[Comm] Две сетевые и iptables

[Comm] Две сетевые и iptables

[Yadykin Alexander]

Здавствуйте всем!
Есть комп с двумя сетевыми картами, разными, TLAN и 3Com.
Нужно, чтобы через одну карту был вход, а через другую нет.
В правила по умолчанию для iptables в секцию filter внесены изменения:
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i eth0 -j ACCEPT

Почему-то, для этих правил вход открыт по обоим картам, а если меняю в 
последней строчке eth0 на eth1, вход закрывается опять же по обоим картам. 
Если верить документации по IPTABLES, такого быть не должно. Или может я чего 
не знаю?

-- 
Best regards, Alexander Yadikin
mailto: yadal@mail.ru

Re: [Comm] Две сетевые и iptables

[Yadykin Alexander]

Забыл дописать:
система - АЛМ2.4

-- 
Best regards, Alexander Yadikin
mailto: yadal@mail.ru

Re: [Comm] Две сетевые и iptables

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 1035 bytes --]

Yadykin Alexander пишет:
> Здавствуйте всем!
> Есть комп с двумя сетевыми картами, разными, TLAN и 3Com.
> Нужно, чтобы через одну карту был вход, а через другую нет.
> В правила по умолчанию для iptables в секцию filter внесены изменения:
> :INPUT DROP [0:0]
> :FORWARD DROP [0:0]
> :OUTPUT ACCEPT [0:0]
> -A INPUT -i eth0 -j ACCEPT
> 
> Почему-то, для этих правил вход открыт по обоим картам, а если меняю в 
> последней строчке eth0 на eth1, вход закрывается опять же по обоим картам. 
> Если верить документации по IPTABLES, такого быть не должно. Или может я чего 
> не знаю?
> 
Вы считаете, что все тут телепаты, и знают, что у Вас eth0 и что eth1?
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Две сетевые и iptables

[Yadykin Alexander]

В сообщении от Thursday 27 September 2007 12:23:52 Andrii Dobrovol`s`kii 
написал(а):

>
> Вы считаете, что все тут телепаты, и знают, что у Вас eth0 и что eth1?

Не думал, что для iptables есть существенная разница, что eth0 - TLAN, а 
eth1 - 3Com, а не наоборот.

-- 
Best regards, Alexander Yadikin
mailto: yadal@mail.ru

Re: [Comm] Две сетевые и iptables

[Mikhail A. Pokidko]

27.09.07, Yadykin Alexander написал(а):
> В сообщении от Thursday 27 September 2007 12:23:52 Andrii Dobrovol`s`kii
> написал(а):
>
> >
> > Вы считаете, что все тут телепаты, и знают, что у Вас eth0 и что eth1?
>
> Не думал, что для iptables есть существенная разница, что eth0 - TLAN, а
> eth1 - 3Com, а не наоборот.
Для iptables действительно нет разницы

Покажите ip a, что ли)



-- 

ALTLinux Team
xmpp: solar AT solar.net.ru

Re: [Comm] Две сетевые и iptables

[Yadykin Alexander]

В сообщении от Thursday 27 September 2007 15:08:09 Mikhail A. Pokidko 
написал(а):

> Покажите ip a, что ли)
Немного не понял, что от меня требуется.
Собран сервер ntpd - забирать время из одной физической сети и раздавать в 
другой сети(в перспективе нескольких сети). Все сети имеют свой диапазон 
адресов, физической связи между ними, кроме этого сервера, нет. Цель всех 
экзерсисов - защитить по крайней мере внешнюю сеть (откуда забирается время) 
от проникновения пакетов из других сетей.
Пока сервер обоими картами смотрит в одну сеть (разница IP - 1 цифра), на 
тестировании на предмет стабильности работы (требование начальства).


-- 
Best regards, Alexander Yadikin
mailto: yadal@mail.ru

Re: [Comm] Две сетевые и iptables

[Mikhail A. Pokidko]

27.09.07, Yadykin Alexander написал(а):
> В сообщении от Thursday 27 September 2007 15:08:09 Mikhail A. Pokidko
> написал(а):
>
> > Покажите ip a, что ли)
> Немного не понял, что от меня требуется.
> Собран сервер ntpd - забирать время из одной физической сети и раздавать в
> другой сети(в перспективе нескольких сети). Все сети имеют свой диапазон
> адресов, физической связи между ними, кроме этого сервера, нет. Цель всех
> экзерсисов - защитить по крайней мере внешнюю сеть (откуда забирается время)
> от проникновения пакетов из других сетей.
> Пока сервер обоими картами смотрит в одну сеть (разница IP - 1 цифра), на
> тестировании на предмет стабильности работы (требование начальства).

