[Sysadmins] iptables

[Sysadmins] iptables

[Valery V. Rusnak]

Добрый день.
Подскажи пожалуйста как закрыть кому то доступ? В данном случае 
192.168.1.51, хочу запретить чтобы он невидел вообще сервер.

iptables -t filter - A INPUT -d 192.168.1.51 -j DROP
iptables -t filter - A OUTPUT -s 192.168.1.51 -j DROP

Что не так?

Re: [Sysadmins] iptables

[Serge]

В сообщении от Wednesday 03 October 2007 16:55:17 Valery V. Rusnak написал(а):
> Добрый день.
> Подскажи пожалуйста как закрыть кому то доступ? В данном случае
> 192.168.1.51, хочу запретить чтобы он невидел вообще сервер.
>
> iptables -t filter - A INPUT -d 192.168.1.51 -j DROP
> iptables -t filter - A OUTPUT -s 192.168.1.51 -j DROP
>
> Что не так?
может
 iptables -t filter - A INPUT -s 192.168.1.51 -j DROP
 iptables -t filter - A OUTPUT -d 192.168.1.51 -j DROP

Re: [Sysadmins] iptables

[Peter V. Saveliev]

On Wednesday 03 October 2007, Valery V. Rusnak wrote:
> Добрый день.
> Подскажи пожалуйста как закрыть кому то доступ? В данном случае
> 192.168.1.51, хочу запретить чтобы он невидел вообще сервер.
>
> iptables -t filter - A INPUT -d 192.168.1.51 -j DROP
> iptables -t filter - A OUTPUT -s 192.168.1.51 -j DROP
>
> Что не так?

-d -- это destination. Т.е. если хотите, чтобы 192.168.1.51 не видел машину, 
тогда надо использовать

iptables -t filter - A INPUT -s 192.168.1.51 -j DROP

-- 
Peter V. Saveliev

Re: [Sysadmins] iptables

[Valery V. Rusnak]

[-- Attachment #1: Type: text/plain, Size: 649 bytes --]



Peter V. Saveliev пишет:
> On Wednesday 03 October 2007, Valery V. Rusnak wrote:
>   
>> Добрый день.
>> Подскажи пожалуйста как закрыть кому то доступ? В данном случае
>> 192.168.1.51, хочу запретить чтобы он невидел вообще сервер.
>>
>> iptables -t filter - A INPUT -d 192.168.1.51 -j DROP
>> iptables -t filter - A OUTPUT -s 192.168.1.51 -j DROP
>>
>> Что не так?
>>     
>
> -d -- это destination. Т.е. если хотите, чтобы 192.168.1.51 не видел машину, 
> тогда надо использовать
>
> iptables -t filter - A INPUT -s 192.168.1.51 -j DROP
>   
Не помогло :( Я приатачил все строки.
ЗЫ. Не судите строго, только сегодня узнал что такое iptables



[-- Attachment #2: rc.firewall --]
[-- Type: text/plain, Size: 4209 bytes --]

#!/bin/bash
 
#Машина в офисе
# office=192.168.1.111
 
#Машина администратора
admin=192.168.1.51
 
#Адреса роутера
server0=192.168.2.5
# server1=10.15.1.2
 
# Адрес файлового архива с mp3 и video
#video_serv=172.18.1.2
 
# Интерфейс смотрящий на клиентов
# iface_cli=eth1
 
# Интерфейс смотрящий во внешний мир
iface_world=eth0
 
# Интерфейс смотрящий на архив
#iface_int=etheth2
 
#Порты, на которых работает конфигуратор и авторизатор
# conf_port=5555
# user_port1=5555
# user_port2=5555
 
# Разрешаем форвардинг пакетов между интерфейсами
# Эта штука необязательна, просто в некоторых дистрибутивах
# по умолчанию форвардинг разрешен, а в некоторых - запрещен
# Если мы подстрахуемся, хуже не бкдет
echo "1" > /proc/sys/net/ipv4/ip_forward
 
# Очищаем правила файрвола
iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X
 
# Политика по умолчанию DROP: всем всё запрещено
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

# Разрешаем пингам ходить всюду и всегда
#iptables -t filter -A INPUT -p icmp -j ACCEPT
#iptables -t filter -A FORWARD -p icmp -j ACCEPT
#iptables -t filter -A OUTPUT -p icmp -j ACCEPT
 
# Разрешаем всё на локальном интерфейсе
iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT
iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT

# Разрешить серверу общаться со внешним миром
iptables -t filter -A INPUT -i $iface_world -j ACCEPT
iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT

iptables -t filter -A INPUT -s 192.168.1.51 -j DROP

#iptables -t filter -A INPUT -s $admin -d $server0 -j REJECT
#iptables -t filter -A OUTPUT -d $admin -s $server0 -j REJECT

 
# Разрешить видео-серверу обращаться во внешним миром и роутером
# iptables -t filter -A INPUT -s $video_serv -j ACCEPT
# iptables -t filter -A FORWARD -s $video_serv -j ACCEPT
# iptables -t filter -A FORWARD -d $video_serv -j ACCEPT
# iptables -t filter -A OUTPUT -d $video_serv -j ACCEPT
 
# DNS. Замечу, ДНС работает и по TCP и по UDP
iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
 
# SSH
#iptables -t filter -A INPUT -p tcp -s $office -d $server0 --dport 22 -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp -d $office -s $server0 --sport 22 -j ACCEPT
#iptables -t filter -A INPUT -p tcp -s $admin -d $server0 --dport 22 -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport 22 -j ACCEPT
 
# Stargazer configurator
#iptables -t filter -A INPUT -p tcp -s 192.168.0.0/24 -d $server0 --dport $conf_port -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp -d 192.168.0.0/24 -s $server0 --sport $conf_port -j ACCEPT
 
