форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / Linux)
Изначальное сообщение		[ Отслеживать ]

"Iptables не получается"	+/–
Сообщение от linlin (ok) on 07-Окт-15, 09:13
Здравствуйте. Я студент и только начинаю изучать Linux и никак не получается сделать лабу по фильтрации пакетов. Есть виртуальная машина debian, с двумя интерфейсами, за одним сеть eth0(192.168.0.0/24) за другим eth1 (10.0.0.0/24). Машнина с debian - фаервол. Нужно ограничить доступ с хоста 192.168.0.5 к 10.0.0.5 и разрешить к 10.0.0.6 по ftp. А с хоста 192.168.0.3 разрешить и к 10.0.0.5 и 10.0.0.6 по ftp. Я птыаюсь сделать так: -A DENY_FTP -s 192.168.0.5 -i eth0 -o eth1 -p tcp -m tcp --dport 21 -g DENY_FTP2 -A FORWARD -d 10.0.0.0/24 -i eth0 -o eth1 -p tcp -m tcp --dport 21 -j ACCEPT -A FORWARD -d 10.0.0.0/24 -i eth1 -o eth0 -p tcp -m tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT -A DENY_FTP2 -d 10.0.0.6/32 -i -eth0 eth1 -j ACCEPT -A DENY_FTP2 -d 10.0.0.5/32 -i eth0 -o eth1 -j DROP И все получается ровным счетом наоборот. Т.е. 192.168.0.3 имеет доступ толко к 10.0.0.5. А 192.168.0.5 ни к кому. Что я делаю не так?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Iptables не получается"	+/–
Сообщение от serdyksn (ok) on 07-Окт-15, 11:51
>[оверквотинг удален] > -A FORWARD -d 10.0.0.0/24 -i eth0 -o eth1 -p tcp -m tcp > --dport 21 -j ACCEPT > -A FORWARD -d 10.0.0.0/24 -i eth1 -o eth0 -p tcp -m tcp > --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT > -A DENY_FTP2 -d 10.0.0.6/32 -i -eth0 eth1 -j ACCEPT > -A DENY_FTP2 -d 10.0.0.5/32 -i eth0 -o eth1 -j DROP > И все получается ровным счетом наоборот. Т.е. 192.168.0.3 имеет доступ толко к > 10.0.0.5. > А 192.168.0.5 ни к кому. > Что я делаю не так? Это и все что есть в IPTables? Как мо мне маловато. И если пошли по "глобальному" пути - посоздавали под каждое правило свою таблицу -- почему тогда входящие пакеты не заварачиваете на обработку по этим таблицам?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Iptables не получается"	+/–
	Сообщение от linlin (ok) on 07-Окт-15, 11:59
	> Это и все что есть в IPTables? > Как мо мне маловато. > И если пошли по "глобальному" пути - посоздавали под каждое правило свою > таблицу -- почему тогда входящие пакеты не заварачиваете на обработку по > этим таблицам? Я не создавал таблицы. Или я чтото не понимаю. Таблицы это nat, filter.. Я создал цепочку DENY_FTP и DENY_FTP2 внутри таблицы filter.. А создал я их потому как другого решения не нашел. Подскажите вы бы как решили эту задачу?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	4. "Iptables не получается"	+/–
	Сообщение от serdyksn (ok) on 07-Окт-15, 13:46
	>> Это и все что есть в IPTables? >> Как мо мне маловато. >> И если пошли по "глобальному" пути - посоздавали под каждое правило свою >> таблицу -- почему тогда входящие пакеты не заварачиваете на обработку по >> этим таблицам? > Я не создавал таблицы. Или я чтото не понимаю. > Таблицы это nat, filter.. > Я создал цепочку DENY_FTP и DENY_FTP2 внутри таблицы filter.. > А создал я их потому как другого решения не нашел. Подскажите вы > бы как решили эту задачу? Да - цепочки (теорию начинаю забывать)
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Iptables не получается"	+/–
Сообщение от DeerFriend on 07-Окт-15, 12:05
Для простых правил создавать лишние цепочки контрпродуктивно. Пишите сразу откуда\куда -j дроп\акцепт - будет понятнее.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема