Доброго времени суток! Уважаемые гуру, подскажите что здесь лишнее и чего не хватает:Для VPN Сервера (для удаленный работы из дома)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p gre -j ACCEPT
iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPTДля Веб-сервера
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPTДля прокси Squid
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
(здесь 100% чего то не хватает!)P.S. Всё крутится на разных машинах.
> Доброго времени суток! Уважаемые гуру, подскажите что здесь лишнее и чего не
> хватает:Например, не хватает коммуникации с DNS... а ssh сервер (и не только он) очень любит reverse resolving адреса клиента при заходе...
Вообще, default policy DROP для OUTPUT смотрится немножко стремно.
WWell,
Сделал так:Для VPN Сервера
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p gre -j ACCEPT
iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
# DNS
iptables -A INPUT -m state --state NEW -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW -p udp -m udp --dport 53 -j ACCEPTДля Веб-сервера
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
# DNS
iptables -A INPUT -m state --state NEW -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW -p udp -m udp --dport 53 -j ACCEPTДля прокси
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
# DNS
iptables -A INPUT -m state --state NEW -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW -p udp -m udp --dport 53 -j ACCEPT> Вообще, default policy DROP для OUTPUT смотрится немножко стремно.
А что тут стремного? Если не трудно, поясните пожалуйста!
>[оверквотинг удален]
> ACCEPT
> iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
> iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
> iptables -A INPUT -i eth0 -p icmp -j ACCEPT
> iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
> # DNS
> iptables -A INPUT -m state --state NEW -p tcp -m tcp --dport
> 53 -j ACCEPT
> iptables -A INPUT -m state --state NEW -p udp -m udp --dport
> 53 -j ACCEPTвыше писалось об исходящих запросах к DNS, а вы показываете правила как будто у вас есть DNS сервер, да к тому же ограничиваетесь только NEW пакетами, так же нет правил для vpn интерфейса и ответные пакеты от vpn сервера не разрешили
>[оверквотинг удален]
> iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
> iptables -A INPUT -i eth0 -p icmp -j ACCEPT
> iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
> # DNS
> iptables -A INPUT -m state --state NEW -p tcp -m tcp --dport
> 53 -j ACCEPT
> iptables -A INPUT -m state --state NEW -p udp -m udp --dport
> 53 -j ACCEPT
>> Вообще, default policy DROP для OUTPUT смотрится немножко стремно.
> А что тут стремного? Если не трудно, поясните пожалуйста!придется расписать разрешения на выход, если не запутаетесь, то не стремно.
вообще то на этапе отладки неплохо бы логировать перед блокировкой , будет проще
> выше писалось об исходящих запросах к DNSДля VPN Сервера
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p gre -j ACCEPT
iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
# DNS
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT
Для Веб-сервераiptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
# DNS
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT --match state --state ESTABLISHED,RELATED --jump ACCEPTДля прокси
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
# DNS
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT
>[оверквотинг удален]
> iptables -P OUTPUT DROP
> iptables -P FORWARD DROP
> iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
> iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
> iptables -A INPUT -i eth0 -p icmp -j ACCEPT
> iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
> # DNS
> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
> iptables -A INPUT --match state --state ESTABLISHED,RELATED --jump ACCEPTда, теперь сервера смогут работать с dns серверами, но выполнять все свои функции еще не могут
> да, теперь сервера смогут работать с dns серверами, но выполнять все свои
> функции еще не могутВеб сервер с такими правилами робит (на страницу HTML заходит):
Для Веб-сервера
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
# DNS
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
#Разрешаем уже установленные соединения
iptables -A INPUT -m state --state REALTED,ESTABLISHED -j ACCEPTя думаю с ним пока можно настройку закончить. Теперь остались VPN и SQUID.
Если не трудно, что надо им прописать?
> Для прокси Squid
> iptables -P INPUT DROP
> iptables -P OUTPUT DROP
> iptables -P FORWARD DROP
> iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
> iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
> iptables -A INPUT -i eth0 -p icmp -j ACCEPT
> iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
> (здесь 100% чего то не хватает!)нет разрешения для порта на котором работает прокси, нет разрешений для работы прокси с серверами web, ftp, dns, ...
