* [Comm] Linux Gate @ 2003-11-25 12:41 Alexey Morsov 2003-11-25 13:16 ` Dmitry Nechaev 2003-11-26 7:52 ` [Comm] " Денис Смирнов 0 siblings, 2 replies; 33+ messages in thread From: Alexey Morsov @ 2003-11-25 12:41 UTC (permalink / raw) To: community -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Привет, Есть необходимость настроить на базе linux-машины gate для небольшой (30-40 компьютеров) сетки с выходом как в интеренет через ADSL. Сейчас сетка выходит в инет через cisco текущего провайдера (ADSL будем брать у другого). Теоритические исследования привели к слудующему порядку действий: 1. На linux-машине ставим две сетевые карты. Одной даем фэйковый адрес и втыкаем в локальную сеть, другой даем внешний адрес (который дадут нам с ADSL) и втыкаем в нее ADSL. 2. Поднимаем и настроаиваем iptables так что бы все порты извне кроме http, ftp и https были закрыты. 3. Указываем в правилах iptables так что бы все запросы из феёкового пространства адресов форвардились на второй интерфейс. 4. Заводим все http, ftp и https запросы пользователй на прокси. И вот тут у меня непонятки... Как можно закинуть (и можно ли) все запросы по http, ftp, https на прокси (без transparent_proxy)? Или можно как-то запретить http-трафик в обход прокси (ну т.е. если у юзера в браузере прописаны настйроки прокси - милости просим, а если нет - гуляй)? И еще один вопрос возникает - в машине с двумя сетевыми картами на какую из них будет посылать обработанный запрос squid? Там есть опция tcp_outgoing_address но я не уверен что это оно... Буду очень благодарен за любую помощь ибо мои мозги уже окончательно плавяться (а покупать еще одну двухзпортовую cisco с настройкой под ключ не хочется да и дороговато).. - -- Заранее благодарен, Алексей -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.2 (MingW32) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQE/w03lanU3DZdZEiwRAgJ6AJ91bidIp20CQSbx1HECEOqnQjUAHACfddWa x6ofZynJiA/BRsaGuajfuoc= =DnbO -----END PGP SIGNATURE----- ^ permalink raw reply [flat|nested] 33+ messages in thread
* Re: [Comm] Linux Gate 2003-11-25 12:41 [Comm] Linux Gate Alexey Morsov @ 2003-11-25 13:16 ` Dmitry Nechaev 2003-11-26 7:52 ` [Comm] " Денис Смирнов 1 sibling, 0 replies; 33+ messages in thread From: Dmitry Nechaev @ 2003-11-25 13:16 UTC (permalink / raw) To: community В сообщении от Вторник 25 Ноябрь 2003 15:41 Alexey Morsov написал(a): > > Есть необходимость настроить на базе linux-машины gate для > небольшой (30-40 компьютеров) сетки с выходом как в интеренет > через ADSL. > Сейчас сетка выходит в инет через cisco текущего провайдера > (ADSL будем брать у другого). > > Теоритические исследования привели к слудующему порядку действий: > 1. На linux-машине ставим две сетевые карты. Одной даем фэйковый > адрес и втыкаем в локальную сеть, другой даем внешний адрес > (который дадут нам с ADSL) и втыкаем в нее ADSL. > 2. Поднимаем и настроаиваем iptables так что бы все порты извне > кроме http, ftp и https были закрыты. У тебя есть необходимость держать у себя http/ftp сервера? > 3. Указываем в правилах iptables так что бы все запросы из > феёкового пространства адресов форвардились на второй интерфейс. > 4. Заводим все http, ftp и https запросы пользователй на прокси. iptables -A PREROUTING.... > > И вот тут у меня непонятки... Как можно закинуть (и можно ли) все > запросы по http, ftp, https на прокси (без transparent_proxy)? Просто закрываешь форвард по портам 20, 21, 80 и 443. > Или можно как-то запретить http-трафик в обход прокси (ну т.е. > если у юзера в браузере прописаны настйроки прокси - милости > просим, а если нет - гуляй)? Так и выйдет. > И еще один вопрос возникает - в машине с двумя сетевыми картами > на какую из них будет посылать обработанный запрос squid? Там > есть опция tcp_outgoing_address но я не уверен что это оно... squid послыает запрос на хост, а пакеты на этот хост идут в соответствии с таблицей маршрутизации ядра. Плясать с бубном тут вовсе не нужно. > > Буду очень благодарен за любую помощь ибо мои мозги уже > окончательно плавяться (а покупать еще одну двухзпортовую cisco с > настройкой под ключ не хочется да и дороговато).. ничего трудного тут нет. -- 2.4.20-alt5-up GNU/Linux ^ permalink raw reply [flat|nested] 33+ messages in thread
* [Comm] Re: Linux Gate 2003-11-25 12:41 [Comm] Linux Gate Alexey Morsov 2003-11-25 13:16 ` Dmitry Nechaev @ 2003-11-26 7:52 ` Денис Смирнов 2003-11-26 8:14 ` Andrey Rahmatullin 2003-11-26 9:40 ` Alexey Morsov 1 sibling, 2 replies; 33+ messages in thread From: Денис Смирнов @ 2003-11-26 7:52 UTC (permalink / raw) To: community On Tue, Nov 25, 2003 at 03:41:09PM +0300, Alexey Morsov wrote: > Есть необходимость настроить на базе linux-машины gate для > небольшой (30-40 компьютеров) сетки с выходом как в интеренет > через ADSL. Ключевые слово для поиска документации -- NAT, MASWUERADE. > 2. Поднимаем и настроаиваем iptables так что бы все порты извне > кроме http, ftp и https были закрыты. Зачем открывать http, ftp, https? Это нужно только если на этой машине есть соответствующие сервера. Обычно снаружи бывает смысл держать smtp, и, если админ удалённый, то ssh. > 3. Указываем в правилах iptables так что бы все запросы из > феёкового пространства адресов форвардились на второй интерфейс. _Форвардились_ это указывается в route. А в iptables нужно настроить NAT. > 4. Заводим все http, ftp и https запросы пользователй на прокси. С ftp, AFAIK, малореально, да и ненужно чаще всего. Пусть лучше через NAT ходят. Или нужно журналировать все посещения? -- С уважением, Денис http://dimline.ru/ ^ permalink raw reply [flat|nested] 33+ messages in thread
* Re: [Comm] Re: Linux Gate 2003-11-26 7:52 ` [Comm] " Денис Смирнов @ 2003-11-26 8:14 ` Andrey Rahmatullin 2003-11-26 9:40 ` Alexey Morsov 1 sibling, 0 replies; 33+ messages in thread From: Andrey Rahmatullin @ 2003-11-26 8:14 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 408 bytes --] On Wed, Nov 26, 2003 at 10:52:23AM +0300, Денис Смирнов wrote: > Ключевые слово для поиска документации -- NAT, MASWUERADE. ^ Q очепятка [...] -- Вывод: какой-то !@#$%^&*()_+ в tcpdump переопределил библиотечный error(). Исправим. -- ldv in sisyphus@ [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 33+ messages in thread
