DJs3000
Ну почитайте же хоть что-нибудь. Поиграть всегда успеете.
Ну почитайте же хоть что-нибудь. Поиграть всегда успеете.
» Firewall *nix: iptables, ipfw, pf etc...
Вопрос
usertum
Правило PREROUTING у вас в порядке (если с адресами не напутали)
Назначение POSTROUTING мне вообще не понять?!
FARWARD не понятно надо вам прописывать или нет.
И так - нормальным человеческим языком описываем задачу. Приводим полные правила, ну или хотя бы те что могут повлиять на работоспособность... В общем если тайн нету, то выводы iptables -vnL и iptables -t nat -vnL в студию! (лучше обернуть морем)
usertum
Правило PREROUTING у вас в порядке (если с адресами не напутали)
Назначение POSTROUTING мне вообще не понять?!
FARWARD не понятно надо вам прописывать или нет.
И так - нормальным человеческим языком описываем задачу. Приводим полные правила, ну или хотя бы те что могут повлиять на работоспособность... В общем если тайн нету, то выводы iptables -vnL и iptables -t nat -vnL в студию! (лучше обернуть морем)
Шас сервер не рядом, конфиг с виртуалки
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -p tcp -m tcp --dport 3389 -j SNAT --to-source 192.168.0.50
-A PREROUTING -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.0.0.1:3389
COMMIT
*mangle
:PREROUTING ACCEPT [13:1532]
:INPUT ACCEPT [11:1412]
:FORWARD ACCEPT [2:120]
:OUTPUT ACCEPT [13:5647]
:POSTROUTING ACCEPT [15:5767]
COMMIT
*filter
:INPUT ACCEPT [11:1412]
:FORWARD ACCEPT [2:120]
:OUTPUT ACCEPT [13:5647]
COMMIT
При этом при таком подключении на сервер в логах как IP клиента идет 192.168.0.50 а хотелось бы определять реальный IP. А если POSTROUTING убрать то не будет работать, по этому он и тут.
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -p tcp -m tcp --dport 3389 -j SNAT --to-source 192.168.0.50
-A PREROUTING -p tcp -m tcp --dport 3389 -j DNAT --to-destination 10.0.0.1:3389
COMMIT
*mangle
:PREROUTING ACCEPT [13:1532]
:INPUT ACCEPT [11:1412]
:FORWARD ACCEPT [2:120]
:OUTPUT ACCEPT [13:5647]
:POSTROUTING ACCEPT [15:5767]
COMMIT
*filter
:INPUT ACCEPT [11:1412]
:FORWARD ACCEPT [2:120]
:OUTPUT ACCEPT [13:5647]
COMMIT
При этом при таком подключении на сервер в логах как IP клиента идет 192.168.0.50 а хотелось бы определять реальный IP. А если POSTROUTING убрать то не будет работать, по этому он и тут.
usertum
Отключите смайлы при отправке этого сообщения...
-A POSTROUTING -p tcp -m tcp --dport 3389 -j SNAT --to-source 192.168.0.50 - что это за странное правило? Вам нужно сделать самый обыкновенный SNAT всего трафика, если это шлюз, или от конкретной машины, если нет. Данный сервер должен являться шлюзом по умолчанию для windows сервера на который вы пытаетесь пробить port forwarding.
Вы хотите сказать эта схема работает?
1 - я не понимаю почему эта схема работает...
2 - IP у вас светится не тот именно из-за этого SNAT правила...
Я вас уже попросил опишите словами что где стоит и откуда куда попасть. Вы городите какие-то нелепые правила, не зная ни только iptables, но и основ маршрутизации!!!
Отключите смайлы при отправке этого сообщения...
-A POSTROUTING -p tcp -m tcp --dport 3389 -j SNAT --to-source 192.168.0.50 - что это за странное правило? Вам нужно сделать самый обыкновенный SNAT всего трафика, если это шлюз, или от конкретной машины, если нет. Данный сервер должен являться шлюзом по умолчанию для windows сервера на который вы пытаетесь пробить port forwarding.