Если я правильно понял, то вопрос, скорее всего, в роутинге -
подозреваю, что все идёт через eth0.

покажите как организован роутинг (ip ro или route print)

-- 

ALTLinux Team
xmpp: solar AT solar.net.ru

Re: [Comm] Две сетевые и iptables

[Maxim Bodyansky]

В сообщении от Четверг 27 сентября 2007 Yadykin Alexander 
написал(a):
> В сообщении от Thursday 27 September 2007 15:08:09
> Mikhail A. Pokidko
> Немного не понял, что от меня требуется.
> Собран сервер ntpd - забирать время из одной физической
> сети и раздавать в другой сети(в перспективе нескольких
> сети). Все сети имеют свой диапазон адресов, физической
> связи между ними, кроме этого сервера, нет. Цель всех
> экзерсисов - защитить по крайней мере внешнюю сеть
> (откуда забирается время) от проникновения пакетов из
> других сетей.

Ваш сервер работает в режиме роутера?

Проверить можно так (1 -- да, 0 -- нет):
# cat /proc/sys/net/ipv4/ip_forward

Если 0, то сети друг от друга уже изолированы. Или у вас 
иная задача?

-- 
WBR,
Maxim Bodyansky

Re: [Comm] Две сетевые и iptables

[Yadykin Alexander]

В сообщении от Thursday 27 September 2007 15:48:57 Mikhail A. Pokidko 
написал(а):

> Если я правильно понял, то вопрос, скорее всего, в роутинге -
> подозреваю, что все идёт через eth0.
>
> покажите как организован роутинг (ip ro или route print)
Нет, не роутинг. Самостоятельный тайм-сервер. Синхронизация по времени из 
одной сети и раздача времени уже этим сервером по другим сетям (обращение за 
временем к нему, а не к внешнему тайм-серверу).



-- 
Best regards, Alexander Yadikin
mailto: yadal@mail.ru

Re: [Comm] Две сетевые и iptables

[Mikhail A. Pokidko]

27.09.07, Yadykin Alexander написал(а):
> В сообщении от Thursday 27 September 2007 15:48:57 Mikhail A. Pokidko
> написал(а):
>
> > Если я правильно понял, то вопрос, скорее всего, в роутинге -
> > подозреваю, что все идёт через eth0.
> >
> > покажите как организован роутинг (ip ro или route print)
> Нет, не роутинг. Самостоятельный тайм-сервер. Синхронизация по времени из
> одной сети и раздача времени уже этим сервером по другим сетям (обращение за
> временем к нему, а не к внешнему тайм-серверу).

Уверяю, ntpd на правила iptables и проходимость пакетов никак не влияет

-- 

ALTLinux Team
xmpp: solar AT solar.net.ru

Re: [Comm] Две сетевые и iptables

[Yadykin Alexander]

В сообщении от Thursday 27 September 2007 16:15:06 Mikhail A. Pokidko 
написал(а):

> Уверяю, ntpd на правила iptables и проходимость пакетов никак не влияет

Это я прекрасно понимаю. Но для внедрения в промышленную сферу требуется 
представить обоснования по части безопасности с пояснениями, начальство, 
конечно, ничего не поймет, но специально для контроля присылают человека, как 
выяснилось, "джентушника", и ограничивающие правила надо вписать :( , иначе 
не видеть альту внедрения в производство (и так с большим боем пробиваю).
А тут iptables не хочет правила применять раздельно по интерфейсам ... :(

-- 
Best regards, Alexander Yadikin
mailto: yadal@mail.ru

Re: [Comm] Две сетевые и iptables

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 1348 bytes --]

Yadykin Alexander пишет:
> В сообщении от Thursday 27 September 2007 16:15:06 Mikhail A. Pokidko 
> написал(а):
> 
>> Уверяю, ntpd на правила iptables и проходимость пакетов никак не влияет
> 
> Это я прекрасно понимаю. Но для внедрения в промышленную сферу требуется 
> представить обоснования по части безопасности с пояснениями, начальство, 
> конечно, ничего не поймет, но специально для контроля присылают человека, как 
> выяснилось, "джентушника", и ограничивающие правила надо вписать :( , иначе 
> не видеть альту внедрения в производство (и так с большим боем пробиваю).
> А тут iptables не хочет правила применять раздельно по интерфейсам ... :(
> 
Александ, не iptables не хочет применять правила по интерфейсам, а
Вы не можете его настроить. Это очень разные вещи. Если Ваш
контролёр правда вменяемый "джентушник", он и сам понимает, что
iptables он и в Африке тот же самый. Если невменяемый, только зря
время тратите. Всегда есть до чего доколупаться.
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Две сетевые и iptables

