» Firewall *nix: iptables, ipfw, pf etc...

denis1100
Ну они же не каждый лично в этот сервер с Ubuntu воткнуты...
Это задача для коммутатора и решается она преимущественно VLAN'ами.

Alukardd
ТС имеет в виду подключение по VPN.
denis1100
Если инженеры должны видеть клиентов, то и те будут видеть инженеров.
Вообще-то VPN понятие очень растяжимое.
Если речь идет об OpenVPN с опцией client-to-client, то здесь iptables
вообще не при делах, система не в курсе пакетов между клиентами.
Читаем сюда: Ссылка

denis1100
Ответил в правильной ветке

спасибо всем ответившим, нет у меня не OpenVpn , ptp (pptpd), может не правильно, но пока работает так:
-A FORWARD -s 10.10.10.2/32 -p tcp -m tcp -m state --state NEW,ESTABLISHED -m iprange --dst-range 10.10.10.20-10.10.10.254 -j ACCEPT
-A FORWARD -s 10.10.10.0/24 -d 10.10.10.0/24 -p tcp -m tcp -m state --state ESTABLISHED -j ACCEPT
пока работает так, режет как надо, клиенту между собой не режутся, инженеров пусть видят.
Единственное что, не разобрался как прописать диапазон -s 10.10.10.2/32 - но думаю что достаточно будет погуглить, ну а если не выйдет, заведу правило для каждого нужного ip(благо их не много)

Прошу помощи. Есть МЭ на линуксе с четырьмя сетевыми интерфейсами. Инет приходит на breth3 (адреса 10.*.*.*), раздается в сеть через breth1 (адреса 192.168.1.*). На breh0 (адреса 192.168.0.*) инет не раздается. Какие настройки надо сделать, чтобы пустить инет на конкретную машину в сети 192.168.0.*?

Zhoporez666
Слишком мало данных. Я бы посмотрел вывод этих команд:
sudo iptables -nvL -t filter
sudo iptables -nvL -t nat

Код: Chain INPUT (policy ACCEPT 1 packets, 1028 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -f * * 0.0.0.0/0 0.0.0.0/0
9092 18M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
770 170K ULOG all -- * * 0.0.0.0/0 0.0.0.0/0 ULOG copy_range 48 nlgroup 1 prefix `icount' queue_threshold 50
0 0 ACCEPT tcp -- breth2 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
12 624 ACCEPT tcp -- breth2 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:10050
0 0 ACCEPT tcp -- breth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
3 156 ACCEPT tcp -- breth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- breth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080
0 0 ACCEPT tcp -- breth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080
0 0 ACCEPT tcp -- breth2 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8080
524 26274 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
23 1104 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:5736:5741
117 120K ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
61 16468 DROP all -- breth0 * 0.0.0.0/0 0.0.0.0/0
25 2588 DROP all -- breth1 * 0.0.0.0/0 0.0.0.0/0
2 492 DROP all -- breth2 * 0.0.0.0/0 0.0.0.0/0
2 492 DROP all -- breth3 * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -f * * 0.0.0.0/0 0.0.0.0/0
0 0 DROP tcp -- breth0 * 0.0.0.0/0 10.27.254.42 tcp dpt:1243
19423 15M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
165 8572 ULOG all -- * * 0.0.0.0/0 0.0.0.0/0 ULOG copy_range 48 nlgroup 1 prefix `fcount' queue_threshold 50
0 0 DROP tcp -- breth0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3128
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.1.2 tcp dpt:8078
165 8572 ACCEPT tcp -- * * 0.0.0.0/0 10.27.254.42
0 0 ACCEPT udp -- * * 0.0.0.0/0 10.27.254.42
0 0 ACCEPT tcp -- * * 192.168.0.254 10.99.1.42 tcp dpt:21

Chain OUTPUT (policy ACCEPT 623 packets, 33470 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -f * * 0.0.0.0/0 0.0.0.0/0
8905 19M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
623 33470 ULOG all -- * * 0.0.0.0/0 0.0.0.0/0 ULOG copy_range 48 nlgroup 1 prefix `ocount' queue_threshold 50

Могу ошибаться, но по вашим правилам выходит, что вы используете прокси-сервер для выпуска пользователей в инет. Так чтобы не обрушить логику работы вашей сети, надо настройки делать в проксе.