Вы хотите сказать эта схема работает?
1 - я не понимаю почему эта схема работает...
2 - IP у вас светится не тот именно из-за этого SNAT правила...
Я вас уже попросил опишите словами что где стоит и откуда куда попасть. Вы городите какие-то нелепые правила, не зная ни только iptables, но и основ маршрутизации!!!
Они работают и это главное, даже без указания шлюза на Windows. Вопрос с IP только. Зачем мне весь трафик переключать на тот сервер? Нужно попасть на RDP и OpenVPN сервера которые расположены за этим сервером. У этого есть белый IP и он смотрит на прямую в интернет. Сервер на CentOS 5.6 который смотрит в инет.
Цитата:
Вы городите какие-то нелепые правила, не зная ни только iptables, но и основ маршрутизации!!!
Цитата:
Они работают и это главное
"И ни один из четверых не остановился и не спросил себя; «Откуда взялся спасительный корм?»
Им было все равно — они ели, и этого с них было довольно." (с)
Я не дискуссий прошу а помощи, если что то не так то поправьте.
urodliv
usertum
Теперь моя понять как это работает)
И так... Как я уже, если вы хотите получить то, что хотите - т.е. подключение к внутреннему серверу и при этом виденье внешних ip, то
1 - удаляете ваше правило SNAT
2 - пишите следующее iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source x.y.z.w , где eth1 - внешний интерфейс, а x.y.z.w ваш вешний ip.
3 - прописываете на windows сервере в качестве основного шлюза настроенный Linux сервер.
А вообще по хорошему надо заблочить остальной трафик, а то дырявый у вас шлюз получается... Но это мы сделаем по вашему желанию после того, как будет работать основная задача.
usertum
Теперь моя понять как это работает)
И так... Как я уже, если вы хотите получить то, что хотите - т.е. подключение к внутреннему серверу и при этом виденье внешних ip, то
1 - удаляете ваше правило SNAT
2 - пишите следующее iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source x.y.z.w , где eth1 - внешний интерфейс, а x.y.z.w ваш вешний ip.
3 - прописываете на windows сервере в качестве основного шлюза настроенный Linux сервер.
А вообще по хорошему надо заблочить остальной трафик, а то дырявый у вас шлюз получается... Но это мы сделаем по вашему желанию после того, как будет работать основная задача.
Alukardd не работает (
usertum
Что у вас там может не работать?
Вы с номерами интерфейсов и ip-адресами ни чего не напутали? На win серваке свой CentOS шлюз указали как шлюз по умолчанию?
Добавлено:
Если на ваш взгляд всё настроено верно, тогда:
1 - выполняете iptables -Z && iptables -t nat -Z
2 - пробуете подключится с внешней машины на виндовый сервак. (обратите внимание, что подключаться стоит именно из вне, а не изнутри по внешнему ip. Это просто методы предосторожности, в каких-то ситуациях я напоролся на то, что при попытке коннекта изнутри по внешним адресам идут косяки...)
3 - давайте вывод iptables -t nat -VNL и iptables -vnL. - На этот раз результаты команды iptables-save меня не устроят. Нужен именно вывод указанных команд!!!
Что у вас там может не работать?
Вы с номерами интерфейсов и ip-адресами ни чего не напутали? На win серваке свой CentOS шлюз указали как шлюз по умолчанию?
Добавлено:
Если на ваш взгляд всё настроено верно, тогда:
1 - выполняете iptables -Z && iptables -t nat -Z
2 - пробуете подключится с внешней машины на виндовый сервак. (обратите внимание, что подключаться стоит именно из вне, а не изнутри по внешнему ip. Это просто методы предосторожности, в каких-то ситуациях я напоролся на то, что при попытке коннекта изнутри по внешним адресам идут косяки...)
