forum.opennet.ru - "Правило iptables для выхода в интернет" (7)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Правило iptables для выхода в интернет"

Форум Информационная безопасность (Firewall и пакетные фильтры / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Правило iptables для выхода в интернет"	+/–
Сообщение от paltusssss (ok) on 06-Май-11, 08:14
Здравствуйте! Подскажите пожалуйста, если при настройке бастиона выставить умолчальные политики в: iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP Какое правило нужно добавить в цепочку Output, что бы был разрешён выход машины в интернет.
Ответить \| Правка \| Cообщить модератору

Оглавление

Правило iptables для выхода в интернет, Andrey Mitrofanov, 09:43 , 06-Май-11, (1)

Правило iptables для выхода в интернет, Andrey Mitrofanov, 11:27 , 06-Май-11, (3)

Правило iptables для выхода в интернет, paltusssss, 20:33 , 06-Май-11, (4)

Правило iptables для выхода в интернет, LSTemp, 02:48 , 15-Май-11, (7)

Правило iptables для выхода в интернет, LSTemp, 02:43 , 15-Май-11, (5)

Правило iptables для выхода в интернет, Дядя_Федор, 11:01 , 06-Май-11, (2)

Правило iptables для выхода в интернет, LSTemp, 02:45 , 15-Май-11, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "Правило iptables для выхода в интернет" +/–

Сообщение от Andrey Mitrofanov on 06-Май-11, 09:43

_Одним_ правилом это сделать невозможно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Правило iptables для выхода в интернет" +/–

Сообщение от Andrey Mitrofanov on 06-Май-11, 11:27

> _Одним_ правилом это сделать невозможно.
Но если напрячься, взять examples/client-all.conf....
# egrep -v "^ *(#|$)" </usr/share/doc/firehol/examples/client-all.conf
version 5
interface any world
    client all accept
# firehol ./client-all.conf debug | ./explain-sorter
-N out_world_ftp_c3
-A out_world_ftp_c3 -p tcp --sport 32768:61000 --dport ftp -m state --state NEW,ESTABLISHED -j ACCEPT
-A out_world_ftp_c3 -p tcp --sport 32768:61000 --dport ftp-data -m state --state ESTABLISHED -j ACCEPT
-A out_world_ftp_c3 -p tcp --sport 32768:61000 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
-N in_world_ftp_c3
-A in_world_ftp_c3 -p tcp --sport ftp --dport 32768:61000 -m state --state ESTABLISHED -j ACCEPT
-A in_world_ftp_c3 -p tcp --sport ftp-data --dport 32768:61000 -m state --state ESTABLISHED,RELATED -j ACCEPT
-A in_world_ftp_c3 -p tcp --sport 1024:65535 --dport 32768:61000 -m state --state ESTABLISHED -j ACCEPT
-N out_world_irc_c2
-A out_world_irc_c2 -p tcp --sport 32768:61000 --dport 6667 -m state --state NEW,ESTABLISHED -j ACCEPT
-N in_world_irc_c2
-A in_world_irc_c2 -p tcp --sport 6667 --dport 32768:61000 -m state --state ESTABLISHED -j ACCEPT
-N out_world_all_c1
-A out_world_all_c1 -m state --state NEW,ESTABLISHED -j ACCEPT
-N in_world_all_c1
-A in_world_all_c1 -m state --state ESTABLISHED -j ACCEPT
-N out_world
-A out_world -j out_world_all_c1
-A out_world -j out_world_irc_c2
-A out_world -j out_world_ftp_c3
-A out_world -m state --state RELATED -j ACCEPT
-A out_world -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix=''OUT-world':'
-A out_world -j DROP
-N in_world
-A in_world -j in_world_all_c1
-A in_world -j in_world_irc_c2
-A in_world -j in_world_ftp_c3
-A in_world -m state --state RELATED -j ACCEPT
-A in_world -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix=''IN-world':'
-A in_world -j DROP
-A FORWARD -m state --state RELATED -j ACCEPT
-A FORWARD -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix='PASS-unknown:'
-A FORWARD -j DROP
-A OUTPUT -j out_world
-A OUTPUT -m state --state RELATED -j ACCEPT
-A OUTPUT -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix='OUT-unknown:'
-A OUTPUT -j DROP
-A INPUT -j in_world
-A INPUT -m state --state RELATED -j ACCEPT
-A INPUT -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix='IN-unknown:'
-A INPUT -j DROP
# exit
...немного его редуци...  простите!, сократить, забыть об irc-ftp.... то, ...

