* [Sysadmins] iptables трансляция протокола
@ 2006-07-03 7:57 "Дворников М.В."
2006-07-03 8:00 ` Serge
` (2 more replies)
0 siblings, 3 replies; 25+ messages in thread
From: "Дворников М.В." @ 2006-07-03 7:57 UTC (permalink / raw)
To: Sysadmins
Есть программа для связи с федеральным казначейством ("КОНТИНЕТ").
Моя сеть с одним реальным ip на шлюзе.
Администратор казначейства сказал, что нужно открыть 3 порта tcp
и один udp, самое непонятное еще требуется протокол ip250
(тот что в /etc/protocols должен быть под номером 250).
С tcp и udp разобрался:
-A POSTROUTING -s 10.X -o eth2 -p tcp -m tcp --dport 4000 -j SNAT
--to-source 193.X
-A POSTROUTING -s 10.X -o eth2 -p udp -m udp --dport 4000 -j SNAT
--to-source 193.X
Что делать с ip250 непонятно...
--
С уважением, Дворников Михаил.
^ permalink raw reply [flat|nested] 25+ messages in thread* Re: [Sysadmins] iptables трансляция протокола 2006-07-03 7:57 [Sysadmins] iptables трансляция протокола "Дворников М.В." @ 2006-07-03 8:00 ` Serge 2006-07-03 8:03 ` Шенцев Алексей Владимирович 2006-07-06 6:43 ` Maxim Britov 2 siblings, 0 replies; 25+ messages in thread From: Serge @ 2006-07-03 8:00 UTC (permalink / raw) To: ALT Linux sysadmin discuss В сообщении от Понедельник 03 Июль 2006 10:57 "Дворников М.В." написал(a): > Есть программа для связи с федеральным казначейством ("КОНТИНЕТ"). > Моя сеть с одним реальным ip на шлюзе. > Администратор казначейства сказал, что нужно открыть 3 порта tcp > и один udp, самое непонятное еще требуется протокол ip250 > (тот что в /etc/protocols должен быть под номером 250). > > С tcp и udp разобрался: > -A POSTROUTING -s 10.X -o eth2 -p tcp -m tcp --dport 4000 -j SNAT > --to-source 193.X > -A POSTROUTING -s 10.X -o eth2 -p udp -m udp --dport 4000 -j SNAT > --to-source 193.X > > Что делать с ip250 непонятно... tcpdump Вам поможет ^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] iptables трансляция протокола 2006-07-03 7:57 [Sysadmins] iptables трансляция протокола "Дворников М.В." 2006-07-03 8:00 ` Serge @ 2006-07-03 8:03 ` Шенцев Алексей Владимирович 2006-07-03 8:14 ` "Дворников М.В." 2006-07-06 6:43 ` Maxim Britov 2 siblings, 1 reply; 25+ messages in thread From: Шенцев Алексей Владимирович @ 2006-07-03 8:03 UTC (permalink / raw) To: ALT Linux sysadmin discuss В сообщении от 3 июля 2006 11:57 Дворников М.В. написал(a): > Есть программа для связи с федеральным казначейством ("КОНТИНЕТ"). > Моя сеть с одним реальным ip на шлюзе. > Администратор казначейства сказал, что нужно открыть 3 порта tcp > и один udp, самое непонятное еще требуется протокол ip250 > (тот что в /etc/protocols должен быть под номером 250). > > С tcp и udp разобрался: > -A POSTROUTING -s 10.X -o eth2 -p tcp -m tcp --dport 4000 -j SNAT > --to-source 193.X > -A POSTROUTING -s 10.X -o eth2 -p udp -m udp --dport 4000 -j SNAT > --to-source 193.X Связь как происходит: соединение инициируется от вами или казначейством? -- С уважением Шенцев Алексей Владимирович. E-mail: ashen@nsrz.ru ICQ: 271053845 ^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] iptables трансляция протокола 2006-07-03 8:03 ` Шенцев Алексей Владимирович @ 2006-07-03 8:14 ` "Дворников М.В." 2006-07-03 8:16 ` Andrii Dobrovol`s`kii ` (2 more replies) 0 siblings, 3 replies; 25+ messages in thread From: "Дворников М.В." @ 2006-07-03 8:14 UTC (permalink / raw) To: ALT Linux sysadmin discuss Шенцев Алексей Владимирович пишет: > В сообщении от 3 июля 2006 11:57 Дворников М.В. написал(a): >> Есть программа для связи с федеральным казначейством ("КОНТИНЕТ"). >> Моя сеть с одним реальным ip на шлюзе. >> Администратор казначейства сказал, что нужно открыть 3 порта tcp >> и один udp, самое непонятное еще требуется протокол ip250 >> (тот что в /etc/protocols должен быть под номером 250). >> >> С tcp и udp разобрался: >> -A POSTROUTING -s 10.X -o eth2 -p tcp -m tcp --dport 4000 -j SNAT >> --to-source 193.X >> -A POSTROUTING -s 10.X -o eth2 -p udp -m udp --dport 4000 -j SNAT >> --to-source 193.X > Связь как происходит: соединение инициируется от вами или казначейством? По словам администратора казначейства мы первыми должны устанавливливать связь. Клиент (континент) создает vpn, в настройках сетевого соединения Win помимо tcp/ip есть еще один протокол от этой программы. -- С уважением, Дворников Михаил. ^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] iptables трансляция протокола 2006-07-03 8:14 ` "Дворников М.В." @ 2006-07-03 8:16 ` Andrii Dobrovol`s`kii 2006-07-03 8:23 ` "Дворников М.В." 2006-07-03 8:22 ` Шенцев Алексей Владимирович 2006-07-03 8:28 ` Dmitriy L. Kruglikov 2 siblings, 1 reply; 25+ messages in thread From: Andrii Dobrovol`s`kii @ 2006-07-03 8:16 UTC (permalink / raw) To: ALT Linux sysadmin discuss [-- Attachment #1: Type: text/plain, Size: 1415 bytes --] Дворников М.В. пишет: > Шенцев Алексей Владимирович пишет: >> В сообщении от 3 июля 2006 11:57 Дворников М.