ALT Linux sysadmins discussion
 help / color / mirror / Atom feed
* [Sysadmins] iptables трансляция протокола
@ 2006-07-03  7:57 "Дворников М.В."
  2006-07-03  8:00 ` Serge
                   ` (2 more replies)
  0 siblings, 3 replies; 25+ messages in thread
From: "Дворников М.В." @ 2006-07-03  7:57 UTC (permalink / raw)
  To: Sysadmins

Есть программа для связи с федеральным казначейством ("КОНТИНЕТ").
Моя сеть с одним реальным ip на шлюзе.
Администратор казначейства сказал, что нужно открыть 3 порта tcp
и один udp, самое непонятное еще требуется протокол ip250
(тот что в /etc/protocols должен быть под номером 250).

С tcp и udp разобрался:
-A POSTROUTING -s 10.X -o eth2 -p tcp -m tcp --dport 4000 -j SNAT 
--to-source 193.X
-A POSTROUTING -s 10.X -o eth2 -p udp -m udp --dport 4000 -j SNAT 
--to-source 193.X

Что делать с ip250 непонятно...
-- 
С уважением, Дворников Михаил.


^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables трансляция протокола
  2006-07-03  7:57 [Sysadmins] iptables трансляция протокола "Дворников М.В."
@ 2006-07-03  8:00 ` Serge
  2006-07-03  8:03 ` Шенцев Алексей Владимирович
  2006-07-06  6:43 ` Maxim Britov
  2 siblings, 0 replies; 25+ messages in thread
From: Serge @ 2006-07-03  8:00 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

В сообщении от Понедельник 03 Июль 2006 10:57 "Дворников М.В." написал(a):
> Есть программа для связи с федеральным казначейством ("КОНТИНЕТ").
> Моя сеть с одним реальным ip на шлюзе.
> Администратор казначейства сказал, что нужно открыть 3 порта tcp
> и один udp, самое непонятное еще требуется протокол ip250
> (тот что в /etc/protocols должен быть под номером 250).
>
> С tcp и udp разобрался:
> -A POSTROUTING -s 10.X -o eth2 -p tcp -m tcp --dport 4000 -j SNAT
> --to-source 193.X
> -A POSTROUTING -s 10.X -o eth2 -p udp -m udp --dport 4000 -j SNAT
> --to-source 193.X
>
> Что делать с ip250 непонятно...
tcpdump Вам поможет


^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables трансляция протокола
  2006-07-03  7:57 [Sysadmins] iptables трансляция протокола "Дворников М.В."
  2006-07-03  8:00 ` Serge
@ 2006-07-03  8:03 ` Шенцев Алексей Владимирович
  2006-07-03  8:14   ` "Дворников М.В."
  2006-07-06  6:43 ` Maxim Britov
  2 siblings, 1 reply; 25+ messages in thread
From: Шенцев Алексей Владимирович @ 2006-07-03  8:03 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

В сообщении от 3 июля 2006 11:57 Дворников М.В. написал(a):
> Есть программа для связи с федеральным казначейством ("КОНТИНЕТ").
> Моя сеть с одним реальным ip на шлюзе.
> Администратор казначейства сказал, что нужно открыть 3 порта tcp
> и один udp, самое непонятное еще требуется протокол ip250
> (тот что в /etc/protocols должен быть под номером 250).
>
> С tcp и udp разобрался:
> -A POSTROUTING -s 10.X -o eth2 -p tcp -m tcp --dport 4000 -j SNAT
> --to-source 193.X
> -A POSTROUTING -s 10.X -o eth2 -p udp -m udp --dport 4000 -j SNAT
> --to-source 193.X
Связь как происходит: соединение инициируется от вами или казначейством?
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845

^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables трансляция протокола
  2006-07-03  8:03 ` Шенцев Алексей Владимирович
@ 2006-07-03  8:14   ` "Дворников М.В."
  2006-07-03  8:16     ` Andrii Dobrovol`s`kii
                       ` (2 more replies)
  0 siblings, 3 replies; 25+ messages in thread
From: "Дворников М.В." @ 2006-07-03  8:14 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Шенцев Алексей Владимирович пишет:
> В сообщении от 3 июля 2006 11:57 Дворников М.В. написал(a):
>> Есть программа для связи с федеральным казначейством ("КОНТИНЕТ").
>> Моя сеть с одним реальным ip на шлюзе.
>> Администратор казначейства сказал, что нужно открыть 3 порта tcp
>> и один udp, самое непонятное еще требуется протокол ip250
>> (тот что в /etc/protocols должен быть под номером 250).
>>
>> С tcp и udp разобрался:
>> -A POSTROUTING -s 10.X -o eth2 -p tcp -m tcp --dport 4000 -j SNAT
>> --to-source 193.X
>> -A POSTROUTING -s 10.X -o eth2 -p udp -m udp --dport 4000 -j SNAT
>> --to-source 193.X
> Связь как происходит: соединение инициируется от вами или казначейством?

По словам администратора казначейства мы первыми должны устанавливливать
связь. Клиент (континент) создает vpn, в настройках сетевого соединения
Win помимо tcp/ip есть еще один протокол от этой программы.
-- 
С уважением, Дворников Михаил.


^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables трансляция протокола
  2006-07-03  8:14   ` "Дворников М.В."
@ 2006-07-03  8:16     ` Andrii Dobrovol`s`kii
  2006-07-03  8:23       ` "Дворников М.В."
  2006-07-03  8:22     ` Шенцев Алексей Владимирович
  2006-07-03  8:28     ` Dmitriy L. Kruglikov
  2 siblings, 1 reply; 25+ messages in thread
From: Andrii Dobrovol`s`kii @ 2006-07-03  8:16 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

[-- Attachment #1: Type: text/plain, Size: 1415 bytes --]