-A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Ничего, что правил - _два_, извините?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Правило iptables для выхода в интернет" +/–

Сообщение от paltusssss (ok) on 06-Май-11, 20:33

> -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
> -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> Ничего, что правил - _два_, извините?
Спасибо вам большое! Создал файл с правилами, сделал ему режим исполняемый и запустил как sh iptables_rules, что бы прогрузить его в память, а затем сохранить с помощью iptables-save. В результате получил сообщение об ошибке. Можно ли загрузить в память весь набор правил из заранее написанного файла, что бы не вводить их построчно?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Правило iptables для выхода в интернет" +/–

Сообщение от LSTemp (ok) on 15-Май-11, 02:48

>> -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
>> -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>> Ничего, что правил - _два_, извините?
> Спасибо вам большое! Создал файл с правилами, сделал ему режим исполняемый и
> запустил как sh iptables_rules, что бы прогрузить его в память, а
> затем сохранить с помощью iptables-save. В результате получил сообщение об ошибке.
> Можно ли загрузить в память весь набор правил из заранее написанного
> файла, что бы не вводить их построчно?
посмотрите свой /etc/sysconfig/iptables - именно туда пишет/читает iptables-save/iptables-restore.  формат файла очень простой. copy/paste никто не отменял.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Правило iptables для выхода в интернет" +/–

Сообщение от LSTemp (ok) on 15-Май-11, 02:43

> _Одним_ правилом это сделать невозможно.
неужели? как на счет банального - A OUTPUT -j ACCEPT )?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Правило iptables для выхода в интернет" +/–

Сообщение от Дядя_Федор on 06-Май-11, 11:01

> Какое правило нужно добавить в цепочку Output, что бы был разрешён выход
> машины в интернет.
Какой МАШИНЫ? Документацию по iptables (даже на русском языке для тех, кто не осилил английский) читать пробовали?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Правило iptables для выхода в интернет" +/–