В. написал(a): >>> Есть программа для связи с федеральным казначейством ("КОНТИНЕТ"). >>> Моя сеть с одним реальным ip на шлюзе. >>> Администратор казначейства сказал, что нужно открыть 3 порта tcp >>> и один udp, самое непонятное еще требуется протокол ip250 >>> (тот что в /etc/protocols должен быть под номером 250). >>> >>> С tcp и udp разобрался: >>> -A POSTROUTING -s 10.X -o eth2 -p tcp -m tcp --dport 4000 -j SNAT >>> --to-source 193.X >>> -A POSTROUTING -s 10.X -o eth2 -p udp -m udp --dport 4000 -j SNAT >>> --to-source 193.X >> Связь как происходит: соединение инициируется от вами или казначейством? > > По словам администратора казначейства мы первыми должны устанавливливать > связь. Клиент (континент) создает vpn, в настройках сетевого соединения > Win помимо tcp/ip есть еще один протокол от этой программы. Тогда, либо читать описание протокола и открывать/транслировать что ему надо, либо таки tcpdump. -- Rgrds, Andriy ********************************************************************* email: dobr at iop dot kiev dot ua Kyiv, Ukraine Phone: (380-44) 525-7824 Department of Gas Electronics Fax: (380-44) 525-2329 Institute of Physics of NASU *********************dobrATjabber.iop.kiev.ua************************ [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] iptables трансляция протокола 2006-07-03 8:16 ` Andrii Dobrovol`s`kii @ 2006-07-03 8:23 ` "Дворников М.В." 2006-07-03 9:01 ` Andrii Dobrovol`s`kii 2006-07-03 9:09 ` Dmytro O. Redchuk 0 siblings, 2 replies; 25+ messages in thread From: "Дворников М.В." @ 2006-07-03 8:23 UTC (permalink / raw) To: ALT Linux sysadmin discuss Andrii Dobrovol`s`kii пишет: > Дворников М.В. пишет: >> Шенцев Алексей Владимирович пишет: >>> В сообщении от 3 июля 2006 11:57 Дворников М.В. написал(a): >>>> Есть программа для связи с федеральным казначейством ("КОНТИНЕТ"). >>>> Моя сеть с одним реальным ip на шлюзе. >>>> Администратор казначейства сказал, что нужно открыть 3 порта tcp >>>> и один udp, самое непонятное еще требуется протокол ip250 >>>> (тот что в /etc/protocols должен быть под номером 250). >>>> >>>> С tcp и udp разобрался: >>>> -A POSTROUTING -s 10.X -o eth2 -p tcp -m tcp --dport 4000 -j SNAT >>>> --to-source 193.X >>>> -A POSTROUTING -s 10.X -o eth2 -p udp -m udp --dport 4000 -j SNAT >>>> --to-source 193.X >>> Связь как происходит: соединение инициируется от вами или казначейством? >> По словам администратора казначейства мы первыми должны устанавливливать >> связь. Клиент (континент) создает vpn, в настройках сетевого соединения >> Win помимо tcp/ip есть еще один протокол от этой программы. > Тогда, либо читать описание протокола и открывать/транслировать что > ему надо, либо таки tcpdump. Как разрешить /etc/protocols N=250. Сейчас он в файле не упоминается. iptables может работать только с tcp,udp,icmp? -- С уважением, Дворников Михаил. ^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] iptables трансляция протокола 2006-07-03 8:23 ` "Дворников М.В." @ 2006-07-03 9:01 ` Andrii Dobrovol`s`kii 2006-07-03 9:09 ` Dmytro O. Redchuk 1 sibling, 0 replies; 25+ messages in thread From: Andrii Dobrovol`s`kii @ 2006-07-03 9:01 UTC (permalink / raw) To: ALT Linux sysadmin discuss [-- Attachment #1: Type: text/plain, Size: 2165 bytes --] Дворников М.В. пишет: > Andrii Dobrovol`s`kii пишет: >> Дворников М.В. пишет: >>> Шенцев Алексей Владимирович пишет: >>>> В сообщении от 3 июля 2006 11:57 Дворников М.В. написал(a): >>>>> Есть программа для связи с федеральным казначейством ("КОНТИНЕТ"). >>>>> Моя сеть с одним реальным ip на шлюзе. >>>>> Администратор казначейства сказал, что нужно открыть 3 порта tcp >>>>> и один udp, самое непонятное еще требуется протокол ip250 >>>>> (тот что в /etc/protocols должен быть под номером 250). >>>>> >>>>> С tcp и udp разобрался: >>>>> -A POSTROUTING -s 10.X -o eth2 -p tcp -m tcp --dport 4000 -j SNAT >>>>> --to-source 193.X >>>>> -A POSTROUTING -s 10.X -o eth2 -p udp -m udp --dport 4000 -j SNAT >>>>> --to-source 193.X >>>> Связь как происходит: соединение инициируется от вами или казначейством? >>> По словам администратора казначейства мы первыми должны устанавливливать >>> связь. Клиент (континент) создает vpn, в настройках сетевого соединения >>> Win помимо tcp/ip есть еще один протокол от этой программы. >> Тогда, либо читать описание протокола и открывать/транслировать что >> ему надо, либо таки tcpdump. > > Как разрешить /etc/protocols N=250. > Сейчас он в файле не упоминается. > iptables может работать только с tcp,udp,icmp? Насколько я помню, /etc/protocols ничего не разрешает. Он описывает, как и /etc/services. Поэтому, для получения представления о протоколе нужно найти документацию на него. Там будет описано на основе чего он строится и какие порты и как использует. Думаю, что транспорт будет на TCP/IP по некоторым портам. Вот их и нужно будет открыть/оттранслировать. Хотя, если клиент устанавливает vpn, возможно там вообще и транспорт свой. И вообще, просто поднимите этот впн и посмотрите. Может больше ничего и не потребуется. -- Rgrds, Andriy ********************************************************************* email: dobr at iop dot kiev dot ua Kyiv, Ukraine Phone: (380-44) 525-7824 Department of Gas Electronics Fax: (380-44) 525-2329 Institute of Physics of NASU *********************dobrATjabber.iop.kiev.ua************************ [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] iptables трансляция протокола 2006-07-03 8:23 ` "Дворников М.В." 2006-07-03 9:01 ` Andrii Dobrovol`s`kii @ 2006-07-03 9:09 ` Dmytro O. Redchuk 1 sibling, 0 replies; 25+ messages in thread From: Dmytro O. Redchuk @ 2006-07-03 9:09 UTC (permalink / raw) To: Дворников М.В. Cc: ALT Linux sysadmin discuss On Mon, Jul 03, 2006 at 12:23:50PM +0400, "Дворников М.В." wrote: > Andrii Dobrovol`s`kii пишет: > > Дворников М.В. пишет: > >> Шенцев Алексей Владимирович пишет: > >>> В сообщении от 3 июля 2006 11:57 Дворников М.