Дворников М.В. пишет:
> Шенцев Алексей Владимирович пишет:
>> В сообщении от 3 июля 2006 11:57 Дворников М.В. написал(a):
>>> Есть программа для связи с федеральным казначейством ("КОНТИНЕТ").
>>> Моя сеть с одним реальным ip на шлюзе.
>>> Администратор казначейства сказал, что нужно открыть 3 порта tcp
>>> и один udp, самое непонятное еще требуется протокол ip250
>>> (тот что в /etc/protocols должен быть под номером 250).
>>>
>>> С tcp и udp разобрался:
>>> -A POSTROUTING -s 10.X -o eth2 -p tcp -m tcp --dport 4000 -j SNAT
>>> --to-source 193.X
>>> -A POSTROUTING -s 10.X -o eth2 -p udp -m udp --dport 4000 -j SNAT
>>> --to-source 193.X
>> Связь как происходит: соединение инициируется от вами или казначейством?
> 
> По словам администратора казначейства мы первыми должны устанавливливать
> связь. Клиент (континент) создает vpn, в настройках сетевого соединения
> Win помимо tcp/ip есть еще один протокол от этой программы.
Тогда, либо читать описание протокола и открывать/транслировать что
ему надо, либо таки tcpdump.
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables трансляция протокола
  2006-07-03  8:14   ` "Дворников М.В."
  2006-07-03  8:16     ` Andrii Dobrovol`s`kii
@ 2006-07-03  8:22     ` Шенцев Алексей Владимирович
  2006-07-03 10:47       ` "Дворников М.В."
  2006-07-03  8:28     ` Dmitriy L. Kruglikov
  2 siblings, 1 reply; 25+ messages in thread
From: Шенцев Алексей Владимирович @ 2006-07-03  8:22 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

В сообщении от 3 июля 2006 12:14 Дворников М.В. написал(a):
> По словам администратора казначейства мы первыми должны устанавливливать
> связь. Клиент (континент) создает vpn, в настройках сетевого соединения
> Win помимо tcp/ip есть еще один протокол от этой программы.
У меня примерно так же для программ типа "Банк-клиент". Сделал следующее:
$IPTABLES -t nat  -A POSTROUTING -s $BANK_USER_IP1 -d $BANK_IP -o 
$INET_IFACE -j SNAT --to-source $INET_IP

$IPTABLES -A FORWARD -s $BANK_USER_IP1 -d $BANK_IP -j ACCEPT
$IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

где $BANK_USER_IP1 - ip-адрес пользователя из диапазона ip-адресов нашей ЛВС 
(сеть класса C - 192.168.*.*), $BANK_IP - инет ip-адрес сервера банка, 
$INET_IFACE - интерфейс, смотрящий в инет,  $INET_IP - наш интернетовский 
ip-адрес.
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845

^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables трансляция протокола
  2006-07-03  8:16     ` Andrii Dobrovol`s`kii
@ 2006-07-03  8:23       ` "Дворников М.В."
  2006-07-03  9:01         ` Andrii Dobrovol`s`kii
  2006-07-03  9:09         ` Dmytro O. Redchuk
  0 siblings, 2 replies; 25+ messages in thread
From: "Дворников М.В." @ 2006-07-03  8:23 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Andrii Dobrovol`s`kii пишет:
> Дворников М.В. пишет:
>> Шенцев Алексей Владимирович пишет:
>>> В сообщении от 3 июля 2006 11:57 Дворников М.В. написал(a):
>>>> Есть программа для связи с федеральным казначейством ("КОНТИНЕТ").
>>>> Моя сеть с одним реальным ip на шлюзе.
>>>> Администратор казначейства сказал, что нужно открыть 3 порта tcp
>>>> и один udp, самое непонятное еще требуется протокол ip250
>>>> (тот что в /etc/protocols должен быть под номером 250).
>>>>
>>>> С tcp и udp разобрался:
>>>> -A POSTROUTING -s 10.X -o eth2 -p tcp -m tcp --dport 4000 -j SNAT
>>>> --to-source 193.X
>>>> -A POSTROUTING -s 10.X -o eth2 -p udp -m udp --dport 4000 -j SNAT
>>>> --to-source 193.X
>>> Связь как происходит: соединение инициируется от вами или казначейством?
>> По словам администратора казначейства мы первыми должны устанавливливать
>> связь. Клиент (континент) создает vpn, в настройках сетевого соединения
>> Win помимо tcp/ip есть еще один протокол от этой программы.
> Тогда, либо читать описание протокола и открывать/транслировать что
> ему надо, либо таки tcpdump.

Как разрешить /etc/protocols N=250.
Сейчас он в файле не упоминается.
iptables может работать только с tcp,udp,icmp?
-- 
С уважением, Дворников Михаил.


^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables трансляция протокола
  2006-07-03  8:14   ` "Дворников М.В."
  2006-07-03  8:16     ` Andrii Dobrovol`s`kii
  2006-07-03  8:22     ` Шенцев Алексей Владимирович
@ 2006-07-03  8:28     ` Dmitriy L. Kruglikov
  2 siblings, 0 replies; 25+ messages in thread
From: Dmitriy L. Kruglikov @ 2006-07-03  8:28 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

On Mon, 03 Jul 2006 12:14:52 +0400
Дворников М.В. wrote:

>  Клиент (континент) создает vpn, в настройках сетевого
> соединения Win помимо tcp/ip есть еще один протокол от этой
> программы.

А не пойдет ли это соединение по правилам RELATED ?
Тогда, вроде, и прописывать ничего не нужно...