3 - давайте вывод iptables -t nat -VNL и iptables -vnL. - На этот раз результаты команды iptables-save меня не устроят. Нужен именно вывод указанных команд!!!
Доброго времени суток.
Есть роутер с фряхой и локалка, интернет. Файерволл настроен на резание трафика определенным айпишникам. Однако, требуется двум локальным машинам разрешить только пяток определенных сайтов типа maps.yandex.ru и никуда более.
В rc.firewall прописал table1 вида
${fwcmd} table 1 add ip локальный
и table 2
${fwcmd} table 2 add www.maps.yandex.ru
Что дальше делать не знаю, помогите чайнику)))
Есть роутер с фряхой и локалка, интернет. Файерволл настроен на резание трафика определенным айпишникам. Однако, требуется двум локальным машинам разрешить только пяток определенных сайтов типа maps.yandex.ru и никуда более.
В rc.firewall прописал table1 вида
${fwcmd} table 1 add ip локальный
и table 2
${fwcmd} table 2 add www.maps.yandex.ru
Что дальше делать не знаю, помогите чайнику)))
Цитата:
Что дальше делать не знаю, помогите чайнику
Обратиться к вашему системному администратору.
Boris_Popov
Цитата:
А я и есть системный администратор, ага. Только дело с freeBSD не имел никогда. Роутер с фряхой достался от прежнего админа. Пока железо или ось не загнется - пусть работает, загнется- поставлю аппаратный или виндовый роутер.
Я спросил, как мне кажеться, простой вопрос как разрешить айпишникам из таблицы 1 заходить на строго определенный сайт из таблицы 2. Какие команды, синтаксис.
Если это сложно или лень отвечать - не пишите, пожалуйста, ничего. Изучать линукс для одного действия - нет мотивации, вряд ли столкнусь с ним далее.
PS. Без обид, но заметил, что если сравнивать сообщество линукс и виндовс, то первое более маргинальное, отписки типа обратись к админу, кури ман - типичное явление.
Цитата:
Обратиться к вашему системному администратору.
А я и есть системный администратор, ага. Только дело с freeBSD не имел никогда. Роутер с фряхой достался от прежнего админа. Пока железо или ось не загнется - пусть работает, загнется- поставлю аппаратный или виндовый роутер.
Я спросил, как мне кажеться, простой вопрос как разрешить айпишникам из таблицы 1 заходить на строго определенный сайт из таблицы 2. Какие команды, синтаксис.
Если это сложно или лень отвечать - не пишите, пожалуйста, ничего. Изучать линукс для одного действия - нет мотивации, вряд ли столкнусь с ним далее.
PS. Без обид, но заметил, что если сравнивать сообщество линукс и виндовс, то первое более маргинальное, отписки типа обратись к админу, кури ман - типичное явление.
Negoros
> дело с freeBSD не имел никогда.
> изучать линукс для одного действия - нет мотивации
Вы там определитесь для начала, какая у вас там система-то, хорошо.
> дело с freeBSD не имел никогда.
> изучать линукс для одного действия - нет мотивации
Вы там определитесь для начала, какая у вас там система-то, хорошо.
ASE_DAG
FreeBSD 8.1-RELEASE (GW) #2: Wed Aug 11 11:22:53 SAMST 2010
Добавлено:
пока сделал следующее
${fwcmd} add pass tcp from table1 to table2 $ports2 setup
${fwcmd} add pass tcp from table1 to table2 setup
${fwcmd} add pass tcp from table1 to any $ports1 setup
но походу не работает)))
FreeBSD 8.1-RELEASE (GW) #2: Wed Aug 11 11:22:53 SAMST 2010
Добавлено:
пока сделал следующее
${fwcmd} add pass tcp from table1 to table2 $ports2 setup
${fwcmd} add pass tcp from table1 to table2 setup
${fwcmd} add pass tcp from table1 to any $ports1 setup
но походу не работает)))
Negoros
> FreeBSD
Ну и каком Линуксе шла речь? ;-)
> как мне кажеться, простой вопрос как разрешить айпишникам из таблицы 1 заходить на строго определенный сайт из таблицы 2.