[Maxim Bodyansky]

В сообщении от Четверг 27 сентября 2007 Yadykin Alexander 
написал(a):
> Это я прекрасно понимаю. Но для внедрения в промышленную
> сферу требуется представить обоснования по части
> безопасности с пояснениями, начальство, конечно, ничего
> не поймет, но специально для контроля присылают человека,
> как выяснилось, "джентушника", и ограничивающие правила
> надо вписать :( , иначе не видеть альту внедрения в
> производство (и так с большим боем пробиваю). А тут
> iptables не хочет правила применять раздельно по
> интерфейсам ... :(

Можете показать начальству policy DROP на FORWARD -- оно 
тоже правило, только глобальное.

P.S. IMHO, такое "начальство" не заслуживает ни ALTа, ни 
ваших трудов. Как показала практика -- дальше будет хуже.

-- 
WBR,
Maxim Bodyansky

Re: [Comm] Две сетевые и iptables

[Alex]

Вы его очень криво подключили, iptables тут не причем.
Если честно, влом объяснять. Сделайте на стенде на разных ифейсах РАЗНЫЕ подсети, и
тестируйте. Все заработает.

On Thu, 27 Sep 2007 16:25:26 +0400
Yadykin Alexander wrote:

> В сообщении от Thursday 27 September 2007 16:15:06 Mikhail A. Pokidko 
> написал(а):
> 
> > Уверяю, ntpd на правила iptables и проходимость пакетов никак не влияет
> 
> Это я прекрасно понимаю. Но для внедрения в промышленную сферу требуется 
> представить обоснования по части безопасности с пояснениями, начальство, 
> конечно, ничего не поймет, но специально для контроля присылают человека, как 
> выяснилось, "джентушника", и ограничивающие правила надо вписать :( , иначе 
> не видеть альту внедрения в производство (и так с большим боем пробиваю).
> А тут iptables не хочет правила применять раздельно по интерфейсам ... :(
> 
> -- 
> Best regards, Alexander Yadikin
> mailto: yadal@mail.ru
> _______________________________________________
> community mailing list
> community@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/community

Re: [Comm] Две сетевые и iptables

[Yadykin Alexander]

В сообщении от Thursday 27 September 2007 16:37:18 Maxim Bodyansky написал(а):

> Можете показать начальству policy DROP на FORWARD -- оно
> тоже правило, только глобальное.
>
Решение нашлось. В цепочках INPUT вместо параметра -i [имя интерфейса] 
использовать -d [IP интерфейса] - отличненько работает.

> P.S. IMHO, такое "начальство" не заслуживает ни ALTа, ни
> ваших трудов. Как показала практика -- дальше будет хуже.
Какое бы начальство ни было, делать надо.
Во-первых: это надо мне, ибо на шести "форточных" машинах, контролирующих 
технологические процессы, и за работу которых я отвечаю, разное время - это 
крайне неудобно.
Во-вторых: при удачном исходе будет внедрение по всей конторе - а это под 50 
филиалов, с меня сразу потребовали "возможность повторения".
В-третьих: надо вбивать в головы, что не WINDOWS'сом единым живет компьютер :)


-- 
Best regards, Alexander Yadikin
mailto: yadal@mail.ru

Re: [Comm] Две сетевые и iptables

[Yadykin Alexander]

В сообщении от Thursday 27 September 2007 16:48:36 Alex написал(а):
> Вы его очень криво подключили, iptables тут не причем.
> Если честно, влом объяснять. Сделайте на стенде на разных ифейсах РАЗНЫЕ
> подсети, и тестируйте. Все заработает.
>
Если честно, то когда влом объяснять, лучше совсем не писать. Нигде в доках я 
не встречал, что сетевые интерфейсы не могут находиться в одной подсети.


-- 
Best regards, Alexander Yadikin
mailto: yadal@mail.ru

Re: [Comm] Две сетевые и iptables

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 905 bytes --]

Yadykin Alexander пишет:
> В сообщении от Thursday 27 September 2007 16:48:36 Alex написал(а):
>> Вы его очень криво подключили, iptables тут не причем.
>> Если честно, влом объяснять. Сделайте на стенде на разных ифейсах РАЗНЫЕ
>> подсети, и тестируйте. Все заработает.
>>
> Если честно, то когда влом объяснять, лучше совсем не писать. Нигде в доках я 
> не встречал, что сетевые интерфейсы не могут находиться в одной подсети.
> 
> 
Такого ограничения и нет. Просто настройка в этом случае становится
не столь тривиальной. :)
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Две сетевые и iptables

[Vyatcheslav Perevalov]

В сообщении от 27 сентября 2007 Yadykin Alexander написал(a):
> (и так с большим боем пробиваю).