--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_orionagro.com.ua   |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
 XMPP:dkr6@jabber.ru                   (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Лишь в конце работы мы обычно узнаем, с чего нужно было ее
начинать. -- Паскаль


^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables трансляция протокола
  2006-07-03  8:23       ` "Дворников М.В."
@ 2006-07-03  9:01         ` Andrii Dobrovol`s`kii
  2006-07-03  9:09         ` Dmytro O. Redchuk
  1 sibling, 0 replies; 25+ messages in thread
From: Andrii Dobrovol`s`kii @ 2006-07-03  9:01 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

[-- Attachment #1: Type: text/plain, Size: 2165 bytes --]

Дворников М.В. пишет:
> Andrii Dobrovol`s`kii пишет:
>> Дворников М.В. пишет:
>>> Шенцев Алексей Владимирович пишет:
>>>> В сообщении от 3 июля 2006 11:57 Дворников М.В. написал(a):
>>>>> Есть программа для связи с федеральным казначейством ("КОНТИНЕТ").
>>>>> Моя сеть с одним реальным ip на шлюзе.
>>>>> Администратор казначейства сказал, что нужно открыть 3 порта tcp
>>>>> и один udp, самое непонятное еще требуется протокол ip250
>>>>> (тот что в /etc/protocols должен быть под номером 250).
>>>>>
>>>>> С tcp и udp разобрался:
>>>>> -A POSTROUTING -s 10.X -o eth2 -p tcp -m tcp --dport 4000 -j SNAT
>>>>> --to-source 193.X
>>>>> -A POSTROUTING -s 10.X -o eth2 -p udp -m udp --dport 4000 -j SNAT
>>>>> --to-source 193.X
>>>> Связь как происходит: соединение инициируется от вами или казначейством?
>>> По словам администратора казначейства мы первыми должны устанавливливать
>>> связь. Клиент (континент) создает vpn, в настройках сетевого соединения
>>> Win помимо tcp/ip есть еще один протокол от этой программы.
>> Тогда, либо читать описание протокола и открывать/транслировать что
>> ему надо, либо таки tcpdump.
> 
> Как разрешить /etc/protocols N=250.
> Сейчас он в файле не упоминается.
> iptables может работать только с tcp,udp,icmp?
Насколько я помню, /etc/protocols ничего не разрешает. Он описывает,
как и /etc/services. Поэтому, для получения представления о
протоколе нужно найти документацию на него. Там будет описано на
основе чего он строится и какие порты и как использует. Думаю, что
транспорт будет на TCP/IP по некоторым портам. Вот их и нужно будет
открыть/оттранслировать. Хотя, если клиент устанавливает vpn,
возможно там вообще и транспорт свой.
И вообще, просто поднимите этот впн и посмотрите. Может больше
ничего и не потребуется.
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables трансляция протокола
  2006-07-03  8:23       ` "Дворников М.В."
  2006-07-03  9:01         ` Andrii Dobrovol`s`kii
@ 2006-07-03  9:09         ` Dmytro O. Redchuk
  1 sibling, 0 replies; 25+ messages in thread
From: Dmytro O. Redchuk @ 2006-07-03  9:09 UTC (permalink / raw)
  To: Дворников
	М.В.
  Cc: ALT Linux sysadmin discuss

On Mon, Jul 03, 2006 at 12:23:50PM +0400, "Дворников М.В." wrote:
> Andrii Dobrovol`s`kii пишет:
> > Дворников М.В. пишет:
> >> Шенцев Алексей Владимирович пишет:
> >>> В сообщении от 3 июля 2006 11:57 Дворников М.В. написал(a):
> >>>> Есть программа для связи с федеральным казначейством ("КОНТИНЕТ").
> >>>> Моя сеть с одним реальным ip на шлюзе.
> >>>> Администратор казначейства сказал, что нужно открыть 3 порта tcp
> >>>> и один udp, самое непонятное еще требуется протокол ip250
> >>>> (тот что в /etc/protocols должен быть под номером 250).
> >>>>
> >>>> С tcp и udp разобрался:
> >>>> -A POSTROUTING -s 10.X -o eth2 -p tcp -m tcp --dport 4000 -j SNAT
> >>>> --to-source 193.X
> >>>> -A POSTROUTING -s 10.X -o eth2 -p udp -m udp --dport 4000 -j SNAT
> >>>> --to-source 193.X
> >>> Связь как происходит: соединение инициируется от вами или казначейством?
> >> По словам администратора казначейства мы первыми должны устанавливливать
> >> связь. Клиент (континент) создает vpn, в настройках сетевого соединения
> >> Win помимо tcp/ip есть еще один протокол от этой программы.
> > Тогда, либо читать описание протокола и открывать/транслировать что
> > ему надо, либо таки tcpdump.
> 
> Как разрешить /etc/protocols N=250.
> Сейчас он в файле не упоминается.
В файле можно вписать всё, что угодно, например:
bankclient	250	BACLI	# Our Bank-Client Application


> iptables может работать только с tcp,udp,icmp?
Я думаю, что этот 250 инкапсулируется в IP?
(Должен же он как-то до вас доходить?)

Вот как раз и "поможет tcpdump", я думаю.

> -- 
> С уважением, Дворников Михаил.

-- 
  _,-=._              /|_/|
  `-.}   `=._,.-=-._.,  @ @._,
     `._ _,-.   )      _,.-'
        `    G.m-"^m`m'        Dmytro O. Redchuk




^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables трансляция протокола
  2006-07-03  8:22     ` Шенцев Алексей Владимирович
@ 2006-07-03 10:47       ` "Дворников М.В."
  2006-07-03 10:51         ` Шенцев Алексей Владимирович
  2006-07-03 11:23         ` Dmitriy L. Kruglikov
  0 siblings, 2 replies; 25+ messages in thread
From: "Дворников М.В." @ 2006-07-03 10:47 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Шенцев Алексей Владимирович пишет:
> В сообщении от 3 июля 2006 12:14 Дворников М.В. написал(a):
>> По словам администратора казначейства мы первыми должны устанавливливать
>> связь. Клиент (континент) создает vpn, в настройках сетевого соединения
>> Win помимо tcp/ip есть еще один протокол от этой программы.
> У меня примерно так же для программ типа "Банк-клиент". Сделал следующее:
> $IPTABLES -t nat  -A POSTROUTING -s $BANK_USER_IP1 -d $BANK_IP -o 
> $INET_IFACE -j SNAT --to-source $INET_IP
> 
> $IPTABLES -A FORWARD -s $BANK_USER_IP1 -d $BANK_IP -j ACCEPT
> $IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
> 
> где $BANK_USER_IP1 - ip-адрес пользователя из диапазона ip-адресов нашей ЛВС 
> (сеть класса C - 192.168.*.*), $BANK_IP - инет ip-адрес сервера банка, 
> $INET_IFACE - интерфейс, смотрящий в инет,  $INET_IP - наш интернетовский 
> ip-адрес.

