[Sysadmins] etcnet & FW rules (human readable )

[Sysadmins] etcnet & FW rules (human readable )

[Maks Re]

здрасте вашему.

читал про htb и почему-то захотелось писать правила iptables для etcnet

есть замечательный срипт   ipt2etcnet.rb

ЗЫ: вапрос не в тему: на сервере ruby - это кошерно? если да - то
какую компоненту надо поставить чтобы хватило по минимому

после того как отрабатывает скрипт - он прописывает типа команду от
iptables... что есть не совсем human readable стиль

правда при это эта контсрукция и не работает еще..
efw почемуто думает что надо обязательно прописать --prototol TCP
после -p tcp в строчке ...


вапрос:
как должно выглядеть правило проброски порта для следующего примера в
режиме human readable?

iptables -A PREROUTING -d 1.2.3.4 -i eth1 -p tcp -m tcp --dport 80 -j
DNAT --to-destination 192.168.100.12:80

а то я что-то не осилил...

ЗЫ: багу по скрипту на кого вешать?


-- 
С уважением,
  Макс.

Re: [Sysadmins] etcnet & FW rules (human readable )

[Andrew Kornilov]

Maks Re wrote:
> есть замечательный срипт   ipt2etcnet.rb
> 
> ЗЫ: вапрос не в тему: на сервере ruby - это кошерно? если да - то
> какую компоненту надо поставить чтобы хватило по минимому
> 
> после того как отрабатывает скрипт - он прописывает типа команду от
> iptables... что есть не совсем human readable стиль
Что-то я не понял эту часть.
> 
> правда при это эта контсрукция и не работает еще..
> efw почемуто думает что надо обязательно прописать --prototol TCP
> после -p tcp в строчке ...
Не надо там писать протокол в таком виде, он сам напишет :)
> вапрос:
> как должно выглядеть правило проброски порта для следующего примера в
> режиме human readable?
> 
> iptables -A PREROUTING -d 1.2.3.4 -i eth1 -p tcp -m tcp --dport 80 -j
> DNAT --to-destination 192.168.100.12:80
dnat-to 192.168.100.12 if tcp to 1.2.3.4 and dport is 80
if tcp and dst is 1.2.3.4 and dst-port is 80 dnat-to 192.168.100.12
и т.п.
Я там по три и более вариантов замен заложил, на всякий случай.
Короче, такой неформализованный язычоГ. На любителя.
> а то я что-то не осилил...
> ЗЫ: багу по скрипту на кого вешать?
Так что за проблема-то?

Re: [Sysadmins] etcnet & FW rules (human readable )

[Andrew Kornilov]

Andrew Kornilov wrote:
>> iptables -A PREROUTING -d 1.2.3.4 -i eth1 -p tcp -m tcp --dport 80 -j
>> DNAT --to-destination 192.168.100.12:80
> dnat-to 192.168.100.12 if tcp to 1.2.3.4 and dport is 80
> if tcp and dst is 1.2.3.4 and dst-port is 80 dnat-to 192.168.100.12
> и т.п.
Забыл интерфейс:
dnat-to 192.168.100.12 if tcp from-iface eth1 to 1.2.3.4 and dport is 80
Короче, методом подбора, несложного. Глючит официально :)

Re: [Sysadmins] etcnet & FW rules (human readable )

[Vladimir V. Kamarzin]

>>>>> On 09 Jan 2008 at 19:31 "MR" == Maks Re writes:

 MR> вапрос:
 MR> как должно выглядеть правило проброски порта для следующего примера в
 MR> режиме human readable?

 MR> iptables -A PREROUTING -d 1.2.3.4 -i eth1 -p tcp -m tcp --dport 80 -j
 MR> DNAT --to-destination 192.168.100.12:80

 MR> а то я что-то не осилил...

Кстати не обязательно использовать именно "human syntax". Можно просто писать
правила iptables. Например, вышеуказанное будет выглядеть как

/etc/net/ifaces/xxx/fw/iptables/nat/PREROUTING:
-d 1.2.3.4 -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination
192.168.100.12:80

При этом human syntax лучше отключить:
IPTABLES_HUMAN_SYNTAX=no
в /etc/net/ifaces/default/fw/options

-- 
vvk

Russian Postfix irc: irc.freenode.net #postfix-ru

Re: [Sysadmins] etcnet & FW rules (human readable )

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 798 bytes --]

Vladimir V. Kamarzin пишет:
>>>>>> On 09 Jan 2008 at 19:31 "MR" == Maks Re writes:
> 
>  MR> вапрос:
>  MR> как должно выглядеть правило проброски порта для следующего примера в
>  MR> режиме human readable?
> 
>  MR> iptables -A PREROUTING -d 1.2.3.4 -i eth1 -p tcp -m tcp --dport 80 -j
>  MR> DNAT --to-destination 192.168.100.12:80
> 
>  MR> а то я что-то не осилил...
> 
> Кстати не обязательно использовать именно "human syntax". Можно просто писать
> правила iptables.

  +1

  Я так и не смог его ("human syntax") осилить:

1. Написанные с его использованием конструкции не всегда транслировались
в ожидаемые правила (часто -- в правила с ошибками синтаксиса).

2. Много букв (и всё вода ;-)) -- правила iptables весьма лаконичней.

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 544 bytes --]

Re: [Sysadmins] etcnet & FW rules (human readable )

[Vladimir V. Kamarzin]

>>>>> On 18 Jan 2008 at 13:29 "AA" == Aleksey Avdeev writes:

>> Кстати не обязательно использовать именно "human syntax". Можно просто писать
>> правила iptables.

 AA>   +1

 AA>   Я так и не смог его ("human syntax") осилить:

 AA> 1. Написанные с его использованием конструкции не всегда транслировались
 AA> в ожидаемые правила (часто -- в правила с ошибками синтаксиса).

 AA> 2. Много букв (и всё вода ;-)) -- правила iptables весьма лаконичней.

Вообще по-моему было бы неплохо чтобы human syntax по дефолту был
отключен. Дело в том, что не всегда обычные правила iptables обрабатываются
корректно со включенным human syntax, приходится лезть в
ifaces/default/fw/options и отключать.

https://bugzilla.altlinux.org/show_bug.cgi?id=14074

-- 
vvk

Russian Postfix irc: irc.freenode.net #postfix-ru

Re: [Sysadmins] etcnet & FW rules (human readable )

[ua2fgb]

Vladimir V. Kamarzin пишет:
> Вообще по-моему было бы неплохо чтобы human syntax по дефолту был
> отключен. Дело в том, что не всегда обычные правила iptables обрабатываются
> корректно со включенным human syntax, приходится лезть в
> ifaces/default/fw/options и отключать.
>
> https://bugzilla.altlinux.org/show_bug.cgi?id=14074
>
>   
Присоединяюсь.
При попытке вписать примеры из руководств в конфигурацию интерфейса, 
human syntax преобразует эти привала в "ошибки синтаксиса" :)