Как я Вас понимаю...

-- 
Всего хорошего
		/vip

Re: [Comm] Две сетевые и iptables

[Sergey]

On Friday 28 September 2007, Yadykin Alexander wrote:

> Во-вторых: при удачном исходе будет внедрение по всей конторе - а это под 50 
> филиалов, с меня сразу потребовали "возможность повторения".

Кстати, может не Master 2.4, а Server 4.0 использовать ? Это в плане перспектив
поддержки дистрибутива...

-- 
С уважением, Сергей
a_s_y@sama.ru

Re: [Comm] Две сетевые и iptables

[Sergey]

On Friday 28 September 2007, Yadykin Alexander wrote:

> > Вы его очень криво подключили, iptables тут не причем.
> > Если честно, влом объяснять. Сделайте на стенде на разных ифейсах РАЗНЫЕ
> > подсети, и тестируйте. Все заработает.
> >
> Если честно, то когда влом объяснять, лучше совсем не писать. Нигде в доках я 
> не встречал, что сетевые интерфейсы не могут находиться в одной подсети.

ТАк а они в одной подсети ? А смысл ? И, вообще, как оно организовано ?
К примеру, как компьютер должен узнать, через какой интерфейс работать ?
А если сегмент ethernet один, то каков смысл в двух интерфейсах ?

-- 
С уважением, Сергей
a_s_y@sama.ru

Re: [Comm] Две сетевые и iptables

[Хихин Руслан]

[-- Attachment #1: Type: text/plain, Size: 829 bytes --]

Здравствуйте Sergey
  В сообщении от Вторник 09 октября 2007 Sergey написал(a):
 >  Если честно, то когда влом объяснять, лучше совсем не писать. Нигде
 > в доках я
 >
 > > не встречал, что сетевые интерфейсы не могут находиться в одной
 > > подсети.
 >
 > ТАк а они в одной подсети ? А смысл ? И, вообще, как оно
 > организовано ?
 > К примеру, как компьютер должен узнать, через какой интерфейс
 > работать ?
 > А если сегмент ethernet один, то каков смысл в двух интерфейсах ?
Интересно. а что две сетевые в одной сети могут работать ?
Как интересно задать route? 


-- 
  А ещё говорят так  (fortune):
 
"The algorithm to do that is extremely nasty. You might want to mug 
someone with it." -- M. Devine, Computer Science 340 
________________________________________________________________________
С уважением Хихин Руслан

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Две сетевые и iptables

[Yadykin Alexander]

В сообщении от Tuesday 09 October 2007 09:26:10 Sergey написал(а):

> Кстати, может не Master 2.4, а Server 4.0 использовать ? Это в плане
> перспектив поддержки дистрибутива...
Мастер 2.4 исковырял вдоль и поперек, в том числе ntpd, а сервер 4.0 для меня 
пока новый. Стояла задача - быстро, просто, на старом железе, с возможностью 
быстрого повторения людьми, не знающими Линукс совсем. На 2.4 для меня это 
было проще. 4.0 может быть попозже...


-- 
Best regards, Alexander Yadikin
mailto: yadal@mail.ru

Re: [Comm] Две сетевые и iptables

[Yadykin Alexander]

В сообщении от Tuesday 09 October 2007 09:32:01 Sergey написал(а):

>
> ТАк а они в одной подсети ? А смысл ? И, вообще, как оно организовано ?
> К примеру, как компьютер должен узнать, через какой интерфейс работать ?
> А если сегмент ethernet один, то каков смысл в двух интерфейсах ?
Это было временно, для проверки (показа начальству ;) ) стабильности работы и 
защищенности. Сейчас в стадии внедрения в реальную жизнь, и интерфейсы в 
разных подсетях.


-- 
Best regards, Alexander Yadikin
mailto: yadal@mail.ru

Re: [Comm] Две сетевые и iptables

[Sergey]

On Tuesday 09 October 2007, Хихин Руслан wrote:

>  > А если сегмент ethernet один, то каков смысл в двух интерфейсах ?

> Интересно. а что две сетевые в одной сети могут работать ?

Могут, по идее. Только я не представляю, для чего, кроме получения головной
боли, это надо.

> Как интересно задать route?

Возможно

ip route { add | del | change | append | replace | monitor } ROUTE
<skip>
NH := [ via ADDRESS ] [ dev STRING ] [ weight NUMBER ] NHFLAGS

dev тут поможет...