> Какие команды, синтаксис.
${FWCMD} add allow tcp from 'table(1)' to 'table(2)' via rl0
, например.
Но помимо этого надо, наверное, еще и запретить им куда-либо ходить. А как это сделать, зависит от того, что у вас там на настоящий момент сконфигурено.
Может быть, будет уместным что-то такое:
${FWCMD} add deny log tcp from 'table(1)' to not 192.168.1.0/24 via rl0
> FreeBSD
Ну и каком Линуксе шла речь? ;-)
> как мне кажеться, простой вопрос как разрешить айпишникам из таблицы 1 заходить на строго определенный сайт из таблицы 2.
> Какие команды, синтаксис.
${FWCMD} add allow tcp from 'table(1)' to 'table(2)' via rl0
, например.
Но помимо этого надо, наверное, еще и запретить им куда-либо ходить. А как это сделать, зависит от того, что у вас там на настоящий момент сконфигурено.
Может быть, будет уместным что-то такое:
${FWCMD} add deny log tcp from 'table(1)' to not 192.168.1.0/24 via rl0
ASE_DAG
Спасибо, буду пробовать.
Еще вопрос. В таблице сайты запрещенные или разрешенные корректно указывать в виде IP, или система поймет вид www.? Хотя непонятно, если домен имеет большой пул адресов, она сможет по имени домена их все закрыть?
Спасибо, буду пробовать.
Еще вопрос. В таблице сайты запрещенные или разрешенные корректно указывать в виде IP, или система поймет вид www.? Хотя непонятно, если домен имеет большой пул адресов, она сможет по имени домена их все закрыть?
Negoros
Как источник, так и пункт назначения можно указываться в виде доменных имен. Тогда один раз (при чтении правил) эти имена будут разрезолвены прямым запросом, и далее файрволл будет оперировать адресами.
Как ведет себя ipfw, если имя резолвится в несколько адресов, я, честно говоря, не знаю; возможно, что берет только первое (хотя, например, iptables создает правила на все) — вам это проще проверить.
А вообще имейте в виду, что блокировать по доменным именам конкретные сайты во всемирной сети пакетным фильтром — не лучшая идея, Сквиз тут подойдет много лучше.
Но если все-таки будете так, то убедитесь, что у вас дээнэс-клиент стартует раньше, чем применяются правила фильтра.
Как источник, так и пункт назначения можно указываться в виде доменных имен. Тогда один раз (при чтении правил) эти имена будут разрезолвены прямым запросом, и далее файрволл будет оперировать адресами.
Как ведет себя ipfw, если имя резолвится в несколько адресов, я, честно говоря, не знаю; возможно, что берет только первое (хотя, например, iptables создает правила на все) — вам это проще проверить.
А вообще имейте в виду, что блокировать по доменным именам конкретные сайты во всемирной сети пакетным фильтром — не лучшая идея, Сквиз тут подойдет много лучше.
Но если все-таки будете так, то убедитесь, что у вас дээнэс-клиент стартует раньше, чем применяются правила фильтра.
Цитата:
А вообще имейте в виду, что блокировать по доменным именам конкретные сайты во всемирной сети пакетным фильтром — не лучшая идея, Сквиз тут подойдет много лучше.
+1. Только его еще под фрей поставить нужно и сконфигурировать...
Дальше сорри за офтоп:
Negoros, сорри за резкость. Так и нужно было написать - «чайник во фре». КМК, вам проще будет поставить виндовый сервак и поднять на нем тот же WinRoute, чем поднимать сквида с нуля под фрей.
Другое дело, если сквид уже стоит - тогда задача решается быстро с помощью ACL.
ASE_DAG
Угу, поправил. Negoros заразил
Boris_Popov
> чайник в линуксе
Каком еще, блин, Линуксе?
