Сообщения Rafic

Проброс порта внутри сети

Форум — Admin

Читал мануалы и форумы облазил но увы, решил только половину задачи.
Стандартная ситуация: стоит шлюз на Debian и раздает в локалке инет. И тут мне понадобилось открыть свой локальный http для всей локалки и всего мира.
Удалось реализовать схему: из вне на машину в локалке.
Внешний мир -> 90.ХХХ.89.ХХХ:15000 -> 192.168.1.11:80
А мне нужно еще из локалки на машину в локалке:
192.168.1.22 -> 192.168.1.1:15000 -> 192.168.1.11:80

# Generated by iptables-save v1.2.11 on Wed Jan 19 22:16:53 2011
*nat
:PREROUTING ACCEPT [617:41665]
:POSTROUTING ACCEPT [202:12152]
-A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
-A PREROUTING -i ppp0 -p tcp --dport 15000 -j DNAT --to-destination 192.168.1.11:80
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Jan 19 22:16:53 2011

# Generated by iptables-save v1.2.11 on Wed Jan 19 22:16:53 2011
*mangle
:PREROUTING ACCEPT [18311947:11615197157]
:INPUT ACCEPT [14728272:10657466878]
:FORWARD ACCEPT [3583675:957730279]
:OUTPUT ACCEPT [15426176:11611524884]
:POSTROUTING ACCEPT [19009852:12569255183]
COMMIT
# Completed on Wed Jan 19 22:16:53 2011

# Generated by iptables-save v1.2.11 on Wed Jan 19 22:16:53 2011

*filter
:INPUT ACCEPT [5238:2657284]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [5655:2834513]

## политика по умолчанию
-P INPUT ACCEPT
-P FORWARD DROP


## Установка коректировки TCPMSS
-I FORWARD -i eth1 -o ppp0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

## Разрешить для установленных соединений
-A FORWARD -d 192.168.1.0/255.255.255.0 -m state --state RELATED,ESTABLISHED -j ACCEPT

## Разрешить прием первого пакета из ethernet
-A FORWARD -i ppp0 -d 192.168.1.0/255.255.255.0 -m state --state NEW -o eth1 -j ACCEPT

## Запуск проверки
-A FORWARD -i eth1 -o ppp0 -j ACCEPT

COMMIT
# Completed on Wed Jan 19 22:16:53 2011

Rafic
(11.04.13 12:22:29 MSK)

15 комментариев

Не получается перебросить порт itpables

Форум — Security

Нужно что бы моя локальная машина с ип 192.168.1.229 была видна в интернете по ип 79.135.202.70. Пишу правила, а они не работают. Help me!
eth1 - локалка
ppp0 - инет
Вот мои правила

# Generated by iptables-save v1.2.11 on Wed Jan 19 22:16:53 2011
*nat
-A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
######   Проброс 80-го порта
-A POSTROUTING -p tcp --dst 192.168.1.229 --dport 80 -j SNAT --to-source 79.135.202.70
-A PREROUTING -p tcp -d 79.135.202.70 --dport 80 -j DNAT --to-destination 192.168.1.229:80

COMMIT
# Completed on Wed Jan 19 22:16:53 2011

# Generated by iptables-save v1.2.11 on Wed Jan 19 22:16:53 2011
*filter
## политика по умолчанию
-P INPUT ACCEPT
-P FORWARD DROP

## Цепочка проверки портов
-N CHECKPORTS
######	WEB
-A CHECKPORTS -p tcp --dport 80 -j RETURN
-A CHECKPORTS -p tcp --dport 8080 -j RETURN
######  FTP
-A CHECKPORTS -p tcp --dport 22 -j RETURN
######	SKYPE
-A CHECKPORTS -p tcp --dport 443 -j RETURN
######	ICQ
-A CHECKPORTS -p tcp --dport 5190 -j RETURN
###### 	Jabber
-A CHECKPORTS -p tcp --dport 5222 -j RETURN
###### 	G-Talk
-A CHECKPORTS -p tcp --dport 5223 -j RETURN
###### DNS Provider
-A CHECKPORTS -p udp --dport 53 -j RETURN
###### Default
-A CHECKPORTS -j DROP