* Re: [Comm] Re: Linux Gate 2003-11-26 7:52 ` [Comm] " Денис Смирнов 2003-11-26 8:14 ` Andrey Rahmatullin @ 2003-11-26 9:40 ` Alexey Morsov 2003-11-26 12:56 ` Денис Смирнов 1 sibling, 1 reply; 33+ messages in thread From: Alexey Morsov @ 2003-11-26 9:40 UTC (permalink / raw) To: community -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Денис Смирнов пишет: | On Tue, Nov 25, 2003 at 03:41:09PM +0300, Alexey Morsov wrote: | | > Есть необходимость настроить на базе linux-машины gate для | > небольшой (30-40 компьютеров) сетки с выходом как в интеренет | > через ADSL. | | Ключевые слово для поиска документации -- NAT, MASWUERADE. Погряз уже во всех этих NAT =) | | > 2. Поднимаем и настроаиваем iptables так что бы все порты извне | > кроме http, ftp и https были закрыты. | | Зачем открывать http, ftp, https? Это нужно только если на этой машине | есть соответствующие сервера. Обычно снаружи бывает смысл держать smtp, и, | если админ удалённый, то ssh. Дело в том что в нашей сетке стоят и www и ftp и mail сервера (хотя прописаны они в сетке провайдера - т.е. видны извне) - но физчески они в нашей сетке... Сейчас у нас cisco так и настроена - - от нас вовне доступно все - к нам извне только http, ftp (ну плюс видимо все порты от 1024 и выше... они вроде как почти всегда открыт) - никаких телнетов и ssh А - ну почта конечно... Вот нужно такое же дело изобразить на Linux (для adsl) | | > 3. Указываем в правилах iptables так что бы все запросы из | > феёкового пространства адресов форвардились на второй интерфейс. | | _Форвардились_ это указывается в route. А в iptables нужно настроить NAT. И вот тут непонятка - сейчас у нас route сеть провайдера (те 8 адресов что он нам выделил как внешние) настроен. Если я втыкаю в комп вторую сетевуху, то по идее у меня долна таблица route выглядить типа как: route -net 201.xxx.xxx.xxx netmask 201.xxx.xxx.xxx gw 201.xxx.xxx.xxx dev eth0 (первый провайдер) route -net 202.xxx.xxx.xxx netmask 202.xxx.xxx.xxx gw 202.xxx.xxx.xxx dev eth1 (второй провайдер) И в iptables я так понимаю надо сделать что-то типа: iptables -t nat -A PREROUTING -i eth0 -j SNAT --to-source 202.xxx.xxx.xxx:1024-32000 и дальше route его закинет куда надо, как я поинмаю А вот что с ответной частью (т.е. с ответом что прийдет извне - он ведь прийдет на 202.xxx.xxx.xxx)? | | > 4. Заводим все http, ftp и https запросы пользователй на прокси. | | С ftp, AFAIK, малореально, да и ненужно чаще всего. Пусть лучше через NAT | ходят. Или нужно журналировать все посещения? Да заводить пожалуй не надо - просто я думаю надо настроить iptables так чтобы онно запрещало доступ мимо прокис а прокси прописывать явно... | -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.2 (MingW32) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQE/xHUmanU3DZdZEiwRAsqtAJ9KuHLoEX+Sc821gWNRqyYUgS6B9QCfWfcl XHimUleQMP0P2D7adxa6JJs= =/oP5 -----END PGP SIGNATURE----- ^ permalink raw reply [flat|nested] 33+ messages in thread
* [Comm] Re: Linux Gate 2003-11-26 9:40 ` Alexey Morsov @ 2003-11-26 12:56 ` Денис Смирнов 2003-11-26 15:02 ` Alexey Morsov 0 siblings, 1 reply; 33+ messages in thread From: Денис Смирнов @ 2003-11-26 12:56 UTC (permalink / raw) To: community On Wed, Nov 26, 2003 at 12:40:54PM +0300, Alexey Morsov wrote: >> Ключевые слово для поиска документации -- NAT, MASWUERADE. > Погряз уже во всех этих NAT =) Сейчас есть неплохие FAQ на эти темы. Помнится я его настроил на второй день после того, как первый раз увидел живьём сетевую карту :) > Дело в том что в нашей сетке стоят и www и ftp и mail сервера > (хотя прописаны они в сетке провайдера - т.е. видны извне) - но > физчески они в нашей сетке... Сейчас у нас cisco так и настроена > - - от нас вовне доступно все - к нам извне только http, ftp (ну > плюс видимо все порты от 1024 и выше... они вроде как почти > всегда открыт) - никаких телнетов и ssh > А - ну почта конечно... > Вот нужно такое же дело изобразить на Linux (для adsl) Тогда лучше всего сделать так: - извне разрешить все пакеты по уже установленым соединениям - извне разрешить http/ftp/https траффик - всё остальное извне запретить (по всем портам) > И вот тут непонятка - сейчас у нас route сеть провайдера (те 8 > адресов что он нам выделил как внешние) настроен. Если я втыкаю в > комп вторую сетевуху, то по идее у меня долна таблица route > выглядить типа как: > route -net 201.xxx.xxx.xxx netmask 201.xxx.xxx.xxx gw > 201.xxx.xxx.xxx dev eth0 (первый провайдер) > route -net 202.xxx.xxx.xxx netmask 202.xxx.xxx.xxx gw > 202.xxx.xxx.xxx dev eth1 (второй провайдер) > И в iptables я так понимаю надо сделать что-то типа: > iptables -t nat -A PREROUTING -i eth0 -j SNAT --to-source > 202.xxx.xxx.xxx:1024-32000 > и дальше route его закинет куда надо, как я поинмаю > А вот что с ответной частью (т.е. с ответом что прийдет извне - > он ведь прийдет на 202.xxx.xxx.xxx)? NAT адреса переделает. > | > 4. Заводим все http, ftp и https запросы пользователй на > прокси. > | С ftp, AFAIK, малореально, да и ненужно чаще всего. Пусть лучше > через NAT > | ходят. Или нужно журналировать все посещения? > Да заводить пожалуй не надо - просто я думаю надо настроить > iptables так чтобы онно запрещало доступ мимо прокис а прокси > прописывать явно... Для ftp это траффик вряд ли сэкономит, а вот место в кэше займёт. Зачем? -- С уважением, Денис http://freesource.info ^ permalink raw reply [flat|nested] 33+ messages in thread
