https://opennet.ru/openforum/vsluhforumID1/81486.html Я только начинаю путь в linux. Прочел http://www.opennet.ru/docs/RUS/iptables/<br>взял за осного из него rc.firewall http://www.opennet.ru/docs/RUS/iptables/misc/iptables-tutorial/scripts/rc.firewall.txt<br>И подредактировал в самом начале настройки интерфейса.<br>Проблема что на клиентских машинах так и не появилсяю<br>вот мой <br>iptables -L -v<br>Chain INPUT (policy DROP 33 packets, 4722 bytes)<br> pkts bytes target prot opt in out source destination <br> 1298 1073K bad_tcp_packets tcp -- any any anywhere anywhere <br> 239 28262 ACCEPT all -- eth1 any 192.168.10.0/24 anywhere <br> 0 0 ACCEPT all -- lo any localhost anywhere <br> 0 0 ACCEPT all -- lo any server-inet.local anywhere <br> 0 0 ACCEPT all -- lo any 192.168.1.2 anywhere <br> 318 104K ACCEPT udp -- eth1 any anywhere anywhere https://opennet.ru/openforum/vsluhforumID1/81486.html#9 Sun, 10 Aug 2008 13:48:43 GMT &gt;При начальном знакомстве можно и воспользоваться разными генераторами правил, но смотреть какие <br>&gt;они формируют правила лучше с помощью iptables-save, тем более что можно <br>&gt;отправить вывод в файл и потом грузить эти правила прям из <br>&gt;файла по iptables-restore, или подправив и дописав несколько букв в начале <br>&gt;строки получить свой скрипт. Но в последующем лучше писать правила руками, <br>&gt;а уж через скрипт, service RH-подобных или в командной строке , <br>&gt;это уже дело вкуса и обстоятельств. <br><br>http://debian.nikolas.ru/debian/ RH-подобный сервис для debian.<br> https://opennet.ru/openforum/vsluhforumID1/81486.html#8 Sun, 10 Aug 2008 10:45:53 GMT При начальном знакомстве можно и воспользоваться разными генераторами правил, но смотреть какие они формируют правила лучше с помощью iptables-save, тем более что можно отправить вывод в файл и потом грузить эти правила прям из файла по iptables-restore, или подправив и дописав несколько букв в начале строки получить свой скрипт. Но в последующем лучше писать правила руками, а уж через скрипт, service RH-подобных или в командной строке , это уже дело вкуса и обстоятельств.<br><br><br><br> https://opennet.ru/openforum/vsluhforumID1/81486.html#7 Sun, 10 Aug 2008 05:56:28 GMT &gt;[оверквотинг удален]<br>&gt;&gt;вот мой<br>&gt;&gt;iptables -L -v<br>&gt;<br>&gt;iptables-save может быть удобнее для чтения (быстрее ответят?) - короче, форматирование не <br>&gt;"едет" и пр. <br>&gt;http://www.opennet.ru/openforum/vsluhforumID1/80355.html <br>&gt;http://www.opennet.ru/openforum/vsluhforumID10/3764.html#11 <br>&gt;<br>&gt;&gt;Хочу очень сильно разобраться в iptables<br>&gt;<br><br>Да нафиг это FireHol и прочие поделки-надстройки. Мусор это всё. Если понимаешь как работает iptables - ничего кроме iptables и не надо. <br><br>После того, как поработаешь с iptables все надстройки - только лишний промежуточный слой, которому нужно научиться доверять, и который потенциально нужно будет контролировать, "то ли оно нагенерило". <br> https://opennet.ru/openforum/vsluhforumID1/81486.html#6 Fri, 08 Aug 2008 18:06:30 GMT <br><br>http://gennadi.dyndns.org/21.html<br> https://opennet.ru/openforum/vsluhforumID1/81486.html#5 Thu, 07 Aug 2008 20:06:57 GMT &gt;&gt;Проблема что на клиентских машинах так и не появилсяю<br><br>Кстати, странно. В FORWARD, вроде, разрешающие правила есть. ip_forward=1 есть.<br>Может очепятка где-нибудь? Или defaul gateway на клиентах не прописан на этот роутер?<br><br>&gt;&#124;52. -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP[/CODE] <br><br>Исходная "конфигурация": 52 строки, 2.6Кб - даже в "упрощённом" виде.<br><br>&gt;А на firehol будет ещё раза в 3 или в 5 короче. <br>&gt;И проще для понимания/исправления... [После изучения самого firehol, конечно.] <br><br>---8&lt;--- firehol.free.sample.conf<br>version 5<br><br>INET_IP="192.168.1.2"<br>INET_IFACE="eth0"<br>LAN_IP_RANGE="192.168.10.0/24"<br>LAN_IFACE="eth1"<br><br>FIREHOL_LOG_LEVEL=DEBUG<br>FIREHOL_LOG_FREQUENCY="3/minute"<br>FIREHOL_LOG_BURST=3<br><br>snat to "$INET_IP" outface "$INET_IFACE"<br><br>interface "$LAN_IFACE" lan<br> protection full<br> protection reverse full<br> client all accept<br> server all accept src "$LAN_IP_RANGE"<br> server dhcp accept<br><br>interface "$INET_IFACE" inet<br> protection full<br> protection reverse full https://opennet.ru/openforum/vsluhforumID1/81486.html#4 Thu, 07 Aug 2008 13:09:29 GMT &gt;Проблема что на клиентских машинах так и не появилсяю<br>&gt;вот мой<br>&gt;iptables -L -v<br><br>iptables-save может быть удобнее для чтения (быстрее ответят?) - короче, форматирование не "едет" и пр.