# UDP stargazer InetAccess
#iptables -t filter -A INPUT -p udp -s 192.168.0.0/24 --sport $user_port2 -d $server0 --dport $user_port1 -j ACCEPT
#iptables -t filter -A OUTPUT -p udp -d 192.168.0.0/24 --dport $user_port1 -s $server0 -j ACCEPT

#All local
# iptables -t filter -A INPUT -p tcp -s 192.168.0.0/24 -d $server0 -j ACCEPT                                
# iptables -t filter -A OUTPUT -p tcp -d 192.168.0.0/24 -s $server0 -j ACCEPT
 
#Маскарад
#iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE
#iptables -t nat -A POSTROUTING -s 0.0.0.0/0 -o eth0 -j MASQUERADE

Re: [Sysadmins] iptables

[Timur Batyrshin]

Valery V. Rusnak (Wed, 03 Oct 2007 17:05:01 +0300):

> iptables -t filter -A INPUT -i $iface_world -j ACCEPT
> iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT

Вот эти строчки уберите, они разрешают весь трафик по интерфейсу
$iface_world. Потом уже можно будет дальше смотреть.

По iptables есть хороший туториал на русском на www.opennet.ru -- там
всего что-то около 30 страниц, если распечатать.

Re: [Sysadmins] iptables

[Valery V. Rusnak]

Timur Batyrshin пишет:
> Valery V. Rusnak (Wed, 03 Oct 2007 17:05:01 +0300):
>
>   
>> iptables -t filter -A INPUT -i $iface_world -j ACCEPT
>> iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT
>>     
>
> Вот эти строчки уберите, они разрешают весь трафик по интерфейсу
> $iface_world. Потом уже можно будет дальше смотреть.
>
> Убрал. Доступ пропал откуда либо.

Re: [Sysadmins] iptables

[Motsyo Gennadi aka Drool]

Valery V. Rusnak пишет:
> 
> Timur Batyrshin пишет:
>> Valery V. Rusnak (Wed, 03 Oct 2007 17:05:01 +0300):
>>
>>   
>>> iptables -t filter -A INPUT -i $iface_world -j ACCEPT
>>> iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT
>>>     
>> Вот эти строчки уберите, они разрешают весь трафик по интерфейсу
>> $iface_world. Потом уже можно будет дальше смотреть.
>>
> Убрал. Доступ пропал откуда либо.

	Может проще сформулировать конечную задачу - что и как должно быть?

Re: [Sysadmins] iptables

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 1103 bytes --]

Motsyo Gennadi aka Drool пишет:
> Valery V. Rusnak пишет:
>> Timur Batyrshin пишет:
>>> Valery V. Rusnak (Wed, 03 Oct 2007 17:05:01 +0300):
>>>
>>>   
>>>> iptables -t filter -A INPUT -i $iface_world -j ACCEPT
>>>> iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT
>>>>     
>>> Вот эти строчки уберите, они разрешают весь трафик по интерфейсу
>>> $iface_world. Потом уже можно будет дальше смотреть.
>>>
>> Убрал. Доступ пропал откуда либо.
> 
> 	Может проще сформулировать конечную задачу - что и как должно быть?
Ну в первом письме человек как мог её сформулировал... :)
А что этот человек понимает под "не видел" сервер -- я не знаю. Если
чтоб пинг не ходил, то нужно писать запрещающее правило именно для icmp.
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] iptables

[Peter V. Saveliev]

On Wednesday 03 October 2007, Valery V. Rusnak wrote:
> Timur Batyrshin пишет:
> > Valery V. Rusnak (Wed, 03 Oct 2007 17:05:01 +0300):
> >> iptables -t filter -A INPUT -i $iface_world -j ACCEPT
> >> iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT
> >
> > Вот эти строчки уберите, они разрешают весь трафик по интерфейсу
> > $iface_world. Потом уже можно будет дальше смотреть.
> >
> > Убрал. Доступ пропал откуда либо.

Правила в iptables, если не указать иного, просматриваются в порядке 
добавления. Те. если сначала доавить доступ отовсюду, а потом закрыть доступ 
откуда-то, то до запрета дело простой не дойдёт.

Т.о. ли прописывайте -j ACCEPT -s !192.что-то-там.51 (т.е. пускать всех, кто 
не 192...51), либо сначала -j DROP для одной машины, а потом -j ACCEPT для 
всех.

-- 
Peter V. Saveliev

Re: [Sysadmins] iptables

[Peter V. Saveliev]

...

Сорри за очепятки, пальцы уже заплетаюцо.

-- 
Peter V. Saveliev

Re: [Sysadmins] iptables

[Valery V. Rusnak]

Peter V. Saveliev пишет:
> On Wednesday 03 October 2007, Valery V. Rusnak wrote:
>   
>> Timur Batyrshin пишет:
>>     
>>> Valery V. Rusnak (Wed, 03 Oct 2007 17:05:01 +0300):
>>>       
>>>> iptables -t filter -A INPUT -i $iface_world -j ACCEPT
>>>> iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT
>>>>         
>>> Вот эти строчки уберите, они разрешают весь трафик по интерфейсу
>>> $iface_world. Потом уже можно будет дальше смотреть.
>>>
>>> Убрал. Доступ пропал откуда либо.
>>>       
>
> Правила в iptables, если не указать иного, просматриваются в порядке 
> добавления. Те. если сначала доавить доступ отовсюду, а потом закрыть доступ 
> откуда-то, то до запрета дело простой не дойдёт.
>
> Т.о. ли прописывайте -j ACCEPT -s !192.что-то-там.51 (т.е. пускать всех, кто 
> не 192...51), либо сначала -j DROP для одной машины, а потом -j ACCEPT для 
> всех.
>   
Спасибо. Второй вариант подошел :) Закрылся от него :) Я так понимаю 
если от него закрылся, то и сам к нему не достучусь?

