* Re: [Comm] ALTLinux Sohoserver, nastroiki dlya bank-klienta
@ 2006-10-19 8:34 ` Shcherbina N. Timur
2006-10-19 9:51 ` Andrii Dobrovol`s`kii
2006-10-19 10:09 ` Шенцев Алексей Владимирович
0 siblings, 2 replies; 3+ messages in thread
From: Shcherbina N. Timur @ 2006-10-19 8:34 UTC (permalink / raw)
To: community
>> Здравствуйте!
>> Купил дистрибутив ALT LINUX Sohoserver, установил все(не без проблем
>> конечно), но вот столкнулся с такой проблемой... В локалке на комп-ре
>> установлены банк-клиенты, который обращаются на определенный ip-ник,
через
>> определенный порт, так вот после того как поставил этот дистриб все
>> перестало работать, в iptables добавлял правила...
>> iptables -A FORWARD -p tcp -d 192.168.0.0/24 -s 195.5.134.240 --dport
>> 1024:65535 -j ACCEPT
На самом деле тут сделал ошибку вместо ип отправителя написал ип получателя
iptables -A FORWARD -p tcp -d 195.5.134.240 -s 192.168.0.0/24 --dport
1024:65535 -j ACCEPT
Но почему то работает, для возвращающихся пакетов что не нужно писать
правил, или просто у меня все открыто?
>> но не помогло, возможно Squid не пропускает? Не могу разобраться, может
>> поможет кто-нить? Заранее благодарю...
> Нужно еще NAT
> iptables -t nat -A POSTROUTING -p tcp -d 195.5.134.240 -s 192.168.0.0/24
> --dport 1024:65535 -j SNAT --to-source ваш_внешний_ip_адрес
^ permalink raw reply [flat|nested] 3+ messages in thread
* Re: [Comm] ALTLinux Sohoserver, nastroiki dlya bank-klienta
2006-10-19 8:34 ` [Comm] ALTLinux Sohoserver, nastroiki dlya bank-klienta Shcherbina N. Timur
@ 2006-10-19 9:51 ` Andrii Dobrovol`s`kii
2006-10-19 10:09 ` Шенцев Алексей Владимирович
1 sibling, 0 replies; 3+ messages in thread
From: Andrii Dobrovol`s`kii @ 2006-10-19 9:51 UTC (permalink / raw)
To: ALT Linux Community
[-- Attachment #1: Type: text/plain, Size: 1240 bytes --]
Shcherbina N. Timur пишет:
>>> Здравствуйте!
>>> Купил дистрибутив ALT LINUX Sohoserver, установил все(не без проблем
>>> конечно), но вот столкнулся с такой проблемой... В локалке на комп-ре
>>> установлены банк-клиенты, который обращаются на определенный ip-ник,
> через
>>> определенный порт, так вот после того как поставил этот дистриб все
>>> перестало работать, в iptables добавлял правила...
>>> iptables -A FORWARD -p tcp -d 192.168.0.0/24 -s 195.5.134.240 --dport
>>> 1024:65535 -j ACCEPT
>
> На самом деле тут сделал ошибку вместо ип отправителя написал ип получателя
>
> iptables -A FORWARD -p tcp -d 195.5.134.240 -s 192.168.0.0/24 --dport
> 1024:65535 -j ACCEPT
>
> Но почему то работает, для возвращающихся пакетов что не нужно писать
> правил, или просто у меня все открыто?
Тимур, телепаты разъехались... Может и открыто, а может и нет.
