ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [Comm] Народ поделитесь кому незалко.
@ 2003-02-03 10:10 Половников Денис
  2003-02-03 11:04 ` [Comm] " aek
  2003-02-07  9:30 ` Maxim.Savrilov
  0 siblings, 2 replies; 6+ messages in thread
From: Половников Денис @ 2003-02-03 10:10 UTC (permalink / raw)
  To: community

Здравствуйте, community.

Народ поделитесь кому незалко простеньким скриптиком с правиломи
iptables для 2 сетивух. А тоя не очень вьехал как это пишется хочу на
примере посмотреть. А то мне срочно надо поднять iptables на серваке.
Помогите плиз...

С уважением,
 Половников Денис



^ permalink raw reply	[flat|nested] 6+ messages in thread

* [Comm] Re: [Comm] Народ поделитесь кому незалко.
  2003-02-03 10:10 [Comm] Народ поделитесь кому незалко Половников Денис
@ 2003-02-03 11:04 ` aek
  2003-02-03 12:17   ` [Comm] " Половников Денис
  2003-02-07  9:30 ` Maxim.Savrilov
  1 sibling, 1 reply; 6+ messages in thread
From: aek @ 2003-02-03 11:04 UTC (permalink / raw)
  To: Половников
	Денис

Hello Половников,

Monday, February 03, 2003, 5:10:27 PM, you wrote:

ПД> Народ поделитесь кому незалко простеньким скриптиком с правиломи
ПД> iptables для 2 сетивух. А тоя не очень вьехал как это пишется хочу на
ПД> примере посмотреть. А то мне срочно надо поднять iptables на серваке.
ПД> Помогите плиз...

Могу поделится простенькими правилами для 4 сетевух :)
Чего конкретно надо? какие сервисы подняты?

-- 
Всех благ!
Анатолий

^ permalink raw reply	[flat|nested] 6+ messages in thread

* [Comm] Re: [Comm] Re: [Comm] Народ поделитесь кому незалко.
  2003-02-03 11:04 ` [Comm] " aek
@ 2003-02-03 12:17   ` Половников Денис
  2003-02-04  3:06     ` [Comm] " aek
  0 siblings, 1 reply; 6+ messages in thread
From: Половников Денис @ 2003-02-03 12:17 UTC (permalink / raw)
  To: aek

Здравствуйте, aek.

Вы писали 3 февраля 2003 г., 14:04:52:

a> Hello Половников,

a> Monday, February 03, 2003, 5:10:27 PM, you wrote:

ПД>> Народ поделитесь кому незалко простеньким скриптиком с правиломи
ПД>> iptables для 2 сетивух. А тоя не очень вьехал как это пишется хочу на
ПД>> примере посмотреть. А то мне срочно надо поднять iptables на серваке.
ПД>> Помогите плиз...

a> Могу поделится простенькими правилами для 4 сетевух :)
a> Чего конкретно надо? какие сервисы подняты?

Одна сетивуха eth0 смотрит в инет на ней нужен только 53,22 а вторая
eth1 в локалку нужно чтоб были открыты 25,110, 3128 ... Просто чтоб юзеры
могли получать и отправлять почту и через squid в инет ходить.



С уважением,
 Половников Денис



^ permalink raw reply	[flat|nested] 6+ messages in thread

* [Comm] Re: [Comm] Re: [Comm] Re: [Comm] Народ поделитесь кому незалко.
  2003-02-03 12:17   ` [Comm] " Половников Денис
@ 2003-02-04  3:06     ` aek
  2003-02-04  6:11       ` [Comm] " Половников Денис
  0 siblings, 1 reply; 6+ messages in thread
From: aek @ 2003-02-04  3:06 UTC (permalink / raw)
  To: Половников
	Денис

Hello Половников,

Monday, February 03, 2003, 7:17:42 PM, you wrote:


ПД>>> Народ поделитесь кому незалко простеньким скриптиком с правиломи
ПД>>> iptables для 2 сетивух. А тоя не очень вьехал как это пишется хочу на
ПД>>> примере посмотреть. А то мне срочно надо поднять iptables на серваке.
ПД>>> Помогите плиз...

ПД> Одна сетивуха eth0 смотрит в инет на ней нужен только 53,22 а вторая
ПД> eth1 в локалку нужно чтоб были открыты 25,110, 3128 ... Просто чтоб юзеры
ПД> могли получать и отправлять почту и через squid в инет ходить.

