URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 35654
[ Назад ]

Исходное сообщение
"firewall и FeeSwan"
Отправлено klez , 07-Окт-03 21:54

Уважаемые такая ситуация через VPN соединены две сети 192.168.0.0/24 и 192.168.1.0/24
win -  linux 1 (vpn)---internet----linux 2(vpn)----win
надо поднять firewall  так что бы работал vpn 51, 50, 500 прорты
и из каждой подсети можно быловыйти в инет, eth0 смотрит в интернет
ssh только между  Linux 1 и Linux 2
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p udp --sport 500 --dport 500 -j ACCEPT
iptables -A INPUT -i eth0 -p 50 -j ACCEPT
iptables -A INPUT -i eth0 -p 51 -j ACCEPT
iptables -A INPUT -i eth0-s ipLinux1 -d ipLinux2 -p 22 -j ACCEPT
iptables -A INPUT -i eth0 -j DROP
iptables -A INPUT -j LOG
iptables -A OUTPUT -i eth0 -p udp --sport 500 --dport 500 -j ACCEPT
iptables -A OUTPUT -i eth0 -p 50 -j ACCEPT
iptables -A OUTPUT -i eth0 -p 51 -j ACCEPT
iptables -A OUTPUT -i eth0 -s ipLinux1 -d ipLinux2 -p 22 -j ACCEPT
iptables -A OUTPUT -i eth0 -j DROP
iptables -A OUTPUT -j LOG
iptables -A FORWARD -p 80 -j ACCEPT
iptables -A FORWARD -j DROP
iptables -A FORWARD -j LOG
подскажите что я зделал не правельно???

Содержание

firewall и FeeSwan,Gennadi, 22:53 , 07-Окт-03
firewall и FeeSwan,Michael, 10:14 , 08-Окт-03
- firewall и FeeSwan,klez, 18:02 , 08-Окт-03

Сообщения в этом обсуждении

"firewall и FeeSwan"
Отправлено Gennadi , 07-Окт-03 22:53

>Уважаемые такая ситуация через VPN соединены две сети 192.168.0.0/24 и 192.168.1.0/24
>win -  linux 1 (vpn)---internet----linux 2(vpn)----win
>надо поднять firewall  так что бы работал vpn 51, 50, 500
>прорты
>и из каждой подсети можно быловыйти в инет, eth0 смотрит в интернет
>
>ssh только между  Linux 1 и Linux 2
>iptables -P INPUT DROP
>iptables -P OUTPUT DROP
>iptables -P FORWARD DROP
>iptables -A INPUT -i eth0 -p udp --sport 500 --dport 500 -j
>ACCEPT
>iptables -A INPUT -i eth0 -p 50 -j ACCEPT
>iptables -A INPUT -i eth0 -p 51 -j ACCEPT
>iptables -A INPUT -i eth0-s ipLinux1 -d ipLinux2 -p 22 -j ACCEPT
>
>iptables -A INPUT -i eth0 -j DROP
> iptables -A INPUT -j LOG
>
>iptables -A OUTPUT -i eth0 -p udp --sport 500 --dport 500 -j
>ACCEPT
>iptables -A OUTPUT -i eth0 -p 50 -j ACCEPT
>iptables -A OUTPUT -i eth0 -p 51 -j ACCEPT
>iptables -A OUTPUT -i eth0 -s ipLinux1 -d ipLinux2 -p 22 -j
>ACCEPT
>iptables -A OUTPUT -i eth0 -j DROP
>iptables -A OUTPUT -j LOG
>
>iptables -A FORWARD -p 80 -j ACCEPT
>iptables -A FORWARD -j DROP
>iptables -A FORWARD -j LOG
>подскажите что я зделал не правельно???

Firewall дело тонкое и очень личное

"firewall и FeeSwan"
Отправлено Michael , 08-Окт-03 10:14

>Уважаемые такая ситуация через VPN соединены две сети 192.168.0.0/24 и 192.168.1.0/24
>win - linux 1 (vpn)---internet----linux 2(vpn)----win
>надо поднять firewall так что бы работал vpn 51, 50, 500
>прорты
насколько я помню, не 50 и 51 порты, а 50 и 51 протоколы...
>iptables -P INPUT DROP
>iptables -P OUTPUT DROP
>iptables -P FORWARD DROP
>iptables -A INPUT -i eth0 -p udp --sport 500 --dport 500 -j
>ACCEPT
>iptables -A INPUT -i eth0 -p 50 -j ACCEPT
>iptables -A INPUT -i eth0 -p 51 -j ACCEPT
>iptables -A INPUT -i eth0-s ipLinux1 -d ipLinux2 -p 22 -j ACCEPT
>
>iptables -A INPUT -i eth0 -j DROP
> iptables -A INPUT -j LOG
>
>iptables -A OUTPUT -i eth0 -p udp --sport 500 --dport 500 -j
>ACCEPT
>iptables -A OUTPUT -i eth0 -p 50 -j ACCEPT
>iptables -A OUTPUT -i eth0 -p 51 -j ACCEPT
>iptables -A OUTPUT -i eth0 -s ipLinux1 -d ipLinux2 -p 22 -j
>ACCEPT
>iptables -A OUTPUT -i eth0 -j DROP
>iptables -A OUTPUT -j LOG
>
>iptables -A FORWARD -p 80 -j ACCEPT
>iptables -A FORWARD -j DROP
>iptables -A FORWARD -j LOG
имхо действие LOG надоставить выше, чем DROP, иначе в LOG ничего не попадет...
и зачем команда iptables -A FORWARD -j DROP вообще, если действие цепочки по умолчанию DROP?
и что за протоколы 22 и 80 ???
>iptables -A INPUT -i eth0-s ipLinux1 -d ipLinux2 -p 22 -j ACCEPT
>iptables -A OUTPUT -i eth0 -s ipLinux1 -d ipLinux2 -p 22 -j ACCEPT
по идее, адреса ipLinux1 и ipLinux2 в этих двух командах должны быть в противоположном порядке, а не в одном...
и где правила, пропускающие нужные пакеты из внутренней сети?

"firewall и FeeSwan"
Отправлено klez , 08-Окт-03 18:02

>и что за протоколы 22 и 80 ???
это ssh и www
>iptables -A INPUT -i eth0-s ipLinux1 -d ipLinux2 -p 22 -j ACCEPT
>iptables -A OUTPUT -i eth0 -s ipLinux1 -d ipLinux2 -p 22 -j ACCEPT
заменяем на
iptables -A INPUT -i eth0 -s ipLinux1 -d ipLinux2 -p 22 -j ACCEPT
iptables -A OUTPUT -i eth0 -s ipLinux2 -d ipLinux1 -p 22 -j ACCEPT
>iptables -A FORWARD -j DROP
>iptables -A FORWARD -j LOG
имхо действие LOG надоставить выше, чем DROP, иначе в LOG ничего не попадет...
и зачем команда iptables -A FORWARD -j DROP вообще, если действие цепочки по умолчанию DROP?- прочел книгу секреты линукс хакеров