* Re: [Comm] Re: Linux Gate 2003-11-26 12:56 ` Денис Смирнов @ 2003-11-26 15:02 ` Alexey Morsov 2003-11-27 3:02 ` Денис Смирнов 0 siblings, 1 reply; 33+ messages in thread From: Alexey Morsov @ 2003-11-26 15:02 UTC (permalink / raw) To: community -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Денис Смирнов пишет: | On Wed, Nov 26, 2003 at 12:40:54PM +0300, Alexey Morsov wrote: | | >> Ключевые слово для поиска документации -- NAT, MASWUERADE. | > Погряз уже во всех этих NAT =) | | Сейчас есть неплохие FAQ на эти темы. Помнится я его настроил на второй | день после того, как первый раз увидел живьём сетевую карту :) | | > Дело в том что в нашей сетке стоят и www и ftp и mail сервера | > (хотя прописаны они в сетке провайдера - т.е. видны извне) - но | > физчески они в нашей сетке... Сейчас у нас cisco так и настроена | > - - от нас вовне доступно все - к нам извне только http, ftp (ну | > плюс видимо все порты от 1024 и выше... они вроде как почти | > всегда открыт) - никаких телнетов и ssh | > А - ну почта конечно... | > Вот нужно такое же дело изобразить на Linux (для adsl) | | Тогда лучше всего сделать так: | - извне разрешить все пакеты по уже установленым соединениям Не понял что вы имеет ввиду... 8-\ | - извне разрешить http/ftp/https траффик | - всё остальное извне запретить (по всем портам) | | > И вот тут непонятка - сейчас у нас route сеть провайдера (те 8 | > адресов что он нам выделил как внешние) настроен. Если я втыкаю в | > комп вторую сетевуху, то по идее у меня долна таблица route | > выглядить типа как: | > route -net 201.xxx.xxx.xxx netmask 201.xxx.xxx.xxx gw | > 201.xxx.xxx.xxx dev eth0 (первый провайдер) | > route -net 202.xxx.xxx.xxx netmask 202.xxx.xxx.xxx gw | > 202.xxx.xxx.xxx dev eth1 (второй провайдер) | > И в iptables я так понимаю надо сделать что-то типа: | > iptables -t nat -A PREROUTING -i eth0 -j SNAT --to-source | > 202.xxx.xxx.xxx:1024-32000 | > и дальше route его закинет куда надо, как я поинмаю | > А вот что с ответной частью (т.е. с ответом что прийдет извне - | > он ведь прийдет на 202.xxx.xxx.xxx)? | | NAT адреса переделает. Ну да - а разве SNAT target не для того чтоб сетку по одному реальному ip в инет вывести? | | > | > 4. Заводим все http, ftp и https запросы пользователй на | > прокси. | > | С ftp, AFAIK, малореально, да и ненужно чаще всего. Пусть лучше | > через NAT | > | ходят. Или нужно журналировать все посещения? | > Да заводить пожалуй не надо - просто я думаю надо настроить | > iptables так чтобы онно запрещало доступ мимо прокис а прокси | > прописывать явно... | | Для ftp это траффик вряд ли сэкономит, а вот место в кэше займёт. Зачем? Ну тут согласен - кэшировать с ftp конечно не нужно - но в статистику запыжывать нать - чтоб мерить сколько юзер качает... Илил это можно сделать как-то еще (помимо прокси) - но как не хочется собирать всю статистику с разных углов... | -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.2 (MingW32) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQE/xMCaanU3DZdZEiwRAnzvAJkBFuOIChJU6kan3hczH9DCr8AuYgCgjSTy KXnyZCkoVV+vktduc9VW/SQ= =3Ry2 -----END PGP SIGNATURE----- ^ permalink raw reply [flat|nested] 33+ messages in thread
* [Comm] Re: Linux Gate 2003-11-26 15:02 ` Alexey Morsov @ 2003-11-27 3:02 ` Денис Смирнов 2003-11-27 3:30 ` aek 0 siblings, 1 reply; 33+ messages in thread From: Денис Смирнов @ 2003-11-27 3:02 UTC (permalink / raw) To: community On Wed, Nov 26, 2003 at 06:02:51PM +0300, Alexey Morsov wrote: > | Тогда лучше всего сделать так: > | - извне разрешить все пакеты по уже установленым соединениям > Не понял что вы имеет ввиду... 8-\ iptables умеет отслеживать установленые соединения, и пропускать пакеты, если они относятся к установленому соединению. Это позволяет, например, ftp прекрасно работать через файрвол. man iptables /--state >| NAT адреса переделает. > Ну да - а разве SNAT target не для того чтоб сетку по одному > реальному ip в инет вывести? Да, для этого. > | > | > 4. Заводим все http, ftp и https запросы пользователй на > | > прокси. > | > | С ftp, AFAIK, малореально, да и ненужно чаще всего. Пусть > лучше > | > через NAT > | > | ходят. Или нужно журналировать все посещения? > | > Да заводить пожалуй не надо - просто я думаю надо настроить > | > iptables так чтобы онно запрещало доступ мимо прокис а прокси > | > прописывать явно... > | > | Для ftp это траффик вряд ли сэкономит, а вот место в кэше > займёт. Зачем? > Ну тут согласен - кэшировать с ftp конечно не нужно - но в > статистику запыжывать нать - чтоб мерить сколько юзер качает... > Илил это можно сделать как-то еще (помимо прокси) - но как не > хочется собирать всю статистику с разных углов... Собирать её надо с одного угла -- файрвола. На opennet.ru на эту тему море статей с готовыми решениями. -- С уважением, Денис http://freesource.info ^ permalink raw reply [flat|nested] 33+ messages in thread
* Re: [Comm] Re: Linux Gate 2003-11-27 3:02 ` Денис Смирнов @ 2003-11-27 3:30 ` aek 2003-11-27 4:04 ` Денис Смирнов 0 siblings, 1 reply; 33+ messages in thread From: aek @ 2003-11-27 3:30 UTC (permalink / raw) To: Денис Смирнов Hello Денис, Thursday, November 27, 2003, 10:02:51 AM, you wrote: ДС> iptables умеет отслеживать установленые соединения, и пропускать пакеты, ДС> если они относятся к установленому соединению. Это позволяет, например, ДС> ftp прекрасно работать через файрвол. ДС> man iptables ДС> /--state Не могли бы Вы выложить пример "дырки" для ftp по конкретному ip адресу на iptables. как например доступ наружу по ssh в подсетку 10.50.18.0 делается допустим: /sbin/iptables -A OUTPUT -p tcp -d 10.50.18.0/24 --dport 22 -j ACCEPT /sbin/iptables -A INPUT -p tcp ! --syn -s 10.50.18.0/24 --sport 22 -j ACCEPT Напишите такиеже 3-4 строчки для ftp доступа куданьть плиз, не поленитесь... -- Всех благ! Анатолий ^ permalink raw reply [flat|nested] 33+ messages in thread
