACCEPT
    $IPT -A INPUT -s 192.168.1.1/24 -m state --state NEW -m tcp -p tcp --dport 139 -j ACCEPT
    $IPT -A INPUT -s 192.168.1.1/24 -m state --state NEW -m tcp -p tcp --dport 445 -j ACCEPT
    $IPT -A INPUT -s 192.168.1.1/24 -m state --state NEW -m udp -p udp --dport 139 -j ACCEPT
    $IPT -A INPUT -s 192.168.1.1/24 -m state --state NEW -m udp -p udp --dport 445 -j ACCEPT

Самба крутится на Slackware 13.37

Humaxoid
(25.11.11 18:13:02 MSK)

7 комментариев

← назад

следующие →

RSS подписка на новые темы