forum.opennet.ru

Составление сообщения

Исходное сообщение

"оцените правила iptables"
Отправлено izvorot, 01-Июл-08 10:46

>[оверквотинг удален]
>>$IPTABLES -t nat -F
>>$IPTABLES -t mangle -F
>1
>># Задаем политики по умолчанию
>>$IPTABLES -t filter -P INPUT ACCEPT
>>$IPTABLES -t filter -P FORWARD ACCEPT
>>$IPTABLES -t filter -P OUTPUT ACCEPT
>по мне так лучше DROP , так разная хитрость явно не разрешенная
>отвалится
попробую обязательно-но не сейчас-сроки жмут-руководство уже зубы точит
>[оверквотинг удален]
>># направленные из мира в локальную сеть.
>>$IPTABLES -A eth0-eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
>>$IPTABLES -A eth0-eth1 -j DROP
>2
>># eth1-eth0. В данную цепочку попадают все транзитные пакеты,
>># направленные из локальной сети в мир.
>>$IPTABLES -A eth1-eth0 -p icmp -j icmp_packets
>>$IPTABLES -A eth1-eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
>>$IPTABLES -A eth1-eth0 -j DROP
>не вижу чем разрешено начинать соединение (--state NEW)
насколько понимаю мне необходимо выставить чтобы соединение было разрешено только из локалки в мир??из мира должны идти только эстаблишед пакеты?
>web-сервер будет обращаться на 443 порт или тут должно было быть с
>443?
>>$IPTABLES -A eth2-eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
>>$IPTABLES -A eth2-eth0 -j DROP
>># eth0-eth2. В данную цепочку попадают все транзитные пакеты,
>># направленные из мира к web-серверу.
>>$IPTABLES -A eth0-eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
>>$IPTABLES -A eth0-eth2 -j DROP
443 если не ошибаюсь это ssl? наверное тут таки Вы правы-сайт будет самый простой-там ssl
не понадобится.
>на шлюзе тоже web-сервер?
>>$IPTABLES -A eth1-in -p tcp --dport 110 -j ACCEPT
>>$IPTABLES -A eth1-in -j DROP
хм..если я не открою на шлюзе 110-то как пойдет почта?почтовик,он же ДНС-находится в локалке
>а к squid-у разрешение?
>># eth2-in. В данной цепочке открываем порты тех служб, которые
>># должны быть доступны на сервере с web-сервера.
>>$IPTABLES -A eth2-in -p icmp -j icmp_packets
>>$IPTABLES -A eth2-in -p udp --dport 53 -j ACCEPT
>>$IPTABLES -A eth2-in -p tcp --dport 80 -j ACCEPT
squid упустил :(
>web-сервер будет обращаться на 80 порт шлюза?
>># eth0-in. В данной цепочке открываем порты тех служб, которые
>># должны быть доступны на сервере из мира. Например www, smtp, ftp
>>$IPTABLES -A eth0-in -p icmp -j icmp_packets
>>$IPTABLES -A eth0-in -m state --state RELATED,ESTABLISHED -j ACCEPT
>>$IPTABLES -A eth0-in -j DROP
вот тут не разобрался-если из мира по ДНАТу лезут на веб-сервер-нужно ли еще что-то открывать?
>># eth1-out.
>>$IPTABLES -A eth1-out -p icmp -j icmp_packets
>>$IPTABLES -A eth1-out -p udp --dport 53 -j ACCEPT
>DNS сервер в локалке?
Да.он же почтовик и много чего еще :(
>>$IPTABLES -A eth1-out -p tcp -m multiport --dport 22,80,443 -j ACCEPT
>у вас в локалке еще есть web-сервер?
нет-изначально думал хитрым способом выпустить пользователей из сети в обход прокси на веб-сервак.потом решил что мне особо не нужно прозрачное проксирование и прочие навороты.а правила не поправил.
>># Производим сетевую трансляцию адресов (NAT)
>>$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to-source
>>212.12.3.222
>># web-сервер
>>$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination
>>192.168.1.3:80
>этим вы завернете абсолютно все запросы на 80 порт к себе на
>web, что бы избавиться укажите хотя бы адрес назначения, для локалки
>можно было бы с DNS отдать серый адрес web-сервера и тогда
>пакеты просто смаршрутизируются без проброса, но правила придется наверно поправить
Мне проще на iptables завернуть(если получится)
>>$IPTABLES -t nat -A POSTROUTING -p tcp -d eth2 --dport 80 -j
>>SNAT --to-source eth1
>если на web-сервере шлюзом прописан адрес eth2 и он в отдельной подсети,
>то помоему это лишнее и в логах web-сервера все обращения будут
>от лица шлюза. Тут и ниже eth1..2 должны были быть переменными?
уточните пожалуйста-по поводу переменных(я скорее всего просто не досмотрел и вместо -i поставил -d)
>>$IPTABLES -t nat -A OUTPUT -d eth0 -p tcp --dport 80 -j
>>DNAT --to-destination eth2
>это я не понял. пакеты уходящие со шлюза в мир на 80
>порт переслать на web-сервер в DMZ?
угу-правило неправильно составил
>># проброс порта RDP для виндовых серваков
>>$IPTABLES -t nat -A PREROUTING –I eth0 -p tcp --dport 3389 -j
>>DNAT --to-destination 192.168.0.1:3389
>># "Заварачиваем" весь http трафик на squid.
>>#$IPTABLES -t nat -A PREROUTING -s 192.168.1.0/24 -i eth1 -p tcp -m
>>multiport --dport #80,8080 -j REDIRECT --to-ports 3128
>это лучше поднять выше, что бы было первым в -t nat -A
>PREROUTING
подниму-над каким правилом лучше?
>это бегло, возможно где и ошибся
большое спасибо и на этом беглом-много ошибок показали.