* [Comm] Re: Linux Gate 2003-11-27 3:30 ` aek @ 2003-11-27 4:04 ` Денис Смирнов 2003-11-27 7:52 ` aek 2003-11-27 8:07 ` Michael Shigorin 0 siblings, 2 replies; 33+ messages in thread From: Денис Смирнов @ 2003-11-27 4:04 UTC (permalink / raw) To: community On Thu, Nov 27, 2003 at 10:30:15AM +0700, aek wrote: > Не могли бы Вы выложить пример "дырки" для ftp по конкретному ip адресу > на iptables. > как например доступ наружу по ssh в подсетку 10.50.18.0 делается допустим: > /sbin/iptables -A OUTPUT -p tcp -d 10.50.18.0/24 --dport 22 -j ACCEPT > /sbin/iptables -A INPUT -p tcp ! --syn -s 10.50.18.0/24 --sport 22 -j ACCEPT > Напишите такиеже 3-4 строчки для ftp доступа куданьть > плиз, не поленитесь... /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATES -j ACCEPT /sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATES -j ACCEPT /sbin/iptables -A OUTPUT -p tcp -d 10.50.18.0/24 --dport 21 -j ACCEPT То есть если пакет принадлежит к уже установленому соединению -- пропустить. Если пакет это установка ftp-соединения -- пропустить. -- С уважением, Денис http://freesource.info ^ permalink raw reply [flat|nested] 33+ messages in thread
* Re: [Comm] Re: Linux Gate 2003-11-27 4:04 ` Денис Смирнов @ 2003-11-27 7:52 ` aek 2003-11-27 8:07 ` Michael Shigorin 2003-11-27 11:45 ` Денис Смирнов 2003-11-27 8:07 ` Michael Shigorin 1 sibling, 2 replies; 33+ messages in thread From: aek @ 2003-11-27 7:52 UTC (permalink / raw) To: Денис Смирнов Hello Денис, Thursday, November 27, 2003, 11:04:52 AM, you wrote: ДС> /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATES -j ACCEPT ДС> /sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATES -j ACCEPT ДС> /sbin/iptables -A OUTPUT -p tcp -d 10.50.18.0/24 --dport 21 -j ACCEPT ДС> То есть если пакет принадлежит к уже установленому соединению -- ДС> пропустить. Если пакет это установка ftp-соединения -- пропустить. Ок. Попробуем дальше завернуть гайки? /sbin/iptables -A INPUT -p tcp --dport 20 -m state --state ESTABLISHED,RELATES -j ACCEPT /sbin/iptables -A OUTPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATES -j ACCEPT /sbin/iptables -A INPUT -p tcp --dport 1024:65535 -m state --state ESTABLISHED,RELATES -j ACCEPT /sbin/iptables -A OUTPUT -p tcp --sport 1024:65535 -m state --state ESTABLISHED,RELATES -j ACCEPT /sbin/iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 21 -j ACCEPT или это бред? -- Всех благ! Анатолий ^ permalink raw reply [flat|nested] 33+ messages in thread
* [Comm] Re: Linux Gate 2003-11-27 7:52 ` aek @ 2003-11-27 8:07 ` Michael Shigorin 2003-11-27 11:45 ` Денис Смирнов 1 sibling, 0 replies; 33+ messages in thread From: Michael Shigorin @ 2003-11-27 8:07 UTC (permalink / raw) To: Денис Смирнов On Thu, Nov 27, 2003 at 02:52:40PM +0700, aek wrote: > /sbin/iptables -A INPUT -p tcp --dport 20 -m state --state ESTABLISHED,RELATES -j ACCEPT s/RELATES/RELATED/g -- кстати. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 33+ messages in thread
* [Comm] Re: Linux Gate 2003-11-27 7:52 ` aek 2003-11-27 8:07 ` Michael Shigorin @ 2003-11-27 11:45 ` Денис Смирнов 1 sibling, 0 replies; 33+ messages in thread From: Денис Смирнов @ 2003-11-27 11:45 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 952 bytes --] On Thu, Nov 27, 2003 at 02:52:40PM +0700, aek wrote: > Ок. > Попробуем дальше завернуть гайки? > /sbin/iptables -A INPUT -p tcp --dport 20 -m state --state ESTABLISHED,RELATES -j ACCEPT > /sbin/iptables -A OUTPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATES -j ACCEPT Не вижу смысла в дополнительных ограничениях здесь. Если уж мы установили соединение, то никакого повода не пропускать по нему пакеты я не знаю. Так что если --state ESTABLISHED, то пропускать однозначно. IMHO/ > /sbin/iptables -A INPUT -p tcp --dport 1024:65535 -m state --state ESTABLISHED,RELATES -j ACCEPT > /sbin/iptables -A OUTPUT -p tcp --sport 1024:65535 -m state --state ESTABLISHED,RELATES -j ACCEPT > /sbin/iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 21 -j ACCEPT > или это бред? А чем порты до 1024 лучше/хуже? Уж если закручивать гайки, то с использованием -i/-o, масок подсетей, и.т.д. -- С уважением, Денис http://freesource.info [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 33+ messages in thread
* [Comm] Re: Linux Gate 2003-11-27 4:04 ` Денис Смирнов 2003-11-27 7:52 ` aek @ 2003-11-27 8:07 ` Michael Shigorin 2003-11-27 11:49 ` Денис Смирнов ` (2 more replies) 1 sibling, 3 replies; 33+ messages in thread From: Michael Shigorin @ 2003-11-27 8:07 UTC (permalink / raw) To: community On Thu, Nov 27, 2003 at 07:04:52AM +0300, Денис Смирнов wrote: > > Напишите такиеже 3-4 строчки для ftp доступа куданьть > > плиз, не поленитесь... > /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATES -j ACCEPT Еще полезно -A INPUT -m state --state INVALID,NEW -j DROP и в конце (при этом chain policy == ACCEPT) -A INPUT -j REJECT --reject-with icmp-host-unreachable -- если не требуется именно дропать (большой паразитный трафик), то это сделает наш файрвол внешне неотличимым от просто открытых/закрытых портов. > /sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATES -j ACCEPT Это если и изнутри не все выпускать, тогда осмысленно. И то как раз тогда -- не всегда =) > /sbin/iptables -A OUTPUT -p tcp -d 10.50.18.0/24 --dport 21 -j ACCEPT > > То есть если пакет принадлежит к уже установленому соединению -- > пропустить. Если пакет это установка ftp-соединения -- пропустить. Ну и подгрузить ip_conntrack_ftp не забыть все же. Кстати. Есть мысль, что если нет болтающегося identd -- осмысленно сделать так для избежания таймаутов тех, кто пытается в него стучаться (sendmail, ssh, ...): -A INPUT -p tcp -m tcp --dport 113 -j REJECT --reject-with tcp-reset PS: все это легко находится гооглем :) -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 33+ messages in thread