Прокси настроен на вышестоящем МЭ, используется squid. На моем МЭ прокси нет. Только iptables надо настроить.

Zhoporez666
Цитата:

Прокси настроен на вышестоящем МЭ, используется squid.

Тогда при чем здесь вообще iptables?
Настраивай маршрутизацию, и прописывай прокси у клиентов в сети 192.168.0.*.

Zhoporez666
В вашем случае эти две строчки говорят о том, что NAT из сети 192.168.0.х есть:

Код: 123 6388 SNAT tcp -- * * 0.0.0.0/0 10.27.254.42 to:10.27.63.42
0 0 SNAT udp -- * * 0.0.0.0/0 10.27.254.42 to:10.27.63.42

Спасибо, попробую. Я правильно понимаю, что в цепочке FORWARD в таблице FILTER запрещающая строка (или в других местах есть еще, связанные с этим правила?):
-p tcp -i breth0 -j DROP --dport 3128

Мне нужно пустить инет на одну машину и для этого думаю использовать второй вариант из предложенного, то есть заменить имеющуюся строку на:
-p tcp -i breth0 ! -s [нужный ip-адрес] --dport 3128 -j DROP


Оно?

есть прошивка dd-wrt. Ломаю голову как можно прописать в правилах или настройках, чтобы доступ к нему был только с одного внешнего (или нескольких, если с одного то с одного) ip адреса? и не видно было другим.

Подскажите как писать логи события?
-I FORWARD -s 61.178.199.0/24 -j REJECT

OOD
Цитата:

Подскажите как писать логи события?

-I FORWARD -s 61.178.199.0/24 –log-prefix “BLABLA: ” -j LOG
-I FORWARD -s 61.178.199.0/24 -j REJECT

vlary
А если список слишком большой каждому диапазону по 2 таких записи создавать нужно?
Для всех одну запись
Цитата:

–log-prefix “BLABLA: ” -j LOG

никак?

OOD
Цитата:

Для всех одну запись

Убираешь -s 61.178.199.0/24, тогда все, что попадет у тебя под запрет в FORWARD, будет писаться с этим префиксом.

Добрый день! Помогите решить одну задачку, т.к. в линуксе ноль. Есть роутер на DD-WRT, настроен OpenVPN Server, к нему подключается несколько филиалов, все это делалось, чтобы на филиалах работали IP-телефоны Panasonic, которые подключаются к нашей IP-АТС Panasonic, сейчас звонки работают между офис-филиал, а вот филиал-филиал нет, думается все дело в правилах фаервола, они сейчас пустые, как сделать, чтобы филиалы могли «видеть друг друга» и звонить друг другу.

В инете нашел несколько мануалов по настройке, но не зна, будут ли они работать в такой конфигурации
Пример:
# eth0 - внутренний интерфейс 192.168.0.0/24
# tun - сетка 192.168.1.0/24 для openvpn-клиентов
iptables -A INPUT -p udp -m udp --dport 11194 -j ACCEPT
iptables -A OUTPUT -p udp -m udp --sport 11194 -j ACCEPT -m conntrack --ctstate ESTABLISHED,RELATED
iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.0.0/24 -i tun+ -o eth0 -p icmp -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -d 192.168.1.0/24 -i eth0 -o tun+ -p icmp -j ACCEPT

У меня несколько интерфейсов tun для каждого филиала.

Подскажите проблема такая был шлюз настроен на реал айпи и внутренюю сетку, Centos6,Esx4,2 вертуальных интерфейса и 2 реальных.
Переселил машину на другой сервер esx 5.5.0 тупым копированием вертуалки.
поменял hostname айпи адреса днс и т.д.
нат работает, а Dnat (проброс портов во внутренюю сеть) не работают
подскажите в чем может быть беда?

Добрый день!
Подскажите как реализовать.
Есть комп с 2 сетевыми NAT, forward, iptables
Есть комп в локальной сети с приложением отправляющего пакеты с определенного порта
Какое правило iptables нужно прописать чтобы после прохождения NAT, IP адрес менялся, а вот исходящий порт оставался прежним который шел от проиложения