где ошибка в правилах iptables
sergicus s
sergicus на gmail.com
Пт Янв 4 10:27:03 GMT 2008
У меня стои ubuntu server 7.10
Настраиваю ее как прокси сервер
Задача настроить маскарадинг и обеспечить безопасность
Сам маскарадинг настроился и работает после такой команды
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
и все нормально
Начал настраивать прочие правила - создал скрипт для установки правил
#!/bin/bash
IPT=/sbin/iptables
$IPT -F
$IPT -t nat -F
$IPT -t mangle -F
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
#==STATE RULES
$IPT -t nat -A POSTROUTING -o eth0 -j MASQUERADE
$IPT -A FORWARD -p tcp -j LOG
$IPT -A FORWARD -p udp -j LOG
$IPT -A FORWARD -p icmp -j LOG
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#== LOCALCHOST
$IPT -A FORWARD -i ! lo -s 127.0.0.1 -j DROP
$IPT -A INPUT -i ! lo -s 127.0.0.1 -j DROP
$IPT -A FORWARD -i ! lo -d 127.0.0.1 -j DROP
$IPT -A INPUT -i ! lo -d 127.0.0.1 -j DROP
$IPT -A INPUT -d 127.0.0.1 -j ACCEPT
$IPT -A INPUT -s 127.0.0.1 -j ACCEPT
#== ICMP
$IPT -A INPUT -p icmp -j ACCEPT
#== SSH
$IPT -A INPUT -p tcp -i eth0 -m state --state NEW --dport 22 -m recent
--update --seconds 20 -j DROP
$IPT -A INPUT -p tcp -i eth0 -m state --state NEW --dport 22 -m recent --set
-j ACCEPT
$IPT -A INPUT -p tcp --dport 22 -j ACCEPT
#== DNS
$IPT -A INPUT -p tcp --dport 53 -j ACCEPT
$IPT -A INPUT -p udp --dport 53 -j ACCEPT
#==APACHE
$IPT -A INPUT -p tcp --dport 80 -j ACCEPT
#== SMTP
$IPT -A INPUT -p tcp --dport 25 -j ACCEPT
#== SPOP
$IPT -A INPUT -p tcp -i eth0 -m state --state NEW --dport 995 -m recent
--update --seconds 20 -j DROP
$IPT -A INPUT -p tcp -i eth0 -m state --state NEW --dport 995 -m recent
--set -j ACCEPT
но к сожелению после его запуска маскарадинг перестал работать - с сервера
на котором установлен iptables все в инет иде а с других компов сети нет.
Посоветуйте ПОЖАЛУЙСТА - где я допустил ошибку и что еще можно добавить в
скрипт для повышения безопасности
Я запустил логирование - вот результат (примерно все такого типа - я
пробовал из локальной сети пропинговать сайт и зайти на другой сайт из
брайзера - результата нет)
Jan 4 13:09:06 prox kernel: [12468.250866] IN=eth1 OUT=eth0 SRC=192.168.0.9DST=
213.180.204.8 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=ICMP TYPE=8
CODE=0 ID=55064 SEQ=378
Jan 4 13:09:06 prox kernel: [12468.267539] IN=eth0 OUT=eth1 SRC=
213.180.204.8 DST=192.168.0.9 LEN=84 TOS=0x00 PREC=0x20 TTL=56 ID=10742
PROTO=ICMP TYPE=0 CODE=0 ID=55064 SEQ=378
--
С уважением
Сергей
----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: https://lists.ubuntu.com/archives/ubuntu-ru/attachments/20080104/64b34a52/attachment-0001.htm
Подробная информация о списке рассылки ubuntu-ru