* [Comm] Re: Linux Gate 2003-11-27 8:07 ` Michael Shigorin @ 2003-11-27 11:49 ` Денис Смирнов 2003-11-28 21:59 ` Michael Shigorin 2003-11-27 15:52 ` [Comm] DROP vs. REJECT (was: Linux Gate) Andrey Rahmatullin 2003-11-30 14:32 ` [Comm] Re: Linux Gate Maxim Tyurin 2 siblings, 1 reply; 33+ messages in thread From: Денис Смирнов @ 2003-11-27 11:49 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 1710 bytes --] On Thu, Nov 27, 2003 at 10:07:09AM +0200, Michael Shigorin wrote: > > > Напишите такиеже 3-4 строчки для ftp доступа куданьть > > > плиз, не поленитесь... > > /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATES -j ACCEPT > Еще полезно > -A INPUT -m state --state INVALID,NEW -j DROP Хм. Зачем? > и в конце (при этом chain policy == ACCEPT) > -A INPUT -j REJECT --reject-with icmp-host-unreachable А policy == ACCEPT зачем? > -- если не требуется именно дропать (большой паразитный трафик), > то это сделает наш файрвол внешне неотличимым от просто > открытых/закрытых портов. Я так делаю везде, где это внутри сети (то есть где траффик не считается и денег не стоит). На INPUT с интерфейса идущего в интернет у меня везде -j DROP. >> /sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATES -j ACCEPT > Это если и изнутри не все выпускать, тогда осмысленно. И то как > раз тогда -- не всегда =) А почему как раз тогда не всегда? Изнутри я, бывает, не всех и не везде пускаю. > > /sbin/iptables -A OUTPUT -p tcp -d 10.50.18.0/24 --dport 21 -j ACCEPT > > То есть если пакет принадлежит к уже установленому соединению -- > > пропустить. Если пакет это установка ftp-соединения -- пропустить. > Ну и подгрузить ip_conntrack_ftp не забыть все же. Да. > Кстати. Есть мысль, что если нет болтающегося identd -- > осмысленно сделать так для избежания таймаутов тех, кто пытается > в него стучаться (sendmail, ssh, ...): > -A INPUT -p tcp -m tcp --dport 113 -j REJECT --reject-with tcp-reset > PS: все это легко находится гооглем :) Есть такое дело. Каждый раз забываю, потом каждый раз с матюками прописываю :) -- С уважением, Денис http://freesource.info [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 33+ messages in thread
* [Comm] Re: Linux Gate 2003-11-27 11:49 ` Денис Смирнов @ 2003-11-28 21:59 ` Michael Shigorin 2003-11-29 5:00 ` Денис Смирнов 0 siblings, 1 reply; 33+ messages in thread From: Michael Shigorin @ 2003-11-28 21:59 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 1936 bytes --] On Thu, Nov 27, 2003 at 02:49:09PM +0300, Денис Смирнов wrote: > > > > Напишите такиеже 3-4 строчки для ftp доступа куданьть > > > > плиз, не поленитесь... > > > /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATES -j ACCEPT > > Еще полезно > > -A INPUT -m state --state INVALID,NEW -j DROP > Хм. Зачем? Затем, чтоб народное творчество обламывалось почаще. > > и в конце (при этом chain policy == ACCEPT) > > -A INPUT -j REJECT --reject-with icmp-host-unreachable > А policy == ACCEPT зачем? Чтоб добраться до -j REJECT, ессно :-) > > -- если не требуется именно дропать (большой паразитный трафик), > > то это сделает наш файрвол внешне неотличимым от просто > > открытых/закрытых портов. > Я так делаю везде, где это внутри сети (то есть где траффик не > считается и денег не стоит). На INPUT с интерфейса идущего в > интернет у меня везде -j DROP. У меня -- зависит. > >> /sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATES -j ACCEPT > > Это если и изнутри не все выпускать, тогда осмысленно. И то > > как раз тогда -- не всегда =) > А почему как раз тогда не всегда? В смысле "как раз тогда -- не всегда ACCEPT" :-) > Изнутри я, бывает, не всех и не везде пускаю. Ну да, особенно на 25-й порт наружу. > > Кстати. Есть мысль, что если нет болтающегося identd -- > > осмысленно сделать так для избежания таймаутов тех, кто пытается > > в него стучаться (sendmail, ssh, ...): > > -A INPUT -p tcp -m tcp --dport 113 -j REJECT --reject-with tcp-reset > > PS: все это легко находится гооглем :) > Есть такое дело. Каждый раз забываю, потом каждый раз с > матюками прописываю :) Ну лучше без матюков, чтоб системные утилиты не смущать непривычным синтаксисом да окружение не портить. Но наступить на грабли, не включив net.ipv4.ip_forward в /etc/sysctl.conf -- это тоже любимое :)))))) -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 33+ messages in thread
* [Comm] Re: Linux Gate 2003-11-28 21:59 ` Michael Shigorin @ 2003-11-29 5:00 ` Денис Смирнов 2003-11-29 10:29 ` Michael Shigorin 0 siblings, 1 reply; 33+ messages in thread From: Денис Смирнов @ 2003-11-29 5:00 UTC (permalink / raw) To: community On Fri, Nov 28, 2003 at 11:59:46PM +0200, Michael Shigorin wrote: >>>>> Напишите такиеже 3-4 строчки для ftp доступа куданьть >>>>> плиз, не поленитесь... >>>> /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATES -j ACCEPT >>> Еще полезно >>> -A INPUT -m state --state INVALID,NEW -j DROP >> Хм. Зачем? > Затем, чтоб народное творчество обламывалось почаще. ? > > >> /sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATES -j ACCEPT > > > Это если и изнутри не все выпускать, тогда осмысленно. И то > > > как раз тогда -- не всегда =) > > А почему как раз тогда не всегда? > В смысле "как раз тогда -- не всегда ACCEPT" :-) Я понял. Но не понял почему и зачем не делать ACCEPT на уже установленые соединения? -- С уважением, Денис http://freesource.info ^ permalink raw reply [flat|nested] 33+ messages in thread
* [Comm] Re: Linux Gate 2003-11-29 5:00 ` Денис Смирнов @ 2003-11-29 10:29 ` Michael Shigorin 2003-11-30 8:04 ` Денис Смирнов 0 siblings, 1 reply; 33+ messages in thread From: Michael Shigorin @ 2003-11-29 10:29 UTC (permalink / raw) To: community On Sat, Nov 29, 2003 at 08:00:32AM +0300, Денис Смирнов wrote: > >>>>> Напишите такиеже 3-4 строчки для ftp доступа куданьть > >>>>> плиз, не поленитесь... > >>>> /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > >>> Еще полезно > >>> -A INPUT -m state --state INVALID,NEW -j DROP > >> Хм. Зачем? > > Затем, чтоб народное творчество обламывалось почаще. > ? Ну, всякие неправильные самопальные IP-пакеты с левыми заголовками. > > > >> /sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > > > > Это если и изнутри не все выпускать, тогда осмысленно. > > > > И то как раз тогда -- не всегда =) > > > А почему как раз тогда не всегда? > > В смысле "как раз тогда -- не всегда ACCEPT" :-) > Я понял. Но не понял почему и зачем не делать ACCEPT на уже > установленые соединения? Этого и я не понял. А добавил -- насчет того, _почему_ им позволять или нет быть установленными. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 33+ messages in thread