Исходное сообщение
"оцените правила iptables" Отправлено izvorot, 01-Июл-08 10:46
>[оверквотинг удален] >>$IPTABLES -t nat -F >>$IPTABLES -t mangle -F >1 >># Задаем политики по умолчанию >>$IPTABLES -t filter -P INPUT ACCEPT >>$IPTABLES -t filter -P FORWARD ACCEPT >>$IPTABLES -t filter -P OUTPUT ACCEPT >по мне так лучше DROP , так разная хитрость явно не разрешенная >отвалится попробую обязательно-но не сейчас-сроки жмут-руководство уже зубы точит >[оверквотинг удален] >># направленные из мира в локальную сеть. >>$IPTABLES -A eth0-eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT >>$IPTABLES -A eth0-eth1 -j DROP >2 >># eth1-eth0. В данную цепочку попадают все транзитные пакеты, >># направленные из локальной сети в мир. >>$IPTABLES -A eth1-eth0 -p icmp -j icmp_packets >>$IPTABLES -A eth1-eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT >>$IPTABLES -A eth1-eth0 -j DROP >не вижу чем разрешено начинать соединение (--state NEW) насколько понимаю мне необходимо выставить чтобы соединение было разрешено только из локалки в мир??из мира должны идти только эстаблишед пакеты? >web-сервер будет обращаться на 443 порт или тут должно было быть с >443? >>$IPTABLES -A eth2-eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT >>$IPTABLES -A eth2-eth0 -j DROP >># eth0-eth2. В данную цепочку попадают все транзитные пакеты, >># направленные из мира к web-серверу. >>$IPTABLES -A eth0-eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT >>$IPTABLES -A eth0-eth2 -j DROP 443 если не ошибаюсь это ssl? наверное тут таки Вы правы-сайт будет самый простой-там ssl не понадобится. >на шлюзе тоже web-сервер? >>$IPTABLES -A eth1-in -p tcp --dport 110 -j ACCEPT >>$IPTABLES -A eth1-in -j DROP хм..если я не открою на шлюзе 110-то как пойдет почта?почтовик,он же ДНС-находится в локалке >а к squid-у разрешение? >># eth2-in. В данной цепочке открываем порты тех служб, которые >># должны быть доступны на сервере с web-сервера. >>$IPTABLES -A eth2-in -p icmp -j icmp_packets >>$IPTABLES -A eth2-in -p udp --dport 53 -j ACCEPT >>$IPTABLES -A eth2-in -p tcp --dport 80 -j ACCEPT squid упустил :( >web-сервер будет обращаться на 80 порт шлюза? >># eth0-in. В данной цепочке открываем порты тех служб, которые >># должны быть доступны на сервере из мира. Например www, smtp, ftp >>$IPTABLES -A eth0-in -p icmp -j icmp_packets >>$IPTABLES -A eth0-in -m state --state RELATED,ESTABLISHED -j ACCEPT >>$IPTABLES -A eth0-in -j DROP вот тут не разобрался-если из мира по ДНАТу лезут на веб-сервер-нужно ли еще что-то открывать? >># eth1-out. >>$IPTABLES -A eth1-out -p icmp -j icmp_packets >>$IPTABLES -A eth1-out -p udp --dport 53 -j ACCEPT >DNS сервер в локалке? Да.он же почтовик и много чего еще :( >>$IPTABLES -A eth1-out -p tcp -m multiport --dport 22,80,443 -j ACCEPT >у вас в локалке еще есть web-сервер? нет-изначально думал хитрым способом выпустить пользователей из сети в обход прокси на веб-сервак.потом решил что мне особо не нужно прозрачное проксирование и прочие навороты.а правила не поправил. >># Производим сетевую трансляцию адресов (NAT) >>$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to-source >>212.12.3.222 >># web-сервер >>$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination >>192.168.1.3:80 >этим вы завернете абсолютно все запросы на 80 порт к себе на >web, что бы избавиться укажите хотя бы адрес назначения, для локалки >можно было бы с DNS отдать серый адрес web-сервера и тогда >пакеты просто смаршрутизируются без проброса, но правила придется наверно поправить Мне проще на iptables завернуть(если получится) >>$IPTABLES -t nat -A POSTROUTING -p tcp -d eth2 --dport 80 -j >>SNAT --to-source eth1 >если на web-сервере шлюзом прописан адрес eth2 и он в отдельной подсети, >то помоему это лишнее и в логах web-сервера все обращения будут >от лица шлюза. Тут и ниже eth1..2 должны были быть переменными? уточните пожалуйста-по поводу переменных(я скорее всего просто не досмотрел и вместо -i поставил -d) >>$IPTABLES -t nat -A OUTPUT -d eth0 -p tcp --dport 80 -j >>DNAT --to-destination eth2 >это я не понял. пакеты уходящие со шлюза в мир на 80 >порт переслать на web-сервер в DMZ? угу-правило неправильно составил >># проброс порта RDP для виндовых серваков >>$IPTABLES -t nat -A PREROUTING –I eth0 -p tcp --dport 3389 -j >>DNAT --to-destination 192.168.0.1:3389 >># "Заварачиваем" весь http трафик на squid. >>#$IPTABLES -t nat -A PREROUTING -s 192.168.1.0/24 -i eth1 -p tcp -m >>multiport --dport #80,8080 -j REDIRECT --to-ports 3128 >это лучше поднять выше, что бы было первым в -t nat -A >PREROUTING подниму-над каким правилом лучше? >это бегло, возможно где и ошибся большое спасибо и на этом беглом-много ошибок показали.