В. написал(a): > >>>> Есть программа для связи с федеральным казначейством ("КОНТИНЕТ"). > >>>> Моя сеть с одним реальным ip на шлюзе. > >>>> Администратор казначейства сказал, что нужно открыть 3 порта tcp > >>>> и один udp, самое непонятное еще требуется протокол ip250 > >>>> (тот что в /etc/protocols должен быть под номером 250). > >>>> > >>>> С tcp и udp разобрался: > >>>> -A POSTROUTING -s 10.X -o eth2 -p tcp -m tcp --dport 4000 -j SNAT > >>>> --to-source 193.X > >>>> -A POSTROUTING -s 10.X -o eth2 -p udp -m udp --dport 4000 -j SNAT > >>>> --to-source 193.X > >>> Связь как происходит: соединение инициируется от вами или казначейством? > >> По словам администратора казначейства мы первыми должны устанавливливать > >> связь. Клиент (континент) создает vpn, в настройках сетевого соединения > >> Win помимо tcp/ip есть еще один протокол от этой программы. > > Тогда, либо читать описание протокола и открывать/транслировать что > > ему надо, либо таки tcpdump. > > Как разрешить /etc/protocols N=250. > Сейчас он в файле не упоминается. В файле можно вписать всё, что угодно, например: bankclient 250 BACLI # Our Bank-Client Application > iptables может работать только с tcp,udp,icmp? Я думаю, что этот 250 инкапсулируется в IP? (Должен же он как-то до вас доходить?) Вот как раз и "поможет tcpdump", я думаю. > -- > С уважением, Дворников Михаил. -- _,-=._ /|_/| `-.} `=._,.-=-._., @ @._, `._ _,-. ) _,.-' ` G.m-"^m`m' Dmytro O. Redchuk ^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] iptables трансляция протокола 2006-07-03 8:14 ` "Дворников М.В." 2006-07-03 8:16 ` Andrii Dobrovol`s`kii @ 2006-07-03 8:22 ` Шенцев Алексей Владимирович 2006-07-03 10:47 ` "Дворников М.В." 2006-07-03 8:28 ` Dmitriy L. Kruglikov 2 siblings, 1 reply; 25+ messages in thread From: Шенцев Алексей Владимирович @ 2006-07-03 8:22 UTC (permalink / raw) To: ALT Linux sysadmin discuss В сообщении от 3 июля 2006 12:14 Дворников М.В. написал(a): > По словам администратора казначейства мы первыми должны устанавливливать > связь. Клиент (континент) создает vpn, в настройках сетевого соединения > Win помимо tcp/ip есть еще один протокол от этой программы. У меня примерно так же для программ типа "Банк-клиент". Сделал следующее: $IPTABLES -t nat -A POSTROUTING -s $BANK_USER_IP1 -d $BANK_IP -o $INET_IFACE -j SNAT --to-source $INET_IP $IPTABLES -A FORWARD -s $BANK_USER_IP1 -d $BANK_IP -j ACCEPT $IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT где $BANK_USER_IP1 - ip-адрес пользователя из диапазона ip-адресов нашей ЛВС (сеть класса C - 192.168.*.*), $BANK_IP - инет ip-адрес сервера банка, $INET_IFACE - интерфейс, смотрящий в инет, $INET_IP - наш интернетовский ip-адрес. -- С уважением Шенцев Алексей Владимирович. E-mail: ashen@nsrz.ru ICQ: 271053845 ^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] iptables трансляция протокола 2006-07-03 8:22 ` Шенцев Алексей Владимирович @ 2006-07-03 10:47 ` "Дворников М.В." 2006-07-03 10:51 ` Шенцев Алексей Владимирович 2006-07-03 11:23 ` Dmitriy L. Kruglikov 0 siblings, 2 replies; 25+ messages in thread From: "Дворников М.В." @ 2006-07-03 10:47 UTC (permalink / raw) To: ALT Linux sysadmin discuss Шенцев Алексей Владимирович пишет: > В сообщении от 3 июля 2006 12:14 Дворников М.В. написал(a): >> По словам администратора казначейства мы первыми должны устанавливливать >> связь. Клиент (континент) создает vpn, в настройках сетевого соединения >> Win помимо tcp/ip есть еще один протокол от этой программы. > У меня примерно так же для программ типа "Банк-клиент". Сделал следующее: > $IPTABLES -t nat -A POSTROUTING -s $BANK_USER_IP1 -d $BANK_IP -o > $INET_IFACE -j SNAT --to-source $INET_IP > > $IPTABLES -A FORWARD -s $BANK_USER_IP1 -d $BANK_IP -j ACCEPT > $IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT > > где $BANK_USER_IP1 - ip-адрес пользователя из диапазона ip-адресов нашей ЛВС > (сеть класса C - 192.168.*.*), $BANK_IP - инет ip-адрес сервера банка, > $INET_IFACE - интерфейс, смотрящий в инет, $INET_IP - наш интернетовский > ip-адрес. Первая команда разрешает трансляцию для всех портов и протоколов? Наверно это не очень хорошо. -- С уважением, Дворников Михаил. ^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] iptables трансляция протокола 2006-07-03 10:47 ` "Дворников М.В." @ 2006-07-03 10:51 ` Шенцев Алексей Владимирович 2006-07-03 11:23 ` Dmitriy L. Kruglikov 1 sibling, 0 replies; 25+ messages in thread From: Шенцев Алексей Владимирович @ 2006-07-03 10:51 UTC (permalink / raw) To: ALT Linux sysadmin discuss В сообщении от 3 июля 2006 14:47 Дворников М.В. написал(a): > Первая команда разрешает трансляцию для всех портов и протоколов? > Наверно это не очень хорошо. Возможно, но это идёт только на один единственный ip-адрес в инете. Больше ни куда. Можно конечно в данном случаи пойти по пути проброски портов между эти ip-адресами, но мучась с этим типом прог в прошлом году у меня заработало именно так. Советы же из рассылки не помогли ... :-S Ну капризные бывают иногда эти проги ... :) -- С уважением Шенцев Алексей Владимирович. E-mail: ashen@nsrz.ru ICQ: 271053845 ^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] iptables трансляция протокола 2006-07-03 10:47 ` "Дворников М.В." 2006-07-03 10:51 ` Шенцев Алексей Владимирович @ 2006-07-03 11:23 ` Dmitriy L. Kruglikov 2006-07-03 11:56 ` "Дворников М.В." 1 sibling, 1 reply; 25+ messages in thread From: Dmitriy L. Kruglikov @ 2006-07-03 11:23 UTC (permalink / raw) To: ALT Linux sysadmin discuss On Mon, 03 Jul 2006 14:47:08 +0400 Дворников М.