--
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua Kyiv, Ukraine
Phone: (380-44) 525-7824 Department of Gas Electronics
Fax: (380-44) 525-2329 Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 3+ messages in thread
* Re: [Comm] ALTLinux Sohoserver, nastroiki dlya bank-klienta
2006-10-19 8:34 ` [Comm] ALTLinux Sohoserver, nastroiki dlya bank-klienta Shcherbina N. Timur
2006-10-19 9:51 ` Andrii Dobrovol`s`kii
@ 2006-10-19 10:09 ` Шенцев Алексей Владимирович
1 sibling, 0 replies; 3+ messages in thread
From: Шенцев Алексей Владимирович @ 2006-10-19 10:09 UTC (permalink / raw)
To: ALT Linux Community
В сообщении от Четверг 19 октября 2006 12:34 Shcherbina N. Timur написал(a):
> На самом деле тут сделал ошибку вместо ип отправителя написал ип получателя
> iptables -A FORWARD -p tcp -d 195.5.134.240 -s 192.168.0.0/24 --dport
> 1024:65535 -j ACCEPT
> Но почему то работает, для возвращающихся пакетов что не нужно писать
> правил, или просто у меня все открыто?
Тимур, Андрей Добровольский прав, телепатобот умер и не родившись ... ;)
Покажи свой /etc/sysconfig/iptables
или вот тебе мой скрипт для настройки iptables, может что и полежного найдёшь
в нём:
[root@gw ~]# cat /work/myiptables
#!/bin/sh
# для удобства, ибо интерфейсов несколько
INET_IFACE="eth1"
LAN_IFACE="eth0"
INET_IP=""
LAN_IP=""
LAN=""
LAN_MASK=""
BANK_IP1=""
BANK_IP2=""
BANK_IP3=""
BANK_IP4=""
BANK_USER_IP1=""
BANK_USER_IP2=""
BANK_USER_IP3=""
BANK_USER_IP4=""
ADMIN_IP1=""
ADMIN_IP2=""
FREE_USER_IP1=""
FREE_USER_IP2=""
FREE_USER_IP3=""
FREE_USER_IP4=""
MAIL_PORTS="25,110"
DRWEB_CLIENT_IP=""
DRWEB_DB_IP1="209.160.33.73"
DRWEB_DB_IP2="81.176.67.170"
CBRATES_RBC="80.68.240.120"
# IP-адрес видеофона в ЛВС
VP_IP="192.168.2.201"
VP_PORTS="389,522,1300,1718:1720,1503,11720,1731,15329:15332,32700:32799"
# IP-адреса абонентов видеофона в инете
VP_ABONENT1=""
VP_ABONENT2=""
VP_ABONENT3=""
VP_ABONENT4=""
VP_ABONENT5=""
VP_ABONENT6=""
VP_ABONENT7=""
VP_ABONENT8=""
VP_ABONENT9=""
VP_ABONENT10=""
VP_ABONENT11=""
VP_ABONENT12=""
VP_ABONENT13=""
VP_ABONENT14=""
# тоже для удобства
IPTABLES="/sbin/iptables"
# включаем пересылку пакетов
#echo 1 > /proc/sys/net/ipv4/ip_forward
# Останавливаем iptables
service iptables stop
# стандартные действия
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP
# удаляем все имеющиеся правила
$IPTABLES -F
$IPTABLES -X
# создаем свои цепочки
# отбрасываем tcp с неправильными флагами
$IPTABLES -N bad_tcp_packets
# tcp, прошедшие основную проверку
$IPTABLES -N allowed
# все пакеты соотв. протоколов
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets
# безусловно разрешаем соединения по локальному интерфейсу (loopback,
127.0.0.1)
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
# безусловно разрешаем соединения по интерфейсу ЛВС (et0)
$IPTABLES -A INPUT -i $LAN_IFACE -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN_IFACE -j ACCEPT
#для подсчёта с помощью ulogd-acctd
$IPTABLES -A allowed -j ULOG --ulog-nlgroup 1 --ulog-qthreshold
50 --ulog-prefix allow
$IPTABLES -A rejected -m limit --limit 5/minute -j
LOG --log-prefix "REJECTED: "
$IPTABLES -A rejected -j ULOG --ulog-nlgroup 1 --ulog-qthreshold
50 --ulog-prefix drop
#/sbin/modprobe ip_conntrack_ftp
