URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 5121
[ Назад ]

Исходное сообщение
"Правила iptables"

Отправлено Ruldik , 18-Фев-13 17:40 
Доброго времени суток! Уважаемые гуру, подскажите что здесь лишнее и чего не хватает:

Для VPN Сервера (для удаленный работы из дома)

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p gre -j ACCEPT
iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT

Для Веб-сервера

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT

Для прокси Squid

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
(здесь 100% чего то не хватает!)

P.S. Всё крутится на разных машинах.


Содержание

Сообщения в этом обсуждении
"Правила iptables"
Отправлено Mr. Mistoffelees , 18-Фев-13 20:13 
> Доброго времени суток! Уважаемые гуру, подскажите что здесь лишнее и чего не
> хватает:

Например, не хватает коммуникации с DNS... а ssh сервер (и не только он) очень любит reverse resolving адреса клиента при заходе...

Вообще, default policy DROP для OUTPUT смотрится немножко стремно.

WWell,


"Правила iptables"
Отправлено Ruldik , 19-Фев-13 10:19 
Сделал так:

Для VPN Сервера

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p gre -j ACCEPT
iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
# DNS
iptables -A INPUT -m state --state NEW -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW -p udp -m udp --dport 53 -j ACCEPT

Для Веб-сервера

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
# DNS
iptables -A INPUT -m state --state NEW -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW -p udp -m udp --dport 53 -j ACCEPT

Для прокси

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
# DNS
iptables -A INPUT -m state --state NEW -p tcp -m tcp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW -p udp -m udp --dport 53 -j ACCEPT

> Вообще, default policy DROP для OUTPUT смотрится немножко стремно.

А что тут стремного? Если не трудно, поясните пожалуйста!


"Правила iptables"
Отправлено reader , 19-Фев-13 10:58 
>[оверквотинг удален]
> ACCEPT
> iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
> iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
> iptables -A INPUT -i eth0 -p icmp -j ACCEPT
> iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
> # DNS
> iptables -A INPUT -m state --state NEW -p tcp -m tcp --dport
> 53 -j ACCEPT
> iptables -A INPUT -m state --state NEW -p udp -m udp --dport
> 53 -j ACCEPT

выше писалось об исходящих запросах к DNS, а вы показываете правила как будто у вас есть DNS сервер, да к тому же ограничиваетесь только NEW пакетами, так же нет правил для vpn интерфейса и ответные пакеты от vpn сервера не разрешили
>[оверквотинг удален]
> iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
> iptables -A INPUT -i eth0 -p icmp -j ACCEPT
> iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
> # DNS
> iptables -A INPUT -m state --state NEW -p tcp -m tcp --dport
> 53 -j ACCEPT
> iptables -A INPUT -m state --state NEW -p udp -m udp --dport
> 53 -j ACCEPT
>> Вообще, default policy DROP для OUTPUT смотрится немножко стремно.
> А что тут стремного? Если не трудно, поясните пожалуйста!

придется расписать разрешения на выход, если не запутаетесь, то не стремно.
вообще то на этапе отладки неплохо бы логировать перед блокировкой , будет проще


"Правила iptables"
Отправлено Ruldik , 19-Фев-13 11:29 
> выше писалось об исходящих запросах к DNS

Для VPN Сервера

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p gre -j ACCEPT
iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
# DNS
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT


Для Веб-сервера

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
# DNS
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT

Для прокси

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
# DNS
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT


"Правила iptables"
Отправлено reader , 19-Фев-13 12:07 
>[оверквотинг удален]
> iptables -P OUTPUT DROP
> iptables -P FORWARD DROP
> iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
> iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
> iptables -A INPUT -i eth0 -p icmp -j ACCEPT
> iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
> # DNS
> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
> iptables -A INPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT

да, теперь сервера смогут работать с dns серверами, но выполнять все свои функции еще не могут


"Правила iptables"
Отправлено Ruldik , 19-Фев-13 12:34 
> да, теперь сервера смогут работать с dns серверами, но выполнять все свои
> функции еще не могут

Веб сервер с такими правилами робит (на страницу HTML заходит):

Для Веб-сервера

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
# DNS
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
#Разрешаем уже установленные соединения
iptables -A INPUT -m state --state REALTED,ESTABLISHED -j ACCEPT

я думаю с ним пока можно настройку закончить. Теперь остались VPN и SQUID.
Если не трудно, что надо им прописать?


