* [Comm] iptables не реагирует ни на что @ 2005-03-20 2:02 Kir 2005-03-20 6:41 ` Nick S. Grechukh 2005-03-20 6:41 ` Andrey Rahmatullin 0 siblings, 2 replies; 21+ messages in thread From: Kir @ 2005-03-20 2:02 UTC (permalink / raw) To: community Доброго всем времени суток! Взялся было за настройку iptables, обложился доками, и на тебе! Подскажите, как с этим бороться: [root@comp1 root]# service iptables start [root@comp1 root]# service iptables status [root@comp1 root]# rpm -q iptables iptables-1.2.11-alt2 То есть пакет стоит, но на команды не реагирует :-((( --------- На всякий случай: дистрибутив "ALT Linux 2.4 Master" с ftp.altlinux.ru --------- С уважением, Kir forlin@yandex.ru ^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] iptables не реагирует ни на что 2005-03-20 2:02 [Comm] iptables не реагирует ни на что Kir @ 2005-03-20 6:41 ` Nick S. Grechukh 2005-03-20 18:10 ` Kir 2005-03-20 18:20 ` [Comm] iptables не реагирует ни на что Pavel Usischev 2005-03-20 6:41 ` Andrey Rahmatullin 1 sibling, 2 replies; 21+ messages in thread From: Nick S. Grechukh @ 2005-03-20 6:41 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 748 bytes --] On Sunday 20 March 2005 04:02, Kir wrote: > Взялся было за настройку iptables, обложился доками, и на тебе! > Подскажите, как с этим бороться: > [root@comp1 root]# service iptables start > [root@comp1 root]# service iptables status > [root@comp1 root]# rpm -q iptables > iptables-1.2.11-alt2 > То есть пакет стоит, но на команды не реагирует :-((( на какие команды он должен реагировать? вы же не создали ни цепочек ни фильтров. _сервиса_ iptables на самом деле нету, вызывая /sbin/iptables вы управляете пакетным фильтром _встроенным в ядро_. а service iptables stop/start запоминает где-то в /etc/ текущие настройки, и восстанавливает их, соответственно. для того чтобы не писать постоянные (=переживающие выключение) настройки в rc.local. [-- Attachment #2: Type: application/pgp-signature, Size: 190 bytes --] ^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] iptables не реагирует ни на что 2005-03-20 6:41 ` Nick S. Grechukh @ 2005-03-20 18:10 ` Kir 2005-03-21 9:15 ` Nick S. Grechukh 2005-03-20 18:20 ` [Comm] iptables не реагирует ни на что Pavel Usischev 1 sibling, 1 reply; 21+ messages in thread From: Kir @ 2005-03-20 18:10 UTC (permalink / raw) To: community Доброго всем времени суток! On Sun, 20 Mar 2005 08:41:05 +0200 "Nick S. Grechukh" <ngrechukh@ua.fm> wrote: > On Sunday 20 March 2005 04:02, Kir wrote: > > Взялся было за настройку iptables, обложился доками, и на тебе! > > Подскажите, как с этим бороться: > > [root@comp1 root]# service iptables start > > [root@comp1 root]# service iptables status > > [root@comp1 root]# rpm -q iptables > > iptables-1.2.11-alt2 > > То есть пакет стоит, но на команды не реагирует :-((( > на какие команды он должен реагировать? вы же не создали ни цепочек ни > фильтров. _сервиса_ iptables на самом деле нету, вызывая /sbin/iptables вы > управляете пакетным фильтром _встроенным в ядро_. а service iptables > stop/start запоминает где-то в /etc/ текущие настройки, и восстанавливает их, > соответственно. для того чтобы не писать постоянные (=переживающие > выключение) настройки в rc.local. Ну, если я не ошибаюсь, какие-то цепочки (или это не цепочки?) есть по умолчанию. Вот содержимое файла /etc/sysconfig/iptables, в который я вообще не лазил: # Example iptables config file. # Note the this file uses the format of iptables-save # What follows is an example of this output. However, # the actual rule lines have been commented out. # DO NOT USE THE -t (table) OPTION IN THIS FILE! *mangle :PREROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] #-A PREROUTING -p tcp --dport 22 -j TOS --set-tos 0x10 COMMIT *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] #-A FORWARD -i eth0 -j ACCEPT COMMIT *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] #-A