В. wrote: > Первая команда разрешает трансляцию для всех портов и > протоколов? Наверно это не очень хорошо. Если имеется в виду $IPTABLES -t nat -A POSTROUTING -s $BANK_USER_IP1 -d $BANK_IP -o $INET_IFACE -j SNAT --to-source $INET_IP То это всего лишь NAT ... Будет транслировано все, что будет разрешено последующими правилами ... -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Чтобы многого достичь надо от многого отказаться. -- Евгений Кащеев ^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] iptables трансляция протокола 2006-07-03 11:23 ` Dmitriy L. Kruglikov @ 2006-07-03 11:56 ` "Дворников М.В." 2006-07-03 12:08 ` Шенцев Алексей Владимирович 2006-07-03 12:16 ` Dmitriy L. Kruglikov 0 siblings, 2 replies; 25+ messages in thread From: "Дворников М.В." @ 2006-07-03 11:56 UTC (permalink / raw) To: ALT Linux sysadmin discuss Dmitriy L. Kruglikov пишет: > On Mon, 03 Jul 2006 14:47:08 +0400 > Дворников М.В. wrote: > >> Первая команда разрешает трансляцию для всех портов и >> протоколов? Наверно это не очень хорошо. > Если имеется в виду > $IPTABLES -t nat -A POSTROUTING -s $BANK_USER_IP1 -d $BANK_IP -o $INET_IFACE -j SNAT --to-source $INET_IP > То это всего лишь NAT ... > Будет транслировано все, что будет разрешено последующими правилами ... /etc/sysconfig/iptables *nat :PREROUTING ACCEPT [49:10802] :POSTROUTING ACCEPT [11:1372] :OUTPUT ACCEPT [4:215] # proxy -A PREROUTING -s 10.X/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 # kazna -A POSTROUTING -s 10.X -d 85.158.54.14 -o eth2 -j SNAT --to-source 193.X *filter :INPUT ACCEPT [427:75757] :FORWARD ACCEPT [31:4358] :OUTPUT ACCEPT [347:154782] -A FORWARD -s 10.X -d YYY.YYY.YYY.YYY -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT Сейчас iptables использовался только для прозрачного прокси. Если так напишу, строки с FORWARD будут влиять или все и так разрешено? Давно хотел переписать все правила правильно (file.sh). На шлюзе много всяких сервисов и боюсь не осилю. -- С уважением, Дворников Михаил. ^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] iptables трансляция протокола 2006-07-03 11:56 ` "Дворников М.В." @ 2006-07-03 12:08 ` Шенцев Алексей Владимирович 2006-07-06 7:05 ` "Дворников М.В." 2006-07-03 12:16 ` Dmitriy L. Kruglikov 1 sibling, 1 reply; 25+ messages in thread From: Шенцев Алексей Владимирович @ 2006-07-03 12:08 UTC (permalink / raw) To: ALT Linux sysadmin discuss В сообщении от 3 июля 2006 15:56 Дворников М.В. написал(a): > *nat > :PREROUTING ACCEPT [49:10802] > :POSTROUTING ACCEPT [11:1372] > :OUTPUT ACCEPT [4:215] ?! У вас всё разрешено ?! > > # proxy > -A PREROUTING -s 10.X/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT > --to-ports 3128 Ага вот тут и засада. Вместо отправки на соединение с казначейством у вас будет заворачивать трафик на прокси сервер. У вас перед тем как будут отработано правило для работы с казначейством сработает сначала правило, перенаправляющее трафик на прокси, так что до казначейства трафик не дойдёт. Сначало работает PREROUTING, а потом POSTROUTING. Вам надо полностью перестроить правила для вашего файервола. Пример скрипта настройки iptables: ______________________________________ #!/bin/sh # service iptables stop # для удобства, ибо интерфейсов несколько INET_IFACE="eth1" #вместо ethX может стоять и pppX и любой другой интерфейс LAN_IFACE="eth0" INET_IP="" LAN_IP="" LAN="" LAN_MASK="24" BANK_IP="" BANK_USER_IP1="" ADMIN_IP1="" FREE_USER_IP1="" # тоже для удобства IPTABLES="/sbin/iptables" # включаем пересылку пакетов #echo 1 > /proc/sys/net/ipv4/ip_forward # стандартные действия $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT ACCEPT $IPTABLES -P FORWARD DROP # удаляем все имеющиеся правила $IPTABLES -F $IPTABLES -X # создаем свои цепочки # отбрасываем tcp с неправильными флагами $IPTABLES -N bad_tcp_packets # tcp, прошедшие основную проверку $IPTABLES -N allowed # все пакеты соотв. протоколов $IPTABLES -N tcp_packets $IPTABLES -N udp_packets $IPTABLES -N icmp_packets # безусловно разрешаем соединения по локальному интерфейсу (loopback, 127.0.0.1) $IPTABLES -A INPUT -i lo -j ACCEPT $IPTABLES -A OUTPUT -o lo -j ACCEPT # безусловно разрешаем соединения по интерфейсу ЛВС (et0) $IPTABLES -A INPUT -i $LAN_IFACE -j ACCEPT $IPTABLES -A OUTPUT -o $LAN_IFACE -j ACCEPT # сюда пойдут все tcp-пакеты, и будут отброшены имеющие статус NEW, но не имеющие флагов SYN,ACK # предохраняет от определенных типов атак, подробности в приложении B4 к Iptables Tutorial $IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP # принимаем все пакеты, относящиеся к уже установленным соединениям $IPTABLES -A allowed -p TCP --syn -j ACCEPT $IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT # а все остальные из этой цепочки сбрасываем $IPTABLES -A allowed -j DROP # здесь открываем некоторые порты, т.к. по умолчанию мы закрыли всё # Слушаем DNS $IPTABLES -A tcp_packets -p TCP -s 0/0 --sport 53 -j ACCEPT # Domain Name Server $IPTABLES -A udp_packets -p UDP -s 0/0 --sport 53 -j ACCEPT # Domain Name Server # Принимаем #$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 20 -j ACCEPT # File Transfer [Default Data] #$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 20 -j ACCEPT # File Transfer [Default Data] #$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 21 -j ACCEPT # File Transfer [Control] #$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 21 -j ACCEPT # File Transfer [Control] $IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 25 -j ACCEPT # Simple Mail Transfer Protocol $IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 25 -j ACCEPT # Simple Mail Transfer Protocol $IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 