"Правила iptables"
Отправлено reader , 19-Фев-13 11:03 
> Для прокси Squid
> iptables -P INPUT DROP
> iptables -P OUTPUT DROP
> iptables -P FORWARD DROP
> iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
> iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
> iptables -A INPUT -i eth0 -p icmp -j ACCEPT
> iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
> (здесь 100% чего то не хватает!)

нет разрешения для порта на котором работает прокси, нет разрешений для работы прокси с серверами web, ftp, dns, ...



"Правила iptables"
Отправлено Ruldik , 19-Фев-13 14:07 
> нет разрешения для порта на котором работает прокси, нет разрешений для работы
> прокси с серверами web, ftp, dns, ...

Добавил для прокси:
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT

получилось:

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
# DNS
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
#Разрешаем уже установленные соединения
iptables -A INPUT -m state --state REALTED,ESTABLISHED -j ACCEPT

указываю в браузере проксю, интерет не робит. Что ещё забыл?


"Правила iptables"
Отправлено reader , 19-Фев-13 15:45 
>> нет разрешения для порта на котором работает прокси, нет разрешений для работы
>> прокси с серверами web, ftp, dns, ...
> Добавил для прокси:
> iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT

а для ответных пакетов?

> iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT
> iptables -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT

а если подумать?

делайте логирование и увидите сами что нужно
>[оверквотинг удален]
> iptables -A OUTPUT -o eth0 -p TCP --sport 80 -j ACCEPT
> iptables -A INPUT -i eth0 -p icmp -j ACCEPT
> iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
> iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
> # DNS
> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
> #Разрешаем уже установленные соединения
> iptables -A INPUT -m state --state REALTED,ESTABLISHED -j ACCEPT
> указываю в браузере проксю, интерет не робит. Что ещё забыл?


"Правила iptables"
Отправлено Ruldik , 19-Фев-13 17:49 
При таких правилах, всё робит и фильтрует. С сервака на сайт заходит.
На страницу блокировки веб-серевера не хочет, ни с браузера, ни с сервака!

*mangle
:PREROUTING ACCEPT [2118:350359]
:INPUT ACCEPT [2118:350359]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1452:388838]
:POSTROUTING ACCEPT [1363:383498]
COMMIT
# Completed on Tue Feb 19 18:30:03 2013
# Generated by iptables-save v1.4.7 on Tue Feb 19 18:30:03 2013
*filter
:INPUT DROP [4:292]
:FORWARD DROP [0:0]
:OUTPUT DROP [1:60]
-A INPUT -i eth0 -p gre -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p icmp -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -o eth0 -p icmp -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 3128 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
COMMIT
# Completed on Tue Feb 19 18:30:03 2013
# Generated by iptables-save v1.4.7 on Tue Feb 19 18:30:03 2013
*nat
:PREROUTING ACCEPT [592:69782]
:POSTROUTING ACCEPT [63:3818]
:OUTPUT ACCEPT [152:9158]
COMMIT


"Правила iptables"
Отправлено reader , 20-Фев-13 12:26 
>[оверквотинг удален]
> -A OUTPUT -o eth0 -p tcp -m tcp --sport 3128 -j ACCEPT
> -A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
> COMMIT
> # Completed on Tue Feb 19 18:30:03 2013
> # Generated by iptables-save v1.4.7 on Tue Feb 19 18:30:03 2013
> *nat
> :PREROUTING ACCEPT [592:69782]
> :POSTROUTING ACCEPT [63:3818]
> :OUTPUT ACCEPT [152:9158]
> COMMIT

а где веб-серевер?


"Правила iptables"
Отправлено Ruldik , 20-Фев-13 12:36 
Уважаемые гуру выручайте, у меня уже мозг взорвался! Что еще я забыл прописать?

"Правила iptables"
Отправлено reader , 20-Фев-13 13:08 
> Уважаемые гуру выручайте, у меня уже мозг взорвался! Что еще я забыл
> прописать?

где веб-серевер? на этой же машине? тогда пакеты к нему и от него разрешите.
на другой машине тогда как соединены.


"Правила iptables"
Отправлено Ruldik , 20-Фев-13 13:21 
>> Уважаемые гуру выручайте, у меня уже мозг взорвался! Что еще я забыл
>> прописать?
> где веб-серевер? на этой же машине? тогда пакеты к нему и от
> него разрешите.
> на другой машине тогда как соединены.