* [Comm] Re: Linux Gate 2003-11-29 10:29 ` Michael Shigorin @ 2003-11-30 8:04 ` Денис Смирнов 0 siblings, 0 replies; 33+ messages in thread From: Денис Смирнов @ 2003-11-30 8:04 UTC (permalink / raw) To: community On Sat, Nov 29, 2003 at 12:29:44PM +0200, Michael Shigorin wrote: >>>>> -A INPUT -m state --state INVALID,NEW -j DROP >>>> Хм. Зачем? >>> Затем, чтоб народное творчество обламывалось почаще. >> ? > Ну, всякие неправильные самопальные IP-пакеты с левыми > заголовками. Тогда NEW зачем? У меня обычно первое правило в цепочке это "пропускать по установленым соединениям", второе -- "дропать все INVALID пакеты". Дальше уже в зависимости от ситуации. INVALID иногда не только дропаю, но ещё и в лог отправляю. > > > > >> /sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > > > > > Это если и изнутри не все выпускать, тогда осмысленно. > > > > > И то как раз тогда -- не всегда =) > > > > А почему как раз тогда не всегда? > > > В смысле "как раз тогда -- не всегда ACCEPT" :-) > > Я понял. Но не понял почему и зачем не делать ACCEPT на уже > > установленые соединения? > Этого и я не понял. А добавил -- насчет того, _почему_ им > позволять или нет быть установленными. Ясно. -- С уважением, Денис http://freesource.info ^ permalink raw reply [flat|nested] 33+ messages in thread
* [Comm] DROP vs. REJECT (was: Linux Gate) 2003-11-27 8:07 ` Michael Shigorin 2003-11-27 11:49 ` Денис Смирнов @ 2003-11-27 15:52 ` Andrey Rahmatullin 2003-11-28 8:02 ` [Comm] Re: DROP vs. JECT " Денис Смирнов 2003-11-30 14:32 ` [Comm] Re: Linux Gate Maxim Tyurin 2 siblings, 1 reply; 33+ messages in thread From: Andrey Rahmatullin @ 2003-11-27 15:52 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 909 bytes --] On Thu, Nov 27, 2003 at 10:07:09AM +0200, Michael Shigorin wrote: [...] > Еще полезно > > -A INPUT -m state --state INVALID,NEW -j DROP > > и в конце (при этом chain policy == ACCEPT) > > -A INPUT -j REJECT --reject-with icmp-host-unreachable > > -- если не требуется именно дропать (большой паразитный трафик), > то это сделает наш файрвол внешне неотличимым от просто > открытых/закрытых портов. [...] Кстати, чем сброс лучше/хуже режекта? Я так понимаю, при дропе удаленная маштеа получает просто таймаут, а при режекте что-то типа "нет такого адреса" (icmp-host-unreachable) либо "в подключении отказано" (tcp-reset)? Тогда что в каких случаях предпочтительнее? (вообще в принципе и конкретно для диалапного десктопа без локалки) -- По "техническим причинам" я буду молчать или реагировать с бооольшой задержкой на все почтовое в лучшем случае до понедельника следующей недели. -- ldv in devel@ [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 33+ messages in thread
* [Comm] Re: DROP vs. JECT (was: Linux Gate) 2003-11-27 15:52 ` [Comm] DROP vs. REJECT (was: Linux Gate) Andrey Rahmatullin @ 2003-11-28 8:02 ` Денис Смирнов 2003-11-28 8:14 ` Dmytro O. Redchuk 0 siblings, 1 reply; 33+ messages in thread From: Денис Смирнов @ 2003-11-28 8:02 UTC (permalink / raw) To: community On Thu, Nov 27, 2003 at 08:52:28PM +0500, Andrey Rahmatullin wrote: > Кстати, чем сброс лучше/хуже режекта? Я так понимаю, при дропе удаленная > маштеа получает просто таймаут, а при режекте что-то типа "нет такого > адреса" (icmp-host-unreachable) либо "в подключении отказано" (tcp-reset)? > Тогда что в каких случаях предпочтительнее? (вообще в принципе и конкретно > для диалапного десктопа без локалки) REJECT отсылает ответ, DROP просто убивает пакет. Для диалапа лучше использовать DROP. REJECT есть смысл использовать, например, внутри локальной сети. -- С уважением, Денис http://freesource.info ^ permalink raw reply [flat|nested] 33+ messages in thread
* Re: [Comm] Re: DROP vs. JECT (was: Linux Gate) 2003-11-28 8:02 ` [Comm] Re: DROP vs. JECT " Денис Смирнов @ 2003-11-28 8:14 ` Dmytro O. Redchuk 0 siblings, 0 replies; 33+ messages in thread From: Dmytro O. Redchuk @ 2003-11-28 8:14 UTC (permalink / raw) To: community On Fri, Nov 28, 2003 at 11:02:39AM +0300, Денис Смирнов wrote: > On Thu, Nov 27, 2003 at 08:52:28PM +0500, Andrey Rahmatullin wrote: > > > Кстати, чем сброс лучше/хуже режекта? Я так понимаю, при дропе удаленная > > маштеа получает просто таймаут, а при режекте что-то типа "нет такого > > адреса" (icmp-host-unreachable) либо "в подключении отказано" (tcp-reset)? > > Тогда что в каких случаях предпочтительнее? (вообще в принципе и конкретно > > для диалапного десктопа без локалки) > > REJECT отсылает ответ, DROP просто убивает пакет. Для диалапа лучше > использовать DROP. > > REJECT есть смысл использовать, например, внутри локальной сети. Смотря чего вы хотите добиться. При дропе удалённая машина выжидает какие-то таймауты, при реджекте до неё сразу доходит, что "там такого нет". В зависимости от ситуации нужно использовать то, или другое. Но дроп быстрее... Для реджекта надо ещё пакет собрать да отправить ;-) > > -- > С уважением, Денис > > http://freesource.info -- _,-=._ /|_/| `-.} `=._,.-=-._., @ @._, `._ _,-. ) _,.-' ` G.m-"^m`m' Dmytro O. Redchuk "The only way I can lose this election is if I'm caught in bed with a dead girl or a live boy." -- Louisiana governor Edwin Edwards ^ permalink raw reply [flat|nested] 33+ messages in thread
* Re: [Comm] Re: Linux Gate 2003-11-27 8:07 ` Michael Shigorin 2003-11-27 11:49 ` Денис Смирнов 2003-11-27 15:52 ` [Comm] DROP vs. REJECT (was: Linux Gate) Andrey Rahmatullin @ 2003-11-30 14:32 ` Maxim Tyurin 2003-11-30 21:46 ` Денис Смирнов 2 siblings, 1 reply; 33+ messages in thread From: Maxim Tyurin @ 2003-11-30 14:32 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 721 bytes --] On Thu, Nov 27, 2003 at 10:07:09AM +0200, Michael Shigorin wrote: > On Thu, Nov 27, 2003 at 07:04:52AM +0300, Денис Смирнов wrote: > > > Напишите такиеже 3-4 строчки для ftp доступа куданьть > > > плиз, не поленитесь... > > /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATES -j ACCEPT > > Еще полезно > > -A INPUT -m state --state INVALID,NEW -j DROP Точно так? Чем NEW не угодил? может по 2-м правилам это расписать? -A INPUT -p TCP ! --syn -m state --state NEW -j DROP -A INPUT -p TCP -m state --state INVALID -j DROP > > и в конце (при этом chain policy == ACCEPT) > > -A INPUT -j REJECT --reject-with icmp-host-unreachable > -- With Best Regards, Maxim Tyurin JID: MrKooll@jabber.pibhe.com [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 33+ messages in thread