Первая команда разрешает трансляцию для всех портов и протоколов?
Наверно это не очень хорошо.
-- 
С уважением, Дворников Михаил.


^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables трансляция протокола
  2006-07-03 10:47       ` "Дворников М.В."
@ 2006-07-03 10:51         ` Шенцев Алексей Владимирович
  2006-07-03 11:23         ` Dmitriy L. Kruglikov
  1 sibling, 0 replies; 25+ messages in thread
From: Шенцев Алексей Владимирович @ 2006-07-03 10:51 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

В сообщении от 3 июля 2006 14:47 Дворников М.В. написал(a):
> Первая команда разрешает трансляцию для всех портов и протоколов?
> Наверно это не очень хорошо.
Возможно, но это идёт только на один единственный ip-адрес в инете. Больше ни 
куда. Можно конечно в данном случаи пойти по пути проброски портов между эти 
ip-адресами, но мучась с этим типом прог в прошлом году у меня заработало 
именно так. Советы же из рассылки не помогли ... :-S Ну капризные бывают 
иногда эти проги ... :)
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845

^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables трансляция протокола
  2006-07-03 10:47       ` "Дворников М.В."
  2006-07-03 10:51         ` Шенцев Алексей Владимирович
@ 2006-07-03 11:23         ` Dmitriy L. Kruglikov
  2006-07-03 11:56           ` "Дворников М.В."
  1 sibling, 1 reply; 25+ messages in thread
From: Dmitriy L. Kruglikov @ 2006-07-03 11:23 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

On Mon, 03 Jul 2006 14:47:08 +0400
Дворников М.В. wrote:

> Первая команда разрешает трансляцию для всех портов и
> протоколов? Наверно это не очень хорошо.
Если имеется в виду 
$IPTABLES -t nat  -A POSTROUTING -s $BANK_USER_IP1 -d $BANK_IP -o $INET_IFACE -j SNAT --to-source $INET_IP
То это всего лишь NAT ...
Будет транслировано все, что будет разрешено последующими правилами ...




--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_orionagro.com.ua   |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
 XMPP:dkr6@jabber.ru                   (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Чтобы многого достичь надо от многого отказаться. 
		-- Евгений Кащеев


^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables трансляция протокола
  2006-07-03 11:23         ` Dmitriy L. Kruglikov
@ 2006-07-03 11:56           ` "Дворников М.В."
  2006-07-03 12:08             ` Шенцев Алексей Владимирович
  2006-07-03 12:16             ` Dmitriy L. Kruglikov
  0 siblings, 2 replies; 25+ messages in thread
From: "Дворников М.В." @ 2006-07-03 11:56 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Dmitriy L. Kruglikov пишет:
> On Mon, 03 Jul 2006 14:47:08 +0400
> Дворников М.В. wrote:
> 
>> Первая команда разрешает трансляцию для всех портов и
>> протоколов? Наверно это не очень хорошо.
> Если имеется в виду 
> $IPTABLES -t nat  -A POSTROUTING -s $BANK_USER_IP1 -d $BANK_IP -o $INET_IFACE -j SNAT --to-source $INET_IP
> То это всего лишь NAT ...
> Будет транслировано все, что будет разрешено последующими правилами ...

/etc/sysconfig/iptables
*nat
:PREROUTING ACCEPT [49:10802]
:POSTROUTING ACCEPT [11:1372]
:OUTPUT ACCEPT [4:215]

# proxy
-A PREROUTING -s 10.X/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT 
--to-ports 3128

# kazna
-A POSTROUTING -s 10.X -d 85.158.54.14 -o eth2 -j SNAT --to-source 193.X

*filter
:INPUT ACCEPT [427:75757]
:FORWARD ACCEPT [31:4358]
:OUTPUT ACCEPT [347:154782]

-A FORWARD -s 10.X -d YYY.YYY.YYY.YYY -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Сейчас iptables использовался только для прозрачного прокси.
Если так напишу, строки с FORWARD будут влиять или все и так разрешено?
Давно хотел переписать все правила правильно (file.sh).
На шлюзе много всяких сервисов и боюсь не осилю.
-- 
С уважением, Дворников Михаил.


^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables трансляция протокола
  2006-07-03 11:56           ` "Дворников М.В."
@ 2006-07-03 12:08             ` Шенцев Алексей Владимирович
  2006-07-06  7:05               ` "Дворников М.В."
  2006-07-03 12:16             ` Dmitriy L. Kruglikov
  1 sibling, 1 reply; 25+ messages in thread
From: Шенцев Алексей Владимирович @ 2006-07-03 12:08 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

