Автор Тема: Настройки на IP Tables  (Прочетена 3944 пъти)

Acho

  • Напреднали
  • *****
  • Публикации: 5256
  • Distribution: Slackware, MikroTik - сървърно
  • Window Manager: console only
    • Профил
    • WWW
Re: Настройки на IP Tables
« Отговор #15 -: Nov 20, 2011, 19:14 »
Последно, какво искаш да реализираш ? Или вече всичко е ОК ?
Активен

CPU - Intel Quad-Core Q8400, 2.66 GHz; Fan - Intel Box; MB - Intel G41M-T2; RAM - DDR2-800, Kingston HyperX, 2X2048 MB; VC - onboard, Intel G41 Express Chipset; HDD - Toshiba, 500 GB, SATAII; SB - Realtek HD Audio; DVD-RW - TSSTcorp DVD-RW; LAN - Realtek PCI-E GBE Controller; PSU - Fortron 350 Watt.

ircn

  • Напреднали
  • *****
  • Публикации: 26
    • Профил
Re: Настройки на IP Tables
« Отговор #16 -: Nov 21, 2011, 00:56 »
Значи като имаш -j DROP дропваш всичко в съответната верига.
Ти пишеш -j ACCEPT port 25 примерно и това важи за идващите пакети във FORWARD веригата независимо от кой интерфейс eth0 или eth1. Само, че ако ETH0 ти е външния и има заявка на порт 25 то пакета ще мине като пристигащ ама като се връща ще се върне през друг порт който не е отворен. За това ти трябва или да разрешиш -i eth1 -o eth0 -j ACCEPT за да може трафика който се връща независимо от кой порт да се приема. Другия вариант е ESTABLISHIED, RELATED -j ACCEPT и готово.
Активен

velchev

  • Напреднали
  • *****
  • Публикации: 12
    • Профил
Re: Настройки на IP Tables
« Отговор #17 -: Nov 22, 2011, 17:45 »
Значи като имаш -j DROP дропваш всичко в съответната верига.
Ти пишеш -j ACCEPT port 25 примерно и това важи за идващите пакети във FORWARD веригата независимо от кой интерфейс eth0 или eth1. Само, че ако ETH0 ти е външния и има заявка на порт 25 то пакета ще мине като пристигащ ама като се връща ще се върне през друг порт който не е отворен. За това ти трябва или да разрешиш -i eth1 -o eth0 -j ACCEPT за да може трафика който се връща независимо от кой порт да се приема. Другия вариант е ESTABLISHIED, RELATED -j ACCEPT и готово.

Има много голяма логика в това което ме съветваш и често казано никога не бих се сетил... трябва да си го правил напрактика. Би ли написъл точно къде да добавя -i eth1 -o eth0 -j ACCEPT в моята конфигурация - последо публикуваната с форвард веригите.

Има малка промяна в идеята... файр уол-а е наистина такъв, имам предвид
https://docs.google.com/document/d/1O3SNAibt-ETsRXaOkdKrMTrQgTbuNY2zBBuiaQb8994/edit

Първия случай, т.е. след него има други комютри и той наистина се използва за филтриране на трафика.

Това ми е конфигурацията за случая.

iptables -t filter -F
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A FORWARD  -p tcp -m multiport --dports 21,25,80,81,110,443,465 -j ACCEPT
iptables -A FORWARD  -p udp --dport 53 -j ACCEPT
iptables -A FORWARD  -p udp --dport 54 -j ACCEPT
iptables -A FORWARD -j DROP
iptables -S
Активен

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
HTB hashing tables
Настройка на програми
rers32e 3 2493 Последна публикация Mar 23, 2006, 11:25
от
Pf и state tables
Настройки на софтуер
never_mind 0 1832 Последна публикация Jan 31, 2007, 22:33
от never_mind
IP Tables
Настройка на програми
Lucifer 7 3132 Последна публикация Feb 17, 2009, 19:27
от Lucifer
ip tables Mac adress filtering
Настройка на програми
thatsmeufo 13 4794 Последна публикация Dec 01, 2009, 16:27
от mkp
ip tables въпрос
Настройка на програми
qvor16 9 3805 Последна публикация Jan 07, 2019, 13:35
от VladSun