> чайник в линуксе
Каком еще, блин, Линуксе?
Всем спасибо за участие.
Цитата:
Это понятно, но сейчас цели такой нет. На роутере поднята служба ipfw, основной задачей которой - дифференцированно резать трафик группам пользователей и с этим она справляется хорошо. Остальное вторично. Сквида нет. На ipfw также прописаны правила блокировки соц сетей, где я периодически добавляю и обновляю пул адресов. Вдруг появивщуюся задачу ( блокировка инета нескольким компам кроме одного двух сайтов), путем поднятия виндового роутера считаю нецелесообразным, во всяком случае пока.
Цитата:
КМК, вам проще будет поставить виндовый сервак и поднять на нем тот же WinRoute, чем поднимать сквида с нуля под фрей.
Это понятно, но сейчас цели такой нет. На роутере поднята служба ipfw, основной задачей которой - дифференцированно резать трафик группам пользователей и с этим она справляется хорошо. Остальное вторично. Сквида нет. На ipfw также прописаны правила блокировки соц сетей, где я периодически добавляю и обновляю пул адресов. Вдруг появивщуюся задачу ( блокировка инета нескольким компам кроме одного двух сайтов), путем поднятия виндового роутера считаю нецелесообразным, во всяком случае пока.
Привет всем!
Посодействуйте в конфигурации iptables, плиз.
Имеется CentOS, Yast2 (я так понял он рулит SuSeFirewall112)
Что нужно -
нужно разрешить входящий трафик с Инета по следующим портам: 5060, 4090, 25, 3128 8009, 8012
Только со следующих адресов x.x.x.x и y.y.y.y, и доменного имени tel.lextel.ru
iptables -nvL (много букф... я не осилил)
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT 0 -- lo * 0.0.0.0/0 0.0.0.0/0
2295K 520M ACCEPT 0 -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
9748 1559K input_int 0 -- eth0 * 0.0.0.0/0 0.0.0.0/0
311 45030 input_ext 0 -- eth1 * 0.0.0.0/0 0.0.0.0/0
0 0 input_ext 0 -- * * 0.0.0.0/0 0.0.0.0/0
0 0 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-IN-ILL-TARGET '
0 0 DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
2219 149K forward_int 0 -- eth0 * 0.0.0.0/0 0.0.0.0/0
0 0 forward_ext 0 -- eth1 * 0.0.0.0/0 0.0.0.0/0
0 0 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWD-ILL-ROUTING '
0 0 DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT 0 -- * lo 0.0.0.0/0 0.0.0.0/0
2621K 529M ACCEPT 0 -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED
0 0 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-OUT-ERROR '
Chain forward_ext (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 12
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 14
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 18
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3 code 2
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 5
0 0 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 PKTTYPE = multicast LOG flags 6 level 4 prefix `SFW2-FWDext-DROP-DEFLT '
0 0 DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0 PKTTYPE = multicast
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-FWDext-DROP-DEFLT '
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWDext-DROP-DEFLT '
0 0 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWDext-DROP-DEFLT '
0 0 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 state INVALID LOG flags 6 level 4 prefix `SFW2-FWDext-DROP-DEFLT-INV '
0 0 DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0
Chain forward_int (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 12
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 14
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 18
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3 code 2
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 5
0 0 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 PKTTYPE = multicast LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT '
0 0 DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0 PKTTYPE = multicast
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT '
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT '
936 66777 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT '
0 0 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 state INVALID LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT-INV '
2219 149K reject_func 0 -- * * 0.0.0.0/0 0.0.0.0/0
Chain input_ext (2 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 PKTTYPE = broadcast udp dpt:123
230 38254 DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0 PKTTYPE = broadcast
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 4
4 220 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 12
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 14
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 18
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3 code 2
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 5
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:5060 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5060
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:5061 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5061
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:53 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
9 3108 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:5000:32000