# сюда пойдут все tcp-пакеты, и будут отброшены имеющие статус NEW, но не
имеющие флагов SYN,ACK
# предохраняет от определенных типов атак, подробности в приложении B4 к
Iptables Tutorial
$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m
state --state NEW -j DROP
# принимаем все пакеты, относящиеся к уже установленным соединениям
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
# а все остальные из этой цепочки сбрасываем
$IPTABLES -A allowed -j DROP
# здесь открываем некоторые порты, т.к. по умолчанию мы закрыли всё
# СЛушаем DNS
$IPTABLES -A tcp_packets -p TCP -s 0/0 --sport 53 -j ACCEPT
# Domain Name Server
$IPTABLES -A udp_packets -p UDP -s 0/0 --sport 53 -j ACCEPT
# Domain Name Server
# Принимаем
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 20 -j ACCEPT
# File Transfer [Default Data]
#$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 20 -j ACCEPT
# File Transfer [Default Data]
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 21 -j ACCEPT
# File Transfer [Control]
#$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 21 -j ACCEPT
# File Transfer [Control]
$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 25 -j ACCEPT
# Simple Mail Transfer Protocol
$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 25 -j ACCEPT
# Simple Mail Transfer Protocol
$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 110 -j ACCEPT
# Post Office Protocol - Version 3
$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 110 -j ACCEPT
# Post Office Protocol - Version 3
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 995 -j ACCEPT
# pop3 protocol over TLS/SSL
#$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 995 -j ACCEPT
# pop3 protocol over TLS/SSL
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 143 -j ACCEPT
# IMAP2
#$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 143 -j ACCEPT
# IMAP2
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m udp --dport 220 -j ACCEPT
# IMAP3
#$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 220 -j ACCEPT
# IMAP3
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 993 -j ACCEPT
# IMAP4
#$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 993 -j ACCEPT
# IMAP4
$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 80 -j ACCEPT
# World Wide Web HTTP
$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 80 -j ACCEPT
# World Wide Web HTTP
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 443 -j ACCEPT
# http protocol over TLS/SS
#$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 443 -j ACCEPT
# http protocol over TLS/SS
$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 3389 -j ACCEPT
# RDP
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 5222 -j ACCEPT
# Jabber Client Connection
#$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 5222 -j ACCEPT
# Jabber Client Connection
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 5269 -j ACCEPT
# Jabber Server Connection
#$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 5269 -j ACCEPT
# Jabber Server Connection
$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m multiport --dport $VP_PORTS -j
ACCEPT # VideoPhone
$IPTABLES -A INPUT -i $INET_IFACE -p udp -m multiport --dport $VP_PORTS -j
ACCEPT # VideoPhone