В сообщении от 3 июля 2006 15:56 Дворников М.В. написал(a):
> *nat
> :PREROUTING ACCEPT [49:10802]
> :POSTROUTING ACCEPT [11:1372]
> :OUTPUT ACCEPT [4:215]
?! У вас всё разрешено ?! 
>
> # proxy
> -A PREROUTING -s 10.X/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT
> --to-ports 3128
Ага вот тут и засада. Вместо отправки на соединение с казначейством у вас 
будет заворачивать трафик на прокси сервер. У вас перед тем как будут 
отработано правило для работы с казначейством сработает сначала правило, 
перенаправляющее трафик на прокси, так что до казначейства трафик не дойдёт. 
Сначало работает PREROUTING, а потом POSTROUTING.
Вам надо полностью перестроить правила для вашего файервола.  Пример скрипта 
настройки iptables:
______________________________________
#!/bin/sh
#
service iptables stop
#  для удобства, ибо интерфейсов несколько
INET_IFACE="eth1" #вместо ethX может стоять и pppX и любой другой интерфейс
LAN_IFACE="eth0"
INET_IP=""
LAN_IP=""
LAN=""
LAN_MASK="24"
BANK_IP=""
BANK_USER_IP1=""
ADMIN_IP1=""
FREE_USER_IP1=""
# тоже для удобства
IPTABLES="/sbin/iptables"
# включаем пересылку пакетов
#echo 1 > /proc/sys/net/ipv4/ip_forward
# стандартные действия
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP
# удаляем все имеющиеся правила
$IPTABLES -F
$IPTABLES -X
# создаем свои цепочки
# отбрасываем tcp с неправильными флагами
$IPTABLES -N bad_tcp_packets
# tcp, прошедшие основную проверку
$IPTABLES -N allowed
# все пакеты соотв. протоколов
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets
# безусловно разрешаем соединения по локальному интерфейсу (loopback, 
127.0.0.1)
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
# безусловно разрешаем соединения по интерфейсу ЛВС (et0)
$IPTABLES -A INPUT -i $LAN_IFACE -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN_IFACE -j ACCEPT
# сюда пойдут все tcp-пакеты, и будут отброшены имеющие статус NEW, но не 
имеющие флагов SYN,ACK
# предохраняет от определенных типов атак, подробности в приложении B4 к 
Iptables Tutorial
$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m 
state --state NEW -j DROP
# принимаем все пакеты, относящиеся к уже установленным соединениям
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
# а все остальные из этой цепочки сбрасываем
$IPTABLES -A allowed -j DROP
# здесь открываем  некоторые порты, т.к. по умолчанию мы закрыли всё
# Слушаем DNS
$IPTABLES -A tcp_packets -p TCP -s 0/0 --sport 53 -j ACCEPT                                     
# Domain Name Server
$IPTABLES -A udp_packets -p UDP -s 0/0 --sport 53 -j ACCEPT                                     
# Domain Name Server
# Принимаем
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 20 -j ACCEPT                                   
# File Transfer [Default Data]
#$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 20 -j ACCEPT                                   
# File Transfer [Default Data]
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 21 -j ACCEPT                                   
# File Transfer [Control]
#$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 21 -j ACCEPT                                   
# File Transfer [Control]
$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 25 -j ACCEPT                                    
# Simple Mail Transfer Protocol
$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 25 -j ACCEPT                                    
# Simple Mail Transfer Protocol
$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 110 -j ACCEPT                                   
# Post Office Protocol - Version 3
$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 110 -j ACCEPT                                   
# Post Office Protocol - Version 3
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 995 -j ACCEPT                                  
# pop3 protocol over TLS/SSL
#$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 995 -j ACCEPT                                  
# pop3 protocol over TLS/SSL
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 143 -j ACCEPT                                  
# IMAP2
#$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 143 -j ACCEPT                                  
# IMAP2
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m udp --dport 220 -j ACCEPT                                  
# IMAP3
#$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 220 -j ACCEPT                                  
# IMAP3
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 993 -j ACCEPT                                  
# IMAP4
#$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 993 -j ACCEPT                                  
# IMAP4
$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 80 -j ACCEPT                                    
# World Wide Web HTTP
$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 80 -j ACCEPT                                    
# World Wide Web HTTP
#$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 443 -j ACCEPT                                  
# http protocol over TLS/SS
#$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 443 -j ACCEPT                                  
# http protocol over TLS/SS
$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 5222 -j ACCEPT                                  
# Jabber Client Connection
$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 5222 -j ACCEPT                                  
# Jabber Client Connection
$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --dport 5269 -j ACCEPT                                  
# Jabber Server Connection
$IPTABLES -A INPUT -i $INET_IFACE -p udp -m udp --dport 5269 -j ACCEPT                                  
# Jabber Server Connection
#Ну а теперь займёмся организацией выхода в инет определённых категорий юзеров
#Админу можно всё ... :)
$IPTABLES -t nat -A POSTROUTING -s $ADMIN_IP1 -d ! $LAN/$LAN_MASK -o 
$INET_IFACE -j SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $ADMIN_IP1 -d ! $LAN/$LAN_MASK -j ACCEPT
#Форвардинг для блатных, когда админ добрый
#$IPTABLES -t nat  -A POSTROUTING -s $FREE_USER_IP1 -d ! $LAN/$LAN_MASK -o 
$INET_IFACE -j SNAT --to-source $INET_IP
#$IPTABLES -A FORWARD -s $FREE_USER_IP1 -d ! $LAN/$LAN_MASK -j ACCEPT
# NAT для программ типа банк-клиент, не желающих работать через прокси-сервер.
# Для этих прошрамм нужно у клиента отключить прокси-сервер для ftp.
$IPTABLES -t nat  -A POSTROUTING -s $BANK_USER_IP1 -d $BANK_IP -o 
$INET_IFACE -j SNAT --to-source $INET_IP
$IPTABLES -A FORWARD -s $BANK_USER_IP1 -d $BANK_IP -j ACCEPT
# Принимаем установленное соеденения на $INET_IFACE
$IPTABLES -A INPUT -i $INET_IFACE -m state --state RELATED,ESTABLISHED -j 
ACCEPT
# Принимаем форвардинг для установленных соединений
$IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
# Пишем лог для входящих соеденений на $INET_IFACE
$IPTABLES -A INPUT -i $INET_IFACE -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j 
LOG --log-level 7 --log-tcp-option
# Пишем лог для исходящих соеденений на $INET_IFACE
$IPTABLES -A OUTPUT -o $INET_IFACE -p tcp -m tcp --tcp-flags FIN,SYN,ACK 
SYN -j LOG --log-level 7 --log-tcp-option
# настал черед ICMP ...
# из-за системы видеоконфиренции, использующую icmp, придётся его разрешить,
# но ограничем 5-ю пакетами в секунду и максимальным размером в 110 байт
$IPTABLES -A INPUT -p icmp -i $INET_IFACE -m limit -m length --limit 
5/second --limit-burst 10 --length :110 -j ACCEPT
# по поводу отправки будет менее жадны - 10 пакетов в секунду
$IPTABLES -A OUTPUT -p icmp -o $INET_IFACE -m limit -m length --limit 
10/second --limit-burst 20 --length :110 -j ACCEPT
# разводим пакеты по соотв. цепочкам
# tcp уходит на доп. проверку
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets
# все пакеты, относящиеся к уже установленным соединениям (для tcp
# из-за отдельной цепочки пришлось это правило еще раз указать выше)
$IPTABLES -A INPUT -p ALL -i $INET_IFACE -m state --state 
ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
service iptables save

-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845

^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables трансляция протокола
  2006-07-03 11:56           ` "Дворников М.В."
  2006-07-03 12:08             ` Шенцев Алексей Владимирович
@ 2006-07-03 12:16             ` Dmitriy L. Kruglikov
  2006-07-03 21:48               ` Lego
  1 sibling, 1 reply; 25+ messages in thread
From: Dmitriy L. Kruglikov @ 2006-07-03 12:16 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

On Mon, 03 Jul 2006 15:56:27 +0400
Дворников М.В. wrote:
> *nat
> # kazna
> -A POSTROUTING -s 10.X -d 85.158.54.14 -o eth2 -j SNAT
> --to-source 193.X
Вроде как правильно, если вместо Х нормально прописано... :)
А потом, если с портами и протоколами просветление наступит, то
можно и дописать правила ...

