Изпечатай

[Exterminator]

ок. Не ми се беше налагало да използван iptables до сега ...
Но ми се наложи и след дълго четене стигнах до следниа извод:

target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
DROP       icmp --  anywhere             anywhere            icmp echo-request
DROP       icmp --  anywhere             anywhere            icmp type 30
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http
ACCEPT     all  --  localnet/24           anywhere
ACCEPT     all  --  *.*.*.*               anywhere
ACCEPT     all  --  *.*.*.*               anywhere
ACCEPT     all  --  *.*.*.*               anywhere
DROP       tcp  --  anywhere             localhost           tcp dpts:0:ftp-data
DROP       tcp  --  anywhere             localhost           tcp dpts:26:finger
DROP       tcp  --  anywhere             localhost           tcp dpts:hosts2-ns:65535

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             localnet/24
ACCEPT     all  --  anywhere             *.*.*.*
ACCEPT     all  --  anywhere             *.*.*.*
ACCEPT     all  --  anywhere             *.*.*.*
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http
DROP       tcp  --  anywhere             anywhere            tcp dpts:0:ftp-data
DROP       tcp  --  anywhere             anywhere            tcp dpts:26:finger
DROP       tcp  --  anywhere             anywhere            tcp dpts:hosts2-ns:65535




Проблема ми е че с тези настройки само 3-те ИП-адресса и локалната мрейа виждат 80-ти порт.
Първоначално не бях добавил редовете за позволяване на 80-ти порт. Но си мислех че като не съм ги забранил няма да има проблеми. След което ги добавих ( да дори в FORWARD ) с надеждата да стане ( нали деф-полицата им е ACCEPT ).
Мислех че с iptaблес -A INPUT/OUTPUT/FORWARD  -p tcp --destination-port 80 -j ACCEPT всичко ще се оправи .. да ама не :?
Не мога да схвана ...


ЕДИТ: омфг сорри че тук съм постнал. Чак след като постнах разбрах че е на грешното място '>

[VladSun]

Нищо не разбрах.
Какви са тия 3 ИП-та?
Най-вече - какво точно искаш да направиш?

[gat3way]

Само него ли?

Така като гледам очакваш source port-a с който установяват комуникация до машината на http порт-а да е или 80 или 20-26. Тъй като това се избира на почти случаен принцип и обикновено е порт над 1024, нормално е не само до 80 ами и до който друг отворен да не успеят да се свържат.

Оправи правилата в OUTPUT, махни тези правила:

DROP       tcp  --  anywhere             anywhere            tcp dpts:0:ftp-data
DROP       tcp  --  anywhere             anywhere            tcp dpts:26:finger
DROP       tcp  --  anywhere             anywhere            tcp dpts:hosts2-ns:65535

А и DROP не е много културна работа по принцип.

[Exterminator]

@VladSun 3-те ИП-та с *.*.*.* и локалната мрежа 192.168.*.0/24 са единствените който имат достъп до web-часта. Проблема е че искам всички да имат достап до него -)

@gat3way Направих го -) Колково до Drop ->

Искам да питам още нещо. За да имам възможност да оставя тези 3 реда там ... може ли да иползвам командата --syn или пак съм във някаква заблуда ? -))

[gat3way]

Зависи какво искаш да се случи.

Каква по-точно е целта?

[Exterminator]

@gat3way
Мерси много .. за сега няма да задълбочавам защото ми изникна по-важен проблем.
Все пак мерси много за помоща.