## Цепочка проверки аккаунта
-N CHECKACCOUNTS
##	Rafic
-A CHECKACCOUNTS -s 192.168.1.229 -m mac --mac-source 20:CF:30:9F:BB:E5 -j RETURN
##	Lesha
-A CHECKACCOUNTS -s 192.168.1.230 -m mac --mac-source 00:16:D3:58:6D:87 -j RETURN
-A CHECKACCOUNTS -s 192.168.1.240 -m mac --mac-source 00:19:7E:51:DF:9A -j RETURN
-A CHECKACCOUNTS -s 192.168.1.242 -m mac --mac-source C0:F8:DA:58:0B:FA -j RETURN
##	Denis
-A CHECKACCOUNTS -s 192.168.1.231 -m mac --mac-source F4:6D:04:A7:04:2F -j RETURN
##	Andrey
-A CHECKACCOUNTS -s 192.168.1.232 -m mac --mac-source 00:15:58:66:48:0B -j RETURN
##	Lena
-A CHECKACCOUNTS -s 192.168.1.233 -m mac --mac-source 60:EB:69:4C:56:B3 -j RETURN
-A CHECKACCOUNTS -s 192.168.1.239 -m mac --mac-source 70:F3:95:AF:83:98 -j RETURN
##	Katya
-A CHECKACCOUNTS -s 192.168.1.234 -m mac --mac-source C8:0A:A9:DC:6F:83 -j RETURN
-A CHECKACCOUNTS -s 192.168.1.238 -m mac --mac-source C4:46:19:5A:BE:5E -j RETURN
##	Ksysha
-A CHECKACCOUNTS -s 192.168.1.235 -m mac --mac-source B8:70:F4:27:0C:B9 -j RETURN
##	Anya
-A CHECKACCOUNTS -s 192.168.1.236 -m mac --mac-source 00:16:D4:D2:24:B8 -j RETURN
##	ROUTER
-A CHECKACCOUNTS -s 192.168.1.237 -m mac --mac-source 20:cf:30:99:3c:b9 -j RETURN
##	MihnewAndrey
-A CHECKACCOUNTS -s 192.168.1.241 -m mac --mac-source 74:2f:68:31:b2:8d -j RETURN
-A CHECKACCOUNTS -j DROP

## Установка коректировки TCPMSS
-I FORWARD -i eth1 -o ppp0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

## Проброс 80-го порта
#-A FORWARD -m tcp -p tcp -d 192.168.1.229 --dport 80 -i eth1 -o ppp0 -j ACCEPT

## Разрешить для установленных соединений
-A FORWARD -d 192.168.1.0/255.255.255.0 -m state --state RELATED,ESTABLISHED -j ACCEPT

## Разрешить прием первого пакета из ethernet
-A FORWARD -d 192.168.1.0/255.255.255.0 -m state --state NEW -i ppp0 -o eth1 -j ACCEPT

## Цепочка объединения правил и проверки на -i eth1 -o ppp0
-N CHECKING
-A CHECKING -j CHECKACCOUNTS
-A CHECKING -j CHECKPORTS
-A CHECKING -j ACCEPT

## Запуск проверки
-A FORWARD -i eth1 -o ppp0 -j CHECKING

COMMIT
# Completed on Wed Jan 19 22:16:53 2011

Rafic
(18.02.12 00:05:54 MSK)

3 комментария

Запуск пользовательских цепочек iptables

Форум — Security

Суть этих правил - организовать МАС + ИП фильтер и фильтер доступности рабочих портов для ресурсов:

## политика по умолчанию
-P INPUT ACCEPT
-P FORWARD DROP

## цепочка проверки портов
-N check_ports
-A check_ports FORWARD -i eth1 -o ppp0 -p tcp -s 192.168.1.0/255.255.255.0 --dport 80 -j RETURN
-A check_ports FORWARD -i eth1 -o ppp0 -p tcp -s 192.168.1.0/255.255.255.0 --dport 8080 -j RETURN
-A check_ports FORWARD -i eth1 -o ppp0 -p tcp -s 192.168.1.0/255.255.255.0 --dport 22 -j DROP