Re: [Sysadmins] iptables

[Vyatcheslav Perevalov]

В сообщении от 3 октября 2007 Valery V. Rusnak написал(a):
> Я так понимаю
> если от него закрылся, то и сам к нему не достучусь?

Кроме того, надобно покурить iptables tutorial на предмет -m state 
NEW,ESTABLISHED,RELATED

-- 
Всего хорошего
		/vip

Re: [Sysadmins] [JT] iptables

[Alex Karpov]

[-- Attachment #1: Type: text/plain, Size: 671 bytes --]

В сообщении от Wednesday 03 October 2007 21:43:41 Vyatcheslav Perevalov 
написал(а):
> В сообщении от 3 октября 2007 Valery V. Rusnak написал(a):
> > Я так понимаю
> > если от него закрылся, то и сам к нему не достучусь?
>
> Кроме того, надобно покурить iptables tutorial на предмет -m state
> NEW,ESTABLISHED,RELATED
%
<Pilot> Hiddenman: use tcpdump, Luke
<Hiddenman> Pilot: угу....этож надо сложный фильтр
писать, там еще куча барахла с сервером связана
<Pilot> фильтр с наличием не только src host, а ещё и
tcp port или dst host автоматически считается сложным. дополнительные
опреаторы возводят его в ранг непостижимого, а использование tcp-флагов 
обожествляет.
%



[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] iptables

[Alexey Shabalin]

03.10.07, Valery V. Rusnak<xacan1@ukr.net> написал(а):
> ЗЫ. Не судите строго, только сегодня узнал что такое iptables

Когда разберётесь с iptables (но не раньше) и сделаете пяток своих
скриптов для него, посмотрите в стророну уже готовых скриптовых
обвязок, типа shorewall, fiaif.
Ещё есть графические утилиты для создания скриптов - fwcreator,
fwbuilder-ipt, guarddog.
(что такое dwall - не знаю)

-- 
Alexey Shabalin

Re: [Sysadmins] iptables

[Valery V. Rusnak]

Alexey Shabalin пишет:
> 03.10.07, Valery V. Rusnak<xacan1@ukr.net> написал(а):
>   
>> ЗЫ. Не судите строго, только сегодня узнал что такое iptables
>>     
>
> Когда разберётесь с iptables (но не раньше) и сделаете пяток своих
> скриптов для него, посмотрите в стророну уже готовых скриптовых
> обвязок, типа shorewall, fiaif.
> Ещё есть графические утилиты для создания скриптов - fwcreator,
> fwbuilder-ipt, guarddog.
> (что такое dwall - не знаю)
>
>   
Спасибо. Ну, графическими точно пользоваться не буду, я через putty привык.

Re: [Sysadmins] iptables

[Serge Polkovnikov]

Thursday 04 October 2007 15:37:45 Valery V. Rusnak написав:
> > Ещё есть графические утилиты для создания скриптов - fwcreator,

fwcreator - консольная

> > fwbuilder-ipt, guarddog.
> > (что такое dwall - не знаю)
> >
> >  
>
> Спасибо. Ну, графическими точно пользоваться не буду, я через putty привык.
-- 
Сергей Полковников

Re: [Sysadmins] iptables

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 837 bytes --]

Serge Polkovnikov пишет:
> Thursday 04 October 2007 15:37:45 Valery V. Rusnak написав:
>>> Ещё есть графические утилиты для создания скриптов - fwcreator,
> 
> fwcreator - консольная
> 
>>> fwbuilder-ipt, guarddog.
>>> (что такое dwall - не знаю)
>>>
>>>  
>> Спасибо. Ну, графическими точно пользоваться не буду, я через putty привык.
Любыми генераторами правил можно пользоваться только когда Вы
способны осознанно проэкзаменовать результат их работы, ИМХО.
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] iptables

[Valery V. Rusnak]

Andrii Dobrovol`s`kii пишет:
> Serge Polkovnikov пишет:
>   
>> Thursday 04 October 2007 15:37:45 Valery V. Rusnak написав:
>>     
>>>> Ещё есть графические утилиты для создания скриптов - fwcreator,
>>>>         
>> fwcreator - консольная
>>
>>     
>>>> fwbuilder-ipt, guarddog.
>>>> (что такое dwall - не знаю)
>>>>
>>>>  
>>>>         
>>> Спасибо. Ну, графическими точно пользоваться не буду, я через putty привык.
>>>       
> Любыми генераторами правил можно пользоваться только когда Вы
> способны осознанно проэкзаменовать результат их работы, ИМХО.
>   
>   
Вот во вложении, то что у меня получилось, переделав один конфиг.
Там есть строка доступ по SSH закрывает 192.168.0.0/16. А как перекрыть 
отовсюду? Это и 80го порта касается.

Re: [Sysadmins] iptables

[Valery V. Rusnak]

[-- Attachment #1: Type: text/plain, Size: 920 bytes --]



Valery V. Rusnak пишет:
> Andrii Dobrovol`s`kii пишет:
>   
>> Serge Polkovnikov пишет:
>>   
>>     
>>> Thursday 04 October 2007 15:37:45 Valery V. Rusnak написав:
>>>     
>>>       
>>>>> Ещё есть графические утилиты для создания скриптов - fwcreator,
>>>>>         
>>>>>           
>>> fwcreator - консольная
>>>
>>>     
>>>       
>>>>> fwbuilder-ipt, guarddog.
>>>>> (что такое dwall - не знаю)
>>>>>
>>>>>  
>>>>>         
>>>>>           
>>>> Спасибо. Ну, графическими точно пользоваться не буду, я через putty привык.
>>>>       
>>>>         
>> Любыми генераторами правил можно пользоваться только когда Вы
>> способны осознанно проэкзаменовать результат их работы, ИМХО.
>>   
>>   
>>     
> Вот во вложении, то что у меня получилось, переделав один конфиг.
> Там есть строка доступ по SSH закрывает 192.168.0.0/16. А как перекрыть 
> отовсюду? Это и 80го порта касается.
>
>   
Сорри. забыл вложить.

