* [Comm] Как перезапустить IPTABLES без перез. компа? @ 2004-05-27 11:32 Andrey Rudikov 2004-05-27 11:54 ` Mikhailov Vladimir ` (2 more replies) 0 siblings, 3 replies; 27+ messages in thread From: Andrey Rudikov @ 2004-05-27 11:32 UTC (permalink / raw) To: community Добрый день! Подскажите, как правильно перезапустить iptables? Пишу свои правила в файл /etc/sysconfig/iptables Потом пытаюсь перезапустить IPTables путем выполнения: /etc/init.d/iptables restart или /etc/init.d/iptables reload или services iptables restart Пишет что все ОК но пакеты перестают куда-либо ходить. Начинает работать только после перезагрузки компа... Но не перезагружать же его после каждого исправления. ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] Как перезапустить IPTABLES без перез. компа? 2004-05-27 11:32 [Comm] Как перезапустить IPTABLES без перез. компа? Andrey Rudikov @ 2004-05-27 11:54 ` Mikhailov Vladimir 2004-05-27 13:32 ` Igor Solovyov 2004-05-28 8:03 ` Maxim Tyurin 2 siblings, 0 replies; 27+ messages in thread From: Mikhailov Vladimir @ 2004-05-27 11:54 UTC (permalink / raw) To: community > Добрый день! > > Подскажите, как правильно перезапустить iptables? > > Пишу свои правила в файл /etc/sysconfig/iptables > Потом пытаюсь перезапустить IPTables путем > выполнения: > /etc/init.d/iptables restart или > /etc/init.d/iptables reload или > services iptables restart > iptables -L (посмотреть правила) iptables -F (очистить правила) iptables (запуск c новыми правилами только не забывай их сохранять) > Пишет что все ОК но пакеты перестают куда-либо ходить. > > Начинает работать только после перезагрузки компа... > Но не перезагружать же его после каждого исправления. Конечно не надо перегружать > > > > > > ---------------------------------------------------------------------------- ---- > _______________________________________________ > Community mailing list > Community@altlinux.ru > https://lists.altlinux.ru/mailman/listinfo/community ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] Как перезапустить IPTABLES без перез. компа? 2004-05-27 11:32 [Comm] Как перезапустить IPTABLES без перез. компа? Andrey Rudikov 2004-05-27 11:54 ` Mikhailov Vladimir @ 2004-05-27 13:32 ` Igor Solovyov 2004-05-27 14:29 ` Artem K. Jouravsky 2004-05-28 8:03 ` Maxim Tyurin 2 siblings, 1 reply; 27+ messages in thread From: Igor Solovyov @ 2004-05-27 13:32 UTC (permalink / raw) To: community Hi! On Thu, 27 May 2004 15:32:28 +0400 Andrey Rudikov <andre@eip.ru> wrote: > Подскажите, как правильно перезапустить iptables? > > Пишу свои правила в файл /etc/sysconfig/iptables > Потом пытаюсь перезапустить IPTables путем > выполнения: > /etc/init.d/iptables restart или > /etc/init.d/iptables reload или > services iptables restart services iptables restart но перед этим не забыть сделать: services iptables save -- Best regards! Igor Solovyov Zlatoust, Russia ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] Как перезапустить IPTABLES без перез. компа? 2004-05-27 13:32 ` Igor Solovyov @ 2004-05-27 14:29 ` Artem K. Jouravsky 2004-05-27 14:44 ` Artem Pastukhov 2004-05-28 3:47 ` Gosha 0 siblings, 2 replies; 27+ messages in thread From: Artem K. Jouravsky @ 2004-05-27 14:29 UTC (permalink / raw) To: community On Thu, May 27, 2004 at 07:32:55PM +0600, Igor Solovyov wrote: > Hi! > On Thu, 27 May 2004 15:32:28 +0400 > Andrey Rudikov <andre@eip.ru> wrote: > > > Подскажите, как правильно перезапустить iptables? > > > > Пишу свои правила в файл /etc/sysconfig/iptables > > Потом пытаюсь перезапустить IPTables путем > > выполнения: > > /etc/init.d/iptables restart или > > /etc/init.d/iptables reload или > > services iptables restart > > services iptables restart > > но перед этим не забыть сделать: > > services iptables save И затереть только что созданные правила? Я делал так: 1. Писал скрипт, куда вписывал всё что мне нужно. По необходимости делал для скрипта отдельный конфиг. Старался, чтобы было попрозрачней. 2. Сохранял его в /etc/rc.d/rc.firewall (можно оформить его как отдельный сервис, кстати, в /etc/rc.d/init.d) 3. Говорил chkconfig iptables off 4. Никогда больше не пользовался этим сервисом. -- С уважением, Артём. ЗАО "СЕМА.