110 -j ACCEPT # Post Office Protocol - Version 3 $IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 110 -j ACCEPT # Post Office Protocol - Version 3 #$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 995 -j ACCEPT # pop3 protocol over TLS/SSL #$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 995 -j ACCEPT # pop3 protocol over TLS/SSL #$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 143 -j ACCEPT # IMAP2 #$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 143 -j ACCEPT # IMAP2 #$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m udp --dport 220 -j ACCEPT # IMAP3 #$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 220 -j ACCEPT # IMAP3 #$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 993 -j ACCEPT # IMAP4 #$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 993 -j ACCEPT # IMAP4 $IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 80 -j ACCEPT # World Wide Web HTTP $IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 80 -j ACCEPT # World Wide Web HTTP #$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 443 -j ACCEPT # http protocol over TLS/SS #$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 443 -j ACCEPT # http protocol over TLS/SS $IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 5222 -j ACCEPT # Jabber Client Connection $IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 5222 -j ACCEPT # Jabber Client Connection $IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 5269 -j ACCEPT # Jabber Server Connection $IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 5269 -j ACCEPT # Jabber Server Connection #Ну а теперь займёмся организацией выхода в инет определённых категорий юзеров #Админу можно всё ... :) $IPTABLES -t nat -A POSTROUTING -s $ADMIN_IP1 -d ! $LAN/$LAN_MASK -o $INET_IFACE -j SNAT --to-source $INET_IP $IPTABLES -A FORWARD -s $ADMIN_IP1 -d ! $LAN/$LAN_MASK -j ACCEPT #Форвардинг для блатных, когда админ добрый #$IPTABLES -t nat -A POSTROUTING -s $FREE_USER_IP1 -d ! $LAN/$LAN_MASK -o $INET_IFACE -j SNAT --to-source $INET_IP #$IPTABLES -A FORWARD -s $FREE_USER_IP1 -d ! $LAN/$LAN_MASK -j ACCEPT # NAT для программ типа банк-клиент, не желающих работать через прокси-сервер. # Для этих прошрамм нужно у клиента отключить прокси-сервер для ftp. $IPTABLES -t nat -A POSTROUTING -s $BANK_USER_IP1 -d $BANK_IP -o $INET_IFACE -j SNAT --to-source $INET_IP $IPTABLES -A FORWARD -s $BANK_USER_IP1 -d $BANK_IP -j ACCEPT # Принимаем установленное соеденения на $INET_IFACE $IPTABLES -A INPUT -i $INET_IFACE -m state --state RELATED,ESTABLISHED -j ACCEPT # Принимаем форвардинг для установленных соединений $IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT # Пишем лог для входящих соеденений на $INET_IFACE $IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j LOG --log-level 7 --log-tcp-option # Пишем лог для исходящих соеденений на $INET_IFACE $IPTABLES -A OUTPUT -o $INET_IFACE -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j LOG --log-level 7 --log-tcp-option # настал черед ICMP ... # из-за системы видеоконфиренции, использующую icmp, придётся его разрешить, # но ограничем 5-ю пакетами в секунду и максимальным размером в 110 байт $IPTABLES -A INPUT -p icmp -i $INET_IFACE -m limit -m length --limit 5/second --limit-burst 10 --length :110 -j ACCEPT # по поводу отправки будет менее жадны - 10 пакетов в секунду $IPTABLES -A OUTPUT -p icmp -o $INET_IFACE -m limit -m length --limit 10/second --limit-burst 20 --length :110 -j ACCEPT # разводим пакеты по соотв. цепочкам # tcp уходит на доп. проверку $IPTABLES -A INPUT -p tcp -j bad_tcp_packets # все пакеты, относящиеся к уже установленным соединениям (для tcp # из-за отдельной цепочки пришлось это правило еще раз указать выше) $IPTABLES -A INPUT -p ALL -i $INET_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets $IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets $IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets service iptables save -- С уважением Шенцев Алексей Владимирович. E-mail: ashen@nsrz.ru ICQ: 271053845 ^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] iptables трансляция протокола 2006-07-03 12:08 ` Шенцев Алексей Владимирович @ 2006-07-06 7:05 ` "Дворников М.В." 2006-07-06 8:00 ` Шенцев Алексей Владимирович 2006-07-06 8:09 ` Dmitriy L. Kruglikov 0 siblings, 2 replies; 25+ messages in thread From: "Дворников М.В." @ 2006-07-06 7:05 UTC (permalink / raw) To: ALT Linux sysadmin discuss [-- Attachment #1: Type: text/plain, Size: 625 bytes --] Решил написать правила для iptables. Взял за основу пример rc.UTIN.firewall из "iptables tutorial". После перезапуска iptables не смог зайти на сервер через ssh. Нужно написать правила для iptables. Пользователям из локальной сети разрешается работать только с сервером: прозрачный proxy (squid:3128), postfix, ftp, pop3/imap. Нельзя обращаться к внешним ftp,smtp,pop3,imap. Дополнительно разрешается NAT: - 1 клиент ntpdate, - 2 клиента несколько портов к определенному ip, - 1 клиент полный доступ к определенному ip. На сервере 3 сетевых: eth2 - в интернет, eth0 и eth1 соединение двух видов кабеля (роутер). [-- Attachment #2: iptables-rules.sh --] [-- Type: text/plain, Size: 5070 bytes --] #!