[-- Attachment #2: rc.firewall --]
[-- Type: text/plain, Size: 4801 bytes --]

#!/bin/bash
 
#Машина в офисе
# office=192.168.1.111
 
#Машина администратора
admin=192.168.1.51
 
#Адреса роутера
server0=192.168.2.5
# server1=10.15.1.2
 
# Адрес файлового архива с mp3 и video
#video_serv=172.18.1.2
 
# Интерфейс смотрящий на клиентов
# iface_cli=eth1
 
# Интерфейс смотрящий во внешний мир
iface_world=eth0
 
# Интерфейс смотрящий на архив
#iface_int=etheth2
 
#Порты, на которых работает конфигуратор и авторизатор
# conf_port=5555
# user_port1=5555
# user_port2=5555
 
# Разрешаем форвардинг пакетов между интерфейсами
# Эта штука необязательна, просто в некоторых дистрибутивах
# по умолчанию форвардинг разрешен, а в некоторых - запрещен
# Если мы подстрахуемся, хуже не бкдет
echo "1" > /proc/sys/net/ipv4/ip_forward
 
# Очищаем правила файрвола
iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X
 
# Политика по умолчанию DROP: всем всё запрещено
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

# Разрешаем пингам ходить всюду и всегда
#iptables -t filter -A INPUT -p icmp -j ACCEPT
#iptables -t filter -A FORWARD -p icmp -j ACCEPT
#iptables -t filter -A OUTPUT -p icmp -j ACCEPT
 
# Разрешаем всё на локальном интерфейсе
iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT
iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT

# БАНИМ КОГО НАДО

# iptables -t filter -A INPUT -s 192.168.1.111 -j DROP

# разрешить доступ мне по 80 порту, следующее запретит всем.
iptables -t filter -A INPUT -s 192.168.1.51 -p tcp --dport 80 -j ACCEPT
#запретить всем доступ по 80 порту
iptables -t filter -A INPUT -s 192.168.0.0/16 -p tcp --dport 80 -j DROP

# iptables -t filter -A INPUT -s 192.168.1.111 -p tcp --dport 22 -j ACCEPT
iptables -t filter -A INPUT -s 192.168.1.51 -p tcp --dport 22 -j ACCEPT
# закрыть по SSH
iptables -t filter -A INPUT -s 192.168.0.0/16 -p tcp --dport 22 -j DROP

# Разрешить серверу общаться с внешним миром
iptables -t filter -A INPUT -i $iface_world -j ACCEPT
iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT

#iptables -t filter -A INPUT -s $admin -d $server0 -j REJECT
#iptables -t filter -A OUTPUT -d $admin -s $server0 -j REJECT

 
# Разрешить видео-серверу обращаться во внешним миром и роутером
# iptables -t filter -A INPUT -s $video_serv -j ACCEPT
# iptables -t filter -A FORWARD -s $video_serv -j ACCEPT
# iptables -t filter -A FORWARD -d $video_serv -j ACCEPT
# iptables -t filter -A OUTPUT -d $video_serv -j ACCEPT
 
# DNS. Замечу, ДНС работает и по TCP и по UDP
iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
 
# SSH
#iptables -t filter -A INPUT -p tcp -s $office -d $server0 --dport 22 -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp -d $office -s $server0 --sport 22 -j ACCEPT
#iptables -t filter -A INPUT -p tcp -s $admin -d $server0 --dport 22 -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport 22 -j ACCEPT
 
# Stargazer configurator
#iptables -t filter -A INPUT -p tcp -s 192.168.0.0/24 -d $server0 --dport $conf_port -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp -d 192.168.0.0/24 -s $server0 --sport $conf_port -j ACCEPT
 
# UDP stargazer InetAccess
#iptables -t filter -A INPUT -p udp -s 192.168.0.0/24 --sport $user_port2 -d $server0 --dport $user_port1 -j ACCEPT
#iptables -t filter -A OUTPUT -p udp -d 192.168.0.0/24 --dport $user_port1 -s $server0 -j ACCEPT

#All local
# iptables -t filter -A INPUT -p tcp -s 192.168.0.0/24 -d $server0 -j ACCEPT                                
# iptables -t filter -A OUTPUT -p tcp -d 192.168.0.0/24 -s $server0 -j ACCEPT
 
#Маскарад
#iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE
#iptables -t nat -A POSTROUTING -s 0.0.0.0/0 -o eth0 -j MASQUERADE

Re: [Sysadmins] iptables

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 1124 bytes --]

Valery V. Rusnak пишет:
> 
> 
> Valery V. Rusnak пишет:
>>>         
>> Вот во вложении, то что у меня получилось, переделав один конфиг.
>> Там есть строка доступ по SSH закрывает 192.168.0.0/16. А как
>> перекрыть отовсюду? Это и 80го порта касается.
>>
>>   
> Сорри. забыл вложить.
> 
Самый простой вариант, не указывать адрес источника. :)
Или указать 0/0. Кроме того, если посмотреть на стандартные порты
конкретной службы:
grep ssh /etc/services
ssh             22/tcp             # SSH Remote Login Protocol
ssh             22/udp             # SSH Remote Login Protocol
x11-ssh-offset  6010/tcp           # SSH X11 forwarding offset
то можно увидеть, что многие службы используют ещё и UDP протокол
или имеют по нескольку портов.
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] iptables

[Valery V. Rusnak]