POSTROUTING -o eth0 -j MASQUERADE COMMIT --------- На всякий случай: дистрибутив "ALT Linux 2.4 Master" с ftp.altlinux.ru --------- С уважением, Kir forlin@yandex.ru ^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] iptables не реагирует ни на что 2005-03-20 18:10 ` Kir @ 2005-03-21 9:15 ` Nick S. Grechukh 2005-03-21 9:28 ` [Comm] " Michael Shigorin 2005-03-22 9:26 ` [Comm] " Kir 0 siblings, 2 replies; 21+ messages in thread From: Nick S. Grechukh @ 2005-03-21 9:15 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 1451 bytes --] On Sunday 20 March 2005 20:10, Kir wrote: > Доброго всем времени суток! > "Nick S. Grechukh" <ngrechukh@ua.fm> wrote: > > On Sunday 20 March 2005 04:02, Kir wrote: > > > Взялся было за настройку iptables, обложился доками, и на тебе! > > > Подскажите, как с этим бороться: > > > [root@comp1 root]# service iptables start > > > [root@comp1 root]# service iptables status > > > [root@comp1 root]# rpm -q iptables > > > iptables-1.2.11-alt2 > > > То есть пакет стоит, но на команды не реагирует :-((( > > на какие команды он должен реагировать? вы же не создали ни цепочек ни > > фильтров. _сервиса_ iptables на самом деле нету, вызывая /sbin/iptables > > вы управляете пакетным фильтром _встроенным в ядро_. а service iptables > > stop/start запоминает где-то в /etc/ текущие настройки, и восстанавливает > > их, соответственно. для того чтобы не писать постоянные (=переживающие > > выключение) настройки в rc.local. > Ну, если я не ошибаюсь, какие-то цепочки (или это не цепочки?) есть по > умолчанию. Вот содержимое файла /etc/sysconfig/iptables, в который я вообще > не лазил: то что раскоментировано - это НИЧЕГО. вообще ничего. http://iptables-tutorial.frozentux.net/iptables-tutorial.html и man iptables то что в этих доках - от дисрибутива (почти?:doubt:) не зависит. дальше пробуйте делать service iptables save и смотреть что появляется в конфиге (еще раз: iptables это не демон, из этого конфига просто генерятся вызовы /sbin/iptables). [-- Attachment #2: Type: application/pgp-signature, Size: 190 bytes --] ^ permalink raw reply [flat|nested] 21+ messages in thread
* [Comm] Re: iptables не реагирует ни на что 2005-03-21 9:15 ` Nick S. Grechukh @ 2005-03-21 9:28 ` Michael Shigorin 2005-03-21 15:35 ` Александр 2005-03-22 9:26 ` [Comm] " Kir 1 sibling, 1 reply; 21+ messages in thread From: Michael Shigorin @ 2005-03-21 9:28 UTC (permalink / raw) To: community On Mon, Mar 21, 2005 at 11:15:11AM +0200, Nick S. Grechukh wrote: > http://iptables-tutorial.frozentux.net/iptables-tutorial.html и > man iptables то что в этих доках - от дисрибутива > (почти?:doubt:) не зависит. Зависит-зависит, если в дисрибутиве балуются patch-o-matic. Но это более высокие (или иные по вкусу) материи... -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] Re: iptables не реагирует ни на что 2005-03-21 9:28 ` [Comm] " Michael Shigorin @ 2005-03-21 15:35 ` Александр 2005-03-21 16:20 ` Michael Shigorin 0 siblings, 1 reply; 21+ messages in thread From: Александр @ 2005-03-21 15:35 UTC (permalink / raw) To: community Доброго времени суток. Раз зашла речь о patch-o-matic, никто его случаем не прикручивал к ALT. Штука в общем-то нужная. Если есть готовый, может кините в приват. Или может ему в Daedalus пора? -----Original Message----- From: Michael Shigorin <mike@osdn.org.ua> To: community@altlinux.ru Date: Mon, 21 Mar 2005 11:28:19 +0200 Subject: [Comm] Re: iptables не реагирует ни на что > > On Mon, Mar 21, 2005 at 11:15:11AM +0200, Nick S. Grechukh wrote: > > http://iptables-tutorial.frozentux.net/iptables-tutorial.html и > > man iptables то что в этих доках - от дисрибутива > > (почти?:doubt:) не зависит. > > Зависит-зависит, если в дисрибутиве балуются patch-o-matic. > > Но это более высокие (или иные по вкусу) материи... > > ^ permalink raw reply [flat|nested] 21+ messages in thread