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>>[оверквотинг удален] 
>>>$IPTABLES -t nat -F 
>>>$IPTABLES -t mangle -F 
>>1 
>>># Задаем политики по умолчанию 
>>>$IPTABLES -t filter -P INPUT ACCEPT 
>>>$IPTABLES -t filter -P FORWARD ACCEPT 
>>>$IPTABLES -t filter -P OUTPUT ACCEPT 
>>по мне так лучше DROP , так разная хитрость явно не разрешенная 
>>отвалится

> попробую обязательно-но не сейчас-сроки жмут-руководство уже зубы точит

>>[оверквотинг удален] 
>>># направленные из мира в локальную сеть.
>>>$IPTABLES -A eth0-eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT 
>>>$IPTABLES -A eth0-eth1 -j DROP 
>>2 
>>># eth1-eth0. В данную цепочку попадают все транзитные пакеты, 
>>># направленные из локальной сети в мир.
>>>$IPTABLES -A eth1-eth0 -p icmp -j icmp_packets 
>>>$IPTABLES -A eth1-eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT 
>>>$IPTABLES -A eth1-eth0 -j DROP 
>>не вижу чем разрешено начинать соединение (--state NEW)

> насколько понимаю мне необходимо выставить чтобы соединение было разрешено только из локалки 
> в мир??из мира должны идти только эстаблишед пакеты?

>>web-сервер будет обращаться на 443 порт или тут должно было быть с 
>>443?
>>>$IPTABLES -A eth2-eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT 
>>>$IPTABLES -A eth2-eth0 -j DROP 
>>># eth0-eth2. В данную цепочку попадают все транзитные пакеты, 
>>># направленные из мира к web-серверу.
>>>$IPTABLES -A eth0-eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT 
>>>$IPTABLES -A eth0-eth2 -j DROP

> 443 если не ошибаюсь это ssl? наверное тут таки Вы правы-сайт будет 
> самый простой-там ssl 
> не понадобится.