> нет разрешения для порта на котором работает прокси, нет разрешений для работы
> прокси с серверами web, ftp, dns, ...Добавил для прокси:
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPTполучилось:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
# DNS
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
#Разрешаем уже установленные соединения
iptables -A INPUT -m state --state REALTED,ESTABLISHED -j ACCEPTуказываю в браузере проксю, интерет не робит. Что ещё забыл?
>> нет разрешения для порта на котором работает прокси, нет разрешений для работы
>> прокси с серверами web, ftp, dns, ...
> Добавил для прокси:
> iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPTа для ответных пакетов?
> iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT
> iptables -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPTа если подумать?
делайте логирование и увидите сами что нужно
>[оверквотинг удален]
> iptables -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT
> iptables -A INPUT -i eth0 -p icmp -j ACCEPT
> iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
> iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
> # DNS
> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
> #Разрешаем уже установленные соединения
> iptables -A INPUT -m state --state REALTED,ESTABLISHED -j ACCEPT
> указываю в браузере проксю, интерет не робит. Что ещё забыл?
При таких правилах, всё робит и фильтрует. С сервака на сайт заходит.
На страницу блокировки веб-серевера не хочет, ни с браузера, ни с сервака!*mangle
:PREROUTING ACCEPT [2118:350359]
:INPUT ACCEPT [2118:350359]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1452:388838]
:POSTROUTING ACCEPT [1363:383498]
COMMIT
# Completed on Tue Feb 19 18:30:03 2013
# Generated by iptables-save v1.4.7 on Tue Feb 19 18:30:03 2013
*filter
:INPUT DROP [4:292]
:FORWARD DROP [0:0]
:OUTPUT DROP [1:60]
-A INPUT -i eth0 -p gre -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p icmp -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -o eth0 -p icmp -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 3128 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
COMMIT
# Completed on Tue Feb 19 18:30:03 2013
# Generated by iptables-save v1.4.7 on Tue Feb 19 18:30:03 2013
*nat
:PREROUTING ACCEPT [592:69782]
:POSTROUTING ACCEPT [63:3818]
:OUTPUT ACCEPT [152:9158]
COMMIT
>[оверквотинг удален]
> -A OUTPUT -o eth0 -p tcp -m tcp --sport 3128 -j ACCEPT
> -A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
> COMMIT
> # Completed on Tue Feb 19 18:30:03 2013
> # Generated by iptables-save v1.4.7 on Tue Feb 19 18:30:03 2013
> *nat
> :PREROUTING ACCEPT [592:69782]
> :POSTROUTING ACCEPT [63:3818]
> :OUTPUT ACCEPT [152:9158]
> COMMITа где веб-серевер?
Уважаемые гуру выручайте, у меня уже мозг взорвался! Что еще я забыл прописать?
> Уважаемые гуру выручайте, у меня уже мозг взорвался! Что еще я забыл
> прописать?где веб-серевер? на этой же машине? тогда пакеты к нему и от него разрешите.
на другой машине тогда как соединены.
>> Уважаемые гуру выручайте, у меня уже мозг взорвался! Что еще я забыл
>> прописать?
> где веб-серевер? на этой же машине? тогда пакеты к нему и от
> него разрешите.
> на другой машине тогда как соединены.Для теста веб-сервер стоит на этой же машине. Вот правила:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --sport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
# DNS
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
#Разрешаем уже установленные соединения
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPTно не в инет ни на веб-сервер ни заходит. --dport и --sport правильно прописаны?
>[оверквотинг удален]
> iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
> iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
> iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
> # DNS
> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
> #Разрешаем уже установленные соединения
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> но не в инет ни на веб-сервер ни заходит. --dport и --sport
> правильно прописаны?в инет с такими правилами должен ходить, только TCP маленькими буквами пишите, а вот в пределах одной машины пакеты через eth0 не ходят
>[оверквотинг удален]
>> iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
>> # DNS
>> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
>> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
>> #Разрешаем уже установленные соединения
>> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>> но не в инет ни на веб-сервер ни заходит. --dport и --sport
>> правильно прописаны?
> в инет с такими правилами должен ходить, только TCP маленькими буквами пишите,
> а вот в пределах одной машины пакеты через eth0 не ходятТак, понятно. Щас раскидаю на разные машины, и позже отпишу результат!
А по поводу --dport и --sport?
