iptables

[anahit80]

Привет всем.
Что означает это:
iptables -t nat -A POSTROUTING -s 192.168.3.0/255.255.255.0 -d ! 11.12.13.14 -j MASQUERADE
Спосибо

[muzungu]

NAT-ить сетку 192.168.3.0/255.255.255.0 наружу, кроме дестинейшна 11.12.13.14

[Makiavielli]

izvenite a takoy vapros na shot iptables
u menya ustanovlen
Slackware Linux 12
SQUID
i v Slackware Linux 12 vnutri uje est ustanovlen iptables!
cherez SQUID innet narmalno rabotayet
a vot pochta ne nsatraivayetca na kompax, tak kak na servere porti 110 i 25 (POP3 i SMTP) zakriti!!!
komandi dayu sledushim obrazom
vnutrenniy IP servera 192.168.0.1


echo 1 >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -P FORWARD DROP 
iptables -A FORWARD -s 192.168.0.1 -j ACCEPT 
iptables -A FORWARD -d 192.168.0.1 -j ACCEPT 
iptables -A FORWARD -p icmp -j ACCEPT 
iptables -A FORWARD -p tcp --sport 110 -j ACCEPT 
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT 
iptables -A FORWARD -p tcp --sport 25 -j ACCEPT 
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables-save
reboot

posle perezagruzki smatryu



root@server:~# nmap localhost

Starting Nmap 4.20 ( http://insecure.org ) at 2009-01-11 17:06 AMT
Interesting ports on localhost (127.0.0.1):
Not shown: 1694 closed ports
PORT    STATE SERVICE
22/tcp  open  ssh
37/tcp  open  time
113/tcp open  auth

Nmap finished: 1 IP address (1 host up) scanned in 0.071 seconds
root@server:~#

53/tcp open domain
111/tcp open rpcbind
139/tcp open netbios-ssn
445/tcp open microsoft-ds
953/tcp open rndc


porti 110 i 25 tak je ostalis zakritimi!!!!
chto ya prapustil ? pomogite!........

[XSER]

Например так

--------------------------------------------------------------------------------------------
# маршрутизация
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
---------------------------------------------------------------------------------------------
# манипулирование пакетами здесь ничего не делается просто пусто объявление системных цепочек
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
------------------------------------------------------------------------------------------------
# сам фаервол
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-------------------------------------------------------------------------------------------------
#делаем цепочку fire для более простого построения правил [0:0] - означает что цепочка запускается с обнуленной статистикой по пакетам:трафику
:fire - [0:0]
--------------------------------------------------------------------------------------------------
#Делаешь форвардинд т.е. чтобы почтовые клиенты работали в обход прокси suid например
-A PREROUTING -p tcp -m tcp --dport 5000 -j DNAT --to-destination 192.168.0.1:25
-A PREROUTING -p tcp -m tcp --dport 5000 -j DNAT --to-destination 192.168.0.1:110
---------------------------------------------------------------------------------------------------
#чтоб пакеты могли возращатся
-A POSTROUTING -s 192.168.0.1 -p tcp -m tcp --sport 25 -j MASQUERADE
-A POSTROUTING -s 192.168.0.1 -p tcp -m tcp --sport 110 -j MASQUERADE
------------------------------------------------------------------------------------------------------

[Makiavielli]

kakya ponual eto skript dlya iptables da?
a kuda ee saxranyat?
sorry prosto ya v linux nedavno...ochennnn ploxo znayu!))

[artyom]

В принципе ты мыслишь в правильную сторону,но забыл указать интерфейс:

Код: [Выделить]

$IPTABLES -A FORWARD -p tcp --dport 25 -i $LAN_IFACE -j ACCEPT

Код: [Выделить]

$IPTABLES -A FORWARD -p tcp --dport 110 -i $LAN_IFACE -j ACCEPT

Код: [Выделить]

$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP
Удачи   

[artyom]

И кстати можно поинтересоваться почему ты выбрал именно Slackware? Это далеко не та ОС с которой стоит изучать мир linux.

[Makiavielli]

toist mne napisat takim obrazom?
u menya $LAN_IFACE = eth1
           $INET_IFACE = eth0

$INET_IP  -- kak ponimayu eto IP GW provaydera da?


echo 1 >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source $INET_IP
iptables -P FORWARD DROP 
iptables -A FORWARD -s 192.168.0.1 -j ACCEPT 
iptables -A FORWARD -d 192.168.0.1 -j ACCEPT 
iptables -A FORWARD -p icmp -j ACCEPT 
iptables -A FORWARD -p tcp --sport 110 -i eth1 -j ACCEPT 
iptables -A FORWARD -p tcp --dport 110 -i eth1 -j ACCEPT 
iptables -A FORWARD -p tcp --sport 25 -i eth1 -j ACCEPT 
iptables -A FORWARD -p tcp --dport 25 -i eth1 -j ACCEPT
iptable=save
reboot

?
kstate u menya iptables naxoditca v /usr/sbin
nujno li ee pomenyat na /etc/bin?

[artyom]

Выходит что так )
Только iptable-save 

[Makiavielli]

shas sdelayu! a u tebya icq est? mojesh napisat mne na nomer 246666464?

[LinuXoiD]

2 Makiavielli

Неужели так трудно не писать транслитом?

[Makiavielli]

2 LinuXoiD

СОРРИ, обещаю исправлюс!))

но щас проблема такая появилась

ipconfig-save
не делает, пишет что команда не найдена!, с чего бы?

[artyom]

Какой ешо ipconfig-save  ? O_o
Может ты имеешь ввиду iptables-save?

[Makiavielli]

мда.......видно мне уэ спать пара!)) уэ 3ой день работаю над этим, уже галава не работает!!!!!

а кокой командой потом можно праверит сахранение идёт или нет?
потаму что до перзагрузки командой
iptables -L --table filter
у меня показивает что порт pop3 и smtp открыт,а после перезагрузки эта хе каманда не однаго открытого порта не показивает
я ещо попробывал сохранит этот конфиг в файл
/etc/iptables-save
но коким скриптом и где показат чтоби при загрузке компа этот скрипт запускался?

[artyom]

B /etc/rc.d/rc.local пропиши:

iptables-restore < /etc/iptables-save