/bin/sh # service iptables stop # variable IPTABLES="/sbin/iptables" LO_IFACE="lo" LO_IP="127.0.0.1" INET_IFACE="eth2" INET_IP="193.X/maska" LAN_IFACE1="eth0" LAN_IP1="10.X/255.255.255.0" LAN_IFACE2="eth1" LAN_IP2="10.X/255.255.255.0" # Set policies $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT DROP $IPTABLES -P FORWARD DROP # clear all $IPTABLES -F $IPTABLES -X # Create chain for bad tcp packets $IPTABLES -N bad_tcp_packets # Create separate chains for ICMP, TCP and UDP to traverse $IPTABLES -N allowed $IPTABLES -N tcp_packets $IPTABLES -N udp_packets $IPTABLES -N icmp_packets # bad_tcp_packets chain $IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset $IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:" $IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP # allowed chain $IPTABLES -A allowed -p TCP --syn -j ACCEPT $IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A allowed -p TCP -j DROP # TCP rules # ftp(20,21),ssh(22),smtp(25),pop3(110),imap(143) $IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 20 -j allowed $IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed $IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed $IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 25 -j allowed $IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 110 -j allowed $IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 143 -j allowed # UDP ports $IPTABLES -A udp_packets -p UDP -s 0/0 --source-port 20 -j ACCEPT $IPTABLES -A udp_packets -p UDP -s 0/0 --source-port 21 -j ACCEPT $IPTABLES -A udp_packets -p UDP -s 0/0 --source-port 22 -j ACCEPT $IPTABLES -A udp_packets -p UDP -s 0/0 --source-port 25 -j ACCEPT $IPTABLES -A udp_packets -p UDP -s 0/0 --source-port 110 -j ACCEPT $IPTABLES -A udp_packets -p UDP -s 0/0 --source-port 143 -j ACCEPT # ICMP rules $IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT $IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT # # INPUT chain # # Bad TCP packets we don't want. $IPTABLES -A INPUT -p tcp -j bad_tcp_packets # Rules for special networks not part of the Internet $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP1 -j ACCEPT $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP2 -j ACCEPT $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT # Rules for incoming packets from anywhere. $IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A INPUT -p TCP -j tcp_packets $IPTABLES -A INPUT -p UDP -j udp_packets $IPTABLES -A INPUT -p ICMP -j icmp_packets # Log weird packets that don't match the above. $IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \ --log-level DEBUG --log-prefix "IPT INPUT packet died: " # # FORWARD chain # # Bad TCP packets we don't want $IPTABLES -A FORWARD -p tcp -j bad_tcp_packets # Accept the packets we actually want to forward $IPTABLES -A FORWARD -p tcp --dport 21 -i $LAN_IFACE1 -j ACCEPT $IPTABLES -A FORWARD -p tcp --dport 21 -i $LAN_IFACE2 -j ACCEPT $IPTABLES -A FORWARD -p tcp --dport 80 -i $LAN_IFACE1 -j ACCEPT $IPTABLES -A FORWARD -p tcp --dport 110 -i $LAN_IFACE1 -j ACCEPT $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # Log weird packets that don't match the above. $IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG \ --log-level DEBUG --log-prefix "IPT FORWARD packet died: " # # OUTPUT chain # # Bad TCP packets we don't want. $IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets # Special OUTPUT rules to decide which IP's to allow. $IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT $IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT $IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT # Log weird packets that don't match the above. $IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \ --log-level DEBUG --log-prefix "IPT OUTPUT packet died: " # # nat table # $IPTABLES -t nat -A PREROUTING -s $LAN_IP1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 $IPTABLES -t nat -A PREROUTING -s $LAN_IP2 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 $IPTABLES -t nat -A PREROUTING -s $LAN_IP1 -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 3128 $IPTABLES -t nat -A PREROUTING -s $LAN_IP2 -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 3128 $IPTABLES -t nat -A PREROUTING -s $LAN_IP1 -p tcp -m tcp --dport 8081 -j REDIRECT --to-ports 3128 $IPTABLES -t nat -A PREROUTING -s $LAN_IP2 -p tcp -m tcp --dport 8081 -j REDIRECT --to-ports 3128 $IPTABLES -t nat -A PREROUTING -s $LAN_IP1 -p tcp -m tcp --dport 1080 -j REDIRECT --to-ports 3128 $IPTABLES -t nat -A PREROUTING -s $LAN_IP2 -p tcp -m tcp --dport 1080 -j REDIRECT --to-ports 3128 $IPTABLES -t nat -A PREROUTING -s $LAN_IP1 -p tcp -m tcp --dport 3128 -j REDIRECT --to-ports 3128 $IPTABLES -t nat -A PREROUTING -s $LAN_IP2 -p tcp -m tcp --dport 3128 -j REDIRECT --to-ports 3128 service iptables save ^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] iptables трансляция протокола 2006-07-06 7:05 ` "Дворников М.В." @ 2006-07-06 8:00 ` Шенцев Алексей Владимирович 2006-07-06 8:09 ` Dmitriy L. Kruglikov 1 sibling, 0 replies; 25+ messages in thread From: Шенцев Алексей Владимирович @ 2006-07-06 8:00 UTC (permalink / raw) To: ALT Linux sysadmin discuss Михаил, по моемоу вы взяли очень дурной пример. Возьмите лучше вот от сюда: http://www.opennet.ru/base/net/iptables_howto.txt.html Есть ещё сайт http://www.iptables.ru Там много примеров, хотя не все мне понравились. -- С уважением Шенцев Алексей Владимирович. E-mail: ashen@nsrz.ru ICQ: 271053845 ^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] iptables трансляция протокола 2006-07-06 7:05 ` "Дворников М.В." 2006-07-06 8:00 ` Шенцев Алексей Владимирович @ 2006-07-06 8:09 ` Dmitriy L. Kruglikov 1 sibling, 0 replies; 25+ messages in thread From: Dmitriy L. Kruglikov @ 2006-07-06 8:09 UTC (permalink / raw) To: ALT Linux sysadmin discuss On Thu, 06 Jul 2006 11:05:10 +0400 Дворников М.