>[оверквотинг удален]
>>> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
>>> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
>>> #Разрешаем уже установленные соединения
>>> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>>> но не в инет ни на веб-сервер ни заходит. --dport и --sport
>>> правильно прописаны?
>> в инет с такими правилами должен ходить, только TCP маленькими буквами пишите,
>> а вот в пределах одной машины пакеты через eth0 не ходят
> Так, понятно. Щас раскидаю на разные машины, и позже отпишу результат!
> А по поводу --dport и --sport?если имелось ввиду
iptables -A INPUT -i eth0 -p TCP --sport 80 -j ACCEPT
под это правило попадут ответы от веб-серверов, хотя можно было оставить только это
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
подключения от клиентов под него не попадают, для них нужно было dport
iptables -A OUTPUT -o eth0 -p TCP --dport 80 -j ACCEPT
под это правило попадут запросы с этой машины ( браузер, прокси) к веб-серверам
Уважаемые спецы, объясните мне, "тупому", почему при
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPTSquid работает, веб-серевер тоже, на страницу блокировки директится. С серванта тоже в инет и на веб-сервер выходит!
Но приiptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
# DNS
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
#Разрешаем уже установленные соединения
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPTна веб-сервер не заходит, ни с браузера, ни с сервака!!!
где веб-сервер, на этой же машине? если нет то как соединены, через eth0?
> где веб-сервер, на этой же машине? если нет то как соединены, через
> eth0?да на этой...
>> где веб-сервер, на этой же машине? если нет то как соединены, через
>> eth0?
> да на этой...
>>> где веб-сервер, на этой же машине? если нет то как соединены, через
>>> eth0?
>> да на этой...
> http://www.opennet.me/openforum/vsluhforumID10/5121.html#15Спасибо, разобрался. Вроде робит, позже отпишу...
При таких правилах правилах, при указании прокси в браузере, всё робит. В инет и на веб-сервер выходит, с браузера и с сервака...iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPTУбираем проксю в браузере, на веб-серв не заходит с браузера. Предполагаю, по причине закрытого порта 80 в INPUT. Можно как то это поправить?
>[оверквотинг удален]
> iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT
> iptables -A INPUT -i eth0 -p icmp -j ACCEPT
> iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
> iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
> iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> Убираем проксю в браузере, на веб-серв не заходит с браузера. Предполагаю, по
> причине закрытого порта 80 в INPUT. Можно как то это поправить?что мешает открыть и проверить?
> что мешает открыть и проверить?Прописываю
iptables -A INPUT -i eth0 -p tcp --sport 80 -j ACCEPT
и всё пропадает...
>> что мешает открыть и проверить?
> Прописываю
> iptables -A INPUT -i eth0 -p tcp --sport 80 -j ACCEPT
> и всё пропадает...обращение НА 80 порт, значит --dport 80 , а ваше правило звучит как обращение С 80 порта
>>> что мешает открыть и проверить?
>> Прописываю
>> iptables -A INPUT -i eth0 -p tcp --sport 80 -j ACCEPT
>> и всё пропадает...
> обращение НА 80 порт, значит --dport 80 , а ваше правило звучит
> как обращение С 80 портапри таких правилах вроде заробило
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>[оверквотинг удален]
> iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
> iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
> iptables -A OUTPUT -o eth0 -p tcp --sport 80 -j ACCEPT
> iptables -A INPUT -i eth0 -p icmp -j ACCEPT
> iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
> iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
> iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPTУважаемый reader, спасибо за помощь, поклон Вам низкий. Если не трудно подскажите по поводу VPN-сервера, установлен тоже на этой машине, пока....
iptables -A INPUT -i eth0 -p gre -j ACCEPT
iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j ACCEPT
>[оверквотинг удален]
>> iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
>> iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
>> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
>> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
>> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> Уважаемый reader, спасибо за помощь, поклон Вам низкий. Если не трудно подскажите
> по поводу VPN-сервера, установлен тоже на этой машине, пока....
> iptables -A INPUT -i eth0 -p gre -j ACCEPT
> iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j
> ACCEPTна OUTPUT тоже нужно разрешение
>> iptables -A INPUT -i eth0 -p gre -j ACCEPT
>> iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j
>> ACCEPT
> на OUTPUT тоже нужно разрешениеТак...