Как просил - примеры, свои интерфейсы/сети уж сам пропишешь.
Вроде все прозрачней некуда...
параметры --sport 0:65535 --dport 0:65535 смело можешь повырезать
(если не лень)

Пример файлика no_fire.sh
#!/bin/sh

# Delete any existing chains
/sbin/iptables -F
/sbin/iptables -X

# accept all traffic
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P INPUT   ACCEPT
/sbin/iptables -P OUTPUT  ACCEPT


Пример файлика fire.sh
#!/bin/sh
#

# Delete any existing chains
/sbin/iptables -F
/sbin/iptables -X

# Shut down all traffic
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP

# Allow 'loopback interface'
/sbin/iptables -A INPUT  -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT

# Allow 'domain'
/sbin/iptables -A INPUT  -p tcp --sport 0:65535 --dport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp ! --syn --sport 53 --dport 0:65535 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 0:65535 --dport 53 -j ACCEPT
/sbin/iptables -A INPUT  -p tcp ! --syn --sport 53 --dport 0:65535 -j ACCEPT
/sbin/iptables -A INPUT  -p udp --sport 0:65535 --dport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp --sport 0:65535 --dport 53 -j ACCEPT
/sbin/iptables -A INPUT  -p udp --sport 53 --dport 0:65535 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp --sport 53 --dport 0:65535 -j ACCEPT


# Allow 'ping'
# Echo Request
/sbin/iptables -A INPUT   -p icmp --icmp-type echo-request -j ACCEPT
/sbin/iptables -A OUTPUT  -p icmp --icmp-type echo-request -j ACCEPT
/sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT
# Echo reply
/sbin/iptables -A INPUT   -p icmp --icmp-type echo-reply -j ACCEPT
/sbin/iptables -A OUTPUT  -p icmp --icmp-type echo-reply -j ACCEPT
/sbin/iptables -A FORWARD -p icmp --icmp-type echo-reply -j ACCEPT

# Allow 'ntp'
/sbin/iptables -A INPUT  -p tcp -s 10.55.8.0/21 --dport 123 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp ! --syn --sport 123 -d 10.55.8.0/21 -j ACCEPT
/sbin/iptables -A INPUT  -p udp -s 10.55.8.0/21 --dport 123 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp --sport 123 -d 10.55.8.0/21 -j ACCEPT

# Allow 'nntp'
/sbin/iptables -A INPUT  -p tcp -s 10.0.0.0/8 --dport 119 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp ! --syn --sport 119 -d 10.0.0.0/8 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 10.0.0.0/8 --dport 119 -j ACCEPT
/sbin/iptables -A INPUT  -p tcp ! --syn -s 10.0.0.0/8 --sport 119 -j ACCEPT

# Allow 'smtp'
/sbin/iptables -A INPUT  -p tcp --sport 0:65535 --dport 25 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp ! --syn --sport 25 --dport 0:65535 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp --sport 0:65535 --dport 25 -j ACCEPT
/sbin/iptables -A INPUT  -p tcp ! --syn --sport 25 --dport 0:65535 -j ACCEPT

# Allow 'pop3'
/sbin/iptables -A INPUT  -p tcp -s 10.55.8.0/21 --sport 0:65535 --dport 110 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp ! --syn --sport 110 -d 10.55.8.0/21 --dport 0:65535 -j ACCEPT

# Allow 'ssh'
/sbin/iptables -A INPUT  -p tcp -s 10.55.8.0/21 --dport 22 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp ! --syn --sport 22 -d 10.55.8.0/21 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 10.55.8.0/21 --dport 22 -j ACCEPT
/sbin/iptables -A INPUT  -p tcp ! --syn -s 10.55.8.0/21 --sport 22 -j ACCEPT

/sbin/iptables -A FORWARD -i eth0 -o eth1 -p tcp -s 10.1.30.3/32 --dport 22 -j ACCEPT
/sbin/iptables -A FORWARD -i eth1 -o eth0 -p tcp ! --syn --sport 22 -d
10.1.30.3/32 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -o eth1 -p tcp -s 10.55.8.0/21 --dport 22 -j ACCEPT
/sbin/iptables -A FORWARD -i eth1 -o eth0 -p tcp ! --syn --sport 22 -d
10.55.8.0/21 -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -o eth2 -p tcp -s 10.55.8.0/21 --dport 22 -j ACCEPT
/sbin/iptables -A FORWARD -i eth2 -o eth0 -p tcp ! --syn --sport 22 -d
10.55.8.0/21 -j ACCEPT


# Allow 'http'
/sbin/iptables -A INPUT  -p tcp -s 10.55.8.0/21 --dport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp ! --syn --sport 80  -d 10.55.8.0/21 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 10.0.0.0/8 --dport 80 -j ACCEPT
/sbin/iptables -A INPUT  -p tcp ! --syn --sport 80  -s 10.0.0.0/8 -j ACCEPT

# Allow 'https'
/sbin/iptables -A INPUT  -p tcp -s 10.55.8.0/21 --dport 443 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp ! --syn --sport 443  -d 10.55.8.0/21 -j ACCEPT
/sbin/iptables -A INPUT  -p tcp -s 10.55.8.0/21 --dport 1100 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp ! --syn --sport 1100  -d 10.55.8.0/21 -j ACCEPT

Ногами просьба не пинать. Если что лишнее, подкорректируйте...


