ALT Linux sysadmins discussion
 help / color / mirror / Atom feed
From: Serge Polkovnikov <serge.polkovnikov@gmail.com>
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
Subject: Re: [Sysadmins] настройка iptables в режиме все запрещено
Date: Tue, 17 Apr 2007 18:50:29 +0300
Message-ID: <200704171850.29645.serge.polkovnikov@gmail.com> (raw)
In-Reply-To: <f041fbd00704170824s161f56cex2e755c61afe968ef@mail.gmail.com>

В сообщении от Вторник 17 Апрель 2007 18:24 Maks Re написал(a):
> #
> # Простой Интернет-сервер со следующими сервисами:
> # SMTP,POP3,POP3S,SQUID,DNS
>
> alias   UNPRIVPORTS     1024:65535
> #alias  admins          192.168.1.15,192.168.1.13
> #alias  localnet        192.168.1.0/24,192.168.10.0/24
> alias   admins          192.168.1.15
> alias   localnet        192.168.1.0/24
> ########## Внешний сетевой интерфейс ###############
> interface eth1 123.45.67.89
> ####################################################
>
>  # Разрешить устанавливать входящие соединения из интернета к
>  # нашему серверу только для протоколов SMTP, POP3S и DNS
> smtp_input              0/0
> #pop3s_input            0/0
> imaps_input             0/0
> dns_input               0/0
> ssh_input               0/0
> ntp_input               0/0
> #icq_input              0/0
> ftp_input               0/0
> http_input              0/0
> https_input             0/0
> icmp-inet_input         0/0
>
>  # Разрешить нашему серверу устанавливать исходящие соединения с
>  # внешними серверами для протоколов SMTP, DNS, HTTP, HTTPS, FTP
> smtp_output             0/0
> #pop3s_output           0/0
> imaps_output            0/0
> dns_output              0/0
> ssh_output              0/0
> ntp_output              0/0
> #icq_output             0/0
> ftp_output              0/0
> http_output             0/0
> https_output            0/0
> traceroute_output       0/0
> icmp-inet_output        0/0
>
>
>  # Разрешить администраторской машине выход в интернет мимо прокси-сервера
>  # путём маскарадинга соответствующих запросов
> #http_masq              $admins         0/0
> #https_masq             $admins         0/0
> #ftp_masq               $admins         0/0
> #whois_masq             $admins         0/0
> #traceroute_masq                $admins         0/0
> #icmp-inet_masq         $admins         0/0
>
Вместо этого блока поставте этот:

http_masq              $localnet         0/0
https_masq             $localnet         0/0
ftp_masq               $localnet         0/0



> ########### Интерфейс в локальную сеть ##############
> interface eth0 192.168.1.3
> #####################################################
>
>  # Разрешить устанавливать входящие соединения из локальной сети
>  # к нашему серверу для протоколов SMTP, POP3, POP3S, PROXY, DNS
> smtp_input              $localnet
> #pop3_input             $localnet
> #pop3s_input            $localnet
> imap_input              $localnet
> imaps_input             $localnet
> dns_input               $localnet
> ssh_input               $localnet
> ntp_input               $localnet
> #icq_input              $localnet
> ftp_input               $localnet
> http_input              $localnet
> https_input             $localnet
> squid_input             $localnet
> #vnc_input              $localnet
> #whois_input            $localnet
> #mysql_input            $localnet
>
> ssh_output              $localnet
> http_output             $localnet
> https_output            $localnet
> dns_output              $localnet

-- 
Serge Polkovnikov

  reply	other threads:[~2007-04-17 15:50 UTC|newest]

Thread overview: 15+ messages / expand[flat|nested]  mbox.gz  Atom feed  top
2007-04-17 11:52 Maks Re
2007-04-17 11:59 ` Ivan Fedorov
2007-04-17 12:04   ` Maks Re
2007-04-17 12:07     ` Alexander Volkov
2007-04-17 13:48       ` Maks Re
2007-04-17 14:00         ` Alexey Shabalin
2007-04-17 14:25           ` Maks Re
2007-04-17 12:13     ` Andrii Dobrovol`s`kii
2007-04-17 15:02 ` Serge Polkovnikov
2007-04-17 15:11   ` Maks Re
2007-04-17 15:20     ` Serge Polkovnikov
2007-04-17 15:24       ` Maks Re
2007-04-17 15:50         ` Serge Polkovnikov [this message]
2007-04-17 16:13           ` Maks Re
2007-04-18  9:07             ` Serge Polkovnikov

Reply instructions:

You may reply publicly to this message via plain-text email
using any one of the following methods:

* Save the following mbox file, import it into your mail client,
  and reply-to-all from there: mbox

  Avoid top-posting and favor interleaved quoting:
  https://en.wikipedia.org/wiki/Posting_style#Interleaved_style

* Reply using the --to, --cc, and --in-reply-to
  switches of git-send-email(1):

  git send-email \
    --in-reply-to=200704171850.29645.serge.polkovnikov@gmail.com \
    --to=serge.polkovnikov@gmail.com \
    --cc=sysadmins@lists.altlinux.org \
    /path/to/YOUR_REPLY

  https://kernel.org/pub/software/scm/git/docs/git-send-email.html

* If your mail client supports setting the In-Reply-To header
  via mailto: links, try the mailto: link

ALT Linux sysadmins discussion

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
		sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
	public-inbox-index sysadmins

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sysadmins


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git