ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [mdk-re] ipchains question!
@ 2001-10-18 21:16 Lenya L. Khachaturov
  2001-10-18 21:30 ` John Profic
  0 siblings, 1 reply; 4+ messages in thread
From: Lenya L. Khachaturov @ 2001-10-18 21:16 UTC (permalink / raw)
  To: mandrake-russian

Здравствуйте,

Подскажите пожалуйста как сделать следующее:
policy на default-цепочках -- DENY
Нужно разрешить хостам из внутренней сети 192.168.1.0/24
доступ к внешним серверам smtp (для примера). Что-то никак
не получается! Как написал

ipchains -P input DENY
ipchains -P output DENY
ipchains -P forward DENY

так все и перерубило, как ни пляшу.

С уважением,
Хачатуров Леонид
lenya@linux.yaroslavl.ru



^ permalink raw reply	[flat|nested] 4+ messages in thread
* Re: [mdk-re] ipchains question!
  2001-10-18 21:16 [mdk-re] ipchains question! Lenya L. Khachaturov
@ 2001-10-18 21:30 ` John Profic
  2001-10-19 12:11   ` Volkov Serge
  0 siblings, 1 reply; 4+ messages in thread
From: John Profic @ 2001-10-18 21:30 UTC (permalink / raw)
  To: mandrake-russian

Lenya L. Khachaturov wrote:

> Здравствуйте,
> Подскажите пожалуйста как сделать следующее:
> policy на default-цепочках -- DENY
> Нужно разрешить хостам из внутренней сети 192.168.1.0/24
> доступ к внешним серверам smtp (для примера). Что-то никак
> не получается! Как написал
> ipchains -P input DENY
> ipchains -P output DENY
> ipchains -P forward DENY

> так все и перерубило, как ни пляшу.

Не знаю, но может DENY это слишком?
я пользуюсь /etc/init.d/ipchains
вот его конфиг
:input ACCEPT
:forward ACCEPT
:output ACCEPT
-A forward -p tcp -s 192.168.1.101/255.255.255.255 -d 0.0.0.0/0.0.0.0 
smtp -j MASQ
-A forward -p tcp -s 192.168.1.101/255.255.255.255 -d 0.0.0.0/0.0.0.0 
pop3 -j MASQ
Т.е. полько одна машина в сети (IP 192.168.1.101 - это mail-сервер) 
может иметь доступ к внешним SMTP и POP3 серверам, все остальные у меня 
сидят на скивиде, ну кроме самого шлюза :)

> 
> С уважением,
> Хачатуров Леонид
> lenya@linux.yaroslavl.ru
> 
> _______________________________________________
> Mandrake-russian mailing list
> Mandrake-russian@altlinux.ru
> http://altlinux.ru/mailman/listinfo/mandrake-russian
> 
> 



-- 
Best regards,
  John Profic <profic@lrn.ru>
Written by Mozilla 0.9.5
using SelfMake! Linux v0.9 based on ASPLinux release 1.1
with locale ru_RU.CP1251,
system: kernel 2.4.10-xfs-p1; glibc 2.2.4; gcc 3.0.1; XFree86 4.1.0;





^ permalink raw reply	[flat|nested] 4+ messages in thread
* Re: [mdk-re] ipchains question!
  2001-10-18 21:30 ` John Profic
@ 2001-10-19 12:11   ` Volkov Serge
  2001-10-19 13:06     ` [mdk-re] ipchains question Sergey S. Skulachenko
  0 siblings, 1 reply; 4+ messages in thread
From: Volkov Serge @ 2001-10-19 12:11 UTC (permalink / raw)
  To: mandrake-russian

Вы Thu, 18 Oct 2001 21:35:17 +0400
John Profic <profic@lrn.ru> написали:

> Lenya L. Khachaturov wrote:
> 
> > Здравствуйте,
> > Подскажите пожалуйста как сделать следующее:
> > policy на default-цепочках -- DENY
> > Нужно разрешить хостам из внутренней сети 192.168.1.0/24
> > доступ к внешним серверам smtp (для примера). Что-то никак
> > не получается! Как написал
> > ipchains -P input DENY
> > ipchains -P output DENY
> > ipchains -P forward DENY
> 
> > так все и перерубило, как ни пляшу.
> 
> Не знаю, но может DENY это слишком?
> я пользуюсь /etc/init.d/ipchains
> вот его конфиг
> :input ACCEPT
> :forward ACCEPT
> :output ACCEPT
> -A forward -p tcp -s 192.168.1.101/255.255.255.255 -d 0.0.0.0/0.0.0.0 
> smtp -j MASQ
> -A forward -p tcp -s 192.168.1.101/255.255.255.255 -d 0.0.0.0/0.0.0.0 
> pop3 -j MASQ
> Т.е. полько одна машина в сети (IP 192.168.1.101 - это mail-сервер) 
> может иметь доступ к внешним SMTP и POP3 серверам, все остальные у меня 
> сидят на скивиде, ну кроме самого шлюза :)

Нужно быть немного строже

ipchains -P input DENY
ipchains -P output DENY
ipchains -P forward DENY
ipchains -A input -s 192.168.1.0/255.255.255.0 -d 0/0 -j ACCEPT
ipchains -A output -s 0/0 -d 192.168.1.0/255.255.255.0 -j ACCEPT
ipchains -A forward -s 192.168.1.0/255.255.255.0 -d 0/0 -j MASQ



-- 
With best wishes, Volkov Serge		
Network Administrator/Security Administrator 		



^ permalink raw reply	[flat|nested] 4+ messages in thread
* Re: [mdk-re] ipchains question
  2001-10-19 12:11   ` Volkov Serge
@ 2001-10-19 13:06     ` Sergey S. Skulachenko
  0 siblings, 0 replies; 4+ messages in thread
From: Sergey S. Skulachenko @ 2001-10-19 13:06 UTC (permalink / raw)
  To: mandrake-russian

On Fri, 19 Oct 2001 12:11:05 +0400
"Volkov Serge" <vserge@menatepspb.msk.ru> wrote:

>> -A forward -p tcp -s 192.168.1.101/255.255.255.255 -d
>>0.0.0.0/0.0.0.0 
>> pop3 -j MASQ
>> Т.е. полько одна машина в сети (IP 192.168.1.101 - это
>>mail-сервер) 
>> может иметь доступ к внешним SMTP и POP3 серверам, все

> Нужно быть немного строже

> ipchains -P input DENY
> ipchains -P output DENY
> ipchains -P forward DENY
> ipchains -A input -s 192.168.1.0/255.255.255.0 -d 0/0 -j ACCEPT
> ipchains -A output -s 0/0 -d 192.168.1.0/255.255.255.0 -j
> ACCEPT
> ipchains -A forward -s 192.168.1.0/255.255.255.0 -d 0/0 -j MASQ

Поясните, чем Ваш вариант строже. Для критикуемого варианта
приведены, ведь, не все цепочки, и речь идёт о правах только
одной машины. В Вашем варианте - всех машин из внутренней сети.
____________
С уважением,
С.С.Скулаченко



^ permalink raw reply	[flat|nested] 4+ messages in thread
end of thread, other threads:[~2001-10-19 13:06 UTC | newest]

Thread overview: 4+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2001-10-18 21:16 [mdk-re] ipchains question! Lenya L. Khachaturov
2001-10-18 21:30 ` John Profic
2001-10-19 12:11   ` Volkov Serge
2001-10-19 13:06     ` [mdk-re] ipchains question Sergey S. Skulachenko

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git