Andrii Dobrovol`s`kii пишет:
> Valery V. Rusnak пишет:
>   
>> Valery V. Rusnak пишет:
>>     
>>>>         
>>>>         
>>> Вот во вложении, то что у меня получилось, переделав один конфиг.
>>> Там есть строка доступ по SSH закрывает 192.168.0.0/16. А как
>>> перекрыть отовсюду? Это и 80го порта касается.
>>>
>>>   
>>>       
>> Сорри. забыл вложить.
>>
>>     
> Самый простой вариант, не указывать адрес источника. :)
> Или указать 0/0. Кроме того, если посмотреть на стандартные порты
> конкретной службы:
> grep ssh /etc/services
> ssh             22/tcp             # SSH Remote Login Protocol
> ssh             22/udp             # SSH Remote Login Protocol
> x11-ssh-offset  6010/tcp           # SSH X11 forwarding offset
> то можно увидеть, что многие службы используют ещё и UDP протокол
> или имеют по нескольку портов.
>   
Понял, сделал так.

iptables -t filter -A INPUT -p tcp --dport 80 -j DROP

iptables -t filter -A INPUT -p tcp --dport 22 -j DROP

а как прирезать не указывая протокол? Указать допустим только порт, или 
только службу.
Или так нельзя? Убираю -p tcp отправляет читать хелп, а я там нифига 
разобрать не могу :(

Re: [Sysadmins] iptables

[LIO]

Здравствуйте.

4.10.2007 18:21 Valery wrote:

>>> Любыми генераторами правил можно пользоваться только когда Вы
>>> способны осознанно проэкзаменовать результат их работы, ИМХО.
ИМХО тоже. Абсолютно согласен.

>> Вот во вложении, то что у меня получилось, переделав один конфиг.
>> Там есть строка доступ по SSH закрывает 192.168.0.0/16. А как перекрыть 
>> отовсюду? Это и 80го порта касается.

там есть много строчек, и для http:
# С─азС─Р╣С┬РёС┌С▄ Р╢Р╬С│С┌С┐Р© Р╪Р╫Р╣ Р©Р╬ 80 Р©Р╬С─С┌С┐, С│Р╩Р╣Р╢С┐С▌С┴Р╣Р╣ заЩС─Р╣С┌РёС┌ Р╡С│Р╣Р╪.
iptables -t filter -A INPUT -s 192.168.1.51 -p tcp --dport 80 -j ACCEPT
#заЩС─Р╣С┌РёС┌С▄ Р╡С│Р╣Р╪ Р╢Р╬С│С┌С┐Р© Р©Р╬ 80 Р©Р╬С─С┌С┐
iptables -t filter -A INPUT -s 192.168.0.0/16 -p tcp --dport 80 -j DROP

и для SSH тоже
# iptables -t filter -A INPUT -s 192.168.1.111 -p tcp --dport 22 -j ACCEPT
iptables -t filter -A INPUT -s 192.168.1.51 -p tcp --dport 22 -j ACCEPT
# Р·Р°Р╨С─С▀С┌С▄ Р©Р╬ SSH
iptables -t filter -A INPUT -s 192.168.0.0/16 -p tcp --dport 22 -j DROP

напиши вместо этого (на худой конец до этого)
# С─азС─Р╣С┬РёС┌С▄ Р╢Р╬С│С┌С┐Р© Р╪Р╫Р╣ Р©Р╬ 80 Р©Р╬С─С┌С┐, С│Р╩Р╣Р╢С┐С▌С┴Р╣Р╣ заЩС─Р╣С┌РёС┌ Р╡С│Р╣Р╪.
iptables -t filter -A INPUT -s 192.168.1.51 -j ACCEPT
iptables -t filter -A INPUT -s 192.168.0.0/16 -j DROP
чтобы запретить доступ всем из подсети 192.168.0.0/16 кроме
192.168.1.51. Вот только пролистав ниже можно увидеть что
# РазС─Р╣С┬РёС┌С▄ С│Р╣С─Р╡Р╣С─С┐ Р╬Р╠С┴Р°С┌С▄С│С▐ С│ Р╡Р╫Р╣С┬Р╫РёР╪ Р╪РёС─Р╬Р╪
iptables -t filter -A INPUT -i $iface_world -j ACCEPT
iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT
для "внешнего мира" (eth0) входной то и двери нет (дыра размером с
пару окон). Поэтому это стоит подправить на следующее
iptables -t filter -A INPUT -s 192.168.1.51 -j ACCEPT
iptables -t filter -A INPUT -j DROP
Тогда доступ будет закрыт вообще всем кроме 192.168.1.15

А если вспомнить первое Ваше письмо где вы говорили что доступ надо
закрыть только 192.168.1.15 (сделать с точностью до наоборот), то
iptables -t filter -A INPUT -s !192.168.1.51 -j ACCEPT

Надеюсь, данные "примеры" помогут Вам.

ЗЫЖ Чего-то с кодировочкой намудрили...


-- 
Binary yours,
 LIO

Re: [Sysadmins] iptables

[LIO]

Здравствуйте.

4.10.2007 20:35 Valery wrote:

VVR> а как прирезать не указывая протокол? Указать допустим только порт, или
VVR> только службу.
VVR> Или так нельзя? Убираю -p tcp отправляет читать хелп, а я там нифига 
VVR> разобрать не могу :(

http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html


-- 
Binary yours,
 LIO

Re: [Sysadmins] iptables

[Valery V. Rusnak]