# Принимаем форвардинг для установленных соединений
$IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
#Ну а теперь займёмся организацией выхода в инет определённых категорий юзеров
#Админу можно всё ... :)
$IPTABLES -t nat -A POSTROUTING -s $ADMIN_IP1 -d ! $LAN/$LAN_MASK -o
$INET_IFACE -j SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $ADMIN_IP1 -d ! $LAN/$LAN_MASK -j ACCEPT
#$IPTABLES -t nat -A POSTROUTING -s $ADMIN_IP2 -d ! $LAN/$LAN_MASK -o
$INET_IFACE -j SNAT --to-source $INET_IP
#$IPTABLES -A FORWARD -s $ADMIN_IP2 -d ! $LAN/$LAN_MASK -j ACCEPT
# Принимаем установленное соеденения на $INET_IFACE
$IPTABLES -A INPUT -i $INET_IFACE -m state --state RELATED,ESTABLISHED -j
ACCEPT
#А это выход DrWeb с 1C_Srv для обновления баз
$IPTABLES -t nat -A POSTROUTING -s $DRWEB_CLIENT_IP -d $DRWEB_DB_IP1 -o
$INET_IFACE -j SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $DRWEB_CLIENT_IP -d $DRWEB_DB_IP1 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $DRWEB_CLIENT_IP -d $DRWEB_DB_IP2 -o
$INET_IFACE -j SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $DRWEB_CLIENT_IP -d $DRWEB_DB_IP2 -j ACCEPT
#А это выход для 1С:УПП80 на сайт курсов валют cbrates.rbc.ru с 1C_Srv для
обновления баз
$IPTABLES -t nat -A POSTROUTING -s $DRWEB_CLIENT_IP -d $CBRATES_RBC -o
$INET_IFACE -j SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $DRWEB_CLIENT_IP -d $CBRATES_RBC -j ACCEPT
#Форвардинг для блатных, когда админ добрый ... ;)
$IPTABLES -t nat -A POSTROUTING -s $FREE_USER_IP1 -d ! $LAN/$LAN_MASK -o
$INET_IFACE -j SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $FREE_USER_IP1 -d ! $LAN/$LAN_MASK -j ACCEPT
#$IPTABLES -t nat -A POSTROUTING -s $FREE_USER_IP2 -d ! $LAN/$LAN_MASK -o
$INET_IFACE -j SNAT --to-source $INET_IP
#$IPTABLES -A FORWARD -s $FREE_USER_IP2 -d ! $LAN/$LAN_MASK -j ACCEPT
#$IPTABLES -t nat -A POSTROUTING -s $FREE_USER_IP3 -d ! $LAN/$LAN_MASK -o
$INET_IFACE -j SNAT --to-source $INET_IP
#$IPTABLES -A FORWARD -s $FREE_USER_IP3 -d ! $LAN/$LAN_MASK -j ACCEPT
#$IPTABLES -t nat -A POSTROUTING -s $FREE_USER_IP4 -d ! $LAN/$LAN_MASK -o
$INET_IFACE -j SNAT --to-source $INET_IP
#$IPTABLES -A FORWARD -s $FREE_USER_IP4 -d ! $LAN/$LAN_MASK -j ACCEPT
# NAT для программ типа банк-клиент, не желающих работать через прокси-сервер.
# Для этих прошрамм нужно у клиента отключить прокси-сервер для ftp.
$IPTABLES -t nat -A POSTROUTING -s $BANK_USER_IP1 -d $BANK_IP1 -o
$INET_IFACE -j SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $BANK_USER_IP1 -d $BANK_IP1 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $BANK_USER_IP1 -d $BANK_IP2 -o
$INET_IFACE -j SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $BANK_USER_IP1 -d $BANK_IP2 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $BANK_USER_IP1 -d $BANK_IP3 -o
$INET_IFACE -j SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $BANK_USER_IP1 -d $BANK_IP3 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $BANK_USER_IP1 -d $BANK_IP4 -o
$INET_IFACE -j SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $BANK_USER_IP1 -d $BANK_IP4 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $BANK_USER_IP2 -d $BANK_IP1 -o
$INET_IFACE -j SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $BANK_USER_IP2 -d $BANK_IP1 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $BANK_USER_IP2 -d $BANK_IP2 -o