* [Comm] Re: Linux Gate 2003-11-30 14:32 ` [Comm] Re: Linux Gate Maxim Tyurin @ 2003-11-30 21:46 ` Денис Смирнов 2003-12-01 4:24 ` Gosha 2003-12-01 7:52 ` Maxim Tyurin 0 siblings, 2 replies; 33+ messages in thread From: Денис Смирнов @ 2003-11-30 21:46 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 474 bytes --] On Sun, Nov 30, 2003 at 04:32:38PM +0200, Maxim Tyurin wrote: > Точно так? Чем NEW не угодил? > может по 2-м правилам это расписать? > -A INPUT -p TCP ! --syn -m state --state NEW -j DROP > -A INPUT -p TCP -m state --state INVALID -j DROP Если я правильно понимаю, то первое правило вообще не может сработать, а то что ты имел ввиду и есть то, что написано во второй строчке. Или я неправильно понимаю логику iptables? -- С уважением, Денис http://freesource.info [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 33+ messages in thread
* Re: [Comm] Re: Linux Gate 2003-11-30 21:46 ` Денис Смирнов @ 2003-12-01 4:24 ` Gosha 2003-12-01 9:43 ` Denis Smirnov 2003-12-01 7:52 ` Maxim Tyurin 1 sibling, 1 reply; 33+ messages in thread From: Gosha @ 2003-12-01 4:24 UTC (permalink / raw) To: community Hi! On Mon, 1 Dec 2003 00:46:56 +0300 Денис Смирнов <mithraen@freesource.info> wrote: > On Sun, Nov 30, 2003 at 04:32:38PM +0200, Maxim Tyurin wrote: > > > Точно так? Чем NEW не угодил? > > может по 2-м правилам это расписать? > > -A INPUT -p TCP ! --syn -m state --state NEW -j DROP > > -A INPUT -p TCP -m state --state INVALID -j DROP > > Если я правильно понимаю, то первое правило вообще не может сработать, Срабатывает и еще как! Вот примерчик из лога: $ sudo cat /var/log/iptables | grep syn ...... Dec 1 04:20:11 bgate kernel: New not syn:IN=eth2 OUT=eth1 SRC=61.129.81.6 DST=217.19.114.35 LEN=40 TOS=0x00 PREC=0x20 TTL=107 ID=50915 PROTO=TCP SPT=2258 DPT=34083 WINDOW=0 RES=0x00 ACK RST URGP=0 > а то что ты имел ввиду и есть то, что написано во второй строчке. > Или я неправильно понимаю логику iptables? -- Best regards! Igor Solovyov System/Network administrator JSC CB "Zlatkombank", Zlatoust, Russia ^ permalink raw reply [flat|nested] 33+ messages in thread
* [Comm] Re: Linux Gate 2003-12-01 4:24 ` Gosha @ 2003-12-01 9:43 ` Denis Smirnov 2003-12-01 11:33 ` Maxim Tyurin 0 siblings, 1 reply; 33+ messages in thread From: Denis Smirnov @ 2003-12-01 9:43 UTC (permalink / raw) To: community On Mon, Dec 01, 2003 at 09:24:38AM +0500, Gosha wrote: > > > Точно так? Чем NEW не угодил? > > > может по 2-м правилам это расписать? > > > -A INPUT -p TCP ! --syn -m state --state NEW -j DROP > > > -A INPUT -p TCP -m state --state INVALID -j DROP > > Если я правильно понимаю, то первое правило вообще не может сработать, > Срабатывает и еще как! Вот примерчик из лога: > $ sudo cat /var/log/iptables | grep syn > Dec 1 04:20:11 bgate kernel: New not syn:IN=eth2 OUT=eth1 > SRC=61.129.81.6 DST=217.19.114.35 LEN=40 TOS=0x00 PREC=0x20 TTL=107 > ID=50915 PROTO=TCP SPT=2258 DPT=34083 WINDOW=0 RES=0x00 ACK RST URGP=0 А оно не идентично INVALID? -- С уважением, Денис http://freesource.info ^ permalink raw reply [flat|nested] 33+ messages in thread
* Re: [Comm] Re: Linux Gate 2003-12-01 9:43 ` Denis Smirnov @ 2003-12-01 11:33 ` Maxim Tyurin 2003-12-01 19:04 ` Денис Смирнов 0 siblings, 1 reply; 33+ messages in thread From: Maxim Tyurin @ 2003-12-01 11:33 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 870 bytes --] On Mon, Dec 01, 2003 at 12:43:48PM +0300, Denis Smirnov wrote: > On Mon, Dec 01, 2003 at 09:24:38AM +0500, Gosha wrote: > > > > > Точно так? Чем NEW не угодил? > > > > может по 2-м правилам это расписать? > > > > -A INPUT -p TCP ! --syn -m state --state NEW -j DROP > > > > -A INPUT -p TCP -m state --state INVALID -j DROP > > > Если я правильно понимаю, то первое правило вообще не может сработать, > > Срабатывает и еще как! Вот примерчик из лога: > > $ sudo cat /var/log/iptables | grep syn > > Dec 1 04:20:11 bgate kernel: New not syn:IN=eth2 OUT=eth1 > > SRC=61.129.81.6 DST=217.19.114.35 LEN=40 TOS=0x00 PREC=0x20 TTL=107 > > ID=50915 PROTO=TCP SPT=2258 DPT=34083 WINDOW=0 RES=0x00 ACK RST URGP=0 > > А оно не идентично INVALID? Нет. Есть NEW, ESPABLISHED, RELATED и INVALID -- With Best Regards, Maxim Tyurin JID: MrKooll@jabber.pibhe.com [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 33+ messages in thread
* [Comm] Re: Linux Gate 2003-12-01 11:33 ` Maxim Tyurin @ 2003-12-01 19:04 ` Денис Смирнов 2003-12-01 19:50 ` Maxim Tyurin 0 siblings, 1 reply; 33+ messages in thread From: Денис Смирнов @ 2003-12-01 19:04 UTC (permalink / raw) To: community On Mon, Dec 01, 2003 at 01:33:23PM +0200, Maxim Tyurin wrote: >> А оно не идентично INVALID? > Нет. > Есть NEW, ESPABLISHED, RELATED и INVALID Ещё раз внимательно перечитал man iptables. Правильно я понимаю, что NEW это любой пакет не относящийся к уже известному соединению? -- С уважением, Денис http://freesource.info ^ permalink raw reply [flat|nested] 33+ messages in thread