-- 
С уважением, Сергей
a_s_y@sama.ru

Re: [Comm] Две сетевые и iptables

[Sergey]

On Tuesday 09 October 2007, Yadykin Alexander wrote:

>  4.0 может быть попозже...

В плане настройки сети у 4.0 отличия большие. etcnet на netscripts
никак не похож. И правила для iptables можно напрямую через etcnet
задавать, а не через /etc/sysconfig/iptables.

-- 
С уважением, Сергей
a_s_y@sama.ru

Re: [Comm] Две сетевые и iptables

[Kostarev Alexey]

[-- Attachment #1: Type: text/plain, Size: 1005 bytes --]

Хихин Руслан wrote:

>Здравствуйте Sergey
>  В сообщении от Вторник 09 октября 2007 Sergey написал(a):
> >  Если честно, то когда влом объяснять, лучше совсем не писать. Нигде
> > в доках я
> >
> > > не встречал, что сетевые интерфейсы не могут находиться в одной
> > > подсети.
> >
> > ТАк а они в одной подсети ? А смысл ? И, вообще, как оно
> > организовано ?
> > К примеру, как компьютер должен узнать, через какой интерфейс
> > работать ?
> > А если сегмент ethernet один, то каков смысл в двух интерфейсах ?
>Интересно. а что две сетевые в одной сети могут работать ?
>Как интересно задать route? 
>
>  
>
Если две сетевые карты смотрят в одну сеть, то есть смысл связать их в 
один интерфейс через BOND

>  
>
>------------------------------------------------------------------------
>
>_______________________________________________
>community mailing list
>community@lists.altlinux.org
>https://lists.altlinux.org/mailman/listinfo/community
>


-- 
С Уважением
Директор ООО НЕВОД
Костарев А.Ф.


[-- Attachment #2: kaf.vcf --]
[-- Type: text/x-vcard, Size: 202 bytes --]

begin:vcard
fn:Alexey Kostarev
n:Kostarev;Alexey
org:Nevod Ltd.
adr:;;;Perm;;;Russia
email;internet:kaf@nevod.ru
tel;work:(3422) 196-960 
url:http://www.nevod.ru/nevod/staff/kaf/
version:2.1
end:vcard

Re: [Comm] Две сетевые и iptables

[Владимир Гусев]

> В плане настройки сети у 4.0 отличия большие. etcnet на netscripts
> никак не похож. И правила для iptables можно напрямую через etcnet
> задавать, а не через /etc/sysconfig/iptables.

Где об этом (iptables+etcnet) можно прочитать более подробно?

-- 
С уважением,
Владимир Гусев

Re: [Comm] Две сетевые и iptables

[Sergey]

On Tuesday 09 October 2007, Kostarev Alexey wrote:

> Если две сетевые карты смотрят в одну сеть, то есть смысл связать их в 
> один интерфейс через BOND
 
Если в один - это да. Но тут ещё и свич такие вещи должен уметь.

-- 
С уважением, Сергей
a_s_y@sama.ru

Re: [Comm] Две сетевые и iptables

[Alexander Volkov]

On 2007-10-09 10:06:22 +0400, Владимир Гусев wrote:
ВГ> > В плане настройки сети у 4.0 отличия большие. etcnet на netscripts
ВГ> > никак не похож. И правила для iptables можно напрямую через etcnet
ВГ> > задавать, а не через /etc/sysconfig/iptables.

ВГ> Где об этом (iptables+etcnet) можно прочитать более подробно?
http://www.freesource.info/wiki/ALTLinux/Sisyphus/admin/etcnet

--
 Regards, Alexander

Re: [Comm] Две сетевые и iptables

[Хихин Руслан]

[-- Attachment #1: Type: text/plain, Size: 500 bytes --]

Здравствуйте Владимир Гусев
  В сообщении от Вторник 09 октября 2007 Владимир Гусев написал(a):
 > Где об этом (iptables+etcnet) можно прочитать более подробно?

http://www.freesource.info/wiki/AltLinux/Sisyphus/admin/etcnet/firewall

-- 
  А ещё говорят так  (fortune):
 
If you lose a son you can always get another, but there's only one 
Maltese Falcon. -- Sidney Greenstreet, "The Maltese Falcon" 
________________________________________________________________________
С уважением Хихин Руслан

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Две сетевые и iptables

[Владимир Гусев]

>   В сообщении от Вторник 09 октября 2007 Владимир Гусев написал(a):
>  > Где об этом (iptables+etcnet) можно прочитать более подробно?
> http://www.freesource.info/wiki/AltLinux/Sisyphus/admin/etcnet/firewall

Спасибо.


-- 
С уважением,
Владимир Гусев