LINUX - В вопросах и ответах.

[CraVen]

Собственно назрела идея создания единой прикрепленной темы, ввиду набора популярности этой операционки. Здесь будем обмениваться знаниями.

[Crypt]

iptables -P FORWARD -j DROP
IPTABLES -A FORWARD -p tcp -m tcp -s 192.168.0.0/24 --dport 110 -j ACCEPT
IPTABLES -A FORWARD -p tcp -m tcp -d 192.168.0.0/24 --sport 110 -j ACCEPT
IPTABLES -A FORWARD -p tcp -m tcp -s 192.168.0.0/24 --dport 25 -j ACCEPT
IPTABLES -A FORWARD -p tcp -m tcp -d 192.168.0.0/24 --sport 25 -j ACCEPT
Думаю этого хватит.

[Blindman]

PROXY:~# iptables -A FORWARD -p tcp -m tcp --dport 80 -j ACCEPT
PROXY:~# iptables -A FORWARD -p tcp -m tcp --sport 80 -j ACCEPT
PROXY:~# iptables -A FORWARD -j DROP
PROXY:~# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:www
DROP       all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination


Должен ходить трафик по 80 порту. Не ходит, почему?

[rооt#]

закрываешь все в ипитаблес и открываешь только проксю на импути все
(с)Zeled

[Crypt]

Должен ходить трафик по 80 порту. Не ходит, почему?

А с чего вы взяли, что он не ходит. Как проверяли?

[Blindman]

А с чего вы взяли, что он не ходит. Как проверяли?

Телнетом трогал порт, или это не показатель?

[Crypt]

По DNS имени или по IP адресу?

[Blindman]

По DNS имени или по IP адресу?

по ip
53 порт закрыт же правилом.


ЗЫЖ Команду кривую телнетом давал, блин. Сорри. Завтра продолжу эксперимент.

[Crypt]

по ip
53 порт закрыт же правилом.


ЗЫЖ Команду кривую телнетом давал, блин. Сорри. Завтра продолжу эксперимент.

Скачайте какой нибудь сканер портов (Advanced port scanner например), и жизнь станет легче.

[ZeleD]

А вообще, я не понимаю, когда человек берется за работу которую не знает.... да и изучить тему (если нужно по работе), элементарно по LARTC, man iptables и man squid, не может.
зыЖ вон рут меня процитировал ( паразит ) - закрываете все, и открываете только нужные порты - на импут если к серваку, на форвардинг если за натом что надо (типа почты и т.д.) и все - дело в шляпе.

[Blindman]

А вообще, я не понимаю, когда человек берется за работу которую не знает.... да и изучить тему (если нужно по работе), элементарно по LARTC, man iptables и man squid, не может.
зыЖ вон рут меня процитировал ( паразит ) - закрываете все, и открываете только нужные порты - на импут если к серваку, на форвардинг если за натом что надо (типа почты и т.д.) и все - дело в шляпе.

Предполагал такой ответ. поэтому и сказал, что не стоит это обсуждать. Долго курить мануал по IPTABLES не было времени, хотя и полезно. Профиль работы у меня немного другой просто.  Именно поэтому я и обратился к опытным товарищам.

То что рут написал и ты, в теории я понял. Я спрашивал про ключи какие писать и правильность написания этих ключей.

[Blindman]

Кстати, все заработало как подсказал Crypt.
Маленький ньюанс только.
без вот этого -
-A FROWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Не работало. С этим работает.

[ZeleD]

вывод
cat /etc/sysconfig/iptables
сюда плиз...
дальше уж думать будем где не то нарисовал.

[ZeleD]

Забавляет меня все же такой подход...

Ну кароче вот ситуация.
Знакомый попросил ему аппендицит вырезать.
Вскрыл, значит, я человеку брюшную полость.
Теперь внутренние органы видно, но как теперь добраться до аппендицита, и как его вырезать. а то у человека кровь почему-то кончается.

Такой вот обыденный вопрос, для меня обернулся задачкой.


ЗЫЖ Скажу сразу, в хирурги я не мечу, но вот попросили сделать такое.
ЗЗЫЖ Врачей боится. Поэтому не вариант его к ним отправлять.

Вот кажется ситуация один в один, только почему-то с человеком считается невозможной, а вот с компами без проблем )

[Blindman]

Забавляет меня все же такой подход...

Вот кажется ситуация один в один, только почему-то с человеком считается невозможной, а вот с компами без проблем )

Хех, анал-о-геи ты шикарные приводишь.
Это как в детстве мамы всем глупые вопросы задавали "Если все будут с крыши прыгать, ты тоже прыгнешь?"
Немного не та ситуация, уважаемые админы, даже не собираюсь пытаться у вас отобрать ваш хлеб, работа бесплатная, поэтому и попросил совета. Нажав, как мартышка, необходимые кнопки

[ZeleD]

Хех, анал-о-геи ты шикарные приводишь.
Это как в детстве мамы всем глупые вопросы задавали "Если все будут с крыши прыгать, ты тоже прыгнешь?"
Немного не та ситуация, уважаемые админы, даже не собираюсь пытаться у вас отобрать ваш хлеб, работа бесплатная, поэтому и попросил совета. Нажав, как мартышка, необходимые кнопки

В том то и дело, так бы фирма взяла, да вон к руту тому же обратилась, он бы денег поимел еще немного... а так помогли подсказали - а кто-то кто крутится - недополучил

PS: Я же все о народе думаю... ))))

И все же вывали конфиг сюда, мож где накосячил глянем.. (чтоб медвежью услугу не оказал)

[Blindman]

Дальше уж думать будем где не то нарисовал.

iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  192.168.0.0/24       anywhere            tcp dpt:smtp
ACCEPT     tcp  --  192.168.0.0/24       anywhere            tcp spt:smtp
ACCEPT     tcp  --  192.168.0.0/24       anywhere            tcp dpt:domain
ACCEPT     tcp  --  192.168.0.0/24       anywhere            tcp spt:domain
ACCEPT     tcp  --  192.168.0.0/24       anywhere            tcp dpt:pop3
ACCEPT     tcp  --  192.168.0.0/24       anywhere            tcp spt:pop3
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
DROP       tcp  --  anywhere             anywhere            tcp
DROP       udp  --  anywhere             anywhere            udp

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

[Blindman]

PS: Я же все о народе думаю... ))))

Фирма жлобская, поэтому и поручают работу тому, кто впринципе этим не занимается. Кули, особенности менталитета

[ZeleD]

На инпут бы позакрывал бы все тоже, открыл бы только нужные сервисы какие изнутри, какие снаружи.. а то сыкотно как-то совсем жопой наружу светить.

[Blindman]

На инпут бы позакрывал бы все тоже, открыл бы только нужные сервисы какие изнутри, какие снаружи.. а то сыкотно как-то совсем жопой наружу светить.

Точно. спасибо

[Faust]

Нужно зарезервировать 512мбит от 2 мбит канала средствами ubuntu. Эдакий QoS для всех пакетов, предназначенных на определенный ИП-адрес. Помогите плиз, ничего не нагуглил толкового=)