РУ" ************ Disks travel in packs. ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] Как перезапустить IPTABLES без перез. компа? 2004-05-27 14:29 ` Artem K. Jouravsky @ 2004-05-27 14:44 ` Artem Pastukhov 2004-05-27 14:59 ` Artem K. Jouravsky 2004-05-28 3:47 ` Gosha 1 sibling, 1 reply; 27+ messages in thread From: Artem Pastukhov @ 2004-05-27 14:44 UTC (permalink / raw) To: community В сообщении от Четверг 27 Май 2004 18:29 Artem K. Jouravsky написал(a): > On Thu, May 27, 2004 at 07:32:55PM +0600, Igor Solovyov wrote: > > Hi! > > On Thu, 27 May 2004 15:32:28 +0400 > > > > Andrey Rudikov <andre@eip.ru> wrote: > > > Подскажите, как правильно перезапустить iptables? > > > > > > Пишу свои правила в файл /etc/sysconfig/iptables > > > Потом пытаюсь перезапустить IPTables путем > > > выполнения: > > > /etc/init.d/iptables restart или > > > /etc/init.d/iptables reload или > > > services iptables restart > > > > services iptables restart > > > > но перед этим не забыть сделать: > > > > services iptables save > > И затереть только что созданные правила? > > Я делал так: > > 1. Писал скрипт, куда вписывал всё что мне нужно. По необходимости делал > для скрипта отдельный конфиг. Старался, чтобы было попрозрачней. > 2. Сохранял его в /etc/rc.d/rc.firewall (можно оформить его как отдельный > сервис, кстати, в /etc/rc.d/init.d) > 3. Говорил chkconfig iptables off > 4. Никогда больше не пользовался этим сервисом. Я обычно делаю в /etc/sysconfig/iptables все deny сначала он стартует, а потом уже самописный скрипт. -- С уважением Артем Пастухов, past (at) yam.ru YAM International ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] Как перезапустить IPTABLES без перез. компа? 2004-05-27 14:44 ` Artem Pastukhov @ 2004-05-27 14:59 ` Artem K. Jouravsky 0 siblings, 0 replies; 27+ messages in thread From: Artem K. Jouravsky @ 2004-05-27 14:59 UTC (permalink / raw) To: community On Thu, May 27, 2004 at 06:44:57PM +0400, Artem Pastukhov wrote: > > > > Подскажите, как правильно перезапустить iptables? > > Я делал так: > > > > 1. Писал скрипт, куда вписывал всё что мне нужно. По необходимости делал > > для скрипта отдельный конфиг. Старался, чтобы было попрозрачней. > > 2. Сохранял его в /etc/rc.d/rc.firewall (можно оформить его как отдельный > > сервис, кстати, в /etc/rc.d/init.d) > > 3. Говорил chkconfig iptables off > > 4. Никогда больше не пользовался этим сервисом. > > Я обычно делаю в /etc/sysconfig/iptables все deny > > сначала он стартует, а потом уже самописный скрипт. Ну, можно и так... В любом случае, пользоваться тем что есть, страшно неудобно. С другой стороны, для домашнего компьютера он сойдёт... В общем-то его единственная (IMHO) прелесть в том, что он сохраняет _имеющиеся_ правила и восстанавливает их после загрузки. На сервере лучше своё собственное. -- С уважением, Артём. ЗАО "СЕМА.РУ" ************ fortune: cannot execute. Out of cookies. ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] Как перезапустить IPTABLES без перез. компа? 2004-05-27 14:29 ` Artem K. Jouravsky 2004-05-27 14:44 ` Artem Pastukhov @ 2004-05-28 3:47 ` Gosha 2004-05-28 7:28 ` Artem K. Jouravsky 1 sibling, 1 reply; 27+ messages in thread From: Gosha @ 2004-05-28 3:47 UTC (permalink / raw) To: community Hi! On Thu, 27 May 2004 18:29:31 +0400 "Artem K. Jouravsky" <tema@sema.ru> wrote: > > services iptables restart > > > > но перед этим не забыть сделать: > > > > services iptables save > И затереть только что созданные правила? Нет не затереть, а сохранить только-что созданные правила. -- Best regards! Igor Solovyov Zlatoust, Russia ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] Как перезапустить IPTABLES без перез. компа? 2004-05-28 3:47 ` Gosha @ 2004-05-28 7:28 ` Artem K. Jouravsky 2004-05-28 7:37 ` Re[2]: " Alexey S. Kuznetsov 2004-05-28 12:37 ` [Comm] " Igor Solovyov 0 siblings, 2 replies; 27+ messages in thread From: Artem K. Jouravsky @ 2004-05-28 7:28 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 659 bytes --] On Fri, May 28, 2004 at 09:47:12AM +0600, Gosha wrote: > > > services iptables restart > > > > > > но перед этим не забыть сделать: > > > > > > services iptables save > > И затереть только что созданные правила? > > Нет не затереть, а сохранить только-что созданные правила. "Пишу свои правила в файл /etc/sysconfig/iptables" [root@ujo root]# service iptables save Saving current rules to /etc/sysconfig/iptables: [ DONE ] И что станет с файлом, в который писали правила? -- С уважением, Артём. ЗАО "СЕМА.