Форумы / Администрирование / Проблемка с iptables

Форумы

Kalina LUG :: Форумы :: Основной :: Администрирование		<< Предыдущая тема \| Следующая тема >>
Проблемка с iptables


Модераторы: kalina, sanitar, NaTty, COMRADE_ARTYOM, variable, Solaris, az, Andreyf1

Автор Добавил

beloz

Сбт Май 24 2008, 15:35

ID пользователя #26

Зарегистрирован: Птн Фев 29 2008, 00:27

Сообщений: 26

Может даже и не файрволом.. Ну, всё по порядку:
Подключён я к Диалогу. Дома схема такая: витая пара от диалога приходит в шлюз (старый ящик в качестве качалки, итд), кторый смотрит интерфейсом eth0 (172.20.*.*) к провайдеру, а eth1 (192.168.0.1) к десктопу (eth0 192.168.0.2).
Т.к. раньше не разбирался с правилами файрвола и проч, чтобы осуществить форвардинг пакетов, просто поставил ipmasq и dnsmasq. И всё бы хорошо (инет есть на десктопе), но вот в локалку провайдера с десктопа ходу нет. Долго читал руководство по iptables и по route, так ни к чему и не пришёл. Вроде бы всё правильно, и должно работать.

Правила файрвола:


kibron:~# iptables -L

Chain INPUT (policy DROP)

target     prot opt source               destination         

ACCEPT     0    --  anywhere             anywhere            

LOG        0    --  localhost/8          anywhere            LOG level warning 

DROP       0    --  localhost/8          anywhere            

ACCEPT     0    --  anywhere             255.255.255.255     

ACCEPT     0    --  anywhere             255.255.255.255     

ACCEPT     0    --  172.20.0.0/16        anywhere            

ACCEPT     0    --  192.168.0.0/24       anywhere            

ACCEPT    !tcp  --  anywhere             BASE-ADDRESS.MCAST.NET/4 

ACCEPT    !tcp  --  anywhere             BASE-ADDRESS.MCAST.NET/4 

LOG        0    --  172.20.0.0/16        anywhere            LOG level warning 

DROP       0    --  172.20.0.0/16        anywhere            

LOG        0    --  192.168.0.0/24       anywhere            LOG level warning 

DROP       0    --  192.168.0.0/24       anywhere            

ACCEPT     0    --  anywhere             255.255.255.255     

ACCEPT     0    --  anywhere             ppp155-182.tis-dialog.ru 

LOG        0    --  anywhere             anywhere            LOG level warning 

DROP       0    --  anywhere             anywhere            



Chain FORWARD (policy DROP)

target     prot opt source               destination         

ACCEPT     0    --  192.168.0.0/24       172.20.0.0/16       

ACCEPT     0    --  172.20.0.0/16        192.168.0.0/24      

ACCEPT     0    --  172.20.0.0/16        anywhere            

ACCEPT     0    --  192.168.0.0/24       anywhere            

ACCEPT     0    --  anywhere             anywhere            state RELATED,ESTABLISHED 

LOG        0    --  anywhere             172.20.0.0/16       LOG level warning 

DROP       0    --  anywhere             172.20.0.0/16       

LOG        0    --  anywhere             192.168.0.0/24      LOG level warning 

DROP       0    --  anywhere             192.168.0.0/24      

LOG        0    --  anywhere             anywhere            LOG level warning 

DROP       0    --  anywhere             anywhere            



Chain OUTPUT (policy DROP)

target     prot opt source               destination         

ACCEPT     0    --  anywhere             anywhere            

ACCEPT     0    --  anywhere             255.255.255.255     

ACCEPT     0    --  anywhere             255.255.255.255     

ACCEPT     0    --  anywhere             172.20.0.0/16       

ACCEPT     0    --  anywhere             192.168.0.0/24      

ACCEPT    !tcp  --  anywhere             BASE-ADDRESS.MCAST.NET/4 

ACCEPT    !tcp  --  anywhere             BASE-ADDRESS.MCAST.NET/4 

LOG        0    --  anywhere             172.20.0.0/16       LOG level warning 

DROP       0    --  anywhere             172.20.0.0/16       

LOG        0    --  anywhere             192.168.0.0/24      LOG level warning 

DROP       0    --  anywhere             192.168.0.0/24      

ACCEPT     0    --  anywhere             255.255.255.255     

ACCEPT     0    --  ppp155-182.tis-dialog.ru  anywhere            

LOG        0    --  anywhere             anywhere            LOG level warning 

DROP       0    --  anywhere             anywhere            



kibron:~# iptables -L -t nat

Chain PREROUTING (policy ACCEPT)

target     prot opt source               destination         



Chain POSTROUTING (policy ACCEPT)

target     prot opt source               destination         

MASQUERADE  0    --  172.20.0.0/16        anywhere            

MASQUERADE  0    --  192.168.0.0/24       anywhere            



Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination

Помогоите кто разбирается.
П.С. Думаю не принципиально, но всё же. На шлюзе стоит Debian Etch.