* [Comm] Re: iptables не реагирует ни на что 2005-03-21 15:35 ` Александр @ 2005-03-21 16:20 ` Michael Shigorin 2005-03-21 22:25 ` Metalking 0 siblings, 1 reply; 21+ messages in thread From: Michael Shigorin @ 2005-03-21 16:20 UTC (permalink / raw) To: community On Mon, Mar 21, 2005 at 06:35:30PM +0300, Александр wrote: > Раз зашла речь о patch-o-matic, никто его случаем не > прикручивал к ALT. Прикручивали (в 2.0), открутили нафиг после первого же случая сваливания iptables в корку после обновления ядра. Ну его нафиг. > Штука в общем-то нужная. Если есть готовый, может кините в приват. > Или может ему в Daedalus пора? Вот разве что. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] Re: iptables не реагирует ни на что 2005-03-21 16:20 ` Michael Shigorin @ 2005-03-21 22:25 ` Metalking 2005-03-22 6:54 ` Michael Shigorin 2005-03-22 17:26 ` Alexey Voinov 0 siblings, 2 replies; 21+ messages in thread From: Metalking @ 2005-03-21 22:25 UTC (permalink / raw) To: community В сообщении от 21 Март 2005 19:20 Michael Shigorin написал(a): > On Mon, Mar 21, 2005 at 06:35:30PM +0300, Александр wrote: > > Раз зашла речь о patch-o-matic, никто его случаем не > > прикручивал к ALT. > > Прикручивали (в 2.0), открутили нафиг после первого же случая > сваливания iptables в корку после обновления ядра. Ну его нафиг. > Дела давно минувших дней... :). Так, например, бага на падения сквида при аутификации ntlm несколько лет висела, но пакетом то пользовались. Может и patch-o-matic исправился. Конечно на продакшн системах ему, наверное, не место, но некоторые вкусные фичи можно на стенде и погонять и осторожненько иногда использовать. Глядишь и в основной пакет некоторые из них переберутся. Без тестирования ошибки не отловишь, а на полегоне ( в Daedalus) экстремалы могут от души пристреляться к новым возможностям. > > Штука в общем-то нужная. Если есть готовый, может кините в приват. > > Или может ему в Daedalus пора? > > Вот разве что. Порылся в архивах: оказывается не один раз поднимался вопрос о p.o.m. Может дать ему ещё попытку пробиться в жизнь в среде ALT? ^ permalink raw reply [flat|nested] 21+ messages in thread
* [Comm] Re: iptables не реагирует ни на что 2005-03-21 22:25 ` Metalking @ 2005-03-22 6:54 ` Michael Shigorin 2005-03-22 17:26 ` Alexey Voinov 1 sibling, 0 replies; 21+ messages in thread From: Michael Shigorin @ 2005-03-22 6:54 UTC (permalink / raw) To: community On Tue, Mar 22, 2005 at 01:25:33AM +0300, Metalking wrote: > Без тестирования ошибки не отловишь, а на полегоне ( в > Daedalus) экстремалы могут от души пристреляться к новым > возможностям. Ну так заверните feat и собирайте свои рутерные ядры :) Может, ещё кого из заинтересованных подберёте, помнится, тема ядер именно под маршрутизатор (без сказей и альсов там всяких, но с развесистой сетевой частью) время от времени всплывала. > Порылся в архивах: оказывается не один раз поднимался вопрос о > p.o.m. Может дать ему ещё попытку пробиться в жизнь в среде > ALT? "Всё в Ваших руках" (c) -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] Re: iptables не реагирует ни на что 2005-03-21 22:25 ` Metalking 2005-03-22 6:54 ` Michael Shigorin @ 2005-03-22 17:26 ` Alexey Voinov 2005-03-22 21:07 ` Denis Smirnov 1 sibling, 1 reply; 21+ messages in thread From: Alexey Voinov @ 2005-03-22 17:26 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 1316 bytes --] Metalking wrote > > > Раз зашла речь о patch-o-matic, никто его случаем не > > > прикручивал к ALT. > > Прикручивали (в 2.0), открутили нафиг после первого же случая > > сваливания iptables в корку после обновления ядра. Ну его нафиг. > Дела давно минувших дней... :). Так, например, бага на падения сквида при > аутификации ntlm несколько лет висела, но пакетом то пользовались. Может и > patch-o-matic исправился. Конечно на продакшн системах ему, наверное, не > место, но некоторые вкусные фичи можно на стенде и погонять и осторожненько > иногда использовать. Глядишь и в основной пакет некоторые из них переберутся. > Без тестирования ошибки не отловишь, а на полегоне ( в Daedalus) экстремалы > могут от души пристреляться к новым возможностям. "Прикручивание" p-o-m требует синхронности пакетов с ядрами и пакета iptables. Многие патчи из этого комплекта изменяют бинарный протокол по которому в ядро помещаются правила. Либо придётся заводить по пакету iptables для каждого ядра (а можно ещё пофантазировать на тему синхронизаци этих версий) либо прикладывать одинаковый комплект патчей из p-o-m ко всем ядрам, что тоже далеко не всем понравится. Поэтому p-o-m пока отдыхает в сторонке. -- Best Regards! Alexey Voinov voins@voins.program.ru voins@altlinux.ru [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] Re: iptables не реагирует ни на что 2005-03-22 17:26 ` Alexey Voinov @ 2005-03-22 21:07 ` Denis Smirnov 2005-03-22 18:34 ` Alexey Voinov 0 siblings, 1 reply; 21+ messages in thread From: Denis Smirnov @ 2005-03-22 21:07 UTC (permalink / raw) To: community On Tue, Mar 22, 2005 at 08:26:59PM +0300, Alexey Voinov wrote: AV> "Прикручивание" p-o-m требует синхронности пакетов с ядрами и пакета AV> iptables. Многие патчи из этого комплекта изменяют бинарный протокол по AV> которому в ядро помещаются правила. Либо придётся заводить по пакету AV> iptables для каждого ядра (а можно ещё пофантазировать на тему AV> синхронизаци этих версий) либо прикладывать одинаковый комплект патчей из AV> p-o-m ко всем ядрам, что тоже далеко не всем понравится. AV> Поэтому p-o-m пока отдыхает в сторонке. А если выдрать из него подмножество патчей не меняющие протокол? -- С уважением, Денис http://freesource.info ^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] Re: iptables не реагирует ни на что 2005-03-22 21:07 ` Denis Smirnov @ 2005-03-22 18:34 ` Alexey Voinov 2005-03-24 15:22 ` Denis Smirnov 0 siblings, 1 reply; 21+ messages in thread From: Alexey Voinov @ 2005-03-22 18:34 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 892 bytes --] Denis Smirnov wrote > On Tue, Mar 22, 2005 at 08:26:59PM +0300, Alexey Voinov wrote: > > AV> "Прикручивание" p-o-m требует синхронности пакетов с ядрами и пакета > AV> iptables. Многие патчи из этого комплекта изменяют бинарный протокол по > AV> которому в ядро помещаются правила. Либо придётся заводить по пакету > AV> iptables для каждого ядра (а можно ещё пофантазировать на тему > AV> синхронизаци этих версий) либо прикладывать одинаковый комплект патчей из > AV> p-o-m ко всем ядрам, что тоже далеко не всем понравится. > AV> Поэтому p-o-m пока отдыхает в сторонке. > > А если выдрать из него подмножество патчей не меняющие протокол? Тогда запросто. Кто этим заниматься будет? :) (/me уже давно хочет пристроить iptables кому-нибудь заботливому, тому, кто его не бросит :) ) -- Best Regards! Alexey Voinov voins@voins.program.ru voins@altlinux.ru [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] Re: iptables не реагирует ни на что 2005-03-22 18:34 ` Alexey Voinov @ 2005-03-24 15:22 ` Denis Smirnov 2005-03-24 17:20 ` Alexey Voinov 0 siblings, 1 reply; 21+ messages in thread From: Denis Smirnov @ 2005-03-24 15:22 UTC (permalink / raw) To: community On Tue, Mar 22, 2005 at 09:34:38PM +0300, Alexey Voinov wrote: >> А если выдрать из него подмножество патчей не меняющие протокол? AV> Тогда запросто. Кто этим заниматься будет? :) Каждого вспоминающего про p-o-m можно посылать :) AV> (/me уже давно хочет пристроить iptables кому-нибудь заботливому, тому, AV> кто его не бросит :) ) :) -- С уважением, Денис http://freesource.info ^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] Re: iptables не реагирует ни на что 2005-03-24 15:22 ` Denis Smirnov @ 2005-03-24 17:20 ` Alexey Voinov 2005-03-24 18:08 ` [Comm] [FAQ] (patch-o-matic) " Michael Shigorin 0 siblings, 1 reply; 21+ messages in thread From: Alexey Voinov @ 2005-03-24 17:20 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 410 bytes --] Denis Smirnov wrote > >> А если выдрать из него подмножество патчей не меняющие протокол? > AV> Тогда запросто. Кто этим заниматься будет? :) > Каждого вспоминающего про p-o-m можно посылать :) Ссылку на предыдущее письмо (с разъяснениями), надо поместить в faq. :) Тогда появится конкретное место, куда посылать. -- Best Regards! Alexey Voinov voins@voins.program.ru voins@altlinux.ru [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 21+ messages in thread