Для теста веб-сервер стоит на этой же машине. Вот правила:

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --sport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
# DNS
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
#Разрешаем уже установленные соединения
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

но не в инет ни на веб-сервер ни заходит. --dport и --sport правильно прописаны?


"Правила iptables"
Отправлено reader , 20-Фев-13 13:35 
>[оверквотинг удален]
> iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
> iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
> iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
> # DNS
> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
> #Разрешаем уже установленные соединения
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> но не в инет ни на веб-сервер ни заходит. --dport и --sport
> правильно прописаны?

в инет с такими правилами должен ходить, только TCP маленькими буквами пишите, а вот в пределах одной машины пакеты через eth0 не ходят


"Правила iptables"
Отправлено Ruldik , 20-Фев-13 13:37 
>[оверквотинг удален]
>> iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
>> # DNS
>> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
>> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
>> #Разрешаем уже установленные соединения
>> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>> но не в инет ни на веб-сервер ни заходит. --dport и --sport
>> правильно прописаны?
> в инет с такими правилами должен ходить, только TCP маленькими буквами пишите,
> а вот в пределах одной машины пакеты через eth0 не ходят

Так, понятно. Щас раскидаю на разные машины, и позже отпишу результат!
А по поводу --dport и --sport?


"Правила iptables"
Отправлено reader , 20-Фев-13 13:48 
>[оверквотинг удален]
>>> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
>>> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
>>> #Разрешаем уже установленные соединения
>>> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>>> но не в инет ни на веб-сервер ни заходит. --dport и --sport
>>> правильно прописаны?
>> в инет с такими правилами должен ходить, только TCP маленькими буквами пишите,
>> а вот в пределах одной машины пакеты через eth0 не ходят
> Так, понятно. Щас раскидаю на разные машины, и позже отпишу результат!
> А по поводу --dport и --sport?

если имелось ввиду
iptables -A INPUT -i eth0 -p TCP --sport 80 -j ACCEPT
под это правило попадут ответы от веб-серверов, хотя можно было оставить только это
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
подключения от клиентов под него не попадают, для них нужно было dport


iptables -A OUTPUT -o eth0 -p TCP --dport 80 -j ACCEPT
под это правило попадут запросы с этой машины ( браузер, прокси) к веб-серверам


"Правила iptables"
Отправлено Ruldik , 25-Фев-13 14:36 
Уважаемые спецы, объясните мне, "тупому", почему при
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

Squid работает, веб-серевер тоже, на страницу блокировки директится. С серванта тоже в инет и на веб-сервер выходит!
Но при

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
# DNS
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
#Разрешаем уже установленные соединения
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

на веб-сервер не заходит, ни с браузера, ни с сервака!!!


"Правила iptables"
Отправлено reader , 25-Фев-13 15:32 
где веб-сервер, на этой же машине? если нет то как соединены, через eth0?

"Правила iptables"
Отправлено Ruldik , 25-Фев-13 16:09 
> где веб-сервер, на этой же машине? если нет то как соединены, через
> eth0?

да на этой...


"Правила iptables"
Отправлено reader , 25-Фев-13 16:36 
>> где веб-сервер, на этой же машине? если нет то как соединены, через
>> eth0?
> да на этой...

http://www.opennet.me/openforum/vsluhforumID10/5121.html#15


"Правила iptables"
Отправлено Ruldik , 26-Фев-13 18:07 
>>> где веб-сервер, на этой же машине? если нет то как соединены, через
>>> eth0?
>> да на этой...
> http://www.opennet.me/openforum/vsluhforumID10/5121.html#15

Спасибо, разобрался. Вроде робит, позже отпишу...


"Правила iptables"
Отправлено Ruldik , 01-Мрт-13 12:33 
При таких правилах правилах, при указании прокси в браузере, всё робит. В инет и на веб-сервер выходит, с браузера и с сервака...

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Убираем проксю в браузере, на веб-серв не заходит с браузера. Предполагаю, по причине закрытого порта 80 в INPUT. Можно как то это поправить?


"Правила iptables"
Отправлено reader , 01-Мрт-13 14:08 
>[оверквотинг удален]
> iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT
> iptables -A INPUT -i eth0 -p icmp -j ACCEPT
> iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
> iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
> iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> Убираем проксю в браузере, на веб-серв не заходит с браузера. Предполагаю, по
> причине закрытого порта 80 в INPUT. Можно как то это поправить?