$INET_IFACE -j SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $BANK_USER_IP2 -d $BANK_IP2 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $BANK_USER_IP2 -d $BANK_IP3 -o
$INET_IFACE -j SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $BANK_USER_IP2 -d $BANK_IP3 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $BANK_USER_IP2 -d $BANK_IP4 -o
$INET_IFACE -j SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $BANK_USER_IP2 -d $BANK_IP4 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $BANK_USER_IP3 -d $BANK_IP1 -o
$INET_IFACE -j SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $BANK_USER_IP3 -d $BANK_IP1 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $BANK_USER_IP3 -d $BANK_IP2 -o
$INET_IFACE -j SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $BANK_USER_IP3 -d $BANK_IP2 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $BANK_USER_IP3 -d $BANK_IP3 -o
$INET_IFACE -j SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $BANK_USER_IP3 -d $BANK_IP3 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $BANK_USER_IP3 -d $BANK_IP4 -o
$INET_IFACE -j SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $BANK_USER_IP3 -d $BANK_IP4 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $BANK_USER_IP4 -d $BANK_IP1 -o
$INET_IFACE -j SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $BANK_USER_IP4 -d $BANK_IP1 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $BANK_USER_IP4 -d $BANK_IP2 -o
$INET_IFACE -j SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $BANK_USER_IP4 -d $BANK_IP2 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $BANK_USER_IP4 -d $BANK_IP3 -o
$INET_IFACE -j SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $BANK_USER_IP4 -d $BANK_IP3 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $BANK_USER_IP4 -d $BANK_IP4 -o
$INET_IFACE -j SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $BANK_USER_IP4 -d $BANK_IP4 -j ACCEPT
# Выход в инет для ip-видеофона
$IPTABLES -t nat -A POSTROUTING -s $VP_IP -d $VP_ABONENT1 -o $INET_IFACE -j
SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $VP_IP -d $VP_ABONENT1 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $VP_IP -d $VP_ABONENT2 -o $INET_IFACE -j
SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $VP_IP -d $VP_ABONENT2 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $VP_IP -d $VP_ABONENT3 -o $INET_IFACE -j
SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $VP_IP -d $VP_ABONENT3 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $VP_IP -d $VP_ABONENT4 -o $INET_IFACE -j
SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $VP_IP -d $VP_ABONENT4 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $VP_IP -d $VP_ABONENT5 -o $INET_IFACE -j
SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $VP_IP -d $VP_ABONENT5 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $VP_IP -d $VP_ABONENT6 -o $INET_IFACE -j
SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $VP_IP -d $VP_ABONENT6 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $VP_IP -d $VP_ABONENT7 -o $INET_IFACE -j
SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $VP_IP -d $VP_ABONENT7 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $VP_IP -d $VP_ABONENT8 -o $INET_IFACE -j
SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $VP_IP -d $VP_ABONENT8 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $VP_IP -d $VP_ABONENT9 -o $INET_IFACE -j
SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $VP_IP -d $VP_ABONENT9 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $VP_IP -d $VP_ABONENT10 -o $INET_IFACE -j
SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $VP_IP -d $VP_ABONENT10 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $VP_IP -d $VP_ABONENT11 -o $INET_IFACE -j
SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $VP_IP -d $VP_ABONENT11 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $VP_IP -d $VP_ABONENT12 -o $INET_IFACE -j
SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $VP_IP -d $VP_ABONENT12 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $VP_IP -d $VP_ABONENT13 -o $INET_IFACE -j
SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $VP_IP -d $VP_ABONENT14 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -s $VP_IP -d $VP_ABONENT14 -o $INET_IFACE -j
SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $VP_IP -d $VP_ABONENT14 -j ACCEPT
# Вход к нам
$IPTABLES -t nat -A PREROUTING -s $VP_ABONENT1 -i $INET_IFACE -p tcp -m
multiport --dport $VP_PORTS -j DNAT --to-destination $VP_IP
$IPTABLES -t nat -A PREROUTING -s $VP_ABONENT1 -i $INET_IFACE -p udp -m
multiport --dport $VP_PORTS -j DNAT --to-destination $VP_IP
$IPTABLES -A FORWARD -s $VP_ABONENT1 -i $INET_IFACE -p tcp -m
multiport --dport $VP_PORTS -d $VP_IP -j ACCEPT
$IPTABLES -A FORWARD -s $VP_ABONENT1 -i $INET_IFACE -p udp -m
multiport --dport $VP_PORTS -d $VP_IP -j ACCEPT
$IPTABLES -t nat -A PREROUTING -s $VP_ABONENT2 -i $INET_IFACE -p tcp -m
multiport --dport $VP_PORTS -j DNAT --to-destination $VP_IP
$IPTABLES -t nat -A PREROUTING -s $VP_ABONENT2 -i $INET_IFACE -p udp -m
multiport --dport $VP_PORTS -j DNAT --to-destination $VP_IP
$IPTABLES -A FORWARD -s $VP_ABONENT2 -i $INET_IFACE -p tcp -m
multiport --dport $VP_PORTS -d $VP_IP -j ACCEPT
$IPTABLES -A FORWARD -s $VP_ABONENT2 -i $INET_IFACE -p udp -m
multiport --dport $VP_PORTS -d $VP_IP -j ACCEPT
$IPTABLES -t nat -A PREROUTING -s $VP_ABONENT3 -i $INET_IFACE -p tcp -m
multiport --dport $VP_PORTS -j DNAT --to-destination $VP_IP
$IPTABLES -t nat -A PREROUTING -s $VP_ABONENT3 -i $INET_IFACE -p udp -m
multiport --dport $VP_PORTS -j DNAT --to-destination $VP_IP
$IPTABLES -A FORWARD -s $VP_ABONENT3 -i $INET_IFACE -p tcp -m
multiport --dport $VP_PORTS -d $VP_IP -j ACCEPT
$IPTABLES -A FORWARD -s $VP_ABONENT3 -i $INET_IFACE -p udp -m
multiport --dport $VP_PORTS -d $VP_IP -j ACCEPT
$IPTABLES -t nat -A PREROUTING -s $VP_ABONENT4 -i $INET_IFACE -p tcp -m
multiport --dport $VP_PORTS -j DNAT --to-destination $VP_IP
$IPTABLES -t nat -A PREROUTING -s $VP_ABONENT4 -i $INET_IFACE -p udp -m
multiport --dport $VP_PORTS -j DNAT --to-destination $VP_IP
$IPTABLES -A FORWARD -s $VP_ABONENT4 -i $INET_IFACE -p tcp -m
multiport --dport $VP_PORTS -d $VP_IP -j ACCEPT
$IPTABLES -A FORWARD -s $VP_ABONENT4 -i $INET_IFACE -p udp -m
multiport --dport $VP_PORTS -d $VP_IP -j ACCEPT
$IPTABLES -t nat -A PREROUTING -s $VP_ABONENT5 -i $INET_IFACE -p tcp -m
multiport --dport $VP_PORTS -j DNAT --to-destination $VP_IP