* [Comm] [FAQ] (patch-o-matic) Re: iptables не реагирует ни на что 2005-03-24 17:20 ` Alexey Voinov @ 2005-03-24 18:08 ` Michael Shigorin 0 siblings, 0 replies; 21+ messages in thread From: Michael Shigorin @ 2005-03-24 18:08 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 593 bytes --] On Thu, Mar 24, 2005 at 08:20:25PM +0300, Alexey Voinov wrote: > > >> А если выдрать из него подмножество патчей не меняющие протокол? > > AV> Тогда запросто. Кто этим заниматься будет? :) > > Каждого вспоминающего про p-o-m можно посылать :) > Ссылку на предыдущее письмо (с разъяснениями), надо поместить в faq. :) > Тогда появится конкретное место, куда посылать. Эт запросто. Задокументированная бага -- это фича! http://faq.altlinux.ru/index.php?action=single&nf=1&qid=582 -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] iptables не реагирует ни на что 2005-03-21 9:15 ` Nick S. Grechukh 2005-03-21 9:28 ` [Comm] " Michael Shigorin @ 2005-03-22 9:26 ` Kir 2005-03-24 14:00 ` [Comm] Ошибки при настройке iptables Kir 1 sibling, 1 reply; 21+ messages in thread From: Kir @ 2005-03-22 9:26 UTC (permalink / raw) To: community Доброго всем времени суток! On Mon, 21 Mar 2005 11:15:11 +0200 "Nick S. Grechukh" <ngrechukh@ua.fm> wrote: > то что раскоментировано - это НИЧЕГО. вообще ничего. > http://iptables-tutorial.frozentux.net/iptables-tutorial.html и man > iptables то что в этих доках - от дисрибутива (почти?:doubt:) не > зависит. дальше пробуйте делать service iptables save и смотреть что > появляется в конфиге (еще раз: iptables это не демон, из этого конфига > просто генерятся вызовы /sbin/iptables). Понял, спасибо. Было бы еще хорошо ткнуть меня в какие-нибудь доки с описанием настроек iptables на машине с выходам в локальную сеть и Интернет (через PPTP). Фундаментальные руководства - штука хорошая, но хотелось бы почитать что-нибудь об опасностях, характерных для вышеописанной конфигурации. И о том, какие варианты использования iptables в ней существуют. --------- На всякий случай: дистрибутив "ALT Linux 2.4 Master" с ftp.altlinux.ru --------- С уважением, Kir forlin@yandex.ru ^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] Ошибки при настройке iptables 2005-03-22 9:26 ` [Comm] " Kir @ 2005-03-24 14:00 ` Kir 0 siblings, 0 replies; 21+ messages in thread From: Kir @ 2005-03-24 14:00 UTC (permalink / raw) To: community Доброго всем времени суток! > Понял, спасибо. > Было бы еще хорошо ткнуть меня в какие-нибудь доки с описанием > настроек iptables на машине с выходам в локальную сеть и Интернет > (через PPTP). Фундаментальные руководства - штука хорошая, но хотелось > бы почитать что-нибудь об опасностях, характерных для вышеописанной > конфигурации. И о том, какие варианты использования iptables в ней > существуют. Покопался в Сети, набрел на http://ru.gentoo-wiki.com/Подробная_настройка_iptables Начал настраивать по порядку, учитывая свои интерфейсы. Все идет нормально до этого места: http://ru.gentoo-wiki.com/Подробная_настройка_iptables#.D0.9B.D0.BE.D0.BA.D0.B0.D0.BB.D1.8C.D0.BD.D1.8B.D0.B5_.D0.B8.D0.BD.D1.82.D0.B5.D1.80.D1.84.D0.B5.D0.B9.D1.81.D1.8B Т.