что мешает открыть и проверить?



"Правила iptables"
Отправлено Ruldik , 01-Мрт-13 14:14 
> что мешает открыть и проверить?

Прописываю

iptables -A INPUT -i eth0 -p tcp --sport 80 -j ACCEPT

и всё пропадает...


"Правила iptables"
Отправлено reader , 01-Мрт-13 14:50 
>> что мешает открыть и проверить?
> Прописываю
> iptables -A INPUT -i eth0 -p tcp --sport 80 -j ACCEPT
> и всё пропадает...

обращение НА 80 порт, значит --dport 80 , а ваше правило звучит как обращение С 80 порта


"Правила iptables"
Отправлено Ruldik , 01-Мрт-13 16:47 
>>> что мешает открыть и проверить?
>> Прописываю
>> iptables -A INPUT -i eth0 -p tcp --sport 80 -j ACCEPT
>> и всё пропадает...
> обращение НА 80 порт, значит --dport 80 , а ваше правило звучит
> как обращение С 80 порта

при таких правилах вроде заробило

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


"Правила iptables"
Отправлено Ruldik , 01-Мрт-13 16:52 
>[оверквотинг удален]
> iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
> iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
> iptables -A OUTPUT -o eth0 -p tcp --sport 80 -j ACCEPT
> iptables -A INPUT -i eth0 -p icmp -j ACCEPT
> iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
> iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
> iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Уважаемый reader, спасибо за помощь, поклон Вам низкий. Если не трудно подскажите по поводу VPN-сервера, установлен тоже на этой машине, пока....

iptables -A INPUT -i eth0 -p gre -j ACCEPT
iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j ACCEPT


"Правила iptables"
Отправлено reader , 02-Мрт-13 00:21 
>[оверквотинг удален]
>> iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
>> iptables -A OUTPUT -o eth0 -p tcp --sport 3128 -j ACCEPT
>> iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
>> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
>> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> Уважаемый reader, спасибо за помощь, поклон Вам низкий. Если не трудно подскажите
> по поводу VPN-сервера, установлен тоже на этой машине, пока....
> iptables -A INPUT -i eth0 -p gre -j ACCEPT
> iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j
> ACCEPT

на OUTPUT тоже нужно разрешение


"Правила iptables"
Отправлено Ruldik , 04-Мрт-13 09:51 
>> iptables -A INPUT -i eth0 -p gre -j ACCEPT
>> iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j
>> ACCEPT
> на OUTPUT тоже нужно разрешение

Так...


iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p 47 -j ACCEPT
iptables -A OUTPUT -p 47 -j ACCEPT

Этих правил достаточно???


"Правила iptables"
Отправлено reader , 04-Мрт-13 11:47 
>>> iptables -A INPUT -i eth0 -p gre -j ACCEPT
>>> iptables -A INPUT -i eth0 -m tcp -p tcp --dport 1723 -j
>>> ACCEPT
>> на OUTPUT тоже нужно разрешение
> Так...
> iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
> iptables -A OUTPUT -p tcp --dport 1723 -j ACCEPT
> iptables -A INPUT -p 47 -j ACCEPT
> iptables -A OUTPUT -p 47 -j ACCEPT
> Этих правил достаточно???

с dport и sport разберитесь.
этого должно хватить для поднятия vpn соединения, поднимется vpn интерфейс для которого тоже нужно прописать правила


"Правила iptables"
Отправлено Ruldik , 04-Мрт-13 14:02 
> с dport и sport разберитесь.
> этого должно хватить для поднятия vpn соединения, поднимется vpn интерфейс для которого
> тоже нужно прописать правила

Сделал так:

iptables -A INPUT -p gre -j ACCEPT
iptables -A OUTPUT -p gre -j ACCEPT
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1723 -j ACCEPT

Подключается, адрес получает, но компы в сети не пингуются!


"Правила iptables"
Отправлено reader , 04-Мрт-13 14:34 
>> с dport и sport разберитесь.
>> этого должно хватить для поднятия vpn соединения, поднимется vpn интерфейс для которого
>> тоже нужно прописать правила
> Сделал так:
> iptables -A INPUT -p gre -j ACCEPT
> iptables -A OUTPUT -p gre -j ACCEPT
> iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
> iptables -A OUTPUT -p tcp --sport 1723 -j ACCEPT
> Подключается, адрес получает, но компы в сети не пингуются!