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:123
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:69
2 100 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 state NEW limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-ACC '
2 100 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5060 state NEW limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-ACC '
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5060
0 0 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:5060 state NEW limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-ACC '
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:5060
10 512 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1723 state NEW limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-ACC '
12 608 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1723
0 0 reject_func tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 state NEW
0 0 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 PKTTYPE = multicast LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
0 0 DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0 PKTTYPE = multicast
46 2408 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
0 0 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
5 204 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 state INVALID LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT-INV '
54 2740 DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0
Chain input_int (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 PKTTYPE = broadcast udp dpt:67
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 PKTTYPE = broadcast udp dpt:177
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 PKTTYPE = broadcast udp dpt:631
0 0 DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0 PKTTYPE = broadcast
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 4
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 12
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 14
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 18
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3 code 2
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 5
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:110 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INint-ACC-TCP '
0 0 ACCEPT 0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:25 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INint-ACC-TCP '
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:3128 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INint-ACC-TCP '
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128
28 1680 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:5060 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INint-ACC-TCP '
28 1680 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5060
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:53 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INint-ACC-TCP '
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
8848 1486K ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:5000:32000
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 PKTTYPE = multicast LOG flags 6 level 4 prefix `SFW2-INint-DROP-DEFLT '
0 0 DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0 PKTTYPE = multicast
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INint-DROP-DEFLT '
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INint-DROP-DEFLT '
749 60454 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INint-DROP-DEFLT '
0 0 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 state INVALID LOG flags 6 level 4 prefix `SFW2-INint-DROP-DEFLT-INV '
872 70780 reject_func 0 -- * * 0.0.0.0/0 0.0.0.0/0
Chain reject_func (3 references)
pkts bytes target prot opt in out source destination
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset
3091 219K REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT 0 -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-proto-unreachable
Вроде бы порты открыл .... а там ли?
iptables редактировал в файле etc/sysconfig/scripts/*SuSEFirewall112-custom:
...
#example: always filter backorifice/netbus trojan connect requests and log them.
#for target in LOG DROP; do
# for chain in input_ext input_dmz input_int forward_int forward_ext forward_dmz; do
# iptables -A $chain -j $target -p tcp --dport 31337
# iptables -A $chain -j $target -p udp --dport 31337
# iptables -A $chain -j $target -p tcp --dport 12345:12346
# iptables -A $chain -j $target -p udp --dport 12345:12346
# done
iptables -A forward_int -j ACCEPT -p tcp --dport 5060
iptables -A forward_int -j ACCEPT -p tcp --dport 4090
iptables -A forward_int -j ACCEPT -p tcp --dport 25
iptables -A forward_int -j ACCEPT -p tcp --dport 3128
iptables -A forward_int -j ACCEPT -p tcp --dport 8009
iptables -A forward_int -j ACCEPT -p tcp --dport 8012
iptables -A forward_int -j DROP -p tcp
Если я всё верно сделал, где прописать правило, скаких IP принимать пакеты? и КАК?
Например, в том же файле, ниже прописать:
iptables -A INPUT ! -s x.x.x.x -j DROP
iptables -A INPUT ! -s y.y.y.y -j DROP
iptables -A INPUT ! -s tel.lextel.ru -j DROP
??????????????????????????????????????
Посодействуйте в конфигурации iptables, плиз.