> 
> *filter
> :INPUT ACCEPT [427:75757]
> :FORWARD ACCEPT [31:4358]
> :OUTPUT ACCEPT [347:154782]
> -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
Лучше ставить первой строкой, до всех остальных правил ...
Пошустрее будет ... Один раз проверили, и всегда пускаем ...

> -A FORWARD -s 10.X -d YYY.YYY.YYY.YYY -j ACCEPT
Ну, а это уже на свой вкус и цвет ...



--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_orionagro.com.ua   |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
 XMPP:dkr6@jabber.ru                   (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Сделайте даунгрейд свей системы всего лишь за 59 долларов!
Установите Windows!


^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables трансляция протокола
  2006-07-03 12:16             ` Dmitriy L. Kruglikov
@ 2006-07-03 21:48               ` Lego
  0 siblings, 0 replies; 25+ messages in thread
From: Lego @ 2006-07-03 21:48 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Здравствуйте, Dmitriy.

Вы писали 3 июля 2006 г., 16:16:01:

> On Mon, 03 Jul 2006 15:56:27 +0400
> Дворников М.В. wrote:
>> *nat
>> # kazna
>> -A POSTROUTING -s 10.X -d 85.158.54.14 -o eth2 -j SNAT
>> --to-source 193.X
> Вроде как правильно, если вместо Х нормально прописано... :)
> А потом, если с портами и протоколами просветление наступит, то
> можно и дописать правила ...

>> 
>> *filter
>> :INPUT ACCEPT [427:75757]
>> :FORWARD ACCEPT [31:4358]
>> :OUTPUT ACCEPT [347:154782]
>> -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
> Лучше ставить первой строкой, до всех остальных правил ...
> Пошустрее будет ... Один раз проверили, и всегда пускаем ...

>> -A FORWARD -s 10.X -d YYY.YYY.YYY.YYY -j ACCEPT
> Ну, а это уже на свой вкус и цвет ...



> --
> Best regards,
>  Dmitriy L. Kruglikov                     .--.
>  Dmitriy.Kruglikov_at_orionagro.com.ua   |@_@ |
>  DKR6-RIPE                               |!_/ |
>  ICQ# 13047326                          //   \ \
>  XMPP:dkr6@jabber.ru                   (|     | )
>                                       /'\_   _/`\
> Powered by Linux                      \___)=(___/
 
> -- Мысль --
> Сделайте даунгрейд свей системы всего лишь за 59 долларов!
> Установите Windows!
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins

А почему не дать конкретной машине нат ???
работатет то всё по по портам и ипишникам...
далее убираем с этой же машины днсник и смотрим куда она лазит....
на основе запросов уже и будешь строить правила...

-- 
С уважением,
 Lego                          mailto:roomil@rambler.ru



^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables трансляция протокола
  2006-07-03  7:57 [Sysadmins] iptables трансляция протокола "Дворников М.В."
  2006-07-03  8:00 ` Serge
  2006-07-03  8:03 ` Шенцев Алексей Владимирович
@ 2006-07-06  6:43 ` Maxim Britov
  2006-07-06  7:00   ` "Дворников М.В."
  2 siblings, 1 reply; 25+ messages in thread
From: Maxim Britov @ 2006-07-06  6:43 UTC (permalink / raw)
  To: sysadmins

On Mon, 03 Jul 2006 11:57:05 +0400
 Дворников М.В. wrote:

> Есть программа для связи с федеральным казначейством ("КОНТИНЕТ").
> Моя сеть с одним реальным ip на шлюзе.
> Администратор казначейства сказал, что нужно открыть 3 порта tcp
> и один udp, самое непонятное еще требуется протокол ip250
> (тот что в /etc/protocols должен быть под номером 250).
> Что делать с ip250 непонятно...

iptables ... -p 250 ...
The specified protocol can be one of tcp, udp, icmp, or all,
or it can be a numeric value, representing one of these protocols or a different one.


-- 
Maxim Britov
Modum.by (http://www.modum.by), system administrator

GnuPG KeyID 0x4580A6D66F3DB1FB xmpp:maxim@modum.by icq 198171258
GnuPG-ru Team (http://lists.gnupg.org/mailman/listinfo/gnupg-ru)

^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables трансляция протокола
  2006-07-06  6:43 ` Maxim Britov
@ 2006-07-06  7:00   ` "Дворников М.В."
  2006-07-06  7:07     ` Шенцев Алексей Владимирович
  0 siblings, 1 reply; 25+ messages in thread
From: "Дворников М.В." @ 2006-07-06  7:00 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Maxim Britov пишет:
> iptables ... -p 250 ...
> The specified protocol can be one of tcp, udp, icmp, or all,
> or it can be a numeric value, representing one of these protocols or a different one.
-p 250 iptables - не понимает, не находит нужный модуль.
-p all или тоже самое без указания -p all.
-- 
С уважением, Дворников Михаил.


^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables трансляция протокола
  2006-07-03 12:08             ` Шенцев Алексей Владимирович
@ 2006-07-06  7:05               ` "Дворников М.В."
  2006-07-06  8:00                 ` Шенцев Алексей Владимирович
  2006-07-06  8:09                 ` Dmitriy L. Kruglikov
  0 siblings, 2 replies; 25+ messages in thread
From: "Дворников М.В." @ 2006-07-06  7:05 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

[-- Attachment #1: Type: text/plain, Size: 625 bytes --]

Решил написать правила для iptables.
Взял за основу пример rc.UTIN.firewall из "iptables tutorial".
После перезапуска iptables не смог зайти на сервер через ssh.