РУ" ************ In the long run, every program becomes rococco, and then rubble. -- Alan Perlis [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re[2]: [Comm] Как перезапустить IPTABLES без перез. компа? 2004-05-28 7:28 ` Artem K. Jouravsky @ 2004-05-28 7:37 ` Alexey S. Kuznetsov 2004-05-28 10:03 ` [Comm] " Michael Shigorin 2004-05-28 12:37 ` [Comm] " Igor Solovyov 1 sibling, 1 reply; 27+ messages in thread From: Alexey S. Kuznetsov @ 2004-05-28 7:37 UTC (permalink / raw) To: Artem K. Jouravsky Hello Artem, Friday, May 28, 2004, 10:28:58 AM, you wrote: AKJ> On Fri, May 28, 2004 at 09:47:12AM +0600, Gosha wrote: >> > > services iptables restart >> > > >> > > но перед этим не забыть сделать: >> > > >> > > services iptables save >> > И затереть только что созданные правила? >> >> Нет не затереть, а сохранить только-что созданные правила. AKJ> "Пишу свои правила в файл /etc/sysconfig/iptables" AKJ> [root@ujo root]# service iptables save AKJ> Saving current rules to /etc/sysconfig/iptables: [ DONE ] AKJ> И что станет с файлом, в который писали правила? Я короче делаю так. ln -s /etc/sysconfig/iptables /etc/rc.firewall потом делаю какие-то изменения в этом ФАЙЛЕ и потом /etc/rc.d/init.d/iptables restart -- Sincerely, Alexey S. Kuznetsov AK2351-RIPE ^ permalink raw reply [flat|nested] 27+ messages in thread
* [Comm] Re: Как перезапустить IPTABLES без перез. компа? 2004-05-28 7:37 ` Re[2]: " Alexey S. Kuznetsov @ 2004-05-28 10:03 ` Michael Shigorin 0 siblings, 0 replies; 27+ messages in thread From: Michael Shigorin @ 2004-05-28 10:03 UTC (permalink / raw) To: Artem K. Jouravsky On Fri, May 28, 2004 at 10:37:01AM +0300, Alexey S. Kuznetsov wrote: > ln -s /etc/sysconfig/iptables /etc/rc.firewall А смысл? /etc/rc.* -- исполняемые скрипты по задумке. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] Как перезапустить IPTABLES без перез. компа? 2004-05-28 7:28 ` Artem K. Jouravsky 2004-05-28 7:37 ` Re[2]: " Alexey S. Kuznetsov @ 2004-05-28 12:37 ` Igor Solovyov 2004-05-28 12:43 ` Artem K. Jouravsky 1 sibling, 1 reply; 27+ messages in thread From: Igor Solovyov @ 2004-05-28 12:37 UTC (permalink / raw) To: community Hi! On Fri, 28 May 2004 11:28:58 +0400 "Artem K. Jouravsky" <tema@sema.ru> wrote: > On Fri, May 28, 2004 at 09:47:12AM +0600, Gosha wrote: > > > > services iptables restart > > > > > > > > но перед этим не забыть сделать: > > > > > > > > services iptables save > > > И затереть только что созданные правила? > > > > Нет не затереть, а сохранить только-что созданные правила. > "Пишу свои правила в файл /etc/sysconfig/iptables" > > [root@ujo root]# service iptables save > Saving current rules to /etc/sysconfig/iptables: [ DONE ] > > И что станет с файлом, в который писали правила? А кто вас заставляет писать правила в /etc/sysconfig/iptables ? Сделайте отдельный скрипт с правилами, запустите его, сохраните (services iptables save). Какие проблемы-то? Нужно что-то поправить - правите в скрипте, запускаете, снова сохраняете. -- Best regards! Igor Solovyov Zlatoust, Russia ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] Как перезапустить IPTABLES без перез. компа? 2004-05-28 12:37 ` [Comm] " Igor Solovyov @ 2004-05-28 12:43 ` Artem K. Jouravsky 2004-05-28 12:46 ` Igor Solovyov 0 siblings, 1 reply; 27+ messages in thread From: Artem K. Jouravsky @ 2004-05-28 12:43 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 767 bytes --] On Fri, May 28, 2004 at 06:37:53PM +0600, Igor Solovyov wrote: > > > > > services iptables restart > > > > > но перед этим не забыть сделать: > > > > > services iptables save > > > > И затереть только что созданные правила? > > > Нет не затереть, а сохранить только-что созданные правила. > > "Пишу свои правила в файл /etc/sysconfig/iptables" > > [root@ujo root]# service iptables save > > Saving current rules to /etc/sysconfig/iptables: [ DONE ] > > И что станет с файлом, в который писали правила? > А кто вас заставляет писать правила в /etc/sysconfig/iptables ? Меня? Никто :) У меня этот сервис по жизни выключен, чтобы с моим скриптом не подрался :) -- С уважением, Артём. ЗАО "СЕМА.РУ" ************ I am NOMAD! [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] Как перезапустить IPTABLES без перез. компа? 2004-05-28 12:43 ` Artem K. Jouravsky @ 2004-05-28 12:46 ` Igor Solovyov 2004-05-28 13:31 ` Artem K. Jouravsky 0 siblings, 1 reply; 27+ messages in thread From: Igor Solovyov @ 2004-05-28 12:46 UTC (permalink / raw) To: community Hi! On Fri, 28 May 2004 16:43:39 +0400 "Artem K. Jouravsky" <tema@sema.ru> wrote: > > > "Пишу свои правила в файл /etc/sysconfig/iptables" > > > [root@ujo root]# service iptables save > > > Saving current rules to /etc/sysconfig/iptables: [ DONE ] > > > И что станет с файлом, в который писали правила? > > А кто вас заставляет писать правила в /etc/sysconfig/iptables ? > Меня? Никто :) У меня этот сервис по жизни выключен, чтобы с моим скриптом > не подрался :) Не понял как они могут подраться? Отладил скрипт, убедился что все работает, сохранил. Все. При перезагрузках сохраненные результаты подымаются вместе со стартом сервиса. Или я что-то не понял? -- Best regards! Igor Solovyov Zlatoust, Russia ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] Как перезапустить IPTABLES без перез. компа? 2004-05-28 12:46 ` Igor Solovyov @ 2004-05-28 13:31 ` Artem K. Jouravsky 2004-05-28 17:18 ` Pyatnitskich Evgeniy 0 siblings, 1 reply; 27+ messages in thread From: Artem K. Jouravsky @ 2004-05-28 13:31 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 1025 bytes --] On Fri, May 28, 2004 at 06:46:13PM +0600, Igor Solovyov wrote: > > > > "Пишу свои правила в файл /etc/sysconfig/iptables" > > > > [root@ujo root]# service iptables save > > > > Saving current rules to /etc/sysconfig/iptables: [ DONE ] > > > > И что станет с файлом, в который писали правила? > > > А кто вас заставляет писать правила в /etc/sysconfig/iptables ? > > Меня? Никто :) У меня этот сервис по жизни выключен, чтобы с моим скриптом > > не подрался :) > > Не понял как они могут подраться? > Отладил скрипт, убедился что все работает, сохранил. > Все. При перезагрузках сохраненные результаты подымаются > вместе со стартом сервиса. > Или я что-то не понял? Очень просто. Пошла загрузка системы. Запустился скрипт /etc/rc.d/rc.firewall Запустился "сервис" iptables, сказал iprables-restore и поднял старые правила из /etc/sysconfig/iptables. Перезаписал то, что скрипт отработал. -- С уважением, Артём. ЗАО "СЕМА.РУ" ************ System going down in 5 minutes. [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] Как перезапустить IPTABLES без перез. компа? 2004-05-28 13:31 ` Artem K. Jouravsky @ 2004-05-28 17:18 ` Pyatnitskich Evgeniy 0 siblings, 0 replies; 27+ messages in thread From: Pyatnitskich Evgeniy @ 2004-05-28 17:18 UTC (permalink / raw) To: community On Fri, May 28, 2004 at 17:31:45 +0400 Artem K. Jouravsky wrote: > > Отладил скрипт, убедился что все работает, сохранил. > > Все. При перезагрузках сохраненные результаты подымаются > > вместе со стартом сервиса. > > Или я что-то не понял? > Очень просто. > Пошла загрузка системы. > Запустился скрипт /etc/rc.d/rc.firewall > Запустился "сервис" iptables, сказал iprables-restore и поднял > старые > правила из /etc/sysconfig/iptables. Перезаписал то, что скрипт > отработал. Запустили после загрузки системы свой скрипт с правилами. Затем делаете: $ sudo service iptables save $ sudo chkconfig iptables on И перегружаетесь. Сервис поднимет ваши сохранённые правила. Или я тоже что-то не понял? :) -- -- Regards, P.E.M. <pem at nm dot ru> ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] Как перезапустить IPTABLES без перез. компа? 2004-05-27 11:32 [Comm] Как перезапустить IPTABLES без перез. компа? Andrey Rudikov 2004-05-27 11:54 ` Mikhailov Vladimir 2004-05-27 13:32 ` Igor Solovyov @ 2004-05-28 8:03 ` Maxim Tyurin 2004-05-28 9:58 ` [Comm] " Michael Shigorin 2 siblings, 1 reply; 27+ messages in thread From: Maxim Tyurin @ 2004-05-28 8:03 UTC (permalink / raw) To: community Andrey Rudikov <andre@eip.ru> writes: > Добрый день! > > Подскажите, как правильно перезапустить iptables? > > Пишу свои правила в файл /etc/sysconfig/iptables Туда нельзя писать (точнее очень не рекомендуется). Туда пишет/читает iptables Если нужно правила скриптом прописывать - то создать шеловский скрипт нужной функциональности, назвать его rc.firewall и засунуть в /etc/rc.d/ -- With Best Regards, Maxim Tyurin JID: MrKooll@jabber.pibhe.com ^ permalink raw reply [flat|nested] 27+ messages in thread
* [Comm] Re: Как перезапустить IPTABLES без перез. компа? 2004-05-28 8:03 ` Maxim Tyurin @ 2004-05-28 9:58 ` Michael Shigorin 2004-05-28 10:32 ` Maxim Tyurin 0 siblings, 1 reply; 27+ messages in thread From: Michael Shigorin @ 2004-05-28 9:58 UTC (permalink / raw) To: community [-- Attachment #1.1: Type: text/plain, Size: 593 bytes --] On Fri, May 28, 2004 at 11:03:05AM +0300, Maxim Tyurin wrote: > > Подскажите, как правильно перезапустить iptables? > > Пишу свои правила в файл /etc/sysconfig/iptables > Туда нельзя писать (точнее очень не рекомендуется). Да ну. Размножать любимые шаблоны -- любимое же дело :) Для архива -- цепляю таковую для eth0->10.0.1.0/24, eth1->наружу (в DSL-модем, например) с несколькими удобными хуками и кусочками. > Туда пишет/читает iptables iptables-{save,restore}, точнее. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ [-- Attachment #1.2: iptables --] [-- Type: text/plain, Size: 2006 bytes --] # Generated by iptables-save v1.2.6a on Thu Nov 21 21:15:39 2002 *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A PREROUTING -d _REAL_IP -i eth0 -p tcp -m tcp --dport _EXT_PORT -j DNAT --to-destination _INT_HOST:_INT_PORT -A POSTROUTING -s 10.0.1.0/24 -d ! 10.0.1.0/24 -j SNAT --to-source _REAL_IP COMMIT # Completed on Thu Nov 21 21:15:39 2002 # Generated by iptables-save v1.2.6a on Thu Nov 21 21:15:39 2002 *mangle :PREROUTING ACCEPT [0:0] :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] COMMIT # Completed on Thu Nov 21 21:15:39 2002 # Generated by iptables-save v1.2.6a on Thu Nov 21 21:15:39 2002 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :eth1-in - [0:0] :eth1-out - [0:0] :tcprules - [0:0] -A INPUT -i eth1 -j eth1-in -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT -A INPUT -s 10.0.1.0/24 -d 10.0.1.1 -i eth0 -j ACCEPT -A INPUT -s 10.0.1.0/24 -d _REAL_IP -i eth0 -j ACCEPT -A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT -A INPUT -d _REAL_IP -i eth0 -p udp -m udp --dport 53 -j ACCEPT -A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 53 -j ACCEPT -A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT -A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 113 -j REJECT --reject-with tcp-reset -A INPUT -j tcprules # block :25 to world (only through 10.0.1.1:25) -A FORWARD -s 10.0.1.0/24 -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable -A FORWARD -j tcprules -A OUTPUT -o eth1 -j eth1-out -A eth1-in -j RETURN -A eth1-out -j RETURN -A tcprules -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT -A tcprules -i ! eth1 -m state --state NEW -j ACCEPT -A tcprules -i eth1 -m state --state INVALID,NEW -j DROP -A tcprules -i eth1 -j REJECT --reject-with icmp-host-unreachable COMMIT # Completed on Thu Nov 21 21:15:39 2002 [-- Attachment #1.3: iptables --] [-- Type: text/plain, Size: 2006 bytes --] # Generated by iptables-save v1.2.6a on Thu Nov 21 21:15:39 2002 *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A PREROUTING -d _REAL_IP -i eth0 -p tcp -m tcp --dport _EXT_PORT -j DNAT --to-destination _INT_HOST:_INT_PORT -A POSTROUTING -s 10.0.1.0/24 -d ! 10.0.1.0/24 -j SNAT --to-source _REAL_IP COMMIT # Completed on Thu Nov 21 21:15:39 2002 # Generated by iptables-save v1.2.6a on Thu Nov 21 21:15:39 2002 *mangle :PREROUTING ACCEPT [0:0] :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] COMMIT # Completed on Thu Nov 21 21:15:39 2002 # Generated by iptables-save v1.2.6a on Thu Nov 21 21:15:39 2002 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :eth1-in - [0:0] :eth1-out - [0:0] :tcprules - [0:0] -A INPUT -i eth1 -j eth1-in -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT -A INPUT -s 10.0.1.0/24 -d 10.0.1.1 -i eth0 -j ACCEPT -A INPUT -s 10.0.1.0/24 -d _REAL_IP -i eth0 -j ACCEPT -A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT -A INPUT -d _REAL_IP -i eth0 -p udp -m udp --dport 53 -j ACCEPT -A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 53 -j ACCEPT -A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT -A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 113 -j REJECT --reject-with tcp-reset -A INPUT -j tcprules # block :25 to world (only through 10.0.1.1:25) -A FORWARD -s 10.0.1.0/24 -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable -A FORWARD -j tcprules -A OUTPUT -o eth1 -j eth1-out -A eth1-in -j RETURN -A eth1-out -j RETURN -A tcprules -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT -A tcprules -i ! eth1 -m state --state NEW -j ACCEPT -A tcprules -i eth1 -m state --state INVALID,NEW -j DROP -A tcprules -i eth1 -j REJECT --reject-with icmp-host-unreachable COMMIT # Completed on Thu Nov 21 21:15:39 2002 [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] Re: Как перезапустить IPTABLES без перез. компа? 2004-05-28 9:58 ` [Comm] " Michael Shigorin @ 2004-05-28 10:32 ` Maxim Tyurin 2004-05-28 10:45 ` Michael Shigorin ` (2 more replies) 0 siblings, 3 replies; 27+ messages in thread From: Maxim Tyurin @ 2004-05-28 10:32 UTC (permalink / raw) To: community Michael Shigorin <mike@osdn.org.ua> writes: >> > Подскажите, как правильно перезапустить iptables? >> > Пишу свои правила в файл /etc/sysconfig/iptables >> Туда нельзя писать (точнее очень не рекомендуется). > > Да ну. Размножать любимые шаблоны -- любимое же дело :) "Писать" и "размножать" это две большие разницы :) А вообще скриптом ИМХО удобнее - там хоть комментариев можно написать. Иначе через полгода без поллитра не разобраться в правилах. \scip -- With Best Regards, Maxim Tyurin JID: MrKooll@jabber.pibhe.com ^ permalink raw reply [flat|nested] 27+ messages in thread
* [Comm] Re: Как перезапустить IPTABLES без перез. компа? 2004-05-28 10:32 ` Maxim Tyurin @ 2004-05-28 10:45 ` Michael Shigorin 2004-05-28 12:12 ` Artem K. Jouravsky 2004-05-28 12:31 ` Igor Solovyov 2 siblings, 0 replies; 27+ messages in thread From: Michael Shigorin @ 2004-05-28 10:45 UTC (permalink / raw) To: community On Fri, May 28, 2004 at 01:32:54PM +0300, Maxim Tyurin wrote: > А вообще скриптом ИМХО удобнее - там хоть комментариев можно написать. А болванка была без комментариев? Эй, кто съел комментариев по пути к Максу, признавайтесь? :) -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] Re: Как перезапустить IPTABLES без перез. компа? 2004-05-28 10:32 ` Maxim Tyurin 2004-05-28 10:45 ` Michael Shigorin @ 2004-05-28 12:12 ` Artem K. Jouravsky 2004-05-28 12:31 ` Igor Solovyov 2 siblings, 0 replies; 27+ messages in thread From: Artem K. Jouravsky @ 2004-05-28 12:12 UTC (permalink / raw) To: community On Fri, May 28, 2004 at 01:32:54PM +0300, Maxim Tyurin wrote: > >> > Подскажите, как правильно перезапустить iptables? > >> > Пишу свои правила в файл /etc/sysconfig/iptables > >> Туда нельзя писать (точнее очень не рекомендуется). > > > > Да ну. Размножать любимые шаблоны -- любимое же дело :) > > "Писать" и "размножать" это две большие разницы :) > А вообще скриптом ИМХО удобнее - там хоть комментариев можно написать. > Иначе через полгода без поллитра не разобраться в правилах. И не только. Я выносил разрешённых к Интернету пользователей в отдельный список, и давал права на его редактирование админу-помощнику -- С уважением, Артём. ЗАО "СЕМА.РУ" ************ Stinginess with privileges is kindness in disguise. -- Guide to VAX/VMS Security, Sep. 1984 ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] Re: Как перезапустить IPTABLES без перез. компа? 2004-05-28 10:32 ` Maxim Tyurin 2004-05-28 10:45 ` Michael Shigorin 2004-05-28 12:12 ` Artem K. Jouravsky @ 2004-05-28 12:31 ` Igor Solovyov 2004-05-28 12:40 ` Artem K. Jouravsky 2 siblings, 1 reply; 27+ messages in thread From: Igor Solovyov @ 2004-05-28 12:31 UTC (permalink / raw) To: community Hi! On Fri, 28 May 2004 13:32:54 +0300 Maxim Tyurin <mrkooll@tdr.pibhe.com> wrote: > >> > Подскажите, как правильно перезапустить iptables? > >> > Пишу свои правила в файл /etc/sysconfig/iptables > >> Туда нельзя писать (точнее очень не рекомендуется). > > > > Да ну. Размножать любимые шаблоны -- любимое же дело :) > > "Писать" и "размножать" это две большие разницы :) > А вообще скриптом ИМХО удобнее - там хоть комментариев можно написать. > Иначе через полгода без поллитра не разобраться в правилах. Лично я делаю так: пишу скрипт, запускаю, сохраняю (service iptables save). Если нужно что-то исправить, правлю скрипт, запускаю, и опять сохраняю (service iptables save). IMHO очень удобно. -- Best regards! Igor Solovyov Zlatoust, Russia ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] Re: Как перезапустить IPTABLES без перез. компа? 2004-05-28 12:31 ` Igor Solovyov @ 2004-05-28 12:40 ` Artem K. Jouravsky 2004-05-28 12:43 ` Igor Solovyov 0 siblings, 1 reply; 27+ messages in thread From: Artem K. Jouravsky @ 2004-05-28 12:40 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 933 bytes --] On Fri, May 28, 2004 at 06:31:04PM +0600, Igor Solovyov wrote: > > >> > Подскажите, как правильно перезапустить iptables? > > >> > Пишу свои правила в файл /etc/sysconfig/iptables > > >> Туда нельзя писать (точнее очень не рекомендуется). > > > > > > Да ну. Размножать любимые шаблоны -- любимое же дело :) > > > > "Писать" и "размножать" это две большие разницы :) > > А вообще скриптом ИМХО удобнее - там хоть комментариев можно написать. > > Иначе через полгода без поллитра не разобраться в правилах. > > Лично я делаю так: пишу скрипт, запускаю, сохраняю (service iptables save). > Если нужно что-то исправить, правлю скрипт, запускаю, и опять > сохраняю (service iptables save). IMHO очень удобно. То же самое, только на один шаг (сохраняю) меньше :) -- С уважением, Артём. ЗАО "СЕМА.РУ" ************ Heuristics are bug ridden by definition. If they didn't have bugs, then they'd be algorithms. [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] Re: Как перезапустить IPTABLES без перез. компа? 2004-05-28 12:40 ` Artem K. Jouravsky @ 2004-05-28 12:43 ` Igor Solovyov 2004-05-28 12:48 ` Artem K. Jouravsky 0 siblings, 1 reply; 27+ messages in thread From: Igor Solovyov @ 2004-05-28 12:43 UTC (permalink / raw) To: community Hi! On Fri, 28 May 2004 16:40:37 +0400 "Artem K. Jouravsky" <tema@sema.ru> wrote: > > Лично я делаю так: пишу скрипт, запускаю, сохраняю (service iptables save). > > Если нужно что-то исправить, правлю скрипт, запускаю, и опять > > сохраняю (service iptables save). IMHO очень удобно. > > То же самое, только на один шаг (сохраняю) меньше :) В смысле "сохраняю" прописав в скрипте service iptables save ? Можно и так конечно. Я обычно сохраняю ручками. Правлю скрипт, запускаю, проверяю все ли в порядке, если нужно отлаживаю, а уж потом сохраняю. -- Best regards! Igor Solovyov Zlatoust, Russia ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] Re: Как перезапустить IPTABLES без перез. компа? 2004-05-28 12:43 ` Igor Solovyov @ 2004-05-28 12:48 ` Artem K. Jouravsky 2004-05-28 14:07 ` Andrey Rahmatullin 2004-05-31 5:19 ` Mike Lykov 0 siblings, 2 replies; 27+ messages in thread From: Artem K. Jouravsky @ 2004-05-28 12:48 UTC (permalink / raw) To: community On Fri, May 28, 2004 at 06:43:43PM +0600, Igor Solovyov wrote: > > > Лично я делаю так: пишу скрипт, запускаю, сохраняю (service iptables save). > > > Если нужно что-то исправить, правлю скрипт, запускаю, и опять > > > сохраняю (service iptables save). IMHO очень удобно. > > То же самое, только на один шаг (сохраняю) меньше :) > В смысле "сохраняю" прописав в скрипте service iptables save ? > Можно и так конечно. > Я обычно сохраняю ручками. Правлю скрипт, запускаю, проверяю > все ли в порядке, если нужно отлаживаю, а уж потом сохраняю. Да нет же! Есть скрипт, который поднимается при загрузке. Обычно он называется /etc/rc.d/rc.firewall В него и вносятся все изменения. Для вступления их в силу нужно перезапустить только этот скрипт. Ничего _потом_ сохранять дополнительно не нужно. -- С уважением, Артём. ЗАО "СЕМА.РУ" ************ I'm a Lisp variable -- bind me! ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] Re: Как перезапустить IPTABLES без перез. компа? 2004-05-28 12:48 ` Artem K. Jouravsky @ 2004-05-28 14:07 ` Andrey Rahmatullin 2004-05-28 14:12 ` Artem K. Jouravsky 2004-05-31 5:19 ` Mike Lykov 1 sibling, 1 reply; 27+ messages in thread From: Andrey Rahmatullin @ 2004-05-28 14:07 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 733 bytes --] On Fri, May 28, 2004 at 04:48:26PM +0400, Artem K. Jouravsky wrote: >Есть скрипт, который поднимается при загрузке. Обычно он называется >/etc/rc.d/rc.firewall > >В него и вносятся все изменения. Для вступления их в силу нужно >перезапустить только этот скрипт. Ничего _потом_ сохранять дополнительно >не нужно. Главное тогда сервис iptables вырубить, иначе при старте он будет сносить уже установленные этим скриптом правила и выставлять то, что прописано в /etc/sysconfig/iptables. -- WBR, wRAR (ALT Linux Team) > И он [QA Team Robot] каждый день меня спамить будет? По вторникам. :) Впрочем, по иным вторникам мне так неудобно бывает спам рассылать, что вторник затягивается до четверга. -- at in devel@ [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] Re: Как перезапустить IPTABLES без перез. компа? 2004-05-28 14:07 ` Andrey Rahmatullin @ 2004-05-28 14:12 ` Artem K. Jouravsky 0 siblings, 0 replies; 27+ messages in thread From: Artem K. Jouravsky @ 2004-05-28 14:12 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 710 bytes --] On Fri, May 28, 2004 at 08:07:08PM +0600, Andrey Rahmatullin wrote: > >Есть скрипт, который поднимается при загрузке. Обычно он называется > >/etc/rc.d/rc.firewall > > > >В него и вносятся все изменения. Для вступления их в силу нужно > >перезапустить только этот скрипт. Ничего _потом_ сохранять дополнительно > >не нужно. > > Главное тогда сервис iptables вырубить, иначе при старте он будет сносить > уже установленные этим скриптом правила и выставлять то, что прописано в > /etc/sysconfig/iptables. Ровно об этом я и говорю весь день :( -- С уважением, Артём. ЗАО "СЕМА.РУ" ************ > Черт знает что творится с рассылкой. Ночью спала, почти как люди. -- mike in community@ [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [Comm] Re: Как перезапустить IPTABLES без перез. компа? 2004-05-28 12:48 ` Artem K. Jouravsky 2004-05-28 14:07 ` Andrey Rahmatullin @ 2004-05-31 5:19 ` Mike Lykov 1 sibling, 0 replies; 27+ messages in thread From: Mike Lykov @ 2004-05-31 5:19 UTC (permalink / raw) To: community В сообщении от Пятница 28 Май 2004 17:48 Artem K. Jouravsky написал: > Есть скрипт, который поднимается при загрузке. Обычно он называется > /etc/rc.d/rc.firewall это не "обычно", это у вас он так называется. почему вы не воспользовались стандартным решением, а делали двойную работу - непонятно. -- Mike Lykov Samara, "Vesna" parfum company, System administrator ^ permalink raw reply [flat|nested] 27+ messages in thread
end of thread, other threads:[~2004-05-31 5:19 UTC | newest] Thread overview: 27+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2004-05-27 11:32 [Comm] Как перезапустить IPTABLES без перез. компа? Andrey Rudikov 2004-05-27 11:54 ` Mikhailov Vladimir 2004-05-27 13:32 ` Igor Solovyov 2004-05-27 14:29 ` Artem K. Jouravsky 2004-05-27 14:44 ` Artem Pastukhov 2004-05-27 14:59 ` Artem K. Jouravsky 2004-05-28 3:47 ` Gosha 2004-05-28 7:28 ` Artem K. Jouravsky 2004-05-28 7:37 ` Re[2]: " Alexey S. Kuznetsov 2004-05-28 10:03 ` [Comm] " Michael Shigorin 2004-05-28 12:37 ` [Comm] " Igor Solovyov 2004-05-28 12:43 ` Artem K. Jouravsky 2004-05-28 12:46 ` Igor Solovyov 2004-05-28 13:31 ` Artem K. Jouravsky 2004-05-28 17:18 ` Pyatnitskich Evgeniy 2004-05-28 8:03 ` Maxim Tyurin 2004-05-28 9:58 ` [Comm] " Michael Shigorin 2004-05-28 10:32 ` Maxim Tyurin 2004-05-28 10:45 ` Michael Shigorin 2004-05-28 12:12 ` Artem K. Jouravsky 2004-05-28 12:31 ` Igor Solovyov 2004-05-28 12:40 ` Artem K. Jouravsky 2004-05-28 12:43 ` Igor Solovyov 2004-05-28 12:48 ` Artem K. Jouravsky 2004-05-28 14:07 ` Andrey Rahmatullin 2004-05-28 14:12 ` Artem K. Jouravsky 2004-05-31 5:19 ` Mike Lykov
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git