Имеется CentOS, Yast2 (я так понял он рулит SuSeFirewall112)
Что нужно -
нужно разрешить входящий трафик с Инета по следующим портам: 5060, 4090, 25, 3128 8009, 8012
Только со следующих адресов x.x.x.x и y.y.y.y, и доменного имени tel.lextel.ru
iptables -nvL (много букф... я не осилил)
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT 0 -- lo * 0.0.0.0/0 0.0.0.0/0
2295K 520M ACCEPT 0 -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
9748 1559K input_int 0 -- eth0 * 0.0.0.0/0 0.0.0.0/0
311 45030 input_ext 0 -- eth1 * 0.0.0.0/0 0.0.0.0/0
0 0 input_ext 0 -- * * 0.0.0.0/0 0.0.0.0/0
0 0 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-IN-ILL-TARGET '
0 0 DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
2219 149K forward_int 0 -- eth0 * 0.0.0.0/0 0.0.0.0/0
0 0 forward_ext 0 -- eth1 * 0.0.0.0/0 0.0.0.0/0
0 0 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWD-ILL-ROUTING '
0 0 DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT 0 -- * lo 0.0.0.0/0 0.0.0.0/0
2621K 529M ACCEPT 0 -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED
0 0 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-OUT-ERROR '
Chain forward_ext (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 12
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 14
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 18
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3 code 2
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 5
0 0 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 PKTTYPE = multicast LOG flags 6 level 4 prefix `SFW2-FWDext-DROP-DEFLT '
0 0 DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0 PKTTYPE = multicast
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-FWDext-DROP-DEFLT '
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWDext-DROP-DEFLT '
0 0 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWDext-DROP-DEFLT '
0 0 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 state INVALID LOG flags 6 level 4 prefix `SFW2-FWDext-DROP-DEFLT-INV '
0 0 DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0
Chain forward_int (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 12
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 14
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 18
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3 code 2
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 5
0 0 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 PKTTYPE = multicast LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT '
0 0 DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0 PKTTYPE = multicast
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT '
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT '
936 66777 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT '
0 0 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 state INVALID LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT-INV '
2219 149K reject_func 0 -- * * 0.0.0.0/0 0.0.0.0/0
Chain input_ext (2 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 PKTTYPE = broadcast udp dpt:123
230 38254 DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0 PKTTYPE = broadcast
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 4
4 220 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 12
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 14
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 18
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3 code 2
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 5
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:5060 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5060
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:5061 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5061
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:53 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INext-ACC-TCP '
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
9 3108 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:5000:32000
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:123
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:69
2 100 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 state NEW limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-ACC '
2 100 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5060 state NEW limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-ACC '
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5060
0 0 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:5060 state NEW limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-ACC '
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:5060
10 512 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1723 state NEW limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-ACC '
12 608 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1723
0 0 reject_func tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 state NEW
0 0 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 PKTTYPE = multicast LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
0 0 DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0 PKTTYPE = multicast
46 2408 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
0 0 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT '
5 204 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 state INVALID LOG flags 6 level 4 prefix `SFW2-INext-DROP-DEFLT-INV '
54 2740 DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0
Chain input_int (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 PKTTYPE = broadcast udp dpt:67
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 PKTTYPE = broadcast udp dpt:177
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 PKTTYPE = broadcast udp dpt:631
0 0 DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0 PKTTYPE = broadcast
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 4
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 0
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 11
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 12
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 14
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 18
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 3 code 2
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED icmp type 5
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:110 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INint-ACC-TCP '
0 0 ACCEPT 0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:25 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INint-ACC-TCP '
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:3128 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INint-ACC-TCP '
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128
28 1680 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:5060 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INint-ACC-TCP '
28 1680 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5060
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp dpt:53 flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INint-ACC-TCP '
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
8848 1486K ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:5000:32000
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 PKTTYPE = multicast LOG flags 6 level 4 prefix `SFW2-INint-DROP-DEFLT '
0 0 DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0 PKTTYPE = multicast
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 tcp flags:0x17/0x02 LOG flags 6 level 4 prefix `SFW2-INint-DROP-DEFLT '
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INint-DROP-DEFLT '
749 60454 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-INint-DROP-DEFLT '
0 0 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 state INVALID LOG flags 6 level 4 prefix `SFW2-INint-DROP-DEFLT-INV '
872 70780 reject_func 0 -- * * 0.0.0.0/0 0.0.0.0/0
Chain reject_func (3 references)
pkts bytes target prot opt in out source destination
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with tcp-reset
3091 219K REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT 0 -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-proto-unreachable
Вроде бы порты открыл .... а там ли?
iptables редактировал в файле etc/sysconfig/scripts/*SuSEFirewall112-custom:
...