какие компы, по каким адресам?
где правила для vpn интерфейса?
tcpdump на интерфейсах для диагностики.


"Правила iptables"
Отправлено Ruldik , 04-Мрт-13 14:51 
> какие компы, по каким адресам?

сеть 192.168.2.0/24

> где правила для vpn интерфейса?

вот здесь по подробней, если не трудно

> tcpdump на интерфейсах для диагностики.

к сожалению интерфейс один, еще один поставить нельзя!


"Правила iptables"
Отправлено reader , 04-Мрт-13 15:58 
>> какие компы, по каким адресам?
> сеть 192.168.2.0/24
>> где правила для vpn интерфейса?
> вот здесь по подробней, если не трудно
>> tcpdump на интерфейсах для диагностики.
> к сожалению интерфейс один, еще один поставить нельзя!

вывод ifconfig и route -n покажите.
только белые ip маскируйте так что бы логика не нарушалась


"Правила iptables"
Отправлено Ruldik , 04-Мрт-13 16:45 
...

"Правила iptables"
Отправлено reader , 04-Мрт-13 17:32 
>[оверквотинг удален]
>   0 eth0
> 169.254.0.0     0.0.0.0      
>   255.255.0.0     U    
>  1002   0      
>  0 eth0
> 0.0.0.0         192.168.2.1  
>   0.0.0.0        
> UG    0      0
>        0 eth0
> на серв заруливаю правилами маршрутизатора.

vpn сервер на этой машине?
если тут клиент, то после поднятия vpn


"Правила iptables"
Отправлено Ruldik , 04-Мрт-13 17:46 
> vpn сервер на этой машине?
> если тут клиент, то после поднятия vpn

VPN сервер на этой же машине...

Сеть: Пров -> маршрутизатор (192.168.2.1) -> VPN сервер (192.168.2.144) -> Сеть


"Правила iptables"
Отправлено reader , 04-Мрт-13 17:59 
>> vpn сервер на этой машине?
>> если тут клиент, то после поднятия vpn
> VPN сервер на этой же машине...
> Сеть: Пров -> маршрутизатор (192.168.2.1) -> VPN сервер (192.168.2.144) -> Сеть

iptables на 192.168.2.1 или 2.144 настраиваете?


"Правила iptables"
Отправлено Ruldik , 04-Мрт-13 18:04 
>>> vpn сервер на этой машине?
>>> если тут клиент, то после поднятия vpn
>> VPN сервер на этой же машине...
>> Сеть: Пров -> маршрутизатор (192.168.2.1) -> VPN сервер (192.168.2.144) -> Сеть
> iptables на 192.168.2.1 или 2.144 настраиваете?

на 2.144



"Правила iptables"
Отправлено reader , 04-Мрт-13 18:16 
>>>> vpn сервер на этой машине?
>>>> если тут клиент, то после поднятия vpn
>>> VPN сервер на этой же машине...
>>> Сеть: Пров -> маршрутизатор (192.168.2.1) -> VPN сервер (192.168.2.144) -> Сеть
>> iptables на 192.168.2.1 или 2.144 настраиваете?
> на 2.144

gre до сервера доходит? VPN поднимается? из какой подсети ip vpn-клиенту выдается?
покажите ifconfig после поднятия vpn


"Правила iptables"
Отправлено Ruldik , 05-Мрт-13 10:57 
> gre до сервера доходит? VPN поднимается? из какой подсети ip vpn-клиенту выдается?
> покажите ifconfig после поднятия vpn

Ставлю iptables -A OUTPUT ACCEPT, начинает пинговаться только сервант 2.144. Остальные компы в сети не пингуются.
-A OUTPUT -d 192.168.2.0/24 -p tcp -m tcp --sport 22 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 80 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 3128 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p gre -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 1723 -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT



"Правила iptables"
Отправлено reader , 05-Мрт-13 11:04 
>[оверквотинг удален]
> Ставлю iptables -A OUTPUT ACCEPT, начинает пинговаться только сервант 2.144. Остальные
> компы в сети не пингуются.
> -A OUTPUT -p tcp -m tcp --sport 22 -j ACCEPT
> -A OUTPUT -p tcp -m tcp --dport 53 -j ACCEPT
> -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
> -A OUTPUT -o eth0 -p tcp -m tcp --sport 80 -j ACCEPT
> -A OUTPUT -o eth0 -p tcp -m tcp --sport 3128 -j ACCEPT
> -A OUTPUT -o lo -j ACCEPT
> -A OUTPUT -p gre -j ACCEPT
> -A OUTPUT -p tcp -m tcp --sport 1723 -j ACCEPT