-- 
Всех благ!
Анатолий

^ permalink raw reply	[flat|nested] 6+ messages in thread

* [Comm] Re: [Comm] Re: [Comm] Re: [Comm] Re: [Comm] Народ поделитесь кому незалко.
  2003-02-04  3:06     ` [Comm] " aek
@ 2003-02-04  6:11       ` Половников Денис
  0 siblings, 0 replies; 6+ messages in thread
From: Половников Денис @ 2003-02-04  6:11 UTC (permalink / raw)
  To: aek

Здравствуйте, aek.

Вы писали 4 февраля 2003 г., 6:06:26:

a> Hello Половников,

a> Monday, February 03, 2003, 7:17:42 PM, you wrote:


ПД>>>> Народ поделитесь кому незалко простеньким скриптиком с правиломи
ПД>>>> iptables для 2 сетивух. А тоя не очень вьехал как это пишется хочу на
ПД>>>> примере посмотреть. А то мне срочно надо поднять iptables на серваке.
ПД>>>> Помогите плиз...

ПД>> Одна сетивуха eth0 смотрит в инет на ней нужен только 53,22 а вторая
ПД>> eth1 в локалку нужно чтоб были открыты 25,110, 3128 ... Просто чтоб юзеры
ПД>> могли получать и отправлять почту и через squid в инет ходить.

a> Как просил - примеры, свои интерфейсы/сети уж сам пропишешь.
a> Вроде все прозрачней некуда...
a> параметры --sport 0:65535 --dport 0:65535 смело можешь повырезать
a> (если не лень)

Спасибо большое. мне главное чтоб пример был а с остольным я сам
разберусь :-)


С уважением,
 Половников Денис



^ permalink raw reply	[flat|nested] 6+ messages in thread

* Re: [Comm] Народ поделитесь кому незалко.
  2003-02-03 10:10 [Comm] Народ поделитесь кому незалко Половников Денис
  2003-02-03 11:04 ` [Comm] " aek
@ 2003-02-07  9:30 ` Maxim.Savrilov
  1 sibling, 0 replies; 6+ messages in thread
From: Maxim.Savrilov @ 2003-02-07  9:30 UTC (permalink / raw)
  To: community

On Mon, 3 Feb 2003 13:10:27 +0300
Половников Денис <fox@transbank.ru> wrote:

> Здравствуйте, community.
> 
> Народ поделитесь кому незалко простеньким скриптиком с правиломи
> iptables дл
>  2 сетивух. А то
>  не очень вьехал как это пишетс
>  хочу на
> примере посмотреть. А то мне срочно надо подн
> ть iptables на серваке.
> Помогите плиз...
> 
IPTABLES="/sbin/iptables"
INTRANET="192.168.0.0/24"
EXTERNAL_INTERFACE="eth0"
LOCAL_INTERFACE_1="eth1"
LOOPBACK_INTERFACE="lo"

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

    $IPTABLES -A INPUT  -i $LOOPBACK_INTERFACE  -j ACCEPT
    $IPTABLES -A OUTPUT -o $LOOPBACK_INTERFACE  -j ACCEPT
    $IPTABLES -A INPUT  -i $LOCAL_INTERFACE_1 -s $INTRANET -j ACCEPT
    $IPTABLES -A OUTPUT -o $LOCAL_INTERFACE_1 -d $INTRANET -j ACCEPT

какой вопрос, такой и ...


^ permalink raw reply	[flat|nested] 6+ messages in thread

end of thread, other threads:[~2003-02-07  9:30 UTC | newest]

Thread overview: 6+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-02-03 10:10 [Comm] Народ поделитесь кому незалко Половников Денис
2003-02-03 11:04 ` [Comm] " aek
2003-02-03 12:17   ` [Comm] " Половников Денис
2003-02-04  3:06     ` [Comm] " aek
2003-02-04  6:11       ` [Comm] " Половников Денис
2003-02-07  9:30 ` Maxim.Savrilov

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git