Наверх

overmind88

Сбт Май 24 2008, 19:23

ID пользователя #25

Зарегистрирован: Чтв Фев 28 2008, 23:58

Сообщений: 221

net.ipv4.ip_forward=1 в /etc/sysctl.conf на шлюзе есть?

Наверх

beloz

Сбт Май 24 2008, 20:42

ID пользователя #26

Зарегистрирован: Птн Фев 29 2008, 00:27

Сообщений: 26

Хм. Было net.ipv4.conf.default.forwarding=1 закоментированое. Раскаментил.. С виду толку нет

Наверх

Сбт Май 24 2008, 22:03

ID пользователя #30

Зарегистрирован: Сбт Мар 01 2008, 13:42

Сообщений: 273

можете уточнить что значит
"в локалку провайдера с десктопа ходу нет"

Наверх

overmind88

Сбт Май 24 2008, 23:03

ID пользователя #25

Зарегистрирован: Чтв Фев 28 2008, 23:58

Сообщений: 221

в общем у него есть на шлюзе два интерфейса - eth0 и ppp0 - локалка и инет, так вот с ppp0 у него пакеты форвардятся на второй комп, а с eth0 - нет, я так понял. ещё хотелось бы узнать, как именно он форвардинг делал

Наверх

beloz

Вск Май 25 2008, 01:10

ID пользователя #26

Зарегистрирован: Птн Фев 29 2008, 00:27

Сообщений: 26

overmind88, всё верно.
А как делал? Вот как тут писали) Давно это было.
[-link-]

[ Редактирование Вск Май 25 2008, 01:11 ]

Наверх

overmind88

Вск Май 25 2008, 13:30

ID пользователя #25

Зарегистрирован: Чтв Фев 28 2008, 23:58

Сообщений: 221

хм, в приведённой тобой ссылке расшаривают через сквид, а у тебя что-то его не видно.

в моих линуксах рекомендуют такую схему: [-link-]
ещё можно почитать [-link-]

а ещё можешь обратится на тис-диалоге к шакледу, у него вроде тоже линуксовый шлюз на отдельном компе

Наверх

beloz

Вск Май 25 2008, 21:44

ID пользователя #26

Зарегистрирован: Птн Фев 29 2008, 00:27

Сообщений: 26

Не через сквид. Сквид там в качестве кеширующего прокси и не больше. Используются пакетики ipmasq и dnsmasq.
Выдержки из манов:

ipmasq sets up IP Masquerading firewall rules using the ipfwadm, ipchains or iptables command, depending on the kernel version.

dnsmasq is a lightweight DNS and DHCP server. It is intended to provide coupled DNS and DHCP service to a LAN.

За ссылки спасибо, про iptables почитаю

Наверх

Freeman

Пнд Май 26 2008, 17:23

ID пользователя #32

Зарегистрирован: Вск Мар 02 2008, 23:04

Сообщений: 47

Собрат по несчастью

Наверх

beloz

Пнд Май 26 2008, 19:12

ID пользователя #26

Зарегистрирован: Птн Фев 29 2008, 00:27

Сообщений: 26

Freeman, хе

Вручную настроив правила как в руководстве по одной из ссылок Овермайнда, пакеты таки ходят во внешнюю локалку, но в инет не хотят

Будем думать дальше.

Наверх

beloz

Птн Июн 06 2008, 13:33

ID пользователя #26

Зарегистрирован: Птн Фев 29 2008, 00:27

Сообщений: 26

Разобрался я наконец

Сидел по вечерам читал руководство по iptables (взял с opennet.ru). Сегодня вот сел и написал небольшой скриптик, который не претендует на правильность и обеспечение безопасности, но "it's work!"

Скрипт:

[ Редактирование Птн Июн 06 2008, 13:34 ]

Наверх

Solaris

Втр Июн 10 2008, 17:54

ID пользователя #22

Зарегистрирован: Втр Фев 26 2008, 15:15

Сообщений: 1559

Много правил, но может быть и правильно. В одной конторе где я раньше работал была мегазащищенная сеть с помощью IPTABLES, и то столько правил не было. Сам хотел автору порекомендовать ссылку по IPTABLES с opennet.ru, но он меня опередил. Считаю что в этой ссылке очень хорошо все написано, сам по ней правила составлял.

Наверх


Перейти: Наверх