>>на шлюзе тоже web-сервер?
>>>$IPTABLES -A eth1-in -p tcp --dport 110 -j ACCEPT 
>>>$IPTABLES -A eth1-in -j DROP

> хм..если я не открою на шлюзе 110-то как пойдет почта?почтовик,он же ДНС-находится 
> в локалке

>>а к squid-у разрешение?
>>># eth2-in. В данной цепочке открываем порты тех служб, которые 
>>># должны быть доступны на сервере с web-сервера.
>>>$IPTABLES -A eth2-in -p icmp -j icmp_packets 
>>>$IPTABLES -A eth2-in -p udp --dport 53 -j ACCEPT 
>>>$IPTABLES -A eth2-in -p tcp --dport 80 -j ACCEPT

> squid упустил :(

>>web-сервер будет обращаться на 80 порт шлюза?
>>># eth0-in. В данной цепочке открываем порты тех служб, которые 
>>># должны быть доступны на сервере из мира. Например www, smtp, ftp 
>>>$IPTABLES -A eth0-in -p icmp -j icmp_packets 
>>>$IPTABLES -A eth0-in -m state --state RELATED,ESTABLISHED -j ACCEPT 
>>>$IPTABLES -A eth0-in -j DROP

> вот тут не разобрался-если из мира по ДНАТу лезут на веб-сервер-нужно ли 
> еще что-то открывать?

>>># eth1-out.
>>>$IPTABLES -A eth1-out -p icmp -j icmp_packets 
>>>$IPTABLES -A eth1-out -p udp --dport 53 -j ACCEPT 
>>DNS сервер в локалке?

> Да.он же почтовик и много чего еще :(

>>>$IPTABLES -A eth1-out -p tcp -m multiport --dport 22,80,443 -j ACCEPT 
>>у вас в локалке еще есть web-сервер?

> нет-изначально думал хитрым способом выпустить пользователей из  сети в обход прокси 
> на веб-сервак.потом решил что мне особо не нужно прозрачное проксирование и 
> прочие навороты.а правила не поправил.

>>># Производим сетевую трансляцию адресов (NAT) 
>>>$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to-source 
>>>212.12.3.222 
>>># web-сервер 
>>>$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 
>>>192.168.1.3:80 
>>этим вы завернете абсолютно все запросы на 80 порт к себе на 
>>web, что бы избавиться укажите хотя бы адрес назначения, для локалки 
>>можно было бы с DNS отдать серый адрес web-сервера и тогда 
>>пакеты просто смаршрутизируются без проброса, но правила придется наверно поправить

> Мне проще на iptables завернуть(если получится)

>>>$IPTABLES -t nat -A POSTROUTING -p tcp -d eth2 --dport 80 -j 
>>>SNAT --to-source eth1 
>>если на web-сервере шлюзом прописан адрес eth2 и он в отдельной подсети, 
>>то помоему это лишнее и в логах web-сервера все обращения будут 
>>от лица шлюза. Тут и ниже eth1..2 должны были быть переменными?

> уточните пожалуйста-по поводу переменных(я скорее всего просто не досмотрел и вместо -i 
> поставил -d)

>>>$IPTABLES -t nat -A OUTPUT -d eth0 -p tcp --dport 80 -j 
>>>DNAT --to-destination eth2 
>>это я не понял. пакеты уходящие со шлюза в мир на 80 
>>порт переслать на web-сервер в DMZ?

> угу-правило неправильно составил

>>># проброс порта RDP для виндовых серваков 
>>>$IPTABLES -t nat -A PREROUTING –I eth0 -p tcp --dport 3389 -j 
>>>DNAT --to-destination 192.168.0.1:3389 
>>># "Заварачиваем" весь http трафик на squid.
>>>#$IPTABLES -t nat -A PREROUTING -s 192.168.1.0/24 -i eth1 -p tcp -m 
>>>multiport --dport #80,8080 -j REDIRECT --to-ports 3128 
>>это лучше поднять выше, что бы было первым в -t nat -A 
>>PREROUTING

> подниму-над каким правилом лучше?

>>это бегло, возможно где и ошибся

> большое спасибо и на этом беглом-много ошибок показали.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру