ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [Comm] Как настроить шлюз в инет?
@ 2004-12-16 16:15 Denis Kirienko
  2004-12-16 16:29 ` Jury Levykin
  2004-12-16 16:30 ` Alexey S. Kuznetsov
  0 siblings, 2 replies; 35+ messages in thread
From: Denis Kirienko @ 2004-12-16 16:15 UTC (permalink / raw)
  To: community

Добрый вечер!

Помогите пожалуйста, нужно срочно настроить шлюз в инет, никогда этого
не делал.

Поставил Master 2.4 в качестве шлюза, настроил два сетевых интерфейса:

eth0 имеет белый IP 212.65.71.74, он подключен к ADSL-модему, его IP
212.65.71.73, это для него это шлюз в инет.
eth1 имеет IP 172.16.8.250, в него воткнут hub.

В тот же hub воткнута локальная машина, на ней IP прописан в
172.16.8.249 и 172.16.8.250 указан в качестве шлюза.

Настройки на шлюзе:

# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:E0:18:5B:5C:F1  
          inet addr:212.65.71.74  Bcast:212.65.71.79  Mask:255.255.255.248
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2009 errors:0 dropped:0 overruns:0 frame:0
          TX packets:329 errors:0 dropped:1 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:161967 (158.1 Kb)  TX bytes:19307 (18.8 Kb)
          Interrupt:10 Base address:0xd400 

eth1      Link encap:Ethernet  HWaddr 00:A0:24:6D:31:95  
          inet addr:172.16.8.250  Bcast:172.16.8.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:111 errors:0 dropped:0 overruns:0 frame:0
          TX packets:29 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:8009 (7.8 Kb)  TX bytes:1978 (1.9 Kb)
          Interrupt:11 Base address:0x9400 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:33 errors:0 dropped:0 overruns:0 frame:0
          TX packets:33 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:7534 (7.3 Kb)  TX bytes:7534 (7.3 Kb)


# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
212.65.71.72    *               255.255.255.248 U     0      0        0 eth0
172.16.8.0      *               255.255.255.0   U     0      0        0 eth1
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
default         212.65.71.73    0.0.0.0         UG    0      0        0 eth0

В /etc/sysctl.conf исправил net.ipv4.ip_forward = 1

Сделал # service network restart
# cat /proc/sys/net/ipv4/ip_forward 
1

iptables на шлюзе не установлено.

С локальной машины 172.16.8.249 пингуется 172.16.8.250,
пингуется 212.65.71.74 (наружний интерфейс шлюза, то есть
пакеты уходят куда надо), но не пингуется 212.65.71.73 (ADSL-модем).

С шлюза пингуется и модем, и инет, и локальная машина.

Что я забыл сделать?

--
Денис



^ permalink raw reply	[flat|nested] 35+ messages in thread

* Re: [Comm] Как настроить шлюз в инет?
  2004-12-16 16:15 [Comm] Как настроить шлюз в инет? Denis Kirienko
@ 2004-12-16 16:29 ` Jury Levykin
  2004-12-16 16:43   ` Denis Kirienko
  2004-12-16 16:30 ` Alexey S. Kuznetsov
  1 sibling, 1 reply; 35+ messages in thread
From: Jury Levykin @ 2004-12-16 16:29 UTC (permalink / raw)
  To: community

Denis Kirienko пишет:

>Добрый вечер!
>
>Помогите пожалуйста, нужно срочно настроить шлюз в инет, никогда этого
>не делал.
>  
>
Вам нужно настроить NAT с помощью iptables.
Прочитайте рассылку с темой "шлюз в корпоротивной сети" 18 - 20.08.2004
там обсуждалась такаяже проблема.


^ permalink raw reply	[flat|nested] 35+ messages in thread

* Re: [Comm] Как настроить шлюз в инет?
  2004-12-16 16:15 [Comm] Как настроить шлюз в инет? Denis Kirienko
  2004-12-16 16:29 ` Jury Levykin
@ 2004-12-16 16:30 ` Alexey S. Kuznetsov
  2004-12-16 16:35   ` Jury Levykin
  2004-12-17  5:59   ` Mike Lykov
  1 sibling, 2 replies; 35+ messages in thread
From: Alexey S. Kuznetsov @ 2004-12-16 16:30 UTC (permalink / raw)
  To: Denis Kirienko

Hello!

Вы писали 16 грудня 2004 р., 18:15:05:

> Добрый вечер!
> Что я забыл сделать?
  Маскарад
  поставь ipchains и скажи на шлюзе ipchains -I forward -s [внутренняя сетка] -d 0/0 -j MASQ
  
-- 
Sincerely,
Alexey S. Kuznetsov
AK2351-RIPE



^ permalink raw reply	[flat|nested] 35+ messages in thread

* Re: [Comm] Как настроить шлюз в инет?
  2004-12-16 16:30 ` Alexey S. Kuznetsov
@ 2004-12-16 16:35   ` Jury Levykin
  2004-12-16 20:08     ` Re[2]: " Alexey S. Kuznetsov
  2004-12-17  5:59   ` Mike Lykov
  1 sibling, 1 reply; 35+ messages in thread
From: Jury Levykin @ 2004-12-16 16:35 UTC (permalink / raw)
  To: community

Alexey S. Kuznetsov пишет:

>  Маскарад
>  поставь ipchains и скажи на шлюзе ipchains -I forward -s [внутренняя сетка] -d 0/0 -j MASQ
>  
>
На сколько я помню, ipchains это для ядра 2.2, а для 2.4 рекомендовано 
использовать iptables.


^ permalink raw reply	[flat|nested] 35+ messages in thread

* Re: [Comm] Как настроить шлюз в инет?
  2004-12-16 16:29 ` Jury Levykin
@ 2004-12-16 16:43   ` Denis Kirienko
  2004-12-16 17:03     ` Denis Kirienko
  0 siblings, 1 reply; 35+ messages in thread
From: Denis Kirienko @ 2004-12-16 16:43 UTC (permalink / raw)
  To: community

Получил Thu, 16 Dec 2004 19:29:55 +0300 от Jury Levykin <altcomm@list.ru> следующее письмо:

> Вам нужно настроить NAT с помощью iptables.
> Прочитайте рассылку с темой "шлюз в корпоротивной сети" 18 - 20.08.2004
> там обсуждалась такаяже проблема.

Я это подозревал :)

Но кажется, нигде в печатной документации к Мастеру
в описании построения шлюза не сказано, что надо iptables
настраивать.

Правильно ли я понимаю, что
# iptables -t nat -A POSTROUTING -o eth0 -j SNAT
должно спасти (eth0 смотрит наружу)?

--
Денис



^ permalink raw reply	[flat|nested] 35+ messages in thread

* Re: [Comm] Как настроить шлюз в инет?
  2004-12-16 16:43   ` Denis Kirienko
@ 2004-12-16 17:03     ` Denis Kirienko
  2004-12-16 20:34       ` Jury Levykin
  0 siblings, 1 reply; 35+ messages in thread
From: Denis Kirienko @ 2004-12-16 17:03 UTC (permalink / raw)
  To: community

Получил Thu, 16 Dec 2004 19:43:27 +0300 от Denis Kirienko <kirienko@mccme.ru> следующее письмо:

> Правильно ли я понимаю, что
> # iptables -t nat -A POSTROUTING -o eth0 -j SNAT
> должно спасти (eth0 смотрит наружу)?

Спасибо,

# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
помогло

Первый шаг сделан, а дальше будем думать и доки читать.

Некоторый ступор был, когда я смог отпинговать www.ya.ru,
но не смог окрыть его в IE. Оказалось, IE на Windows-машине
запрещен файрволом :)

А теперь такой вопрос. У меня сейчас в верхний свитч воткнут
ADSL-модем, локалка (не имеющая выхода в интернет) и несколько
компьютеров с белыми IP, то есть через свитч ходят пакеты двух
сетей: локалки и сети с белыми IP. Могу ли я поднять на сервере
на eth0 внешний IP, а на eth0:1 - внутренний IP и превратить его
в шлюз, хотя у него будет только одна сетевая карточка?

То есть пакет из локалки приходит на свитч, оттуда на сервер, тот
его через ту же карточку посылает через тот же свитч на модем.

Получится?

--
Денис



^ permalink raw reply	[flat|nested] 35+ messages in thread

* Re: [Comm] Как настроить шлюз в инет?
  2004-12-16 20:08     ` Re[2]: " Alexey S. Kuznetsov
@ 2004-12-16 19:28       ` Sergey Vlasov
  0 siblings, 0 replies; 35+ messages in thread
From: Sergey Vlasov @ 2004-12-16 19:28 UTC (permalink / raw)
  To: Jury Levykin

[-- Attachment #1: Type: text/plain, Size: 525 bytes --]

On Thu, Dec 16, 2004 at 10:08:46PM +0200, Alexey S. Kuznetsov wrote:
> Hello!
> 
> Вы писали 16 грудня 2004 р., 18:35:33:
> 
> > Alexey S. Kuznetsov пишет:
> 
> >>  Маскарад
> >>  поставь ipchains и скажи на шлюзе ipchains -I forward -s [внутренняя сетка] -d 0/0 -j MASQ
> >>  
> >>
> > На сколько я помню, ipchains это для ядра 2.2,
> да хоть на 2.6

Из 2.6 грозятся скоро выбросить вместе с ещё более старой поддержкой
совместимости с ipfwadm (Linux 2.0).  Так что лучше сразу смотреть в
сторону iptables.

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 35+ messages in thread

* Re[2]: [Comm] Как настроить шлюз в инет?
  2004-12-16 16:35   ` Jury Levykin
@ 2004-12-16 20:08     ` Alexey S. Kuznetsov
  2004-12-16 19:28       ` Sergey Vlasov
  0 siblings, 1 reply; 35+ messages in thread
From: Alexey S. Kuznetsov @ 2004-12-16 20:08 UTC (permalink / raw)
  To: Jury Levykin

Hello!

Вы писали 16 грудня 2004 р., 18:35:33:

> Alexey S. Kuznetsov пишет:

>>  Маскарад
>>  поставь ipchains и скажи на шлюзе ipchains -I forward -s [внутренняя сетка] -d 0/0 -j MASQ
>>  
>>
> На сколько я помню, ipchains это для ядра 2.2,
да хоть на 2.6

-- 
Sincerely,
Alexey S. Kuznetsov
AK2351-RIPE



^ permalink raw reply	[flat|nested] 35+ messages in thread

* Re: [Comm] Как настроить шлюз в инет?
  2004-12-16 17:03     ` Denis Kirienko
@ 2004-12-16 20:34       ` Jury Levykin
  2004-12-16 20:43         ` Denis Kirienko
  0 siblings, 1 reply; 35+ messages in thread
From: Jury Levykin @ 2004-12-16 20:34 UTC (permalink / raw)
  To: community

Denis Kirienko пишет:

>Получил Thu, 16 Dec 2004 19:43:27 +0300 от Denis Kirienko <kirienko@mccme.ru> следующее письмо:
>  
>
Зря вы mail адреса без надобности постите, __________________^^^^^^^^^^^_может пойти спам.



^ permalink raw reply	[flat|nested] 35+ messages in thread

* Re: [Comm] Как настроить шлюз в инет?
  2004-12-16 20:34       ` Jury Levykin
@ 2004-12-16 20:43         ` Denis Kirienko
  0 siblings, 0 replies; 35+ messages in thread
From: Denis Kirienko @ 2004-12-16 20:43 UTC (permalink / raw)
  To: community

Получил Thu, 16 Dec 2004 23:34:39 +0300 от Jury Levykin следующее письмо:

> Denis Kirienko пишет:
> 
> >Получил Thu, 16 Dec 2004 19:43:27 +0300 от
> >Denis Kirienko <kirienko@mccme.ru> следующее письмо:
> >  
> >
> Зря вы mail адреса без надобности постите, __________________^^^^^^^^^^^_может пойти спам.

Ok, исправился.

--
Денис



^ permalink raw reply	[flat|nested] 35+ messages in thread

* Re: [Comm] Как настроить шлюз в инет?
  2004-12-16 16:30 ` Alexey S. Kuznetsov
  2004-12-16 16:35   ` Jury Levykin
@ 2004-12-17  5:59   ` Mike Lykov
  2004-12-17  6:15     ` Шишков Евгений
  2004-12-17 11:20     ` Re[2]: " Alexey S. Kuznetsov
  1 sibling, 2 replies; 35+ messages in thread
From: Mike Lykov @ 2004-12-17  5:59 UTC (permalink / raw)
  To: community

В сообщении от Четверг 16 Декабрь 2004 20:30 Alexey S. Kuznetsov написал:

> > Что я забыл сделать?
>   Маскарад
>   поставь ipchains и скажи на шлюзе ipchains -I forward -s [внутренняя
> сетка] -d 0/0 -j MASQ

какие-то устаревшие на несколько лет у вас советы.
Сейчас современно использовать iptables и SNAT

-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 


^ permalink raw reply	[flat|nested] 35+ messages in thread

* Re: [Comm] Как настроить шлюз в инет?
  2004-12-17  5:59   ` Mike Lykov
@ 2004-12-17  6:15     ` Шишков Евгений
  2004-12-17 11:20     ` Re[2]: " Alexey S. Kuznetsov
  1 sibling, 0 replies; 35+ messages in thread
From: Шишков Евгений @ 2004-12-17  6:15 UTC (permalink / raw)
  To: community

Mike Lykov пишет:
> В сообщении от Четверг 16 Декабрь 2004 20:30 Alexey S. Kuznetsov написал:
> 
> 
>>>Что я забыл сделать?
>>
>>  Маскарад
>>  поставь ipchains и скажи на шлюзе ipchains -I forward -s [внутренняя
>>сетка] -d 0/0 -j MASQ
> 
> 
> какие-то устаревшие на несколько лет у вас советы.
> Сейчас современно использовать iptables и SNAT
> 
www.opennet.ru
Там есть отличная статья  с примерами по iptables.

-- 
С уважением,
Шишков Евгений (evgen@tulanews.ru)
ЗАО "СГ "Спасские ворота" ф-л в г.Тула
тел. (0872) 32-56-90


^ permalink raw reply	[flat|nested] 35+ messages in thread

* Re[2]: [Comm] Как настроить шлюз в инет?
  2004-12-17  5:59   ` Mike Lykov
  2004-12-17  6:15     ` Шишков Евгений
@ 2004-12-17 11:20     ` Alexey S. Kuznetsov
  2004-12-20 15:03       ` Andrey Rahmatullin
  1 sibling, 1 reply; 35+ messages in thread
From: Alexey S. Kuznetsov @ 2004-12-17 11:20 UTC (permalink / raw)
  To: Mike Lykov

Hello!

Вы писали 17 грудня 2004 р., 7:59:16:

> В сообщении от Четверг 16 Декабрь 2004 20:30 Alexey S. Kuznetsov написал:

>> > Что я забыл сделать?
>>   Маскарад
>>   поставь ipchains и скажи на шлюзе ipchains -I forward -s [внутренняя
>> сетка] -d 0/0 -j MASQ

> какие-то устаревшие на несколько лет у вас советы.
> Сейчас современно использовать iptables и SNAT
Пусть человек начнёт с самого начала, потом будет переходить на более новые шняги :-)

-- 
Sincerely,
Alexey S. Kuznetsov
AK2351-RIPE



^ permalink raw reply	[flat|nested] 35+ messages in thread

* Re: [Comm] Как настроить шлюз в инет?
  2004-12-17 11:20     ` Re[2]: " Alexey S. Kuznetsov
@ 2004-12-20 15:03       ` Andrey Rahmatullin
  2004-12-20 16:28         ` [Comm] " Michael Shigorin
  2004-12-20 22:33         ` [Comm] " Alexey S. Kuznetsov
  0 siblings, 2 replies; 35+ messages in thread
From: Andrey Rahmatullin @ 2004-12-20 15:03 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 409 bytes --]

On Fri, Dec 17, 2004 at 01:20:20PM +0200, Alexey S. Kuznetsov wrote:
> Пусть человек начнёт с самого начала, потом будет переходить на более новые шняги :-)
Смысл? 

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):

Я уже придумал способ изготовления Манны Небесной на время этого перехода.
Как только hasher-0.9.5-alt1 будет выложен, я расскажу подробнее.
		-- ldv in sisyphus@

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 35+ messages in thread

* [Comm] Re: Как настроить шлюз в инет?
  2004-12-20 15:03       ` Andrey Rahmatullin
@ 2004-12-20 16:28         ` Michael Shigorin
  2004-12-20 22:33         ` [Comm] " Alexey S. Kuznetsov
  1 sibling, 0 replies; 35+ messages in thread
From: Michael Shigorin @ 2004-12-20 16:28 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 291 bytes --]

On Mon, Dec 20, 2004 at 08:03:08PM +0500, Andrey Rahmatullin wrote:
> > Пусть человек начнёт с самого начала, потом будет переходить
> > на более новые шняги :-)
> Смысл? 

Никакого.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 35+ messages in thread

* Re: [Comm] Как настроить шлюз в инет?
  2004-12-20 22:33         ` [Comm] " Alexey S. Kuznetsov
@ 2004-12-20 20:50           ` Denis Kirienko
  2004-12-20 23:19             ` Alexey S. Kuznetsov
  2004-12-21  9:55             ` [Comm] " Oleg Shulga
  2004-12-21  5:01           ` Mike Lykov
  2004-12-22 13:49           ` [Comm] iptables vs ipchains (was: Как настроить шлюз в инет?) Michael Shigorin
  2 siblings, 2 replies; 35+ messages in thread
From: Denis Kirienko @ 2004-12-20 20:50 UTC (permalink / raw)
  To: community

> > >Пусть человек начнёт с самого начала, потом будет переходить на
> > >более новые шняги :-)
> > Смысл? 
> Нужно понимать концепцию, а не тупо заучивать комманды. Я считаю,
> что нужно знать и старые версии софта и новые.

Как лицо заинтересованное, присоединюсь к сторонникам современного, а
не консервативного подхода. В настоящее время мне нужно быстренько
сделать полноценный шлюз, а не заниматься изучением концепций.

Чувствую, что сейчас с одной из сторон в меня полетят... ну ладно, не
будем об этом.

--
Денис



^ permalink raw reply	[flat|nested] 35+ messages in thread

* Re: [Comm] Как настроить шлюз в инет?
  2004-12-20 15:03       ` Andrey Rahmatullin
  2004-12-20 16:28         ` [Comm] " Michael Shigorin
@ 2004-12-20 22:33         ` Alexey S. Kuznetsov
  2004-12-20 20:50           ` Denis Kirienko
                             ` (2 more replies)
  1 sibling, 3 replies; 35+ messages in thread
From: Alexey S. Kuznetsov @ 2004-12-20 22:33 UTC (permalink / raw)
  To: community

Andrey Rahmatullin wrote:
> On Fri, Dec 17, 2004 at 01:20:20PM +0200, Alexey S. Kuznetsov wrote:
> 
>>Пусть человек начнёт с самого начала, потом будет переходить на более новые шняги :-)
> 
> Смысл? 
Нужно понимать концепцию, а не тупо заучивать комманды. Я считаю, что 
нужно знать и старые версии софта и новые.


-- 
Sincerely,
Alexey S. Kuznetsov
AK2351-RIPE


^ permalink raw reply	[flat|nested] 35+ messages in thread

* Re: [Comm] Как настроить шлюз в инет?
  2004-12-20 20:50           ` Denis Kirienko
@ 2004-12-20 23:19             ` Alexey S. Kuznetsov
  2004-12-22 13:49               ` [Comm] " Michael Shigorin
  2004-12-21  9:55             ` [Comm] " Oleg Shulga
  1 sibling, 1 reply; 35+ messages in thread
From: Alexey S. Kuznetsov @ 2004-12-20 23:19 UTC (permalink / raw)
  To: community

Denis Kirienko wrote:
>>>>Пусть человек начнёт с самого начала, потом будет переходить на
>>>>более новые шняги :-)
>>>
>>>Смысл? 
>>
>>Нужно понимать концепцию, а не тупо заучивать комманды. Я считаю,
>>что нужно знать и старые версии софта и новые.
> 
> 
> Как лицо заинтересованное, присоединюсь к сторонникам современного, а
> не консервативного подхода. В настоящее время мне нужно быстренько
> сделать полноценный шлюз, а не заниматься изучением концепций.

скажу так...в позапрошлом году я начал сразу с iptables и сразу начал на 
нём считать статистику для клиентов. Но понял, что можно то же самое 
сделать на ipchains, только это будет легче и понятней для меня и для 
людей, которые потом будут поддерживать систему и статистику.
Я не спорю, в iptables можно очень гибко манипулировать фильтрацией, но 
мне допустим, на текущий момент, легче всё сделать ipchains.
Хотя я планирую переход к iptables.

-- 
Sincerely,
Alexey S. Kuznetsov
AK2351-RIPE


^ permalink raw reply	[flat|nested] 35+ messages in thread

* Re: [Comm] Как настроить шлюз в инет?
  2004-12-20 22:33         ` [Comm] " Alexey S. Kuznetsov
  2004-12-20 20:50           ` Denis Kirienko
@ 2004-12-21  5:01           ` Mike Lykov
  2004-12-22 13:49           ` [Comm] iptables vs ipchains (was: Как настроить шлюз в инет?) Michael Shigorin
  2 siblings, 0 replies; 35+ messages in thread
From: Mike Lykov @ 2004-12-21  5:01 UTC (permalink / raw)
  To: community

В сообщении от Вторник 21 Декабрь 2004 02:33 Alexey S. Kuznetsov написал:

> Нужно понимать концепцию, а не тупо заучивать комманды. 

это да.

> Я считаю, что  нужно знать и старые версии софта и новые.

зачем забивать голову ненужной информацией о софте, который нигде не 
используется...

-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 


^ permalink raw reply	[flat|nested] 35+ messages in thread

* Re: [Comm] Как настроить шлюз в инет?
  2004-12-20 20:50           ` Denis Kirienko
  2004-12-20 23:19             ` Alexey S. Kuznetsov
@ 2004-12-21  9:55             ` Oleg Shulga
  1 sibling, 0 replies; 35+ messages in thread
From: Oleg Shulga @ 2004-12-21  9:55 UTC (permalink / raw)
  To: community

Denis Kirienko пишет:

>Как лицо заинтересованное, присоединюсь к сторонникам современного, а
>не консервативного подхода. В настоящее время мне нужно быстренько
>сделать полноценный шлюз, а не заниматься изучением концепций.
>
>Чувствую, что сейчас с одной из сторон в меня полетят... ну ладно, не
>будем об этом.
>  
>
Не рекламы ради, а пользы для :)
http://linux-firewall-tools.com/
Первый свой шлюз, еще на слаке 4.0, я построил с помощью автора данного 
ресурса.
Там есть и теория и практика.
Есть готовые примеры для iptables, ipchains и даже ipfwadm.
Есть онлайн дизайн.

Естественно позже наступет озаренье и все начинаешь править руками.
Но хороший костяк -- залог успеха.

Я так понял, что автор не одну "@" съел на фаерволах.
И у него есть чему поучиться.

Сейчас у меня все сервера на АЛЬТе. При этом фаерволы построены по 
принципу вышеуказанного автора.
Легко интегрируются в идеологию АЛЬТ постредством service iptables save, 
правкой /etc/modules и /etc/sysctl.conf.

-- 
WBR
Oleg Shulga, Kharkov Pribor, IT Manager




^ permalink raw reply	[flat|nested] 35+ messages in thread

* [Comm] iptables vs ipchains (was: Как настроить шлюз в инет?)
  2004-12-20 22:33         ` [Comm] " Alexey S. Kuznetsov
  2004-12-20 20:50           ` Denis Kirienko
  2004-12-21  5:01           ` Mike Lykov
@ 2004-12-22 13:49           ` Michael Shigorin
  2004-12-22 14:13             ` [Comm] iptables vs ipchains Andriy Dobrovol's'kii
  2004-12-22 15:30             ` [Comm] iptables vs ipchains (was: Как настроить шлюз в инет?) Alexey S. Kuznetsov
  2 siblings, 2 replies; 35+ messages in thread
From: Michael Shigorin @ 2004-12-22 13:49 UTC (permalink / raw)
  To: community


[-- Attachment #1.1: Type: text/plain, Size: 1078 bytes --]

On Mon, Dec 20, 2004 at 10:33:54PM +0000, Alexey S. Kuznetsov wrote:
> >>Пусть человек начнёт с самого начала, потом будет переходить
> >>на более новые шняги :-)
> >Смысл? 
> Нужно понимать концепцию, а не тупо заучивать комманды. Я
> считаю, что нужно знать и старые версии софта и новые.

Дружище, объясните мне, тупому, какая-такая концепция в ipchains
и в чём смысл использовать его (уж ipfwadm тогда) под
современными ядрами, помимо быстрого портирования (и то есть
нюансы вроде различного поведения ipchains -L -z под 2.2 и 2.4)?

Я вот скажу, что нормальный файрвол построить на iptables --
гораздо меньше головной боли и куда эффективней, чем на ipchains
и предыдущем ipfwadm -- уже благодаря statefullness, бишь тому,
что можно ссылаться на соединения, например, сказав "принимать
ответы на то, что инициировано от нас".

PS: моя дежурная болванка в аттаче, если кто-либо в благодарность
проверит, доточит, проверит и предложит в FAQ -- welcome.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #1.2: iptables --]
[-- Type: text/plain, Size: 2006 bytes --]

# Generated by iptables-save v1.2.6a on Thu Nov 21 21:15:39 2002
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -d _REAL_IP -i eth0 -p tcp -m tcp --dport _EXT_PORT -j DNAT --to-destination _INT_HOST:_INT_PORT
-A POSTROUTING -s 10.0.1.0/24 -d ! 10.0.1.0/24 -j SNAT --to-source _REAL_IP
COMMIT
# Completed on Thu Nov 21 21:15:39 2002
# Generated by iptables-save v1.2.6a on Thu Nov 21 21:15:39 2002
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Thu Nov 21 21:15:39 2002
# Generated by iptables-save v1.2.6a on Thu Nov 21 21:15:39 2002
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:eth1-in - [0:0]
:eth1-out - [0:0]
:tcprules - [0:0]
-A INPUT -i eth1 -j eth1-in
-A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
-A INPUT -s 10.0.1.0/24 -d 10.0.1.1 -i eth0 -j ACCEPT
-A INPUT -s 10.0.1.0/24 -d _REAL_IP -i eth0 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 113 -j REJECT --reject-with tcp-reset
-A INPUT -j tcprules
# block :25 to world (only through 10.0.1.1:25)
-A FORWARD -s 10.0.1.0/24 -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -j tcprules
-A OUTPUT -o eth1 -j eth1-out
-A eth1-in -j RETURN
-A eth1-out -j RETURN
-A tcprules -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A tcprules -i ! eth1 -m state --state NEW -j ACCEPT
-A tcprules -i eth1 -m state --state INVALID,NEW -j DROP
-A tcprules -i eth1 -j REJECT --reject-with icmp-host-unreachable
COMMIT
# Completed on Thu Nov 21 21:15:39 2002

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 35+ messages in thread

* [Comm] Re: Как настроить шлюз в инет?
  2004-12-20 23:19             ` Alexey S. Kuznetsov
@ 2004-12-22 13:49               ` Michael Shigorin
  0 siblings, 0 replies; 35+ messages in thread
From: Michael Shigorin @ 2004-12-22 13:49 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 410 bytes --]

On Mon, Dec 20, 2004 at 11:19:59PM +0000, Alexey S. Kuznetsov wrote:
> Я не спорю, в iptables можно очень гибко манипулировать
> фильтрацией, но мне допустим, на текущий момент, легче всё
> сделать ipchains.

Так вот и пишите "для меня", а не притягивайте за уши какие-то
концепции.  Это же проще :-)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 35+ messages in thread

* Re: [Comm] iptables vs ipchains
  2004-12-22 13:49           ` [Comm] iptables vs ipchains (was: Как настроить шлюз в инет?) Michael Shigorin
@ 2004-12-22 14:13             ` Andriy Dobrovol's'kii
  2004-12-22 14:25               ` Alexey Morsov
  2004-12-22 15:00               ` [Comm] IA: iptables bolvanka, fixed version (was: iptables vs ipchains) Michael Shigorin
  2004-12-22 15:30             ` [Comm] iptables vs ipchains (was: Как настроить шлюз в инет?) Alexey S. Kuznetsov
  1 sibling, 2 replies; 35+ messages in thread
From: Andriy Dobrovol's'kii @ 2004-12-22 14:13 UTC (permalink / raw)
  To: community

Michael Shigorin wrote:
> On Mon, Dec 20, 2004 at 10:33:54PM +0000, Alexey S. Kuznetsov wrote:
> 
<cut>
> PS: моя дежурная болванка в аттаче, если кто-либо в благодарность
> проверит, доточит, проверит и предложит в FAQ -- welcome.
> 
<cut>
> 
Миш, какя ж это болванка, если всюду пробиты конкретные адреса и 
интерфейсы. И никаких коментариев. Откоментированный скрипт её 
генерации с разумно абстрагированными переменными был бы болванкой...

P.S. Могу прислать свою попытку сделать такой, но, она застряла на 
"дверном" варианте и врядли представляет интерес. Уж больно жизнь 
разнообразна...

-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   265-7824            Department of Gas Electronics
Fax:   (380-44)   265-2329             Institute of Physics of NASU
*********************************************************************


^ permalink raw reply	[flat|nested] 35+ messages in thread

* Re: [Comm] iptables vs ipchains
  2004-12-22 14:13             ` [Comm] iptables vs ipchains Andriy Dobrovol's'kii
@ 2004-12-22 14:25               ` Alexey Morsov
  2004-12-22 14:47                 ` Serge Polkovnikov
  2004-12-22 15:00               ` [Comm] IA: iptables bolvanka, fixed version (was: iptables vs ipchains) Michael Shigorin
  1 sibling, 1 reply; 35+ messages in thread
From: Alexey Morsov @ 2004-12-22 14:25 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 968 bytes --]


Andriy Dobrovol's'kii wrote:

> Michael Shigorin wrote:
>
>> On Mon, Dec 20, 2004 at 10:33:54PM +0000, Alexey S. Kuznetsov wrote:
>>
> <cut>
>
>> PS: моя дежурная болванка в аттаче, если кто-либо в благодарность
>> проверит, доточит, проверит и предложит в FAQ -- welcome.
>>
> <cut>
>
>>
> Миш, какя ж это болванка, если всюду пробиты конкретные адреса и 
> интерфейсы. И никаких коментариев. Откоментированный скрипт её 
> генерации с разумно абстрагированными переменными был бы болванкой...
>
> P.S. Могу прислать свою попытку сделать такой, но, она застряла на 
> "дверном" варианте и врядли представляет интерес. Уж больно жизнь 
> разнообразна...

А вот моя болванка - кому нать - use it or modify :)
Не знаю какая у неё степень "дверности" :)


-- 
Всего наилучшего,
Системный Администратор ЗАО "ИК "РИКОМ-ТРАСТ"
Алексей Морсов
ICQ: 196766290
Jabber: Samurai@jabber.pibhe.com
http://www.ricom.ru
http://www.fondmarket.ru 


[-- Attachment #2: firewall --]
[-- Type: text/plain, Size: 1582 bytes --]

#!/bin/sh
# ÏÂßÑ×ÉÍ ÐÅÒÅÍÅÎÎÙÅ
FW="/sbin/iptables"

LAN_NET="192.168.130.0/24"
LAN_IP="192.168.130.2"
LAN_ETH="eth0"

INET_IP="195.210.171.34"
INET_ETH="eth1"

# ÌÏËÁÌËÁ
LH="127.0.0.1"
PROXY_PORT="3128"

# ÄÌÑ ÍÅÎÑ
COOL_IP="192.168.130.95"

modprobe ip_nat_ftp

# ÍÁÒÛÒÕÔ ÄÌÑ ÐÏÞÔÙ òÉËÏÍ
route add -net 194.247.149.208 netmask 255.255.255.248 gw 192.168.130.1 dev eth0

# ×ÓÅ ÐÒÏÞÉÓÔÉÍ
$FW -t nat -F
$FW -F
$FW -X

# ××ÅÄÅÍ ÃÅÐÏÞËÉ ÄÌÑ ÐÏÄÓÞÅÔÁ ÔÒÁÆÉËÁ
$FW -N OUT_SORTING
$FW -N IN_SORTING
$FW -N TCP_OUT
$FW -N TCP_IN
$FW -N UDP_OUT
$FW -N UDP_IN

# ÎÁ×ÅÄÅÍ ÍÁÓËÁÒÁÄ ÄÌÑ ÓÅÂÑ :)
$FW -t nat -A POSTROUTING -s $LAN_NET -o $INET_ETH -j SNAT --to-source $INET_IP

# ×ÓÅ ×ÓÅÍ ÚÁÐÒÅÔÉÔØ
$FW -P INPUT DROP
$FW -P FORWARD DROP
# ËÒÏÍÅ ÌÏËÁÌØÎÏÇÏ ÈÏÓÔÁ - ÅÍÕ ÍÏÖÎÏ ÈÏÄÉÔØ ËÕÄÁ ÕÇÏÄÎÏ
$FW -P OUTPUT ACCEPT

# Á ÔÅÐÅÒØ ÎÁÞÎÅÍ ÐÒÏÐÉÓÙ×ÁÔØ ÐÒÁ×ÉÌÁ
$FW -A TCP_OUT -j ACCEPT
$FW -A TCP_IN -j ACCEPT
$FW -A UDP_OUT -j ACCEPT
$FW -A UDP_IN -j ACCEPT

$FW -A OUT_SORTING -p tcp -j TCP_OUT
$FW -A OUT_SORTING -p udp -j UDP_OUT
$FW -A OUT_SORTING -j ACCEPT

$FW -A IN_SORTING -p tcp -i $INET_ETH -j TCP_IN
$FW -A IN_SORTING -p udp -i $INET_ETH -j UDP_IN
$FW -A IN_SORTING -j ACCEPT

# ÄÌÑ INPUT
$FW -A INPUT -m state --state ESTABLISHED,RELATED -j IN_SORTING
$FW -A INPUT -m state --state NEW -i ! $INET_ETH -j ACCEPT

# ÄÌÑ FORWARD
# ÄÌÑ Aton-Line

# ÄÌÑ íåîñ
$FW -A FORWARD -p all -i $LAN_ETH -o $INET_ETH -s $COOL_IP -j OUT_SORTING
$FW -A FORWARD -p all -i $INET_ETH -o $LAN_ETH -d $COOL_IP -m state --state ESTABLISHED,RELATED -j IN_SORTING

# ÄÌÑ OUTPUT
$FW -A OUTPUT -o $INET_ETH -j OUT_SORTING

^ permalink raw reply	[flat|nested] 35+ messages in thread

* Re: [Comm] iptables vs ipchains
  2004-12-22 14:25               ` Alexey Morsov
@ 2004-12-22 14:47                 ` Serge Polkovnikov
  2004-12-22 14:53                   ` Igor Solovyov
  2004-12-22 15:00                   ` Alexey I. Froloff
  0 siblings, 2 replies; 35+ messages in thread
From: Serge Polkovnikov @ 2004-12-22 14:47 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 656 bytes --]

середа 22 грудень 2004 16:25, Alexey Morsov Ви написали:
> > Миш, какя ж это болванка, если всюду пробиты конкретные адреса и
> > интерфейсы. И никаких коментариев. Откоментированный скрипт её
> > генерации с разумно абстрагированными переменными был бы болванкой...
> >
> > P.S. Могу прислать свою попытку сделать такой, но, она застряла на
> > "дверном" варианте и врядли представляет интерес. Уж больно жизнь
> > разнообразна...
>
> А вот моя болванка - кому нать - use it or modify :)

Ну раз пошла такая пьянка, то вот то что я для себя сделал...
Краткое описание на русском прилагаются. 
Замечания, пожелания приветствуются.


-- 
Сергей Полковников

[-- Attachment #2: fwcreator-0.11.2-alt1.src.rpm --]
[-- Type: application/x-rpm, Size: 28567 bytes --]

^ permalink raw reply	[flat|nested] 35+ messages in thread

* Re: [Comm] iptables vs ipchains
  2004-12-22 14:47                 ` Serge Polkovnikov
@ 2004-12-22 14:53                   ` Igor Solovyov
  2004-12-22 14:59                     ` Serge Polkovnikov
  2004-12-22 15:00                   ` Alexey I. Froloff
  1 sibling, 1 reply; 35+ messages in thread
From: Igor Solovyov @ 2004-12-22 14:53 UTC (permalink / raw)
  To: community

On Wed, 22 Dec 2004 16:47:55 +0200
Serge Polkovnikov <serge@ukr-fin.com.ua> wrote:

> середа 22 грудень 2004 16:25, Alexey Morsov Ви написали:
> > > Миш, какя ж это болванка, если всюду пробиты конкретные адреса и
> > > интерфейсы. И никаких коментариев. Откоментированный скрипт её
> > > генерации с разумно абстрагированными переменными был бы болванкой...
> > >
> > > P.S. Могу прислать свою попытку сделать такой, но, она застряла на
> > > "дверном" варианте и врядли представляет интерес. Уж больно жизнь
> > > разнообразна...
> >
> > А вот моя болванка - кому нать - use it or modify :)
> 
> Ну раз пошла такая пьянка, то вот то что я для себя сделал...
> Краткое описание на русском прилагаются. 
> Замечания, пожелания приветствуются.

А может попробовать набрать два слова "generate" и "iptables"
где-нибудь на www.freshmeat.net ?

-- 
Best regards!
Igor Solovyov
Zlatoust, Russia


^ permalink raw reply	[flat|nested] 35+ messages in thread

* Re: [Comm] iptables vs ipchains
  2004-12-22 14:53                   ` Igor Solovyov
@ 2004-12-22 14:59                     ` Serge Polkovnikov
  0 siblings, 0 replies; 35+ messages in thread
From: Serge Polkovnikov @ 2004-12-22 14:59 UTC (permalink / raw)
  To: community

середа 22 грудень 2004 16:53, Igor Solovyov Ви написали:
> А может попробовать набрать два слова "generate" и "iptables"
> где-нибудь на www.freshmeat.net ?
Если это мне, то могу лишь сказать, что начало этому скриту положено года 2-3 
назад (тогда подобных генераторов было гараздо меньше чем сейчас). Смысла мне 
искать аналога в инете не вижу - есть свое, рабочее.
-- 
Сергей Полковников


^ permalink raw reply	[flat|nested] 35+ messages in thread

* Re: [Comm] iptables vs ipchains
  2004-12-22 14:47                 ` Serge Polkovnikov
  2004-12-22 14:53                   ` Igor Solovyov
@ 2004-12-22 15:00                   ` Alexey I. Froloff
  2004-12-22 15:43                     ` [Comm] iptables vs ipchains [JT] Denis Kirienko
  1 sibling, 1 reply; 35+ messages in thread
From: Alexey I. Froloff @ 2004-12-22 15:00 UTC (permalink / raw)
  To: ALT Linux Community


[-- Attachment #1.1: Type: text/plain, Size: 321 bytes --]

* Serge Polkovnikov <serge@> [041222 17:49]:
> > А вот моя болванка - кому нать - use it or modify :)
> Ну раз пошла такая пьянка, то вот то что я для себя сделал...
А?  Что?  Перепись?

Меня тоже запишите ;-)

-- 
Regards, Sir Raorn.
-------------------
Электричества нет, но мы работаем!
		-- aen in devel@

[-- Attachment #1.2: fw.sh --]
[-- Type: application/x-sh, Size: 1989 bytes --]

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 35+ messages in thread

* [Comm] IA: iptables bolvanka, fixed version (was: iptables vs ipchains)
  2004-12-22 14:13             ` [Comm] iptables vs ipchains Andriy Dobrovol's'kii
  2004-12-22 14:25               ` Alexey Morsov
@ 2004-12-22 15:00               ` Michael Shigorin
  2004-12-22 16:22                 ` Andrey Rahmatullin
  1 sibling, 1 reply; 35+ messages in thread
From: Michael Shigorin @ 2004-12-22 15:00 UTC (permalink / raw)
  To: community; +Cc: bloodmary


[-- Attachment #1.1: Type: text/plain, Size: 1619 bytes --]

On Wed, Dec 22, 2004 at 04:13:39PM +0200, Andriy Dobrovol's'kii wrote:
> >PS: моя дежурная болванка в аттаче, если кто-либо в благодарность
> >проверит, доточит, проверит и предложит в FAQ -- welcome.
> Миш, какя ж это болванка, если всюду пробиты конкретные адреса

Только не всюду, там есть _REAL_IP :)

Подразумевается: мир через eth0 (_REAL_IP) доступен в локальной
сети 10.0.1.0/24 через интерфейс eth1 (10.0.1.1).

При этом снаружи открыт специфицированный список портов и RELATED
packets, организованы цепочки для подсчёта трафика (eth1-in и
eth1-out), ....упс.