к другим компам в сети и от них, пакеты пойдут через FORWARD , а у вас я так понимаю там только DROP


"Правила iptables"
Отправлено Ruldik , 05-Мрт-13 11:06 
> к другим компам в сети и от них, пакеты пойдут через FORWARD
> , а у вас я так понимаю там только DROP

FORWARD тоже DROP, ставил все в ACCEPT, но результат тот же


"Правила iptables"
Отправлено reader , 05-Мрт-13 13:24 
>> к другим компам в сети и от них, пакеты пойдут через FORWARD
>> , а у вас я так понимаю там только DROP
> FORWARD тоже DROP, ставил все в ACCEPT, но результат тот же

на компах в сети шлюзом 2.144 прописан?


"Правила iptables"
Отправлено Ruldik , 05-Мрт-13 13:33 
>>> к другим компам в сети и от них, пакеты пойдут через FORWARD
>>> , а у вас я так понимаю там только DROP
>> FORWARD тоже DROP, ставил все в ACCEPT, но результат тот же
> на компах в сети шлюзом 2.144 прописан?

нет...


"Правила iptables"
Отправлено reader , 05-Мрт-13 13:46 
>>>> к другим компам в сети и от них, пакеты пойдут через FORWARD
>>>> , а у вас я так понимаю там только DROP
>>> FORWARD тоже DROP, ставил все в ACCEPT, но результат тот же
>> на компах в сети шлюзом 2.144 прописан?
> нет...

192.168.2.0/24 в локалке или только между шлюзом и vpn-сервером?
с какого ip пингуете?
ответ наверно на шлюз уходит ,а не на vpn-сервер

tcpdump на vpn-сервер запустите и посмотрите уходят ли пакеты и приходят ли ответы


"Правила iptables"
Отправлено Ruldik , 05-Мрт-13 14:17 
> 192.168.2.0/24 в локалке или только между шлюзом и vpn-сервером?

пров -> шлюз(2.1)-> сеть и vpn сервант (2.144)

> с какого ip пингуете?

который выдает vpn-клиенту (2.240)

> ответ наверно на шлюз уходит ,а не на vpn-сервер
> tcpdump на vpn-сервер запустите и посмотрите уходят ли пакеты и приходят ли
> ответы

tcpdump -i eth0 |grep ip-адрес vpn-сервера ?



"Правила iptables"
Отправлено reader , 05-Мрт-13 14:29 
>> 192.168.2.0/24 в локалке или только между шлюзом и vpn-сервером?
> пров -> шлюз(2.1)-> сеть и vpn сервант (2.144)
>> с какого ip пингуете?
> который выдает vpn-клиенту (2.240)

из тойже подсети, тогда тот кого пингуете будет пытаться ответить напрямую сам, а не через vpn-сервер, а так как 2.240 в его сегменте нет, то и не получится

>> ответ наверно на шлюз уходит ,а не на vpn-сервер
>> tcpdump на vpn-сервер запустите и посмотрите уходят ли пакеты и приходят ли
>> ответы
> tcpdump -i eth0 |grep ip-адрес vpn-сервера ?

tcpdump -n host ip_кого_пингуем


"Правила iptables"
Отправлено Ruldik , 05-Мрт-13 14:59 
> из тойже подсети, тогда тот кого пингуете будет пытаться ответить напрямую сам,
> а не через vpn-сервер, а так как 2.240 в его сегменте
> нет, то и не получится

я так понял надо сделать FORWARD?


"Правила iptables"
Отправлено reader , 05-Мрт-13 15:09 
>> из тойже подсети, тогда тот кого пингуете будет пытаться ответить напрямую сам,
>> а не через vpn-сервер, а так как 2.240 в его сегменте
>> нет, то и не получится
> я так понял надо сделать FORWARD?

через FORWARD разрешить пакеты, это само собой. но сначала подумать об адресах vpn клиентов исходя из задач. и об маршрутизации


"Правила iptables"
Отправлено Ruldik , 05-Мрт-13 17:31 
Всё разобрался, вроде заработало. Очень помогла вот эта статья http://www.alsigned.ru/?p=805
Вам reader, отдельное, огромное спасибо за помощь!!!