LIO пишет:
> Здравствуйте.
>
> 4.10.2007 18:21 Valery wrote:
>
>   
>>>> Любыми генераторами правил можно пользоваться только когда Вы
>>>> способны осознанно проэкзаменовать результат их работы, ИМХО.
>>>>         
> ИМХО тоже. Абсолютно согласен.
>
>   
>>> Вот во вложении, то что у меня получилось, переделав один конфиг.
>>> Там есть строка доступ по SSH закрывает 192.168.0.0/16. А как перекрыть 
>>> отовсюду? Это и 80го порта касается.
>>>       
>
> там есть много строчек, и для http:
> # С─азС─Р╣С┬РёС┌С▄ Р╢Р╬С│С┌С┐Р© Р╪Р╫Р╣ Р©Р╬ 80 Р©Р╬С─С┌С┐, С│Р╩Р╣Р╢С┐С▌С┴Р╣Р╣ заЩС─Р╣С┌РёС┌ Р╡С│Р╣Р╪.
> iptables -t filter -A INPUT -s 192.168.1.51 -p tcp --dport 80 -j ACCEPT
> #заЩС─Р╣С┌РёС┌С▄ Р╡С│Р╣Р╪ Р╢Р╬С│С┌С┐Р© Р©Р╬ 80 Р©Р╬С─С┌С┐
> iptables -t filter -A INPUT -s 192.168.0.0/16 -p tcp --dport 80 -j DROP
>
> и для SSH тоже
> # iptables -t filter -A INPUT -s 192.168.1.111 -p tcp --dport 22 -j ACCEPT
> iptables -t filter -A INPUT -s 192.168.1.51 -p tcp --dport 22 -j ACCEPT
> # Р·Р°Р╨С─С▀С┌С▄ Р©Р╬ SSH
> iptables -t filter -A INPUT -s 192.168.0.0/16 -p tcp --dport 22 -j DROP
>
> напиши вместо этого (на худой конец до этого)
> # С─азС─Р╣С┬РёС┌С▄ Р╢Р╬С│С┌С┐Р© Р╪Р╫Р╣ Р©Р╬ 80 Р©Р╬С─С┌С┐, С│Р╩Р╣Р╢С┐С▌С┴Р╣Р╣ заЩС─Р╣С┌РёС┌ Р╡С│Р╣Р╪.
> iptables -t filter -A INPUT -s 192.168.1.51 -j ACCEPT
> iptables -t filter -A INPUT -s 192.168.0.0/16 -j DROP
> чтобы запретить доступ всем из подсети 192.168.0.0/16 кроме
> 192.168.1.51. Вот только пролистав ниже можно увидеть что
> # РазС─Р╣С┬РёС┌С▄ С│Р╣С─Р╡Р╣С─С┐ Р╬Р╠С┴Р°С┌С▄С│С▐ С│ Р╡Р╫Р╣С┬Р╫РёР╪ Р╪РёС─Р╬Р╪
> iptables -t filter -A INPUT -i $iface_world -j ACCEPT
> iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT
> для "внешнего мира" (eth0) входной то и двери нет (дыра размером с
> пару окон). Поэтому это стоит подправить на следующее
> iptables -t filter -A INPUT -s 192.168.1.51 -j ACCEPT
> iptables -t filter -A INPUT -j DROP
> Тогда доступ будет закрыт вообще всем кроме 192.168.1.15
>
> А если вспомнить первое Ваше письмо где вы говорили что доступ надо
> закрыть только 192.168.1.15 (сделать с точностью до наоборот), то
> iptables -t filter -A INPUT -s !192.168.1.51 -j ACCEPT
>
> Надеюсь, данные "примеры" помогут Вам.
>
>   
Спасибо!! Буду тестить и эксперементировать :)
> ЗЫЖ Чего-то с кодировочкой намудрили...
>   
то вложенный файл, в putty читаю корректно.

Re: [Sysadmins] iptables

[Mikhail A. Pokidko]

2007/10/4, Andrii Dobrovol`s`kii:
> Serge Polkovnikov пишет:
> > Thursday 04 October 2007 15:37:45 Valery V. Rusnak написав:
> >>> Ещё есть графические утилиты для создания скриптов - fwcreator,
> >
> > fwcreator - консольная
> >
> >>> fwbuilder-ipt, guarddog.
> >>> (что такое dwall - не знаю)
> >>>
> >>>
> >> Спасибо. Ну, графическими точно пользоваться не буду, я через putty привык.
> Любыми генераторами правил можно пользоваться только когда Вы
> способны осознанно проэкзаменовать результат их работы, ИМХО.
Кстати говоря, на днях залью 2 тестилки для фаервола.
Завтра либо в понедельник уже.


-- 

ALTLinux Team
xmpp: solar AT solar.net.ru

Re: [Sysadmins] iptables - тестилки файрволов

[LIO]

Здравствуйте.

4.10.2007 21:46 Mikhail wrote:

>> >> Спасибо. Ну, графическими точно пользоваться не буду, я через putty привык.
>> Любыми генераторами правил можно пользоваться только когда Вы
>> способны осознанно проэкзаменовать результат их работы, ИМХО.
MAP> Кстати говоря, на днях залью 2 тестилки для фаервола.
MAP> Завтра либо в понедельник уже.
Хммммм.. Тестилки для файрвола?? ping и nmap хочешь залить? ;))

(открываю новую тему)

-- 
Binary yours,
 LIO

Re: [Sysadmins] iptables

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 543 bytes --]

Valery V. Rusnak пишет:
> 
> то вложенный файл, в putty читаю корректно.
Кодировка файла utf8, кодировка письма кои. Вот и "имеем то, что
имеем"... :) Впредь так не делайте.
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] iptables

[Valery V. Rusnak]