Перечитал скрипт, почесал в затылке, что на originating host уже
давно не добраться (земля той конторе пухом), порасставлял eth0 и
eth1 _адекватно_ адресам и заодно добавил комментариев.

Предыдущую версию считать не болванкой, а провокацией, болванкой
же считать приложенную :-)

> и интерфейсы. И никаких коментариев.

Вот потому так и охарактеризовал, и bloodmary@ на днях отказал
повесить в FAQ. (а вот теперь ближе к терпимому)

> Откоментированный скрипт её генерации с разумно
> абстрагированными переменными был бы болванкой...

Не, это был бы ещё один скрипт генерации, который мне нафиг не
упал, поскольку эта болванка _для меня_ превращается в рабочую за
пару минут в редакторе.

> P.S. Могу прислать свою попытку сделать такой, но, она застряла
> на "дверном" варианте и врядли представляет интерес. Уж больно
> жизнь разнообразна...

Впору dotfiles.altlinux.ru делать по мотивам dotfiles.com :-)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #1.2: iptables --]
[-- Type: text/plain, Size: 2375 bytes --]

# setup:
# world<->eth0[_REAL_IP]:::eth1[10.0.0.254]<->LAN
# _REAL_IP:_EXT_PORT is port-forwarded to _INT_HOST:_INT_PORT
# everything from inside gets masqueraded,
# with a few host-specific exceptions;
# everything from outside gets dropped unless
# targets explicitly allowed port
# or is a response to our request
# eth0-in/eth0-out count [paid] external traffic

# Generated by iptables-save v1.2.6a on Thu Nov 21 21:15:39 2002
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -d _REAL_IP -i eth0 -p tcp -m tcp --dport _EXT_PORT -j DNAT --to-destination _INT_HOST:_INT_PORT
-A POSTROUTING -s 10.0.0.0/24 -d ! 10.0.0.0/24 -j SNAT --to-source _REAL_IP
COMMIT
# Completed on Thu Nov 21 21:15:39 2002
# Generated by iptables-save v1.2.6a on Thu Nov 21 21:15:39 2002
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Thu Nov 21 21:15:39 2002
# Generated by iptables-save v1.2.6a on Thu Nov 21 21:15:39 2002
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:eth0-in - [0:0]
:eth0-out - [0:0]
:tcprules - [0:0]
-A INPUT -i eth0 -j eth0-in
-A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
-A INPUT -s 10.0.0.0/24 -d 10.0.0.254 -i eth1 -j ACCEPT
-A INPUT -s 10.0.0.0/24 -d _REAL_IP -i eth1 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 113 -j REJECT --reject-with tcp-reset
-A INPUT -j tcprules
# block :25 to world (only through 10.0.0.1:25)
-A FORWARD -s 10.0.0.0/24 -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -j tcprules
-A OUTPUT -o eth0 -j eth0-out
-A eth0-in -j RETURN
-A eth0-out -j RETURN
-A tcprules -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A tcprules -i ! eth0 -m state --state NEW -j ACCEPT
-A tcprules -i eth0 -m state --state INVALID,NEW -j DROP
-A tcprules -i eth0 -j REJECT --reject-with icmp-host-unreachable
COMMIT
# Completed on Thu Nov 21 21:15:39 2002

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 35+ messages in thread

* Re: [Comm] iptables vs ipchains (was: Как настроить шлюз в инет?)
  2004-12-22 13:49           ` [Comm] iptables vs ipchains (was: Как настроить шлюз в инет?) Michael Shigorin
  2004-12-22 14:13             ` [Comm] iptables vs ipchains Andriy Dobrovol's'kii
@ 2004-12-22 15:30             ` Alexey S. Kuznetsov
  2004-12-22 15:39               ` Denis Kirienko
  1 sibling, 1 reply; 35+ messages in thread
From: Alexey S. Kuznetsov @ 2004-12-22 15:30 UTC (permalink / raw)
  To: Michael Shigorin

Hello!

Вы писали 22 грудня 2004 р., 15:49:03:

> On Mon, Dec 20, 2004 at 10:33:54PM +0000, Alexey S. Kuznetsov wrote:
>> >>Пусть человек начнёт с самого начала, потом будет переходить
>> >>на более новые шняги :-)
>> >Смысл? 
>> Нужно понимать концепцию, а не тупо заучивать комманды. Я
>> считаю, что нужно знать и старые версии софта и новые.

> Дружище, объясните мне, тупому, какая-такая концепция в ipchains
> и в чём смысл использовать его (уж ipfwadm тогда) под
> современными ядрами, помимо быстрого портирования (и то есть
> нюансы вроде различного поведения ipchains -L -z под 2.2 и 2.4)?

> Я вот скажу, что нормальный файрвол построить на iptables --
> гораздо меньше головной боли и куда эффективней, чем на ipchains
> и предыдущем ipfwadm -- уже благодаря statefullness, бишь тому,
> что можно ссылаться на соединения, например, сказав "принимать
> ответы на то, что инициировано от нас".

> PS: моя дежурная болванка в аттаче, если кто-либо в благодарность
> проверит, доточит, проверит и предложит в FAQ -- welcome.

да я ж не спорю, что iptables круче и более наворочен, просто человек спросилд, я подумал,
то пусть начнёт с ipchains, потому что он легче для восприятия (если он не работал раньше
с этими фаерволами), а потом, если захочет, переходит на iptables.
У меня всё.

-- 
Sincerely,
Alexey S. Kuznetsov
AK2351-RIPE



^ permalink raw reply	[flat|nested] 35+ messages in thread

* Re: [Comm] iptables vs ipchains (was: Как настроить шлюз в инет?)
  2004-12-22 15:30             ` [Comm] iptables vs ipchains (was: Как настроить шлюз в инет?) Alexey S. Kuznetsov
@ 2004-12-22 15:39               ` Denis Kirienko
  0 siblings, 0 replies; 35+ messages in thread
From: Denis Kirienko @ 2004-12-22 15:39 UTC (permalink / raw)
  To: community

Получил Wed, 22 Dec 2004 17:30:31 +0200 от Alexey S. Kuznetsov
следующее письмо:

> >> >>Пусть человек начнёт с самого начала, потом будет переходить
> >> >>на более новые шняги :-)
> >> >Смысл? 
> >> Нужно понимать концепцию, а не тупо заучивать комманды. Я
> >> считаю, что нужно знать и старые версии софта и новые.
> 
> > Дружище, объясните мне, тупому, какая-такая концепция в ipchains
> > и в чём смысл использовать его (уж ipfwadm тогда) под
> > современными ядрами, помимо быстрого портирования (и то есть
> > нюансы вроде различного поведения ipchains -L -z под 2.2 и 2.4)?
> 
> > Я вот скажу, что нормальный файрвол построить на iptables --
> > гораздо меньше головной боли и куда эффективней, чем на ipchains
> > и предыдущем ipfwadm -- уже благодаря statefullness, бишь тому,
> > что можно ссылаться на соединения, например, сказав "принимать
> > ответы на то, что инициировано от нас".
> 
> да я ж не спорю, что iptables круче и более наворочен, просто
> человек спросилд, я подумал, то пусть начнёт с ipchains, потому что
> он легче для восприятия (если он не работал раньше с этими
> фаерволами), а потом, если захочет, переходит на iptables. У меня
> всё.