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p 47 -j ACCEPT
iptables -A OUTPUT -p 47 -j ACCEPTЭтих правил достаточно???
>>> iptables -A INPUT -i eth0 -p gre -j ACCEPT
>>> iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j
>>> ACCEPT
>> на OUTPUT тоже нужно разрешение
> Так...
> iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
> iptables -A OUTPUT -p tcp --dport 1723 -j ACCEPT
> iptables -A INPUT -p 47 -j ACCEPT
> iptables -A OUTPUT -p 47 -j ACCEPT
> Этих правил достаточно???с dport и sport разберитесь.
этого должно хватить для поднятия vpn соединения, поднимется vpn интерфейс для которого тоже нужно прописать правила
> с dport и sport разберитесь.
> этого должно хватить для поднятия vpn соединения, поднимется vpn интерфейс для которого
> тоже нужно прописать правилаСделал так:
iptables -A INPUT -p gre -j ACCEPT
iptables -A OUTPUT -p gre -j ACCEPT
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1723 -j ACCEPTПодключается, адрес получает, но компы в сети не пингуются!
>> с dport и sport разберитесь.
>> этого должно хватить для поднятия vpn соединения, поднимется vpn интерфейс для которого
>> тоже нужно прописать правила
> Сделал так:
> iptables -A INPUT -p gre -j ACCEPT
> iptables -A OUTPUT -p gre -j ACCEPT
> iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
> iptables -A OUTPUT -p tcp --sport 1723 -j ACCEPT
> Подключается, адрес получает, но компы в сети не пингуются!какие компы, по каким адресам?
где правила для vpn интерфейса?
tcpdump на интерфейсах для диагностики.
> какие компы, по каким адресам?сеть 192.168.2.0/24
> где правила для vpn интерфейса?
вот здесь по подробней, если не трудно
> tcpdump на интерфейсах для диагностики.
к сожалению интерфейс один, еще один поставить нельзя!
>> какие компы, по каким адресам?
> сеть 192.168.2.0/24
>> где правила для vpn интерфейса?
> вот здесь по подробней, если не трудно
>> tcpdump на интерфейсах для диагностики.
> к сожалению интерфейс один, еще один поставить нельзя!вывод ifconfig и route -n покажите.
только белые ip маскируйте так что бы логика не нарушалась
...
>[оверквотинг удален]
> 0 eth0
> 169.254.0.0 0.0.0.0
> 255.255.0.0 U
> 1002 0
> 0 eth0
> 0.0.0.0 192.168.2.1
> 0.0.0.0
> UG 0 0
> 0 eth0
> на серв заруливаю правилами маршрутизатора.vpn сервер на этой машине?
если тут клиент, то после поднятия vpn
> vpn сервер на этой машине?
> если тут клиент, то после поднятия vpnVPN сервер на этой же машине...
Сеть: Пров -> маршрутизатор (192.168.2.1) -> VPN сервер (192.168.2.144) -> Сеть
>> vpn сервер на этой машине?
>> если тут клиент, то после поднятия vpn
> VPN сервер на этой же машине...
> Сеть: Пров -> маршрутизатор (192.168.2.1) -> VPN сервер (192.168.2.144) -> Сетьiptables на 192.168.2.1 или 2.144 настраиваете?
>>> vpn сервер на этой машине?
>>> если тут клиент, то после поднятия vpn
>> VPN сервер на этой же машине...
>> Сеть: Пров -> маршрутизатор (192.168.2.1) -> VPN сервер (192.168.2.144) -> Сеть
> iptables на 192.168.2.1 или 2.144 настраиваете?на 2.144
>>>> vpn сервер на этой машине?
>>>> если тут клиент, то после поднятия vpn
>>> VPN сервер на этой же машине...
>>> Сеть: Пров -> маршрутизатор (192.168.2.1) -> VPN сервер (192.168.2.144) -> Сеть
>> iptables на 192.168.2.1 или 2.144 настраиваете?
> на 2.144gre до сервера доходит? VPN поднимается? из какой подсети ip vpn-клиенту выдается?
покажите ifconfig после поднятия vpn
> gre до сервера доходит? VPN поднимается? из какой подсети ip vpn-клиенту выдается?