В. wrote: > Нужно написать правила для iptables. > Пользователям из локальной сети разрешается работать только с > сервером: прозрачный proxy (squid:3128), postfix, ftp, > pop3/imap. Нельзя обращаться к внешним ftp,smtp,pop3,imap. Не идеально, но у меня работает таким образом: /etc/sysconfig/iptables *nat :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] # У меня два внешних адреса ... # Одна машина имеет полный выход в Инет... -A POSTROUTING -s 192.168.0.253 -d ! 192.168.0.0/255.255.255.0 -o eth1 -j SNAT --to-source 213.хх.хх.хх -A POSTROUTING -s 192.168.0.253 -d ! 192.168.0.0/255.255.255.0 -o ppp0 -j SNAT --to-source 82.хх.хх.хх # Если нужно на определенные порты и/или адреса, то дописать в эти правила # Далее... *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] :BLOCKIT - [0:0] :forward_ext - [0:0] :forward_int - [0:0] :input_ext - [0:0] :input_int - [0:0] :reject_func - [0:0] -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -m state --state NEW -i eth0 -j forward_int # Разрешаем форвардинг из локалки в Инет для определенного адреса -A forward_int -s 192.168.0.253 -d ! 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT # Разрешаем всей локалке подключаться к серверу... -A input_int -d 192.168.0.0/255.255.255.0 -j ACCEPT > > Дополнительно разрешается NAT: > - 1 клиент ntpdate, Лучше поставить свой сервер времени, а локалку на него натравить ... > - 2 клиента несколько портов к определенному ip, > - 1 клиент полный доступ к определенному ip. > По примерам полного доступа, прописать конкретные порты и адреса. -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Смерть и жизнь - во власти языка, и любящие его вкусят от плодов его. -- притчи Соломона ^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] iptables трансляция протокола 2006-07-03 11:56 ` "Дворников М.В." 2006-07-03 12:08 ` Шенцев Алексей Владимирович @ 2006-07-03 12:16 ` Dmitriy L. Kruglikov 2006-07-03 21:48 ` Lego 1 sibling, 1 reply; 25+ messages in thread From: Dmitriy L. Kruglikov @ 2006-07-03 12:16 UTC (permalink / raw) To: ALT Linux sysadmin discuss On Mon, 03 Jul 2006 15:56:27 +0400 Дворников М.В. wrote: > *nat > # kazna > -A POSTROUTING -s 10.X -d 85.158.54.14 -o eth2 -j SNAT > --to-source 193.X Вроде как правильно, если вместо Х нормально прописано... :) А потом, если с портами и протоколами просветление наступит, то можно и дописать правила ... > > *filter > :INPUT ACCEPT [427:75757] > :FORWARD ACCEPT [31:4358] > :OUTPUT ACCEPT [347:154782] > -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT Лучше ставить первой строкой, до всех остальных правил ... Пошустрее будет ... Один раз проверили, и всегда пускаем ... > -A FORWARD -s 10.X -d YYY.YYY.YYY.YYY -j ACCEPT Ну, а это уже на свой вкус и цвет ... -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Сделайте даунгрейд свей системы всего лишь за 59 долларов! Установите Windows! ^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] iptables трансляция протокола 2006-07-03 12:16 ` Dmitriy L. Kruglikov @ 2006-07-03 21:48 ` Lego 0 siblings, 0 replies; 25+ messages in thread From: Lego @ 2006-07-03 21:48 UTC (permalink / raw) To: ALT Linux sysadmin discuss Здравствуйте, Dmitriy. Вы писали 3 июля 2006 г., 16:16:01: > On Mon, 03 Jul 2006 15:56:27 +0400 > Дворников М.В. wrote: >> *nat >> # kazna >> -A POSTROUTING -s 10.X -d 85.158.54.14 -o eth2 -j SNAT >> --to-source 193.X > Вроде как правильно, если вместо Х нормально прописано... :) > А потом, если с портами и протоколами просветление наступит, то > можно и дописать правила ... >> >> *filter >> :INPUT ACCEPT [427:75757] >> :FORWARD ACCEPT [31:4358] >> :OUTPUT ACCEPT [347:154782] >> -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT > Лучше ставить первой строкой, до всех остальных правил ... > Пошустрее будет ... Один раз проверили, и всегда пускаем ... >> -A FORWARD -s 10.X -d YYY.YYY.YYY.YYY -j ACCEPT > Ну, а это уже на свой вкус и цвет ... > -- > Best regards, > Dmitriy L. Kruglikov .--. > Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | > DKR6-RIPE |!_/ | > ICQ# 13047326 // \ \ > XMPP:dkr6@jabber.ru (| | ) > /'\_ _/`\ > Powered by Linux \___)=(___/ > -- Мысль -- > Сделайте даунгрейд свей системы всего лишь за 59 долларов! > Установите Windows! > _______________________________________________ > Sysadmins mailing list > Sysadmins@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/sysadmins А почему не дать конкретной машине нат ??? работатет то всё по по портам и ипишникам... далее убираем с этой же машины днсник и смотрим куда она лазит.... на основе запросов уже и будешь строить правила... -- С уважением, Lego mailto:roomil@rambler.ru ^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] iptables трансляция протокола 2006-07-03 8:14 ` "Дворников М.В." 2006-07-03 8:16 ` Andrii Dobrovol`s`kii 2006-07-03 8:22 ` Шенцев Алексей Владимирович @ 2006-07-03 8:28 ` Dmitriy L. Kruglikov 2 siblings, 0 replies; 25+ messages in thread From: Dmitriy L. Kruglikov @ 2006-07-03 8:28 UTC (permalink / raw) To: ALT Linux sysadmin discuss On Mon, 03 Jul 2006 12:14:52 +0400 Дворников М.В. wrote: > Клиент (континент) создает vpn, в настройках сетевого > соединения Win помимо tcp/ip есть еще один протокол от этой > программы. А не пойдет ли это соединение по правилам RELATED ? Тогда, вроде, и прописывать ничего не нужно... -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Лишь в конце работы мы обычно узнаем, с чего нужно было ее начинать. -- Паскаль ^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] iptables трансляция протокола 2006-07-03 7:57 [Sysadmins] iptables трансляция протокола "Дворников М.