Как начавший тему, предлагаю данную holy war прекратить.
Я для себя выбор сделал.

--
Денис



^ permalink raw reply	[flat|nested] 35+ messages in thread

* Re: [Comm] iptables vs ipchains [JT]
  2004-12-22 15:00                   ` Alexey I. Froloff
@ 2004-12-22 15:43                     ` Denis Kirienko
  0 siblings, 0 replies; 35+ messages in thread
From: Denis Kirienko @ 2004-12-22 15:43 UTC (permalink / raw)
  To: community

Получил Wed, 22 Dec 2004 18:00:04 +0300 от Alexey I. Froloff следующее
письмо:

> > > А вот моя болванка - кому нать - use it or modify :)
> > Ну раз пошла такая пьянка, то вот то что я для себя сделал...
> А?  Что?  Перепись?
> 
> Меня тоже запишите ;-)

Господа, всем спасибо, но я скоро перестану успевать Ваши конфиги в
отдельную папочку в Сильфиде складывать :)

--
Денис



^ permalink raw reply	[flat|nested] 35+ messages in thread

* Re: [Comm] IA: iptables bolvanka, fixed version (was: iptables vs ipchains)
  2004-12-22 15:00               ` [Comm] IA: iptables bolvanka, fixed version (was: iptables vs ipchains) Michael Shigorin
@ 2004-12-22 16:22                 ` Andrey Rahmatullin
  2004-12-22 17:05                   ` [Comm] dotfiles.com Michael Shigorin
  2004-12-22 17:51                   ` [Comm] IA: iptables bolvanka, fixed version (was: iptables vs ipchains) Maxim Tyurin
  0 siblings, 2 replies; 35+ messages in thread
From: Andrey Rahmatullin @ 2004-12-22 16:22 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 357 bytes --]

On Wed, Dec 22, 2004 at 05:00:31PM +0200, Michael Shigorin wrote:
> Впору dotfiles.altlinux.ru делать по мотивам dotfiles.com :-)
Ты это раз в полгода говоришь.

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):

Порой "родные драйвера" напоминают концепт-кары: и вроде круто, и
ездить не предназначено.
		-- mike in community@

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 35+ messages in thread

* [Comm] dotfiles.com
  2004-12-22 16:22                 ` Andrey Rahmatullin
@ 2004-12-22 17:05                   ` Michael Shigorin
  2004-12-22 17:51                   ` [Comm] IA: iptables bolvanka, fixed version (was: iptables vs ipchains) Maxim Tyurin
  1 sibling, 0 replies; 35+ messages in thread
From: Michael Shigorin @ 2004-12-22 17:05 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 463 bytes --]

On Wed, Dec 22, 2004 at 09:22:03PM +0500, Andrey Rahmatullin wrote:
> > Впору dotfiles.altlinux.ru делать по мотивам dotfiles.com :-)
> Ты это раз в полгода говоришь.

И никто не пойдёт и не стырит у них движок, чтоб не изобретать
лисапет :-E  Опять за других свою работу делать? :-/

PS: а польза-то хоть та, что новый народ про дотфайлесы узнает
:-)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 35+ messages in thread

* Re: [Comm] IA: iptables bolvanka, fixed version (was: iptables vs ipchains)
  2004-12-22 16:22                 ` Andrey Rahmatullin
  2004-12-22 17:05                   ` [Comm] dotfiles.com Michael Shigorin
@ 2004-12-22 17:51                   ` Maxim Tyurin
  1 sibling, 0 replies; 35+ messages in thread
From: Maxim Tyurin @ 2004-12-22 17:51 UTC (permalink / raw)
  To: community

Andrey Rahmatullin <wrar@altlinux.ru> writes:

> On Wed, Dec 22, 2004 at 05:00:31PM +0200, Michael Shigorin wrote:
>> Впору dotfiles.altlinux.ru делать по мотивам dotfiles.com :-)
> Ты это раз в полгода говоришь.

Но идея-то полезная
-- 

With Best Regards, Maxim Tyurin aka Bungarus
JID:	MrKooll@jabber.pibhe.com



^ permalink raw reply	[flat|nested] 35+ messages in thread

end of thread, other threads:[~2004-12-22 17:51 UTC | newest]

Thread overview: 35+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-12-16 16:15 [Comm] Как настроить шлюз в инет? Denis Kirienko
2004-12-16 16:29 ` Jury Levykin
2004-12-16 16:43   ` Denis Kirienko
2004-12-16 17:03     ` Denis Kirienko
2004-12-16 20:34       ` Jury Levykin
2004-12-16 20:43         ` Denis Kirienko
2004-12-16 16:30 ` Alexey S. Kuznetsov
2004-12-16 16:35   ` Jury Levykin
2004-12-16 20:08     ` Re[2]: " Alexey S. Kuznetsov
2004-12-16 19:28       ` Sergey Vlasov
2004-12-17  5:59   ` Mike Lykov
2004-12-17  6:15     ` Шишков Евгений
2004-12-17 11:20     ` Re[2]: " Alexey S. Kuznetsov
2004-12-20 15:03       ` Andrey Rahmatullin
2004-12-20 16:28         ` [Comm] " Michael Shigorin
2004-12-20 22:33         ` [Comm] " Alexey S. Kuznetsov
2004-12-20 20:50           ` Denis Kirienko
2004-12-20 23:19             ` Alexey S. Kuznetsov
2004-12-22 13:49               ` [Comm] " Michael Shigorin
2004-12-21  9:55             ` [Comm] " Oleg Shulga
2004-12-21  5:01           ` Mike Lykov
2004-12-22 13:49           ` [Comm] iptables vs ipchains (was: Как настроить шлюз в инет?) Michael Shigorin
2004-12-22 14:13             ` [Comm] iptables vs ipchains Andriy Dobrovol's'kii
2004-12-22 14:25               ` Alexey Morsov
2004-12-22 14:47                 ` Serge Polkovnikov
2004-12-22 14:53                   ` Igor Solovyov
2004-12-22 14:59                     ` Serge Polkovnikov
2004-12-22 15:00                   ` Alexey I. Froloff
2004-12-22 15:43                     ` [Comm] iptables vs ipchains [JT] Denis Kirienko
2004-12-22 15:00               ` [Comm] IA: iptables bolvanka, fixed version (was: iptables vs ipchains) Michael Shigorin
2004-12-22 16:22                 ` Andrey Rahmatullin
2004-12-22 17:05                   ` [Comm] dotfiles.com Michael Shigorin
2004-12-22 17:51                   ` [Comm] IA: iptables bolvanka, fixed version (was: iptables vs ipchains) Maxim Tyurin
2004-12-22 15:30             ` [Comm] iptables vs ipchains (was: Как настроить шлюз в инет?) Alexey S. Kuznetsov
2004-12-22 15:39               ` Denis Kirienko

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git