Valery V. Rusnak пишет:
> LIO пишет:
>   
>> Здравствуйте.
>>
>> 4.10.2007 18:21 Valery wrote:
>>
>>   
>>     
>>>>> Любыми генераторами правил можно пользоваться только когда Вы
>>>>> способны осознанно проэкзаменовать результат их работы, ИМХО.
>>>>>         
>>>>>           
>> ИМХО тоже. Абсолютно согласен.
>>
>>   
>>     
>>>> Вот во вложении, то что у меня получилось, переделав один конфиг.
>>>> Там есть строка доступ по SSH закрывает 192.168.0.0/16. А как перекрыть 
>>>> отовсюду? Это и 80го порта касается.
>>>>       
>>>>         
>> там есть много строчек, и для http:
>> # С─азС─Р╣С┬РёС┌С▄ Р╢Р╬С│С┌С┐Р© Р╪Р╫Р╣ Р©Р╬ 80 Р©Р╬С─С┌С┐, С│Р╩Р╣Р╢С┐С▌С┴Р╣Р╣ заЩС─Р╣С┌РёС┌ Р╡С│Р╣Р╪.
>> iptables -t filter -A INPUT -s 192.168.1.51 -p tcp --dport 80 -j ACCEPT
>> #заЩС─Р╣С┌РёС┌С▄ Р╡С│Р╣Р╪ Р╢Р╬С│С┌С┐Р© Р©Р╬ 80 Р©Р╬С─С┌С┐
>> iptables -t filter -A INPUT -s 192.168.0.0/16 -p tcp --dport 80 -j DROP
>>
>> и для SSH тоже
>> # iptables -t filter -A INPUT -s 192.168.1.111 -p tcp --dport 22 -j ACCEPT
>> iptables -t filter -A INPUT -s 192.168.1.51 -p tcp --dport 22 -j ACCEPT
>> # Р·Р°Р╨С─С▀С┌С▄ Р©Р╬ SSH
>> iptables -t filter -A INPUT -s 192.168.0.0/16 -p tcp --dport 22 -j DROP
>>
>> напиши вместо этого (на худой конец до этого)
>> # С─азС─Р╣С┬РёС┌С▄ Р╢Р╬С│С┌С┐Р© Р╪Р╫Р╣ Р©Р╬ 80 Р©Р╬С─С┌С┐, С│Р╩Р╣Р╢С┐С▌С┴Р╣Р╣ заЩС─Р╣С┌РёС┌ Р╡С│Р╣Р╪.
>> iptables -t filter -A INPUT -s 192.168.1.51 -j ACCEPT
>> iptables -t filter -A INPUT -s 192.168.0.0/16 -j DROP
>> чтобы запретить доступ всем из подсети 192.168.0.0/16 кроме
>> 192.168.1.51. Вот только пролистав ниже можно увидеть что
>> # РазС─Р╣С┬РёС┌С▄ С│Р╣С─Р╡Р╣С─С┐ Р╬Р╠С┴Р°С┌С▄С│С▐ С│ Р╡Р╫Р╣С┬Р╫РёР╪ Р╪РёС─Р╬Р╪
>> iptables -t filter -A INPUT -i $iface_world -j ACCEPT
>> iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT
>> для "внешнего мира" (eth0) входной то и двери нет (дыра размером с
>> пару окон). Поэтому это стоит подправить на следующее
>> iptables -t filter -A INPUT -s 192.168.1.51 -j ACCEPT
>> iptables -t filter -A INPUT -j DROP
>> Тогда доступ будет закрыт вообще всем кроме 192.168.1.15
>>
>> А если вспомнить первое Ваше письмо где вы говорили что доступ надо
>> закрыть только 192.168.1.15 (сделать с точностью до наоборот), то
>> iptables -t filter -A INPUT -s !192.168.1.51 -j ACCEPT
>>
>> Надеюсь, данные "примеры" помогут Вам.
>>
>>     
Слишком сложно для меня оказалось, то что я удумал :)
Задача такая:
Есть комп (ALD4) на нем сетевушка eth0 (192.168.2.5  маска 255.255.0.0)
ходит в и-нет и в сеть через эту же сетевушку. (шлюз и днс 192.168.1.1)

Хотел чтобы на нем и-нет работал, чтобы к нему заходили через самбу на зашареные ресурсы все с сети,
кроме некоторые (т.е. закрывать некоторым доступ по необходимости) чтобы некоторые заходили к нему по 80
и смотрели график загрузки интерфейса.

Прописал для начала:

iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT
iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT
iptables -t filter -A INPUT -s 192.168.1.51 -j ACCEPT
iptables -t filter -A OUTPUT -d 192.168.1.51 -j ACCEPT

iptables -t filter -A INPUT -j DROP

Чтобы просто разрешить с 192.168.1.51.
Перечитал мануал. http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html
Доступ к и-нету пропал. И пока не додумался как сделать чтобы и-нет был на 192.168.2.5(этот фаерволл на нем) и по сети ходил к кому угодно, но чтобы не все имели доступ к нему.

Re: [Sysadmins] iptables

[Timur Batyrshin]

В письме от Суб, 06 Окт 2007, 16:00 Valery V. Rusnak
пишет:
> Прописал для начала:
>
> iptables -t filter -P INPUT DROP
> iptables -t filter -P FORWARD DROP
> iptables -t filter -P OUTPUT DROP
> iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT
> iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT
> iptables -t filter -A INPUT -s 192.168.1.51 -j ACCEPT
> iptables -t filter -A OUTPUT -d 192.168.1.51 -j ACCEPT
>
> iptables -t filter -A INPUT -j DROP
>
> Чтобы просто разрешить с 192.168.1.51.
> Доступ к и-нету пропал.
Конечно пропал. Все исходящие пакеты
кроме как на 127.0.0.1 и 192.168.1.51 же дропаются.

> И пока не
> додумался как сделать чтобы и-нет был на
> 192.168.2.5(этот фаерволл на нем) и по сети
> ходил к кому угодно, но чтобы не все
> имели доступ к нему.

Мне кажется, нужно смотреть в сторону -m
state --state ESTABLISHED, RELATED -j ...

Re: [Sysadmins] iptables

[Vyatcheslav Perevalov]

В сообщении от 6 октября 2007 Timur Batyrshin написал(a):
> Мне кажется, нужно смотреть в сторону -m
> state --state ESTABLISHED, RELATED -j ...