е. главы "Локальные интерфейсы" Вствляю в скрипт указанные строки, рестартую iptаbles, выполняю скрипт - получаю ответ: Bad argument `ACCEPT' Try `iptables -h' or 'iptables --help' for more information. Bad argument `ACCEPT' Try `iptables -h' or 'iptables --help' for more information. Bad argument `ACCEPT' Try `iptables -h' or 'iptables --help' for more information. Не могу понять, почему с этого места ругается, хотя до него не ругалась? Иду дальше, пытаюсь установить блокировку широковещательных адресов. Ответ аналогичный: Bad argument `DROPl' Try `iptables -h' or 'iptables --help' for more information. Bad argument `DROPl' Try `iptables -h' or 'iptables --help' for more information. Bad argument `DROPl' Try `iptables -h' or 'iptables --help' for more information. Bad argument `DROPl' Try `iptables -h' or 'iptables --help' for more information. Bad argument `DROPl' Try `iptables -h' or 'iptables --help' for more information. Bad argument `DROPl' Try `iptables -h' or 'iptables --help' for more information. Bad argument `DROPl' Try `iptables -h' or 'iptables --help' for more information. Bad argument `DROPl' Try `iptables -h' or 'iptables --help' for more information. Bad argument `DROPl' Try `iptables -h' or 'iptables --help' for more information. Bad argument `DROPl' Try `iptables -h' or 'iptables --help' for more information. Тут я решил остановиться и спросить совета у сообщества. Чего я не догоняю? Прилагаю скрипт, до проблемных мест, включая последние: #!/bin/bash IPTABLES='/sbin/iptables' # Определяем интерфейсы EXTIF='ppp0' INTIF1='eth0' INTIF2='eth1' # Включаем форвардинг ip в ядре. /bin/echo 1 > /proc/sys/net/ipv4/ip_forward # Сбросить правила и удалить цепочки $IPTABLES -F $IPTABLES -X # Включаем маскарадинг для разрешения доступа в интернет $IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE # Форвардить сетевой трафик с $INTIF1 на интернетовский интерфейс $EXTIF $IPTABLES -A FORWARD -i $INTIF1 -o $EXTIF -m state --state NEW,ESTABLISHED -j ACCEPT # Форвардить сетевой трафик с $INTIF2 на интернетовский интерфейс $EXTIF $IPTABLES -A FORWARD -i $INTIF2 -o $EXTIF -m state --state NEW,ESTABLISHED -j ACCEPT #echo -e " - Разрешаем доступ к SSH серверу" #$IPTABLES -A INPUT --protocol ssh --dport 22 -j ACCEPT #echo -e " - Разрешаем доступ к HTTP серверу (порты 80 и 8080" #$IPTABLES -A INPUT --protocol tcp --dport 80 -j ACCEPT #$IPTABLES -A INPUT --protocol tcp --dport 8080 -j ACCEPT # Блокируем все прочие попытки доступа на $EXTIF $IPTABLES -A INPUT -i $EXTIF -m state --state NEW,INVALID -j DROP $IPTABLES -A FORWARD -i $EXTIF -m state --state NEW,INVALID -j DROP # Сброс всех существующих и очистка персональных цепочек. CHAINS=`cat /proc/net/ip_tables_names 2>/dev/null` # ********** Цепочки журналирования событий ********** # # Теперь мы определяем несколько цепочек которые служат для записи # событий о сбрасываемых пакетах. Это позволит нам избежать ввода # команд для каждого правила. Сперва мы фиксируем DROP, а потом REJECT. # Не жалуйтесь, если цепочки уже существуют (однако это не приведет к # ошибкам???) $IPTABLES -N DROPl 2> /dev/null $IPTABLES -A DROPl -m limit --limit 3/minute --limit-burst 10 -j LOG --log-prefix 'FIREWALL DROP BLOCKED:'$IPTABLES -A DROPl -j DROP $IPTABLES -N REJECTl 2> /dev/null $IPTABLES -A REJECTl -m limit --limit 3/minute --limit-burst 10 -j LOG --log-prefix 'FIREWALL REJECT BLOCKED:'$IPTABLES -A REJECTl -j REJECT $IPTABLES -N DROP2 2> /dev/null $IPTABLES -A DROP2 -m limit --limit 3/second --limit-burst 10 -j LOG --log-prefix 'FIREWALL DROP UNKNOWN:'$IPTABLES -A DROP2 -j DROP $IPTABLES -N REJECT2 2> /dev/null $IPTABLES -A REJECT2 -m limit --limit 3/second --limit-burst 10 -j LOG --log-prefix 'FIREWALL REJECT UNKNOWN:'$IPTABLES -A REJECT2 -j REJECT # Loop device/localhost LPDIF="lo" LPDIP="127.0.0.1" LPDMSK="255.0.0.0" LPDNET="$LPDIP/$LPDMSK" # Необходимые утилиты IPT="/sbin/iptables" IFC="/sbin/ifconfig" G="/bin/grep" SED="/bin/sed" AWK="/usr/bin/awk" ECHO="/bin/echo" #Установка ACCEPT $IPT -t nat -A PREROUTING -j ACCEPT # $IPT -t nat -A POSTROUTING -o $EXTIF -s $INTNET -j SNAT --to $EXTIP # Закомментируйте последующие строки (которые содержат "MASQUERADE") # для сетей без трансляции адресов (NAT) #$IPT -t nat -A POSTROUTING -o $EXTIF -s $INTNET1 -j MASQUERADE #$IPT -t nat -A POSTROUTING -o $EXTIF -s $INTNET2 -j MASQUERADE $IPT -t nat -A POSTROUTING -j ACCEPT $IPT -t nat -A OUTPUT -j ACCEPT $IPT -A INPUT -p tcp --dport auth --syn -m state --state NEW -j ACCEPT $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # ********** Цепочки журналирования событий ********** # # Теперь мы определяем несколько цепочек которые служат для записи # событий о сбрасываемых пакетах. Это позволит нам избежать ввода # команд для каждого правила. Сперва мы фиксируем DROP, а потом REJECT. # Не жалуйтесь, если цепочки уже существуют (однако это не приведет к # ошибкам???) $IPT -N DROPl 2> /dev/null $IPT -A DROPl -m limit --limit 3/minute --limit-burst 10 -j LOG --log-prefix 'FIREWALL DROP BLOCKED:'$IPT -A DROPl -j DROP $IPT -N REJECTl 2> /dev/null $IPT -A REJECTl -m limit --limit 3/minute --limit-burst 10 -j LOG --log-prefix 'FIREWALL REJECT BLOCKED:'$IPT -A REJECTl -j REJECT $IPT -N DROP2 2> /dev/null $IPT -A DROP2 -m limit --limit 3/second --limit-burst 10 -j LOG --log-prefix 'FIREWALL DROP UNKNOWN:'$IPT -A DROP2 -j DROP $IPT -N REJECT2 2> /dev/null $IPT -A REJECT2 -m limit --limit 3/second --limit-burst 10 -j LOG --log-prefix 'FIREWALL REJECT UNKNOWN:'$IPT -A REJECT2 -j REJECT # Для тестирования фиксируем события ACCEPT $IPT -N ACCEPTl 2> /dev/null $IPT -A ACCEPTl -m limit --limit 10/second --limit-burst 50 -j LOG --log-prefix 'FIREWALL ACCEPT:'$IPT -A ACCEPTl -j ACCEPT # Сброс всех существующих и очистка персональных цепочек. #CHAINS=`cat /proc/net/ip_tables_names 2>/dev/null` for i in $CHAINS do $IPT -t $i -F done for i in $CHAINS do $IPT -t $i -X done #Разрешим все пакеты с loopback интерфейса, имеющие в качестве адреса #назначения один из адресов наших интерфейсов $IPT -A INPUT -i $LPDIF -s $LPDIP -j ACCEPT $IPT -A INPUT -i $LPDIF -s $EXTIP -j ACCEPT $IPT -A INPUT -i $LPDIF -s $INTIP1 -j ACCEPT $IPT -A INPUT -i $LPDIF -s $INTIP2 -j ACCEPT #Блокировка широковещательных пакетов $IPT -A INPUT -i $EXTIF -d $EXTBC -j DROPl $IPT -A INPUT -i $INTIF1 -d $INTBC1 -j DROPl $IPT -A INPUT -i $INTIF2 -d $INTBC2 -j DROPl $IPT -A OUTPUT -o $EXTIF -d $EXTBC -j DROPl $IPT -A OUTPUT -o $INTIF1 -d $INTBC1 -j DROPl $IPT -A OUTPUT -o $INTIF2 -d $INTBC2 -j DROPl $IPT -A FORWARD -o $EXTIF -d $EXTBC -j DROPl $IPT -A FORWARD -o $INTIF1 -d $INTBC1 -j DROPl $IPT -A FORWARD -o $INTIF2 -d $INTBC2 -j DROPl # Блокировать внешний доступ к локальной сети # Это позволит остановить боевых хакеров от использования # нашей сети как стартовой точки для других атак. # # Нижеприведенная строчка на человеческом языке будет выглядеть как # "если входящий пакет, пришедший на наш внешний интерфейс, # имеет адрес назначения, отличный от адреса нашего внешнего интерфейса, # то этот пакет не будет пропущен." $IPT -A INPUT -i $EXTIF -d ! $EXTIP -j DROPl --------- На всякий случай: дистрибутив "ALT Linux 2.4 Master" с ftp.altlinux.ru --------- С уважением, Kir forlin@yandex.ru ^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] iptables не реагирует ни на что 2005-03-20 6:41 ` Nick S. Grechukh 2005-03-20 18:10 ` Kir @ 2005-03-20 18:20 ` Pavel Usischev 1 sibling, 0 replies; 21+ messages in thread From: Pavel Usischev @ 2005-03-20 18:20 UTC (permalink / raw) To: community Nick S. Grechukh пишет: > управляете пакетным фильтром _встроенным в ядро_. а service iptables > stop/start запоминает где-то в /etc/ текущие настройки, и восстанавливает их, Поправочка: service iptables stop не запоминает, а просто сбрасывает. Чтобы "запомнилось", нужно использовать service iptables save. -- С уважением, Павел Усищев ^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] iptables не реагирует ни на что 2005-03-20 2:02 [Comm] iptables не реагирует ни на что Kir 2005-03-20 6:41 ` Nick S. Grechukh @ 2005-03-20 6:41 ` Andrey Rahmatullin 2005-03-20 7:00 ` Nick S. Grechukh 1 sibling, 1 reply; 21+ messages in thread From: Andrey Rahmatullin @ 2005-03-20 6:41 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 535 bytes --] On Sun, Mar 20, 2005 at 05:02:57AM +0300, Kir wrote: > [root@comp1 root]# service iptables start /etc/sysconfig/iptables меняли? > [root@comp1 root]# service iptables status Это вроде бы нормально. Т.