<br>http://www.opennet.ru/openforum/vsluhforumID1/80355.html<br>http://www.opennet.ru/openforum/vsluhforumID10/3764.html#11<br><br>&gt;Хочу очень сильно разобраться в iptables<br><br>Разобраться и писать длиннющие скушнейшие скрипты - две большие разницы...<br><br>"Я так и не достиг "высот" написания собственного "готового" скрипта, но проблему построения файервола на iptables решил. Я использую "компилятор правил iptables" [...] - FireHOL."<br>http://www.opennet.ru/openforum/vsluhforumID10/3764.html#2<br><br>"При этом я не говорю, что _знание_ iptables не нужно. Совсем наоборот: знание, куда какие пакеты "ходят" и когда, очень способствует и в firehol."<br>http://www.opennet.ru/openforum/vsluhforumID1/81413.html#7<br><br>И далее - везде:<br>google.ru<br>firehol "Andrey Mitrofanov" проще site:opennet.ru<br>ENTER<br><br>&gt; и вот мой отредактированный скрипт<br><br>Вот так к https://opennet.ru/openforum/vsluhforumID1/81486.html#3 Thu, 07 Aug 2008 07:27:55 GMT &gt;[оверквотинг удален]<br>&gt;&gt; echo -n "Deconfiguring firewall... " <br>&gt;&gt; echo "done." <br>&gt;&gt; ;; <br>&gt;&gt; *) <br>&gt;&gt; echo "Usage: /etc/init.d/firewall {start&#124;stop}" <br>&gt;&gt; exit 1 <br>&gt;&gt; ;; <br>&gt;&gt;esac <br>&gt;&gt;<br>&gt;&gt;exit 0 <br><br>Сети общаются через опенвпн для них и разрешено. В данном случае Дебиан у меня пыхтит как раздатчик инета для двух подсетей, заодно как маршрутизатор между подсетями.<br>В обычном случае, разумеется строчек с разрешением на сетки быть не должно.<br> https://opennet.ru/openforum/vsluhforumID1/81486.html#2 Thu, 07 Aug 2008 07:17:51 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt; $IPFW -A INPUT -s 192.168.3.0/24 -p tcp --dport 8128 -j ACCEPT <br>&gt;<br>&gt; $IPFW -A INPUT -p tcp --dport 8128 -j DROP <br>&gt; $IPFW -A FORWARD -s 192.168.1.0/24 -j ACCEPT <br>&gt; $IPFW -A FORWARD -d 192.168.3.0/24 -j ACCEPT <br>&gt; $IPFW -A FORWARD -s 192.168.1.2 -j ACCEPT <br>&gt; $IPFW -A FORWARD -d 192.168.1.2 -j ACCEPT <br>&gt; $IPFW -A FORWARD -s 192.168.1.200 -j ACCEPT <br>&gt; $IPFW -A FORWARD -d 192.168.1.200 -j ACCEPT <br><br>ограничение только по входящим на icmp, tcp порты 8128, 22. остальное все разрешено :) .<br>&gt;[оверквотинг удален]<br>&gt; echo -n "Deconfiguring firewall... " <br>&gt; echo "done." <br>&gt; ;; <br>&gt; *) <br>&gt; echo "Usage: /etc/init.d/firewall {start&#124;stop}" <br>&gt; exit 1 <br>&gt; ;; <br>&gt;esac <br>&gt;<br>&gt;exit 0 <br><br> https://opennet.ru/openforum/vsluhforumID1/81486.html#1 Thu, 07 Aug 2008 06:48:47 GMT &gt;Я только начинаю путь в linux. Прочел http://www.opennet.ru/docs/RUS/iptables/ <br>&gt;взял за осного из него rc.firewall http://www.opennet.ru/docs/RUS/iptables/misc/iptables-tutorial/scripts/rc.firewall.txt <br>&gt;И подредактировал в самом начале настройки интерфейса. <br>&gt;Проблема что на клиентских машинах так и не появилсяю <br>&gt;<br><br>Мой скрипт для init.d Debian. A.B.C.D - внешний адрес торчащий в интернет<br><br>#!/bin/sh<br>#n<br><br>IPFW=/sbin/iptables<br><br>case "$1" in<br> start)<br>echo -n "Configuring firewall... "<br><br># общий сброс<br>$IPFW -F<br>$IPFW -X<br>$IPFW -Z<br>$IPFW -F -t nat<br>$IPFW -X -t nat<br>$IPFW -Z -t nat<br># РТБЧЙМБ РП-ХНПМЮБОЙА<br>$IPFW -P INPUT ACCEPT<br>$IPFW -P FORWARD ACCEPT<br>$IPFW -P OUTPUT ACCEPT<br># запрет пингов<br>$IPFW -A INPUT -p icmp -s x.y.z.0/24 -j ACCEPT<br>$IPFW -A INPUT -p icmp -s 192.168.1.0/24 -j ACCEPT<br>$IPFW -A INPUT -p icmp -s 192.168.3.0/24 -j ACCEPT<br>$IPFW -A INPUT -p icmp -s 192.168.254.0/24 -j ACCEPT<br> $IPFW -A INPUT -p icmp -j DROP<br><br># доступ на 22 порт<br>$IPFW -A INPUT -p