У меня это именно так и реализовано

-- 
Всего хорошего
		/vip

Re: [Sysadmins] iptables

[Valery V. Rusnak]

Vyatcheslav Perevalov пишет:
> В сообщении от 6 октября 2007 Timur Batyrshin написал(a):
>   
>> Мне кажется, нужно смотреть в сторону -m
>> state --state ESTABLISHED, RELATED -j ...
>>     
>
> У меня это именно так и реализовано
>   
А можно поподробнее? Чтобы подходило к моему случаю. т.е. был доступ 
оттуда в и-нет, с сети туда тоже был доступ, но для некоторых 
перекрывать. например чтобы для 192.168.1.51, 192.168.1.44,  
192.168.2.33 не видели вообще меня.
Спасибо.

Re: [Sysadmins] iptables

[Vyatcheslav Perevalov]

В сообщении от 6 октября 2007 Valery V. Rusnak написал(a):
> Чтобы подходило к моему случаю. т.е. был доступ
> оттуда в и-нет, с сети туда тоже был доступ, но для некоторых
> перекрывать. например чтобы для 192.168.1.51, 192.168.1.44,  
> 192.168.2.33 не видели вообще меня.

У Вас Инет и Сеть физически через один и-фейс ходят?

-- 
Всего хорошего
		/vip

Re: [Sysadmins] iptables

[Valery V. Rusnak]

Vyatcheslav Perevalov пишет:
> В сообщении от 6 октября 2007 Valery V. Rusnak написал(a):
>   
>> Чтобы подходило к моему случаю. т.е. был доступ
>> оттуда в и-нет, с сети туда тоже был доступ, но для некоторых
>> перекрывать. например чтобы для 192.168.1.51, 192.168.1.44,  
>> 192.168.2.33 не видели вообще меня.
>>     
>
> У Вас Инет и Сеть физически через один и-фейс ходят?
>   
угу.

Я вот как то писал:

Есть комп (ALD4) на нем сетевушка eth0 (192.168.2.5  маска 255.255.0.0)
ходит в и-нет и в сеть через эту же сетевушку. (шлюз и днс 192.168.1.1)

Хотел чтобы на нем и-нет работал, чтобы к нему заходили через самбу на зашареные ресурсы все с сети,
кроме некоторые (т.е. закрывать некоторым доступ по необходимости) чтобы некоторые заходили к нему по 80
и смотрели график загрузки интерфейса.

Re: [Sysadmins] iptables

[Vyatcheslav Perevalov]

В сообщении от 7 октября 2007 Valery V. Rusnak написал(a):
> Есть комп (ALD4) на нем сетевушка eth0 (192.168.2.5  маска 255.255.0.0)
> ходит в и-нет и в сеть через эту же сетевушку. (шлюз и днс 192.168.1.1)
>
> Хотел чтобы на нем и-нет работал, 

Наверно, всё-таки надо, чтобы IP-адрес был из подсети 192.168.1.0/24 ?

> чтобы к нему заходили через самбу на зашареные ресурсы все с сети, 

а локальная сеть - 192.168.2.0/24? И при этом Вы являетесь администратором 
сети?

> кроме некоторые (т.е. закрывать некоторым доступ по необходимости) чтобы 
> некоторые заходили к нему по 80 и смотрели график загрузки интерфейса.

Остальные уточняющие вопросы - позже.

-- 
Всего хорошего
		/vip

Re: [Sysadmins] iptables

[Valery V. Rusnak]

Vyatcheslav Perevalov пишет:
> В сообщении от 7 октября 2007 Valery V. Rusnak написал(a):
>   
>> Есть комп (ALD4) на нем сетевушка eth0 (192.168.2.5  маска 255.255.0.0)
>> ходит в и-нет и в сеть через эту же сетевушку. (шлюз и днс 192.168.1.1)
>>
>> Хотел чтобы на нем и-нет работал, 
>>     
>
> Наверно, всё-таки надо, чтобы IP-адрес был из подсети 192.168.1.0/24 ?
>   

>> чтобы к нему заходили через самбу на зашареные ресурсы все с сети, 
>>     
>
> а локальная сеть - 192.168.2.0/24? И при этом Вы являетесь администратором 
> сети?
>
>   
У нас в сети айпишники 192.168.1.* и 192.168.2.* маска 255.255.0.0. 
Сервер инета 192.168.1.1. Все друг друга видят за счет маски.
Да, я администратор :) Около 300 компов сейчас. Всё работает. Я просто 
не изучал UNIX системы.
Сервер и-нета настроил один чел. поставил три года назад и порядок. 
обновляли только чуть и кое что переделывали.
Но я поставил на свой второй комп(192.168.2.5) ALD4 в познавательных 
целях. И осталось только разобраться как работает фаерволл.
>> кроме некоторые (т.е. закрывать некоторым доступ по необходимости) чтобы 
>> некоторые заходили к нему по 80 и смотрели график загрузки интерфейса.
>>     
>
> Остальные уточняющие вопросы - позже.
>
>   

Re: [Sysadmins] iptables

[Алексей Шенцев]

В сообщении от Tuesday 09 October 2007 14:33:47 Valery V. Rusnak написал(а):
> У нас в сети айпишники 192.168.1.* и 192.168.2.* маска 255.255.0.0.
> Сервер инета 192.168.1.1. Все друг друга видят за счет маски.
> Да, я администратор :) Около 300 компов сейчас. Всё работает. Я просто
> не изучал UNIX системы.
> Сервер и-нета настроил один чел. поставил три года назад и порядок.
> обновляли только чуть и кое что переделывали.
> Но я поставил на свой второй комп(192.168.2.5) ALD4 в познавательных
> целях. И осталось только разобраться как работает фаерволл.
Загляните для интереса на http://iptables.ru
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845