Сообщение от LSTemp (ok) on 15-Май-11, 02:45

>> Какое правило нужно добавить в цепочку Output, что бы был разрешён выход
>> машины в интернет.
>  Какой МАШИНЫ? Документацию по iptables (даже на русском языке для тех,
> кто не осилил английский) читать пробовали?
ну раз ничего про клиентов, то предполагаю, что машины, на которой iptables стоят.
PS
какой вопрос - такой ответ.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Правило iptables для выхода в интернет"	+/–
Сообщение от Andrey Mitrofanov on 06-Май-11, 09:43
_Одним_ правилом это сделать невозможно.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "Правило iptables для выхода в интернет"	+/–
	Сообщение от Andrey Mitrofanov on 06-Май-11, 11:27
	> _Одним_ правилом это сделать невозможно. Но если напрячься, взять examples/client-all.conf.... # egrep -v "^ *(#\|$)" </usr/share/doc/firehol/examples/client-all.conf version 5 interface any world client all accept # firehol ./client-all.conf debug \| ./explain-sorter -N out_world_ftp_c3 -A out_world_ftp_c3 -p tcp --sport 32768:61000 --dport ftp -m state --state NEW,ESTABLISHED -j ACCEPT -A out_world_ftp_c3 -p tcp --sport 32768:61000 --dport ftp-data -m state --state ESTABLISHED -j ACCEPT -A out_world_ftp_c3 -p tcp --sport 32768:61000 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT -N in_world_ftp_c3 -A in_world_ftp_c3 -p tcp --sport ftp --dport 32768:61000 -m state --state ESTABLISHED -j ACCEPT -A in_world_ftp_c3 -p tcp --sport ftp-data --dport 32768:61000 -m state --state ESTABLISHED,RELATED -j ACCEPT -A in_world_ftp_c3 -p tcp --sport 1024:65535 --dport 32768:61000 -m state --state ESTABLISHED -j ACCEPT -N out_world_irc_c2 -A out_world_irc_c2 -p tcp --sport 32768:61000 --dport 6667 -m state --state NEW,ESTABLISHED -j ACCEPT -N in_world_irc_c2 -A in_world_irc_c2 -p tcp --sport 6667 --dport 32768:61000 -m state --state ESTABLISHED -j ACCEPT -N out_world_all_c1 -A out_world_all_c1 -m state --state NEW,ESTABLISHED -j ACCEPT -N in_world_all_c1 -A in_world_all_c1 -m state --state ESTABLISHED -j ACCEPT -N out_world -A out_world -j out_world_all_c1 -A out_world -j out_world_irc_c2 -A out_world -j out_world_ftp_c3 -A out_world -m state --state RELATED -j ACCEPT -A out_world -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix=''OUT-world':' -A out_world -j DROP -N in_world -A in_world -j in_world_all_c1 -A in_world -j in_world_irc_c2 -A in_world -j in_world_ftp_c3 -A in_world -m state --state RELATED -j ACCEPT -A in_world -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix=''IN-world':' -A in_world -j DROP -A FORWARD -m state --state RELATED -j ACCEPT -A FORWARD -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix='PASS-unknown:' -A FORWARD -j DROP -A OUTPUT -j out_world -A OUTPUT -m state --state RELATED -j ACCEPT -A OUTPUT -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix='OUT-unknown:' -A OUTPUT -j DROP -A INPUT -j in_world -A INPUT -m state --state RELATED -j ACCEPT -A INPUT -m limit --limit 1/second --limit-burst 5 -j LOG --log-level warning --log-prefix='IN-unknown:' -A INPUT -j DROP # exit ...немного его редуци... простите!, сократить, забыть об irc-ftp.... то, ... -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Ничего, что правил - _два_, извините?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	4. "Правило iptables для выхода в интернет"	+/–
	Сообщение от paltusssss (ok) on 06-Май-11, 20:33
	> -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT > -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > Ничего, что правил - _два_, извините? Спасибо вам большое! Создал файл с правилами, сделал ему режим исполняемый и запустил как sh iptables_rules, что бы прогрузить его в память, а затем сохранить с помощью iptables-save. В результате получил сообщение об ошибке. Можно ли загрузить в память весь набор правил из заранее написанного файла, что бы не вводить их построчно?
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	7. "Правило iptables для выхода в интернет"	+/–
	Сообщение от LSTemp (ok) on 15-Май-11, 02:48
	>> -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT >> -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >> Ничего, что правил - _два_, извините? > Спасибо вам большое! Создал файл с правилами, сделал ему режим исполняемый и > запустил как sh iptables_rules, что бы прогрузить его в память, а > затем сохранить с помощью iptables-save. В результате получил сообщение об ошибке. > Можно ли загрузить в память весь набор правил из заранее написанного > файла, что бы не вводить их построчно? посмотрите свой /etc/sysconfig/iptables - именно туда пишет/читает iptables-save/iptables-restore. формат файла очень простой. copy/paste никто не отменял.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	5. "Правило iptables для выхода в интернет"	+/–
	Сообщение от LSTemp (ok) on 15-Май-11, 02:43
	> _Одним_ правилом это сделать невозможно. неужели? как на счет банального - A OUTPUT -j ACCEPT )?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

2. "Правило iptables для выхода в интернет"	+/–
Сообщение от Дядя_Федор on 06-Май-11, 11:01
> Какое правило нужно добавить в цепочку Output, что бы был разрешён выход > машины в интернет. Какой МАШИНЫ? Документацию по iptables (даже на русском языке для тех, кто не осилил английский) читать пробовали?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	6. "Правило iptables для выхода в интернет"	+/–
	Сообщение от LSTemp (ok) on 15-Май-11, 02:45
	>> Какое правило нужно добавить в цепочку Output, что бы был разрешён выход >> машины в интернет. > Какой МАШИНЫ? Документацию по iptables (даже на русском языке для тех, > кто не осилил английский) читать пробовали? ну раз ничего про клиентов, то предполагаю, что машины, на которой iptables стоят. PS какой вопрос - такой ответ.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору