» ipchains, iptables etc

HI, я в правилах новичек, хоть уже пытался их изучать, но мало, щас занялся ими вплотную но еще рано что-то самому делать, так как начал работать в организации где уже все налажено и работает довольно неплохо. Не хочется сначала поломать а потом разгрибать то что наделал.
Такая ситуация я с IP 172.17.20.123. Как я понял все с меня идет на фаервол (172.17.200.1), на котором много валанов заведено для разных других подсетей 172.17.хх.ххх. Если не указывать явно проксю то мои запросы перебрасываются на дефолтных шлюз в инет 172.17.1.3. Так вот стоит задача следующая - правилами открыть для себя порты для torrentov. Например 58442 и 59632 =)
На дефолт-гейтвее стоит балансированное ADSL соединение РРР с 2мя модемами и разными не постоянными внешними IP, что тут можно сделать чтоб я был более доступен для людей тянущих с меня.....???
Что может грозить СЕТИ организации если будет открыто несколько портов для разных програм?
ЗЫ Помогите решить проблемку, а то на ru-board treker меня уже забанили так-как с этим натом мало кто может пробиться ко мне!!!

думаю должно хватить остольное думаю уже есть

где $INET_IFACE=72.17.1.3

/sbin/modprobe iptable_nat

$IPTABLES -A FORWARD -p TCP -s 0/0 --dport 58442 -j ACCEPT
$IPTABLES -A FORWARD -p TCP -s 0/0 --dport 59632 -j ACCEPT

$IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p tcp --dport 58442 -j DNAT --to $YOU_IP:58442
$IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p tcp --dport 59632 -j DNAT --to $YOU_IP:59632

если не хватит

$IPTABLES -A FORWARD -i $YOU_IP -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

ADroot
так я просто не знаю де мои порты и "помирают" на файрволе 172.17.200.1 или на самом шлюзе 172.17.1.3?!
все никак не дойдут руки чтоб повозится=(

Приветствую.

У меня проблема такого плана

iptables -F INPUT -j DROP
********
********
iptables -A INPUT -s 10.235.10.0/24 -j ACCEPT

Но ничего не происходит. Как был запрет так и остался пробовал и с конкретными IP и с подсетями и -d но ничего не происходит.
В чем проблема?

iptables -F INPUT -j DROP прям скажем странно! Опция F означает очистку и к ней параметр -j DROP не пришей рукав ! Правильно вот так:
iptables -F #очистить все правила
или
iptables -F INPUT #очистить правила в цепочке INPUT

а остальные политики дефолтовые на запрет:

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
...
iptables -A INPUT -s 10.235.10.0/24 -j ACCEPT

Возможно из-за ошибки синтаксиса правила не применились, проверяй командой:
iptables -L -n

не забыть про echo "1" > /proc/sys/net/ipv4/ip_forward

Есть три вопроса по iptables, кто может помочь ?
(или ещё лучше - дать ссылки на статьи, где можно найти более подробную инфу)


1. есть 3 интерфейса локальных интерфейса, и 1 внешний.
как 3 локальных интерфейса соеденить в один ?
(три девайса, один айпи, одна сеть.. чтобы работал НАТ)

2. как настроить форвардинг типа Ip multicast ?
т.е. всё то приходит на порт 1234 UDP одновремённо всем другим компам (с других интерфейсов), тоже на порт 1234 UDP.


3. тоже самое, но для IGMP трафика.

Advanced_Guest
а в чем смысл первого вопроса? кроме увеличения пропускной способности. для объединения надо чтобы свич куда подключены эти три интерфейса - поддерживал функцию объединения.

Dr_Spectre
свитча нету.
машина с этими 4 мя интерфейсами работает как свитч.
получается 3 внутренних подсети .1.0/24 .2.0/24 и .3.0/24 , что не очень то нужно.
хотелось бы объеденить в одну.

Цитата:

свитча нету.
машина с этими 4 мя интерфейсами работает как свитч.
получается 3 внутренних подсети .1.0/24 .2.0/24 и .3.0/24 , что не очень то нужно.
хотелось бы объеденить в одну.

уберите 2 сетевухи локальных и поставьте свитч 5 портовый за 500 руб.

Dr_Spectre
мне кажется это не сильно поможет для решения 2ой и 3ей проблемы.

(тем более что первую проблему можно спокойно решить в виндовсе, путём объеденения нескольких интерфейсов.. почему под линуксом это не возможно ? )

Смысл такой...шлюз на нем сквид, но народ не весь ходит через сквид, а надо завернуть всех через прокси
Вот что навоял...
LAN_IFACE=eth0
INET_IFACE=sbni0
LAN_IP=192.168.0.2
INET_IP=195.58.36.1
PROXY_IP=192.168.0.2
squid
iptables -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP
iptables -t nat -A PREROUTING -p tcp --dport 80 -i $LAN_IFACE -j REDIRECT --to-ports 3128
Делал по этой статье http://www.freesource.info/wiki/Stat'i/NastrojjkaSeti/NastrojjkaProzrachnogoProksi?show_comments=1
что теперь с этим добром делать?

Цитата:

что теперь с этим добром делать?

подать в консоли и прописать в автозагрузку.

Dr_Spectre
гуру тут подсказал, что достаточно только одной строки + transparent значение в самом сквиде

Цитата:

iptables -t nat -A PREROUTING -p tcp --dport 80 -i $LAN_IFACE -j REDIRECT --to-ports 3128

Только вот вопрос...команду сделаю в консоле, изменю конфиг сквида, но вдруг что-то криво будет как вернуть все обратно?

vworld
Вместо -A поставить -D. А вообще документацию надо читать. Настройка iptables - это довольно серъезное дело.

Dr_Spectre

Цитата:

Настройка iptables - это довольно серъезное дело.

согласен, но у нас же постоянно давай давай скорей скорей, вот и боюсь напортачить

[root@localgate /]# iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j REDIRECT --to-ports 3128
bash: iptables: command not found
и вот так
[root@localgate /]# iptables -t nat -A PREROUTING -s 192.168.0.0/16 -d ! 192.168.0.2 -p tcp -m multiport --dport 80 -j REDIRECT --to-port 3128
bash: iptables: command not found
в чем засада?

vworld указывай полный путь к iptables или юзай подстановки
типа
IPTABLES="/usr/sbin/iptables"
затем уже
$IPTABLES -A allowed -p TCP --syn -j ACCEPT


Добавлено:
vworld а вообще в ядре то включено именно iptables ? а не ipchains ?

Пожалуйста объясните смысл правил по умолчанию которые генерируются в Red Hat и CentOS , что это за порты к какому сервису относятся, что за адрес 224.0.0.251

#default
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT

beluihelp
cat /etc/services

Не подскажете, где почитать о том как настраивать файрвол в CentOs/RedHat? утилитка автоматической настроки чего-то настраивает, но? NAT от нее я так и не добился.

Klisha
iptables tutorial rus - самая лучшая дока.

кто может быстро на примере подсказать как мне в форвардинге правили от моей айпихи к другой допсить в середину а не в конец, т.к. дроп срабатывает на меня раньше ?
спсб заранее
например пример хочу чтоб от меня можно было на шару попасть и наоборот
ip1 172.17.31.27
ip2 172.17.140.7
?

pusiyjan
-I вместо -A использовать.

Dr_Spectre
Да это я уже понял даже знаю теперь как теперь вкинуть себя в начало списка =)) но теперь мне надо по порт форвардингу помощь, как мне порт пробросить из свой сети прямиком на шлюз?

подскажите, пожалуйста
у меня сейчас есть внутренняя сеть 192.168.3.0/24, настроен маскарадинг
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
а как бы мне сделать, чтобы из моей внутренней сети в сеть 192.168.0.0/24 всё бы проходило без NAT?

Цитата:

а как бы мне сделать, чтобы из моей внутренней сети в сеть 192.168.0.0/24 всё бы проходило без NAT?

-d !192.168.0.0/24

я сделал для своей записи такую запись как у всех админов в конторе
iptables -A PREROUTING -i vlan6 -t mangle -s 172.17.31.27 -j MARK --set-mark 20
как я предполагаю я все пакеты свои помечаю икуда-бы они не шли, или нет???
объясните подробно эту строку???


Добавлено:
вообщем мне надо чтоб все пакеты шли на шлюз на котором у меня все разрешено, это како-то роутингом сделано, как ?
какой мне правило написать чтоб у меня когда я делал тресерт я попадал на нужный мне шлюз????

Други! Как открыть диапазон удп-портов? и насколько это безопасно? возможно надо делать какието спец. настройки для самого протокола для защиты от типичных атак...?
Заранее спс.
ЗЫ. хочу открыть с целью подымания опенвпн.

Господа!
Киньте, пожалуйста, ссылку на ipchains. Желательно в дебиановском формате.
Гугл не рулит((.

ipchains используется только с ядрами 2.2-работать на 2.4 2.6 без включения совместимости не будет-используйте iptables - синтаксис тотже