> покажите ifconfig после поднятия vpnСтавлю iptables -A OUTPUT ACCEPT, начинает пинговаться только сервант 2.144. Остальные компы в сети не пингуются.
-A OUTPUT -d 192.168.2.0/24 -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 80 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 3128 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p gre -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 1723 -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
>[оверквотинг удален]
> Ставлю iptables -A OUTPUT ACCEPT, начинает пинговаться только сервант 2.144. Остальные
> компы в сети не пингуются.
> -A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
> -A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
> -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
> -A OUTPUT -o eth0 -p tcp -m tcp --sport 80 -j ACCEPT
> -A OUTPUT -o eth0 -p tcp -m tcp --sport 3128 -j ACCEPT
> -A OUTPUT -o lo -j ACCEPT
> -A OUTPUT -p gre -j ACCEPT
> -A OUTPUT -p tcp -m tcp --sport 1723 -j ACCEPTк другим компам в сети и от них, пакеты пойдут через FORWARD , а у вас я так понимаю там только DROP
> к другим компам в сети и от них, пакеты пойдут через FORWARD
> , а у вас я так понимаю там только DROPFORWARD тоже DROP, ставил все в ACCEPT, но результат тот же
>> к другим компам в сети и от них, пакеты пойдут через FORWARD
>> , а у вас я так понимаю там только DROP
> FORWARD тоже DROP, ставил все в ACCEPT, но результат тот жена компах в сети шлюзом 2.144 прописан?
>>> к другим компам в сети и от них, пакеты пойдут через FORWARD
>>> , а у вас я так понимаю там только DROP
>> FORWARD тоже DROP, ставил все в ACCEPT, но результат тот же
> на компах в сети шлюзом 2.144 прописан?нет...
>>>> к другим компам в сети и от них, пакеты пойдут через FORWARD
>>>> , а у вас я так понимаю там только DROP
>>> FORWARD тоже DROP, ставил все в ACCEPT, но результат тот же
>> на компах в сети шлюзом 2.144 прописан?
> нет...192.168.2.0/24 в локалке или только между шлюзом и vpn-сервером?
с какого ip пингуете?
ответ наверно на шлюз уходит ,а не на vpn-серверtcpdump на vpn-сервер запустите и посмотрите уходят ли пакеты и приходят ли ответы
> 192.168.2.0/24 в локалке или только между шлюзом и vpn-сервером?пров -> шлюз(2.1)-> сеть и vpn сервант (2.144)
> с какого ip пингуете?
который выдает vpn-клиенту (2.240)
> ответ наверно на шлюз уходит ,а не на vpn-сервер
> tcpdump на vpn-сервер запустите и посмотрите уходят ли пакеты и приходят ли
> ответыtcpdump -i eth0 |grep ip-адрес vpn-сервера ?
>> 192.168.2.0/24 в локалке или только между шлюзом и vpn-сервером?
> пров -> шлюз(2.1)-> сеть и vpn сервант (2.144)
>> с какого ip пингуете?
> который выдает vpn-клиенту (2.240)из тойже подсети, тогда тот кого пингуете будет пытаться ответить напрямую сам, а не через vpn-сервер, а так как 2.240 в его сегменте нет, то и не получится
>> ответ наверно на шлюз уходит ,а не на vpn-сервер
>> tcpdump на vpn-сервер запустите и посмотрите уходят ли пакеты и приходят ли
>> ответы
> tcpdump -i eth0 |grep ip-адрес vpn-сервера ?tcpdump -n host ip_кого_пингуем
> из тойже подсети, тогда тот кого пингуете будет пытаться ответить напрямую сам,
> а не через vpn-сервер, а так как 2.240 в его сегменте
> нет, то и не получитсяя так понял надо сделать FORWARD?
>> из тойже подсети, тогда тот кого пингуете будет пытаться ответить напрямую сам,
>> а не через vpn-сервер, а так как 2.240 в его сегменте
>> нет, то и не получится
> я так понял надо сделать FORWARD?через FORWARD разрешить пакеты, это само собой. но сначала подумать об адресах vpn клиентов исходя из задач. и об маршрутизации
Всё разобрался, вроде заработало. Очень помогла вот эта статья http://www.alsigned.ru/?p=805
Вам reader, отдельное, огромное спасибо за помощь!!!