* [mdk-re] ipchains question!
@ 2001-10-18 21:16 Lenya L. Khachaturov
2001-10-18 21:30 ` John Profic
0 siblings, 1 reply; 4+ messages in thread
From: Lenya L. Khachaturov @ 2001-10-18 21:16 UTC (permalink / raw)
To: mandrake-russian
Здравствуйте,
Подскажите пожалуйста как сделать следующее:
policy на default-цепочках -- DENY
Нужно разрешить хостам из внутренней сети 192.168.1.0/24
доступ к внешним серверам smtp (для примера). Что-то никак
не получается! Как написал
ipchains -P input DENY
ipchains -P output DENY
ipchains -P forward DENY
так все и перерубило, как ни пляшу.
С уважением,
Хачатуров Леонид
lenya@linux.yaroslavl.ru
^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [mdk-re] ipchains question!
2001-10-18 21:16 [mdk-re] ipchains question! Lenya L. Khachaturov
@ 2001-10-18 21:30 ` John Profic
2001-10-19 12:11 ` Volkov Serge
0 siblings, 1 reply; 4+ messages in thread
From: John Profic @ 2001-10-18 21:30 UTC (permalink / raw)
To: mandrake-russian
Lenya L. Khachaturov wrote:
> Здравствуйте,
> Подскажите пожалуйста как сделать следующее:
> policy на default-цепочках -- DENY
> Нужно разрешить хостам из внутренней сети 192.168.1.0/24
> доступ к внешним серверам smtp (для примера). Что-то никак
> не получается! Как написал
> ipchains -P input DENY
> ipchains -P output DENY
> ipchains -P forward DENY
> так все и перерубило, как ни пляшу.
Не знаю, но может DENY это слишком?
я пользуюсь /etc/init.d/ipchains
вот его конфиг
:input ACCEPT
:forward ACCEPT
:output ACCEPT
-A forward -p tcp -s 192.168.1.101/255.255.255.255 -d 0.0.0.0/0.0.0.0
smtp -j MASQ
-A forward -p tcp -s 192.168.1.101/255.255.255.255 -d 0.0.0.0/0.0.0.0
pop3 -j MASQ
Т.е. полько одна машина в сети (IP 192.168.1.101 - это mail-сервер)
может иметь доступ к внешним SMTP и POP3 серверам, все остальные у меня
сидят на скивиде, ну кроме самого шлюза :)
>
> С уважением,
> Хачатуров Леонид
> lenya@linux.yaroslavl.ru
>
> _______________________________________________
> Mandrake-russian mailing list
> Mandrake-russian@altlinux.ru
> http://altlinux.ru/mailman/listinfo/mandrake-russian
>
>
--
Best regards,
John Profic <profic@lrn.ru>
Written by Mozilla 0.9.5
using SelfMake! Linux v0.9 based on ASPLinux release 1.1
with locale ru_RU.CP1251,
system: kernel 2.4.10-xfs-p1; glibc 2.2.4; gcc 3.0.1; XFree86 4.1.0;
^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [mdk-re] ipchains question!
2001-10-18 21:30 ` John Profic
@ 2001-10-19 12:11 ` Volkov Serge
2001-10-19 13:06 ` [mdk-re] ipchains question Sergey S. Skulachenko
0 siblings, 1 reply; 4+ messages in thread
From: Volkov Serge @ 2001-10-19 12:11 UTC (permalink / raw)
To: mandrake-russian
Вы Thu, 18 Oct 2001 21:35:17 +0400
John Profic <profic@lrn.ru> написали:
> Lenya L. Khachaturov wrote:
>
> > Здравствуйте,
> > Подскажите пожалуйста как сделать следующее:
> > policy на default-цепочках -- DENY
> > Нужно разрешить хостам из внутренней сети 192.168.1.0/24
> > доступ к внешним серверам smtp (для примера). Что-то никак
> > не получается! Как написал
> > ipchains -P input DENY
> > ipchains -P output DENY
> > ipchains -P forward DENY
>
> > так все и перерубило, как ни пляшу.
>
> Не знаю, но может DENY это слишком?
> я пользуюсь /etc/init.d/ipchains
> вот его конфиг
> :input ACCEPT
> :forward ACCEPT
> :output ACCEPT
> -A forward -p tcp -s 192.168.1.101/255.255.255.255 -d 0.0.0.0/0.0.0.0
> smtp -j MASQ
> -A forward -p tcp -s 192.168.1.101/255.255.255.255 -d 0.0.0.0/0.0.0.0
> pop3 -j MASQ
> Т.е. полько одна машина в сети (IP 192.168.1.101 - это mail-сервер)
> может иметь доступ к внешним SMTP и POP3 серверам, все остальные у меня
> сидят на скивиде, ну кроме самого шлюза :)
Нужно быть немного строже
ipchains -P input DENY
ipchains -P output DENY
ipchains -P forward DENY
ipchains -A input -s 192.168.1.0/255.255.255.0 -d 0/0 -j ACCEPT
ipchains -A output -s 0/0 -d 192.168.1.0/255.255.255.0 -j ACCEPT
ipchains -A forward -s 192.168.1.0/255.255.255.0 -d 0/0 -j MASQ
--
With best wishes, Volkov Serge
Network Administrator/Security Administrator
^ permalink raw reply [flat|nested] 4+ messages in thread
* Re: [mdk-re] ipchains question
2001-10-19 12:11 ` Volkov Serge
@ 2001-10-19 13:06 ` Sergey S. Skulachenko
0 siblings, 0 replies; 4+ messages in thread
From: Sergey S. Skulachenko @ 2001-10-19 13:06 UTC (permalink / raw)
To: mandrake-russian
On Fri, 19 Oct 2001 12:11:05 +0400
"Volkov Serge" <vserge@menatepspb.msk.ru> wrote:
>> -A forward -p tcp -s 192.168.1.101/255.255.255.255 -d
>>0.0.0.0/0.0.0.0
>> pop3 -j MASQ
>> Т.е. полько одна машина в сети (IP 192.168.1.101 - это
>>mail-сервер)
>> может иметь доступ к внешним SMTP и POP3 серверам, все
> Нужно быть немного строже
> ipchains -P input DENY
> ipchains -P output DENY
> ipchains -P forward DENY
> ipchains -A input -s 192.168.1.0/255.255.255.0 -d 0/0 -j ACCEPT
> ipchains -A output -s 0/0 -d 192.168.1.0/255.255.255.0 -j
> ACCEPT
> ipchains -A forward -s 192.168.1.0/255.255.255.0 -d 0/0 -j MASQ
Поясните, чем Ваш вариант строже. Для критикуемого варианта
приведены, ведь, не все цепочки, и речь идёт о правах только
одной машины. В Вашем варианте - всех машин из внутренней сети.
____________
С уважением,
С.С.Скулаченко
^ permalink raw reply [flat|nested] 4+ messages in thread
end of thread, other threads:[~2001-10-19 13:06 UTC | newest]
Thread overview: 4+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2001-10-18 21:16 [mdk-re] ipchains question! Lenya L. Khachaturov
2001-10-18 21:30 ` John Profic
2001-10-19 12:11 ` Volkov Serge
2001-10-19 13:06 ` [mdk-re] ipchains question Sergey S. Skulachenko
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git