Нужно написать правила для iptables.
Пользователям из локальной сети разрешается работать только с сервером: 
прозрачный proxy (squid:3128), postfix, ftp, pop3/imap.
Нельзя обращаться к внешним ftp,smtp,pop3,imap.

Дополнительно разрешается NAT:
  - 1 клиент ntpdate,
  - 2 клиента несколько портов к определенному ip,
  - 1 клиент полный доступ к определенному ip.

На сервере 3 сетевых:
eth2 - в интернет, eth0 и eth1 соединение двух видов кабеля (роутер).




[-- Attachment #2: iptables-rules.sh --]
[-- Type: text/plain, Size: 5070 bytes --]

#!/bin/sh
#
service iptables stop

# variable
IPTABLES="/sbin/iptables"
LO_IFACE="lo"
LO_IP="127.0.0.1"
INET_IFACE="eth2"
INET_IP="193.X/maska"
LAN_IFACE1="eth0"
LAN_IP1="10.X/255.255.255.0"
LAN_IFACE2="eth1"
LAN_IP2="10.X/255.255.255.0"

# Set policies
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

# clear all
$IPTABLES -F
$IPTABLES -X

# Create chain for bad tcp packets
$IPTABLES -N bad_tcp_packets

# Create separate chains for ICMP, TCP and UDP to traverse
$IPTABLES -N allowed
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets

# bad_tcp_packets chain
$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

# allowed chain
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP

# TCP rules
# ftp(20,21),ssh(22),smtp(25),pop3(110),imap(143)
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 20 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 25 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 110 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 143 -j allowed

# UDP ports
$IPTABLES -A udp_packets -p UDP -s 0/0 --source-port 20 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --source-port 21 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --source-port 22 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --source-port 25 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --source-port 110 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -s 0/0 --source-port 143 -j ACCEPT

# ICMP rules
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

# 
#    INPUT chain
#

# Bad TCP packets we don't want.
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets

# Rules for special networks not part of the Internet
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP1 -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP2 -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT

# Rules for incoming packets from anywhere.
$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p TCP -j tcp_packets
$IPTABLES -A INPUT -p UDP -j udp_packets
$IPTABLES -A INPUT -p ICMP -j icmp_packets

# Log weird packets that don't match the above.
$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT INPUT packet died: "

#
#    FORWARD chain
#

# Bad TCP packets we don't want
$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets

# Accept the packets we actually want to forward
$IPTABLES -A FORWARD -p tcp --dport 21 -i $LAN_IFACE1 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 21 -i $LAN_IFACE2 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 80 -i $LAN_IFACE1 -j ACCEPT
$IPTABLES -A FORWARD -p tcp --dport 110 -i $LAN_IFACE1 -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Log weird packets that don't match the above.
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT FORWARD packet died: "

#
#    OUTPUT chain
#

# Bad TCP packets we don't want.
$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets

# Special OUTPUT rules to decide which IP's to allow.
$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT

# Log weird packets that don't match the above.
$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT OUTPUT packet died: "

#
#    nat table
#

$IPTABLES -t nat -A PREROUTING -s $LAN_IP1 -p tcp -m tcp --dport 80   -j REDIRECT --to-ports 3128 
$IPTABLES -t nat -A PREROUTING -s $LAN_IP2 -p tcp -m tcp --dport 80   -j REDIRECT --to-ports 3128 
$IPTABLES -t nat -A PREROUTING -s $LAN_IP1 -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 3128 
$IPTABLES -t nat -A PREROUTING -s $LAN_IP2 -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 3128 
$IPTABLES -t nat -A PREROUTING -s $LAN_IP1 -p tcp -m tcp --dport 8081 -j REDIRECT --to-ports 3128 
$IPTABLES -t nat -A PREROUTING -s $LAN_IP2 -p tcp -m tcp --dport 8081 -j REDIRECT --to-ports 3128 
$IPTABLES -t nat -A PREROUTING -s $LAN_IP1 -p tcp -m tcp --dport 1080 -j REDIRECT --to-ports 3128 
$IPTABLES -t nat -A PREROUTING -s $LAN_IP2 -p tcp -m tcp --dport 1080 -j REDIRECT --to-ports 3128 
$IPTABLES -t nat -A PREROUTING -s $LAN_IP1 -p tcp -m tcp --dport 3128 -j REDIRECT --to-ports 3128 
$IPTABLES -t nat -A PREROUTING -s $LAN_IP2 -p tcp -m tcp --dport 3128 -j REDIRECT --to-ports 3128 


service iptables save

^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables трансляция протокола
  2006-07-06  7:00   ` "Дворников М.В."
@ 2006-07-06  7:07     ` Шенцев Алексей Владимирович
  2006-07-06  7:40       ` "Дворников М.В."
  0 siblings, 1 reply; 25+ messages in thread
From: Шенцев Алексей Владимирович @ 2006-07-06  7:07 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

В сообщении от 6 июля 2006 11:00 Дворников М.В. написал(a):
> -p 250 iptables - не понимает, не находит нужный модуль.
> -p all или тоже самое без указания -p all.
Михаил, а просто перенаправление трафика с машинки клиента казначейства на их 
сервер не помогает?
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845

^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables трансляция протокола
  2006-07-06  7:07     ` Шенцев Алексей Владимирович
@ 2006-07-06  7:40       ` "Дворников М.В."
  2006-07-06  7:44         ` Шенцев Алексей Владимирович
  0 siblings, 1 reply; 25+ messages in thread
From: "Дворников М.В." @ 2006-07-06  7:40 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Шенцев Алексей Владимирович пишет:
> В сообщении от 6 июля 2006 11:00 Дворников М.В. написал(a):
>> -p 250 iptables - не понимает, не находит нужный модуль.
>> -p all или тоже самое без указания -p all.
> Михаил, а просто перенаправление трафика с машинки клиента казначейства на их 
> сервер не помогает?