В." 2006-07-03 8:00 ` Serge 2006-07-03 8:03 ` Шенцев Алексей Владимирович @ 2006-07-06 6:43 ` Maxim Britov 2006-07-06 7:00 ` "Дворников М.В." 2 siblings, 1 reply; 25+ messages in thread From: Maxim Britov @ 2006-07-06 6:43 UTC (permalink / raw) To: sysadmins On Mon, 03 Jul 2006 11:57:05 +0400 Дворников М.В. wrote: > Есть программа для связи с федеральным казначейством ("КОНТИНЕТ"). > Моя сеть с одним реальным ip на шлюзе. > Администратор казначейства сказал, что нужно открыть 3 порта tcp > и один udp, самое непонятное еще требуется протокол ip250 > (тот что в /etc/protocols должен быть под номером 250). > Что делать с ip250 непонятно... iptables ... -p 250 ... The specified protocol can be one of tcp, udp, icmp, or all, or it can be a numeric value, representing one of these protocols or a different one. -- Maxim Britov Modum.by (http://www.modum.by), system administrator GnuPG KeyID 0x4580A6D66F3DB1FB xmpp:maxim@modum.by icq 198171258 GnuPG-ru Team (http://lists.gnupg.org/mailman/listinfo/gnupg-ru) ^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] iptables трансляция протокола 2006-07-06 6:43 ` Maxim Britov @ 2006-07-06 7:00 ` "Дворников М.В." 2006-07-06 7:07 ` Шенцев Алексей Владимирович 0 siblings, 1 reply; 25+ messages in thread From: "Дворников М.В." @ 2006-07-06 7:00 UTC (permalink / raw) To: ALT Linux sysadmin discuss Maxim Britov пишет: > iptables ... -p 250 ... > The specified protocol can be one of tcp, udp, icmp, or all, > or it can be a numeric value, representing one of these protocols or a different one. -p 250 iptables - не понимает, не находит нужный модуль. -p all или тоже самое без указания -p all. -- С уважением, Дворников Михаил. ^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] iptables трансляция протокола 2006-07-06 7:00 ` "Дворников М.В." @ 2006-07-06 7:07 ` Шенцев Алексей Владимирович 2006-07-06 7:40 ` "Дворников М.В." 0 siblings, 1 reply; 25+ messages in thread From: Шенцев Алексей Владимирович @ 2006-07-06 7:07 UTC (permalink / raw) To: ALT Linux sysadmin discuss В сообщении от 6 июля 2006 11:00 Дворников М.В. написал(a): > -p 250 iptables - не понимает, не находит нужный модуль. > -p all или тоже самое без указания -p all. Михаил, а просто перенаправление трафика с машинки клиента казначейства на их сервер не помогает? -- С уважением Шенцев Алексей Владимирович. E-mail: ashen@nsrz.ru ICQ: 271053845 ^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] iptables трансляция протокола 2006-07-06 7:07 ` Шенцев Алексей Владимирович @ 2006-07-06 7:40 ` "Дворников М.В." 2006-07-06 7:44 ` Шенцев Алексей Владимирович 0 siblings, 1 reply; 25+ messages in thread From: "Дворников М.В." @ 2006-07-06 7:40 UTC (permalink / raw) To: ALT Linux sysadmin discuss Шенцев Алексей Владимирович пишет: > В сообщении от 6 июля 2006 11:00 Дворников М.В. написал(a): >> -p 250 iptables - не понимает, не находит нужный модуль. >> -p all или тоже самое без указания -p all. > Михаил, а просто перенаправление трафика с машинки клиента казначейства на их > сервер не помогает? Пока до соединения с казначейством не дошел :) Страшно открывать полный доступ при отсутствии правил. -- С уважением, Дворников Михаил. ^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Sysadmins] iptables трансляция протокола 2006-07-06 7:40 ` "Дворников М.В." @ 2006-07-06 7:44 ` Шенцев Алексей Владимирович 0 siblings, 0 replies; 25+ messages in thread From: Шенцев Алексей Владимирович @ 2006-07-06 7:44 UTC (permalink / raw) To: ALT Linux sysadmin discuss В сообщении от 6 июля 2006 11:40 Дворников М.В. написал(a): > Пока до соединения с казначейством не дошел :) > Страшно открывать полный доступ при отсутствии правил. Ну не полный доступ и не куда попало, а только на строго заданный ip-адрес и не с инета, а отвас. И ни куда пользователь на другой ip-адрес не пойдёт, система ему покажет фигу с маслом. Сейчас смотрю ваш скрипт, как ни странно, но вы в нём чуть ли не полный доступ всем и вся у себя открываете ... :) -- С уважением Шенцев Алексей Владимирович. E-mail: ashen@nsrz.ru ICQ: 271053845 ^ permalink raw reply [flat|nested] 25+ messages in thread
end of thread, other threads:[~2006-07-06 8:09 UTC | newest] Thread overview: 25+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2006-07-03 7:57 [Sysadmins] iptables трансляция протокола "Дворников М.В." 2006-07-03 8:00 ` Serge 2006-07-03 8:03 ` Шенцев Алексей Владимирович 2006-07-03 8:14 ` "Дворников М.В." 2006-07-03 8:16 ` Andrii Dobrovol`s`kii 2006-07-03 8:23 ` "Дворников М.В." 2006-07-03 9:01 ` Andrii Dobrovol`s`kii 2006-07-03 9:09 ` Dmytro O. Redchuk 2006-07-03 8:22 ` Шенцев Алексей Владимирович 2006-07-03 10:47 ` "Дворников М.В." 2006-07-03 10:51 ` Шенцев Алексей Владимирович 2006-07-03 11:23 ` Dmitriy L. Kruglikov 2006-07-03 11:56 ` "Дворников М.В." 2006-07-03 12:08 ` Шенцев Алексей Владимирович 2006-07-06 7:05 ` "Дворников М.В." 2006-07-06 8:00 ` Шенцев Алексей Владимирович 2006-07-06 8:09 ` Dmitriy L. Kruglikov 2006-07-03 12:16 ` Dmitriy L. Kruglikov 2006-07-03 21:48 ` Lego 2006-07-03 8:28 ` Dmitriy L. Kruglikov 2006-07-06 6:43 ` Maxim Britov 2006-07-06 7:00 ` "Дворников М.В." 2006-07-06 7:07 ` Шенцев Алексей Владимирович 2006-07-06 7:40 ` "Дворников М.В." 2006-07-06 7:44 ` Шенцев Алексей Владимирович
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git