## цепочка проверки аккаунта
-N check_account
-A check_account FORWARD -i eth1 -o ppp0 -s 192.168.1.229 -m mac --mac-source 20:CG:52:9F:BB:N5 -j RETURN
-A check_account FORWARD -i eth1 -o ppp0 -s 192.168.1.230 -m mac --mac-source 50:CF:30:TF:BB:E2 -j RETURN
-A check_account FORWARD -i eth1 -o ppp0 -s 192.168.1.231 -m mac --mac-source 20:CD:40:9F:BB:E5 -j DROP

## разрешить входящие пакеты всем
-I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -d 192.168.1.0/255.255.255.0 -i ppp0 -o eth1 -j ACCEPT

## Здесь нужно дальше запустить цепочки и придумать логику
## Я так подозреваю, что в конце всех правил нужно ставить 
## -A FORWARD -i eth1 -o ppp0 -j ACCEPT
## для пакетов которые остались живы после проверки в двух цепочках
## Но, не уверен - прошу у вас помощи.

Rafic
(15.02.12 22:39:08 MSK)

9 комментариев

Правильный МАС + IP Фильтр

Форум — Security

Что я имею: DHCP который выдает IP-адреса по МАС-адресу + iptables с правилами для конкретного МАС и IP. Выглядит это так:

# Generated by iptables-save v1.2.11 on Wed Jan 19 22:16:53 2011
*nat
:PREROUTING ACCEPT [617:41665]
:POSTROUTING ACCEPT [202:12152]
-A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
-A PREROUTING -p tcp --dport 1000 -j REDIRECT --to-ports 9750
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Jan 19 22:16:53 2011

# Generated by iptables-save v1.2.11 on Wed Jan 19 22:16:53 2011
*mangle
:PREROUTING ACCEPT [18311947:11615197157]
:INPUT ACCEPT [14728272:10657466878]
:FORWARD ACCEPT [3583675:957730279]
:OUTPUT ACCEPT [15426176:11611524884]
:POSTROUTING ACCEPT [19009852:12569255183]
COMMIT
# Completed on Wed Jan 19 22:16:53 2011

# Generated by iptables-save v1.2.11 on Wed Jan 19 22:16:53 2011
*filter
:INPUT ACCEPT [5238:2657284]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [5655:2834513]

-P INPUT ACCEPT
-P FORWARD DROP

-I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -s 192.168.1.0/255.255.255.0 -i eth1 -o ppp0 -j ACCEPT
-A FORWARD -d 192.168.1.0/255.255.255.0 -i ppp0 -o eth1 -j ACCEPT

#Rafic
-A FORWARD -i eth1 -o ppp0 -s 192.168.1.229 -m mac --mac-source 20:CF:30:9F:BB:E5 -j ACCEPT
#Lesha
-A FORWARD -i eth1 -o ppp0 -s 192.168.1.230 -m mac --mac-source 00:16:D3:58:6D:87 -j ACCEPT
-A FORWARD -i eth1 -o ppp0 -s 192.168.1.240 -m mac --mac-source 00:19:7E:51:DF:9A -j ACCEPT
#Denis
-A FORWARD -i eth1 -o ppp0 -s 192.168.1.231 -m mac --mac-source F4:6D:04:A7:04:2F -j ACCEPT
#Andrey
-A FORWARD -i eth1 -o ppp0 -s 192.168.1.232 -m mac --mac-source 00:15:58:66:48:0B -j ACCEPT
#Lena
-A FORWARD -i eth1 -o ppp0 -s 192.168.1.233 -m mac --mac-source 60:EB:69:4C:56:B3 -j ACCEPT
-A FORWARD -i eth1 -o ppp0 -s 192.168.1.239 -m mac --mac-source 70:F3:95:AF:83:98 -j ACCEPT
#Katya
-A FORWARD -i eth1 -o ppp0 -s 192.168.1.234 -m mac --mac-source C8:0A:A9:DC:6F:83 -j ACCEPT
-A FORWARD -i eth1 -o ppp0 -s 192.168.1.238 -m mac --mac-source C4:46:19:5A:BE:5E -j ACCEPT
#Ksysha
-A FORWARD -i eth1 -o ppp0 -s 192.168.1.235 -m mac --mac-source B8:70:F4:27:0C:B9 -j ACCEPT
#Anya
-A FORWARD -i eth1 -o ppp0 -s 192.168.1.236 -m mac --mac-source 00:16:D4:D2:24:B8 -j ACCEPT
#ROUTER
-A FORWARD -i eth1 -o ppp0 -s 192.168.1.237 -m mac --mac-source 20:cf:30:99:3c:b9 -j ACCEPT
#MihnewAndrey
-A FORWARD -i eth1 -o ppp0 -s 192.168.1.241 -m mac --mac-source 74:2f:68:31:b2:8d -j ACCEPT
COMMIT
# Completed on Wed Jan 19 22:16:53 2011