Пока до соединения с казначейством не дошел :)
Страшно открывать полный доступ при отсутствии правил.
-- 
С уважением, Дворников Михаил.


^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables трансляция протокола
  2006-07-06  7:40       ` "Дворников М.В."
@ 2006-07-06  7:44         ` Шенцев Алексей Владимирович
  0 siblings, 0 replies; 25+ messages in thread
From: Шенцев Алексей Владимирович @ 2006-07-06  7:44 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

В сообщении от 6 июля 2006 11:40 Дворников М.В. написал(a):
> Пока до соединения с казначейством не дошел :)
> Страшно открывать полный доступ при отсутствии правил.
Ну не полный доступ и не куда попало, а только на строго заданный ip-адрес и 
не с инета, а отвас. И ни куда пользователь на другой ip-адрес не пойдёт, 
система ему покажет фигу с маслом. Сейчас смотрю ваш скрипт, как ни странно, 
но вы в нём чуть ли не полный доступ всем и вся у себя открываете ... :)
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845

^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables трансляция протокола
  2006-07-06  7:05               ` "Дворников М.В."
@ 2006-07-06  8:00                 ` Шенцев Алексей Владимирович
  2006-07-06  8:09                 ` Dmitriy L. Kruglikov
  1 sibling, 0 replies; 25+ messages in thread
From: Шенцев Алексей Владимирович @ 2006-07-06  8:00 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

Михаил, по моемоу вы взяли очень дурной пример. Возьмите лучше вот от сюда:
http://www.opennet.ru/base/net/iptables_howto.txt.html
Есть ещё сайт http://www.iptables.ru
Там много примеров, хотя не все мне понравились.
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
ICQ: 271053845

^ permalink raw reply	[flat|nested] 25+ messages in thread

* Re: [Sysadmins] iptables трансляция протокола
  2006-07-06  7:05               ` "Дворников М.В."
  2006-07-06  8:00                 ` Шенцев Алексей Владимирович
@ 2006-07-06  8:09                 ` Dmitriy L. Kruglikov
  1 sibling, 0 replies; 25+ messages in thread
From: Dmitriy L. Kruglikov @ 2006-07-06  8:09 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

On Thu, 06 Jul 2006 11:05:10 +0400
Дворников М.В. wrote:

> Нужно написать правила для iptables.
> Пользователям из локальной сети разрешается работать только с
> сервером: прозрачный proxy (squid:3128), postfix, ftp,
> pop3/imap. Нельзя обращаться к внешним ftp,smtp,pop3,imap.
Не идеально, но у меня работает таким образом:
/etc/sysconfig/iptables
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
# У меня два внешних адреса ...
# Одна машина имеет полный выход в Инет...
-A POSTROUTING -s 192.168.0.253 -d ! 192.168.0.0/255.255.255.0 -o eth1 -j SNAT --to-source 213.хх.хх.хх 
-A POSTROUTING -s 192.168.0.253 -d ! 192.168.0.0/255.255.255.0 -o ppp0 -j SNAT --to-source 82.хх.хх.хх 
# Если нужно на определенные порты и/или адреса, то дописать в эти правила
# Далее...
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:BLOCKIT - [0:0]
:forward_ext - [0:0]
:forward_int - [0:0]
:input_ext - [0:0]
:input_int - [0:0]
:reject_func - [0:0]
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -m state --state NEW -i eth0 -j forward_int 
# Разрешаем форвардинг из локалки в Инет для определенного адреса
-A forward_int -s 192.168.0.253 -d ! 192.168.0.0/255.255.255.0 -i eth0 -j ACCEPT
# Разрешаем всей локалке подключаться к серверу...
-A input_int -d 192.168.0.0/255.255.255.0 -j ACCEPT

> 
> Дополнительно разрешается NAT:
>   - 1 клиент ntpdate,
Лучше поставить свой сервер времени, а локалку на него натравить ...

>   - 2 клиента несколько портов к определенному ip,
>   - 1 клиент полный доступ к определенному ip.
> 
По примерам полного доступа, прописать конкретные порты и адреса.


--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_orionagro.com.ua   |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
 XMPP:dkr6@jabber.ru                   (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Смерть и жизнь - во власти языка, и любящие его вкусят от плодов
его. -- притчи Соломона


^ permalink raw reply	[flat|nested] 25+ messages in thread

end of thread, other threads:[~2006-07-06  8:09 UTC | newest]

Thread overview: 25+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2006-07-03  7:57 [Sysadmins] iptables трансляция протокола "Дворников М.В."
2006-07-03  8:00 ` Serge
2006-07-03  8:03 ` Шенцев Алексей Владимирович
2006-07-03  8:14   ` "Дворников М.В."
2006-07-03  8:16     ` Andrii Dobrovol`s`kii
2006-07-03  8:23       ` "Дворников М.В."
2006-07-03  9:01         ` Andrii Dobrovol`s`kii
2006-07-03  9:09         ` Dmytro O. Redchuk
2006-07-03  8:22     ` Шенцев Алексей Владимирович
2006-07-03 10:47       ` "Дворников М.В."
2006-07-03 10:51         ` Шенцев Алексей Владимирович
2006-07-03 11:23         ` Dmitriy L. Kruglikov
2006-07-03 11:56           ` "Дворников М.В."
2006-07-03 12:08             ` Шенцев Алексей Владимирович
2006-07-06  7:05               ` "Дворников М.В."
2006-07-06  8:00                 ` Шенцев Алексей Владимирович
2006-07-06  8:09                 ` Dmitriy L. Kruglikov
2006-07-03 12:16             ` Dmitriy L. Kruglikov
2006-07-03 21:48               ` Lego
2006-07-03  8:28     ` Dmitriy L. Kruglikov
2006-07-06  6:43 ` Maxim Britov
2006-07-06  7:00   ` "Дворников М.В."
2006-07-06  7:07     ` Шенцев Алексей Владимирович
2006-07-06  7:40       ` "Дворников М.В."
2006-07-06  7:44         ` Шенцев Алексей Владимирович

ALT Linux sysadmins discussion

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
		sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
	public-inbox-index sysadmins

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sysadmins


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git