$IPTABLES -t nat -A PREROUTING -s $VP_ABONENT5 -i $INET_IFACE -p udp -m
multiport --dport $VP_PORTS -j DNAT --to-destination $VP_IP
$IPTABLES -A FORWARD -s $VP_ABONENT5 -i $INET_IFACE -p tcp -m
multiport --dport $VP_PORTS -d $VP_IP -j ACCEPT
$IPTABLES -A FORWARD -s $VP_ABONENT5 -i $INET_IFACE -p udp -m
multiport --dport $VP_PORTS -d $VP_IP -j ACCEPT
$IPTABLES -t nat -A PREROUTING -s $VP_ABONENT6 -i $INET_IFACE -p tcp -m
multiport --dport $VP_PORTS -j DNAT --to-destination $VP_IP
$IPTABLES -t nat -A PREROUTING -s $VP_ABONENT6 -i $INET_IFACE -p udp -m
multiport --dport $VP_PORTS -j DNAT --to-destination $VP_IP
$IPTABLES -A FORWARD -s $VP_ABONENT6 -i $INET_IFACE -p tcp -m
multiport --dport $VP_PORTS -d $VP_IP -j ACCEPT
$IPTABLES -A FORWARD -s $VP_ABONENT6 -i $INET_IFACE -p udp -m
multiport --dport $VP_PORTS -d $VP_IP -j ACCEPT
$IPTABLES -t nat -A PREROUTING -s $VP_ABONENT7 -i $INET_IFACE -p tcp -m
multiport --dport $VP_PORTS -j DNAT --to-destination $VP_IP
$IPTABLES -t nat -A PREROUTING -s $VP_ABONENT7 -i $INET_IFACE -p udp -m
multiport --dport $VP_PORTS -j DNAT --to-destination $VP_IP
$IPTABLES -A FORWARD -s $VP_ABONENT7 -i $INET_IFACE -p tcp -m
multiport --dport $VP_PORTS -d $VP_IP -j ACCEPT
$IPTABLES -A FORWARD -s $VP_ABONENT7 -i $INET_IFACE -p udp -m
multiport --dport $VP_PORTS -d $VP_IP -j ACCEPT
$IPTABLES -t nat -A PREROUTING -s $VP_ABONENT8 -i $INET_IFACE -p tcp -m
multiport --dport $VP_PORTS -j DNAT --to-destination $VP_IP
$IPTABLES -t nat -A PREROUTING -s $VP_ABONENT8 -i $INET_IFACE -p udp -m
multiport --dport $VP_PORTS -j DNAT --to-destination $VP_IP
$IPTABLES -A FORWARD -s $VP_ABONENT8 -i $INET_IFACE -p tcp -m
multiport --dport $VP_PORTS -d $VP_IP -j ACCEPT
$IPTABLES -A FORWARD -s $VP_ABONENT8 -i $INET_IFACE -p udp -m
multiport --dport $VP_PORTS -d $VP_IP -j ACCEPT
$IPTABLES -t nat -A PREROUTING -s $VP_ABONENT9 -i $INET_IFACE -p tcp -m
multiport --dport $VP_PORTS -j DNAT --to-destination $VP_IP
$IPTABLES -t nat -A PREROUTING -s $VP_ABONENT9 -i $INET_IFACE -p udp -m
multiport --dport $VP_PORTS -j DNAT --to-destination $VP_IP
$IPTABLES -A FORWARD -s $VP_ABONENT9 -i $INET_IFACE -p tcp -m
multiport --dport $VP_PORTS -d $VP_IP -j ACCEPT
$IPTABLES -A FORWARD -s $VP_ABONENT9 -i $INET_IFACE -p udp -m
multiport --dport $VP_PORTS -d $VP_IP -j ACCEPT
$IPTABLES -t nat -A PREROUTING -s $VP_ABONENT10 -i $INET_IFACE -p tcp -m
multiport --dport $VP_PORTS -j DNAT --to-destination $VP_IP
$IPTABLES -t nat -A PREROUTING -s $VP_ABONENT10 -i $INET_IFACE -p udp -m
multiport --dport $VP_PORTS -j DNAT --to-destination $VP_IP
$IPTABLES -A FORWARD -s $VP_ABONENT10 -i $INET_IFACE -p tcp -m
multiport --dport $VP_PORTS -d $VP_IP -j ACCEPT
$IPTABLES -A FORWARD -s $VP_ABONENT10 -i $INET_IFACE -p udp -m
multiport --dport $VP_PORTS -d $VP_IP -j ACCEPT
$IPTABLES -t nat -A PREROUTING -s $VP_ABONENT11 -i $INET_IFACE -p tcp -m
multiport --dport $VP_PORTS -j DNAT --to-destination $VP_IP
$IPTABLES -t nat -A PREROUTING -s $VP_ABONENT11 -i $INET_IFACE -p udp -m
multiport --dport $VP_PORTS -j DNAT --to-destination $VP_IP
$IPTABLES -A FORWARD -s $VP_ABONENT11 -i $INET_IFACE -p tcp -m
multiport --dport $VP_PORTS -d $VP_IP -j ACCEPT
$IPTABLES -A FORWARD -s $VP_ABONENT11 -i $INET_IFACE -p udp -m