* Re: [Comm] Re: Linux Gate 2003-12-01 19:04 ` Денис Смирнов @ 2003-12-01 19:50 ` Maxim Tyurin 2003-12-02 7:57 ` Денис Смирнов 0 siblings, 1 reply; 33+ messages in thread From: Maxim Tyurin @ 2003-12-01 19:50 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 760 bytes --] On Mon, Dec 01, 2003 at 10:04:25PM +0300, Денис Смирнов wrote: > On Mon, Dec 01, 2003 at 01:33:23PM +0200, Maxim Tyurin wrote: > > >> А оно не идентично INVALID? > > Нет. > > Есть NEW, ESPABLISHED, RELATED и INVALID > > Ещё раз внимательно перечитал man iptables. Правильно я понимаю, что NEW > это любой пакет не относящийся к уже известному соединению? В iptables-tutorial точно было Соединение получает статус NEW когда получает первый пакет в соединении. Этот пакет может и не быть Syn пакетом (если соединение перехвачено от другого фаервола или после таймаута на еще не закрытом соединении). ЗЫ Вообще из меня плохой рассказчик так что советую iptables-tutorial почитать :) -- With Best Regards, Maxim Tyurin JID: MrKooll@jabber.pibhe.com [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 33+ messages in thread
* [Comm] Re: Linux Gate 2003-12-01 19:50 ` Maxim Tyurin @ 2003-12-02 7:57 ` Денис Смирнов 0 siblings, 0 replies; 33+ messages in thread From: Денис Смирнов @ 2003-12-02 7:57 UTC (permalink / raw) To: community On Mon, Dec 01, 2003 at 09:50:17PM +0200, Maxim Tyurin wrote: > В iptables-tutorial точно было > Соединение получает статус NEW когда получает первый пакет в > соединении. Этот пакет может и не быть Syn пакетом (если соединение > перехвачено от другого фаервола или после таймаута на еще не закрытом > соединении). > ЗЫ Вообще из меня плохой рассказчик так что советую iptables-tutorial > почитать :) Ok, спасибо. Раньше я наивно думал что хорошо понимаю логику модуля state :) -- С уважением, Денис http://freesource.info ^ permalink raw reply [flat|nested] 33+ messages in thread
* Re: [Comm] Re: Linux Gate 2003-11-30 21:46 ` Денис Смирнов 2003-12-01 4:24 ` Gosha @ 2003-12-01 7:52 ` Maxim Tyurin 2003-12-01 11:17 ` Денис Смирнов 1 sibling, 1 reply; 33+ messages in thread From: Maxim Tyurin @ 2003-12-01 7:52 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 669 bytes --] On Mon, Dec 01, 2003 at 12:46:56AM +0300, Денис Смирнов wrote: > On Sun, Nov 30, 2003 at 04:32:38PM +0200, Maxim Tyurin wrote: > > > Точно так? Чем NEW не угодил? > > может по 2-м правилам это расписать? > > -A INPUT -p TCP ! --syn -m state --state NEW -j DROP > > -A INPUT -p TCP -m state --state INVALID -j DROP > > Если я правильно понимаю, то первое правило вообще не может сработать, а > то что ты имел ввиду и есть то, что написано во второй строчке. Или я > неправильно понимаю логику iptables? Видать неправильно понимаете ;) Точнее не iptables, а TCP/IP NEW и Syn это разные флаги. -- With Best Regards, Maxim Tyurin JID: MrKooll@jabber.pibhe.com [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 33+ messages in thread
* [Comm] Re: Linux Gate 2003-12-01 7:52 ` Maxim Tyurin @ 2003-12-01 11:17 ` Денис Смирнов 2003-12-01 18:10 ` Maxim Tyurin 0 siblings, 1 reply; 33+ messages in thread From: Денис Смирнов @ 2003-12-01 11:17 UTC (permalink / raw) To: community On Mon, Dec 01, 2003 at 09:52:12AM +0200, Maxim Tyurin wrote: >> Если я правильно понимаю, то первое правило вообще не может сработать, а >> то что ты имел ввиду и есть то, что написано во второй строчке. Или я >> неправильно понимаю логику iptables? > Видать неправильно понимаете ;) > Точнее не iptables, а TCP/IP > NEW и Syn это разные флаги. Опаньки. _Флага_ NEW, AFAIK, вообще не существует. Или мне пора садиться читать FM? NEW это, насколько я понимаю, некий _виртуальный_ параметр, который каким-то образом формируется модулем state. Только вот каким именно, и чем он отличается от INVALID я не понимаю. -- С уважением, Денис http://freesource.info ^ permalink raw reply [flat|nested] 33+ messages in thread
* Re: [Comm] Re: Linux Gate 2003-12-01 11:17 ` Денис Смирнов @ 2003-12-01 18:10 ` Maxim Tyurin 0 siblings, 0 replies; 33+ messages in thread From: Maxim Tyurin @ 2003-12-01 18:10 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 862 bytes --] On Mon, Dec 01, 2003 at 02:17:01PM +0300, Денис Смирнов wrote: > On Mon, Dec 01, 2003 at 09:52:12AM +0200, Maxim Tyurin wrote: > > >> Если я правильно понимаю, то первое правило вообще не может сработать, а > >> то что ты имел ввиду и есть то, что написано во второй строчке. Или я > >> неправильно понимаю логику iptables? > > Видать неправильно понимаете ;) > > Точнее не iptables, а TCP/IP > > NEW и Syn это разные флаги. > > Опаньки. _Флага_ NEW, AFAIK, вообще не существует. Или мне пора садиться > читать FM? NEW это, насколько я понимаю, некий _виртуальный_ параметр, > который каким-то образом формируется модулем state. Только вот каким > именно, и чем он отличается от INVALID я не понимаю. Угу. Читать про iptables :) Это все виртуальные параметры трассировки соединений. -- With Best Regards, Maxim Tyurin JID: MrKooll@jabber.pibhe.com [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 33+ messages in thread
end of thread, other threads:[~2003-12-02 7:57 UTC | newest] Thread overview: 33+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2003-11-25 12:41 [Comm] Linux Gate Alexey Morsov 2003-11-25 13:16 ` Dmitry Nechaev 2003-11-26 7:52 ` [Comm] " Денис Смирнов 2003-11-26 8:14 ` Andrey Rahmatullin 2003-11-26 9:40 ` Alexey Morsov 2003-11-26 12:56 ` Денис Смирнов 2003-11-26 15:02 ` Alexey Morsov 2003-11-27 3:02 ` Денис Смирнов 2003-11-27 3:30 ` aek 2003-11-27 4:04 ` Денис Смирнов 2003-11-27 7:52 ` aek 2003-11-27 8:07 ` Michael Shigorin 2003-11-27 11:45 ` Денис Смирнов 2003-11-27 8:07 ` Michael Shigorin 2003-11-27 11:49 ` Денис Смирнов 2003-11-28 21:59 ` Michael Shigorin 2003-11-29 5:00 ` Денис Смирнов 2003-11-29 10:29 ` Michael Shigorin 2003-11-30 8:04 ` Денис Смирнов 2003-11-27 15:52 ` [Comm] DROP vs. REJECT (was: Linux Gate) Andrey Rahmatullin 2003-11-28 8:02 ` [Comm] Re: DROP vs. JECT " Денис Смирнов 2003-11-28 8:14 ` Dmytro O. Redchuk 2003-11-30 14:32 ` [Comm] Re: Linux Gate Maxim Tyurin 2003-11-30 21:46 ` Денис Смирнов 2003-12-01 4:24 ` Gosha 2003-12-01 9:43 ` Denis Smirnov 2003-12-01 11:33 ` Maxim Tyurin 2003-12-01 19:04 ` Денис Смирнов 2003-12-01 19:50 ` Maxim Tyurin 2003-12-02 7:57 ` Денис Смирнов 2003-12-01 7:52 ` Maxim Tyurin 2003-12-01 11:17 ` Денис Смирнов 2003-12-01 18:10 ` Maxim Tyurin
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git