#example: always filter backorifice/netbus trojan connect requests and log them.
#for target in LOG DROP; do
# for chain in input_ext input_dmz input_int forward_int forward_ext forward_dmz; do
# iptables -A $chain -j $target -p tcp --dport 31337
# iptables -A $chain -j $target -p udp --dport 31337
# iptables -A $chain -j $target -p tcp --dport 12345:12346
# iptables -A $chain -j $target -p udp --dport 12345:12346
# done
iptables -A forward_int -j ACCEPT -p tcp --dport 5060
iptables -A forward_int -j ACCEPT -p tcp --dport 4090
iptables -A forward_int -j ACCEPT -p tcp --dport 25
iptables -A forward_int -j ACCEPT -p tcp --dport 3128
iptables -A forward_int -j ACCEPT -p tcp --dport 8009
iptables -A forward_int -j ACCEPT -p tcp --dport 8012
iptables -A forward_int -j DROP -p tcp
Если я всё верно сделал, где прописать правило, скаких IP принимать пакеты? и КАК?
Например, в том же файле, ниже прописать:
iptables -A INPUT ! -s x.x.x.x -j DROP
iptables -A INPUT ! -s y.y.y.y -j DROP
iptables -A INPUT ! -s tel.lextel.ru -j DROP
??????????????????????????????????????
Подскажите пожалуйста как правильно пробросить порты на pf если стоит Астериск за натом а к ниму нужно пробросить удп 5060 и диопазон от 10000-20000. Спасибо.
DJs3000
Цитата:
Цитата:
как правильно пробросить порты на pf если стоит Астериск за натомПроброс VoIP через НАТ есть занятие весьма геморройное. Посему для этого лучше использовать программные решения (STUN, Siproxd и т.д.).
DJs3000
Ну вот вариант для динамического ната и iptables. Для pf не подойдет.
#
Добавлено:
vlary
Цитата:
угу, особенно если не хочется возможный профиль атаки расширять. У меня на SIP правил 20 для разных клиентов.
Ну вот вариант для динамического ната и iptables. Для pf не подойдет.
#
Добавлено:
vlary
Цитата:
Проброс VoIP через НАТ есть занятие весьма геморройное.
угу, особенно если не хочется возможный профиль атаки расширять. У меня на SIP правил 20 для разных клиентов.
Boris_Popov
Просили не iptables, а pf...
Просили не iptables, а pf...
Alukardd
упс
сейчас поправлю сообщение.
упс
сейчас поправлю сообщение.
помогите, написать правило iptables для шлюза, которое будет запрещать все исходящие соединения(source any) на любой хост, кроме 192.168.1.1(destination any, allow 192.168.1.1) по протоколу TCP/UDP на порт 53.
-A FORWARD -i $LOCAL_IFACE -d 192.168.1.1 -p udp --dport 53 -j ACCEPT
-A FORWARD -i $LOCAL_IFACE -d 192.168.1.1 -p tcp --dport 53 -j ACCEPT
-A FORWARD -i $LOCAL_IFACE -p tcp --dport 53 -j DROP
-A FORWARD -i $LOCAL_IFACE -p udp --dport 53 -j DROP
-A FORWARD -i $LOCAL_IFACE -d 192.168.1.1 -p tcp --dport 53 -j ACCEPT
-A FORWARD -i $LOCAL_IFACE -p tcp --dport 53 -j DROP
-A FORWARD -i $LOCAL_IFACE -p udp --dport 53 -j DROP
Подскажите как в netfilter можно получить среднее значение pps или хоть какое-то? Очень хотелось бы понять нагрузку на каждый интерфейс...
Страницы: 123456789101112131415
Предыдущая тема: Как подключиться по RDP к 2000 серверу - к локальной сессии?
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.