multiport --dport $VP_PORTS -d $VP_IP -j ACCEPT
$IPTABLES -t nat -A PREROUTING -s $VP_ABONENT12 -i $INET_IFACE -p tcp -m
multiport --dport $VP_PORTS -j DNAT --to-destination $VP_IP
$IPTABLES -t nat -A PREROUTING -s $VP_ABONENT12 -i $INET_IFACE -p udp -m
multiport --dport $VP_PORTS -j DNAT --to-destination $VP_IP
$IPTABLES -A FORWARD -s $VP_ABONENT12 -i $INET_IFACE -p tcp -m
multiport --dport $VP_PORTS -d $VP_IP -j ACCEPT
$IPTABLES -A FORWARD -s $VP_ABONENT12 -i $INET_IFACE -p udp -m
multiport --dport $VP_PORTS -d $VP_IP -j ACCEPT
$IPTABLES -t nat -A PREROUTING -s $VP_ABONENT13 -i $INET_IFACE -p tcp -m
multiport --dport $VP_PORTS -j DNAT --to-destination $VP_IP
$IPTABLES -t nat -A PREROUTING -s $VP_ABONENT13 -i $INET_IFACE -p udp -m
multiport --dport $VP_PORTS -j DNAT --to-destination $VP_IP
$IPTABLES -A FORWARD -s $VP_ABONENT13 -i $INET_IFACE -p tcp -m
multiport --dport $VP_PORTS -d $VP_IP -j ACCEPT
$IPTABLES -A FORWARD -s $VP_ABONENT13 -i $INET_IFACE -p udp -m
multiport --dport $VP_PORTS -d $VP_IP -j ACCEPT
$IPTABLES -t nat -A PREROUTING -s $VP_ABONENT14 -i $INET_IFACE -p tcp -m
multiport --dport $VP_PORTS -j DNAT --to-destination $VP_IP
$IPTABLES -t nat -A PREROUTING -s $VP_ABONENT14 -i $INET_IFACE -p udp -m
multiport --dport $VP_PORTS -j DNAT --to-destination $VP_IP
$IPTABLES -A FORWARD -s $VP_ABONENT14 -i $INET_IFACE -p tcp -m
multiport --dport $VP_PORTS -d $VP_IP -j ACCEPT
$IPTABLES -A FORWARD -s $VP_ABONENT14 -i $INET_IFACE -p udp -m
multiport --dport $VP_PORTS -d $VP_IP -j ACCEPT
# Пишем лог для входящих соеденений на $INET_IFACE
$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j
LOG --log-level 7 --log-tcp-option
# Пишем лог для исходящих соеденений на $INET_IFACE
$IPTABLES -A OUTPUT -o $INET_IFACE -p tcp -m tcp --tcp-flags FIN,SYN,ACK
SYN -j LOG --log-level 7 --log-tcp-option
# настал черед ICMP ...
# из-за системы видеоконфиренции, использующую icmp, придётся его разрешить,
# но ограничем 5-ю пакетами в секунду и максимальным размером в 110 байт
$IPTABLES -A INPUT -p icmp -i $INET_IFACE -m limit -m length --limit
5/second --limit-burst 10 --length :110 -j ACCEPT
# по поводу отправки будет менее жадны - 10 пакетов в секунду
$IPTABLES -A OUTPUT -p icmp -o $INET_IFACE -m limit -m length --limit
10/second --limit-burst 20 --length :110 -j ACCEPT
# разводим пакеты по соотв. цепочкам
# tcp уходит на доп. проверку
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets
# все пакеты, относящиеся к уже установленным соединениям (для tcp
# из-за отдельной цепочки пришлось это правило еще раз указать выше)
$IPTABLES -A INPUT -p ALL -i $INET_IFACE -m state --state
ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
# Сохраняем набор правил в /etc/sysconfig/iptables
service iptables save
# EOF
--
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845
^ permalink raw reply [flat|nested] 3+ messages in thread
end of thread, other threads:[~2006-10-19 10:09 UTC | newest]
Thread overview: 3+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2006-10-19 8:34 ` [Comm] ALTLinux Sohoserver, nastroiki dlya bank-klienta Shcherbina N. Timur
2006-10-19 9:51 ` Andrii Dobrovol`s`kii
2006-10-19 10:09 ` Шенцев Алексей Владимирович
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git