к. iptables - он не в памяти висит, он конфигурацию ядерных цепочек меняет. > То есть пакет стоит, но на команды не реагирует :-((( А вы конфиг писать пробовали? -- WBR, wRAR (ALT Linux Team) Powered by the ALT Linux fortune(8): > Так скоро анфриз сизифа? Так вы не заметили? Уже неделю как. -- ldv in devel@ [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] iptables не реагирует ни на что 2005-03-20 6:41 ` Andrey Rahmatullin @ 2005-03-20 7:00 ` Nick S. Grechukh 2005-03-20 14:39 ` Andrey Rahmatullin 0 siblings, 1 reply; 21+ messages in thread From: Nick S. Grechukh @ 2005-03-20 7:00 UTC (permalink / raw) To: Andrey Rahmatullin, community [-- Attachment #1: Type: text/plain, Size: 464 bytes --] On Sunday 20 March 2005 08:41, Andrey Rahmatullin wrote: > On Sun, Mar 20, 2005 at 05:02:57AM +0300, Kir wrote: > > [root@comp1 root]# service iptables start > /etc/sysconfig/iptables меняли? не надо давать плохих советов для начинающего > А вы конфиг писать пробовали? да пусть по мануалам делает, во всех мануалах написано как с консоли рулить, а не конфиги править (тем более что все равно придется добавлять/убирать на ходу) а сервисом сохранять что наваял. [-- Attachment #2: Type: application/pgp-signature, Size: 190 bytes --] ^ permalink raw reply [flat|nested] 21+ messages in thread
* Re: [Comm] iptables не реагирует ни на что 2005-03-20 7:00 ` Nick S. Grechukh @ 2005-03-20 14:39 ` Andrey Rahmatullin 0 siblings, 0 replies; 21+ messages in thread From: Andrey Rahmatullin @ 2005-03-20 14:39 UTC (permalink / raw) To: community [-- Attachment #1: Type: text/plain, Size: 758 bytes --] On Sun, Mar 20, 2005 at 09:00:38AM +0200, Nick S. Grechukh wrote: > > /etc/sysconfig/iptables меняли? > не надо давать плохих советов для начинающего Я не давал советов. > > А вы конфиг писать пробовали? > да пусть по мануалам делает, во всех мануалах написано как с консоли рулить, а Вопрос был про сервис. > не конфиги править (тем более что все равно придется добавлять/убирать на > ходу) > а сервисом сохранять что наваял. Никто не спорит. -- WBR, wRAR (ALT Linux Team) Powered by the ALT Linux fortune(8): > Макрос в таком случае наверное не нужен. Макрос был бы нужен, если бы > он раскрывался в shell-код, который в конечном счете делает export > DISPLAY. Макрос всегда хорошо, он лучше заметен в спеке. -- aris in devel@ [-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 21+ messages in thread
end of thread, other threads:[~2005-03-24 18:08 UTC | newest] Thread overview: 21+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2005-03-20 2:02 [Comm] iptables не реагирует ни на что Kir 2005-03-20 6:41 ` Nick S. Grechukh 2005-03-20 18:10 ` Kir 2005-03-21 9:15 ` Nick S. Grechukh 2005-03-21 9:28 ` [Comm] " Michael Shigorin 2005-03-21 15:35 ` Александр 2005-03-21 16:20 ` Michael Shigorin 2005-03-21 22:25 ` Metalking 2005-03-22 6:54 ` Michael Shigorin 2005-03-22 17:26 ` Alexey Voinov 2005-03-22 21:07 ` Denis Smirnov 2005-03-22 18:34 ` Alexey Voinov 2005-03-24 15:22 ` Denis Smirnov 2005-03-24 17:20 ` Alexey Voinov 2005-03-24 18:08 ` [Comm] [FAQ] (patch-o-matic) " Michael Shigorin 2005-03-22 9:26 ` [Comm] " Kir 2005-03-24 14:00 ` [Comm] Ошибки при настройке iptables Kir 2005-03-20 18:20 ` [Comm] iptables не реагирует ни на что Pavel Usischev 2005-03-20 6:41 ` Andrey Rahmatullin 2005-03-20 7:00 ` Nick S. Grechukh 2005-03-20 14:39 ` Andrey Rahmatullin
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git