Задача: просто запретить всех клиентов которые могут сменить МАС и IP-адреса и разрешить только определенным. Если прописать любой ИП из сети 192.168.1.140/255 и ДНС 8.8.8.8 то доступ в интернет есть. МАС и IP - в данном методе фильтрации должны быть как логин и пароль. Но правила не работают. Почему? Пробывал запрет писать после правил

-P FORWARD DROP

результат тот же.

Rafic
(14.02.12 00:44:27 MSK)

5 комментариев

Построение правил HTB шейпера для сети

Форум — General

Маны читал, в поиске был, кое что прояснилось? но общей рабочей картинки я не смог построить (это моя первая настройка шейпера и неделя с Linux). Прошу не посылать, а просто сказать как нужно.

Описание. Вот схема моей сети. На сервер входит 100Mbit от провайдера по PPPoE в eth0. На сервере стоит раздача интернета абонентам и сервер чата. Для раздачи интернета я использовал:

iptables - для организации «тунеля» между интерфейсами и организации MAC+IP фильтра
DHCP - раздача IP-адреса по МАС адресу. Клиентов, МАС которых не получает статического IP - откидывает

Задача. Раздать всем абонентам одинаковую скорость, но с учетом, что бы на сервер осталось 30Mbit. Сделать так, что бы скачка любым клиентом торрента не мешала остальным.

Моя логика: Если на сервер надо 30Mbit тогда абонентам остается 70 Mbit. Абонентов всего 8 и это выходит по 8,75Mbit на клиента плюс 30Mbit на сервер. Строим правила для исходящего трафика

###ppp0
DEFAULT=30
R2Q=10

###ppp0-2.root
RATE=100Mbit
CEIL=100Mbit

###ppp0-2:20.user
RATE=8Mbit
CEIL=100Mbit
PRIO=1
LEAF=sfq
RULE= IP юзера1
RULE= IP юзера2
RULE= IP юзера3
RULE= IP юзера4
RULE= IP юзера5
RULE= IP юзера6
RULE= IP юзера7
RULE= IP юзера8
BURST=100Kb

###ppp0-2:20.server
RATE=30Mbit
CEIL=100Mbit
RULE= IP сервера (192.168.1.1)

###ppp0-2:30.default
RATE=1Mbit
CEIL=100Mbit
PRIO=2
LEAF=sfq

И пишу для входящего трафика

###eth1
DEFAULT=30
R2Q=10

###eth1-2.root
RATE=100Mbit
CEIL=100Mbit

###eth1-2:20.user
RATE=8Mbit
CEIL=100Mbit
PRIO=1
LEAF=sfq
RULE= IP юзера1
RULE= IP юзера2
RULE= IP юзера3
RULE= IP юзера4
RULE= IP юзера5
RULE= IP юзера6
RULE= IP юзера7
RULE= IP юзера8
BURST=100Kb

###eth1-2:20.server
RATE=30Mbit
CEIL=100Mbit
RULE= IP сервера (192.168.1.1)

###eth1-2:30.default
RATE=1Mbit
CEIL=100Mbit
PRIO=2
LEAF=sfq

Верно ли я иду? Направьте на путь истины...

Rafic
(01.02.12 21:05:36 MSK)

4 комментария

RSS подписка на новые темы