где ошибка в правилах iptables

Евгений М. Солодухин devil_inside на mail.ru
Вт Янв 15 20:30:39 GMT 2008


к етому:  |$IPT -t nat -A POSTROUTING -o eth0 -j MASQUERADE

нада еще и ето :
localnet=192.168.0.0/24

iptables -A FORWARD -s $localnet -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0  -d $localnet -m state --state RELATED,ESTABLISHED -j ACCEPT
 

что нить похожее изобразить.


зыЖ
хоть я и не специалист... но скрипт - невнятный.

и на всякий случай я бы еще так задудонил:
|$IPT -t nat -A POSTROUTING -s $localnet -o eth0 -j MASQUERADE


pps:
а убунту сервер = он как, с гуями поставляется или как дебиановский ?
:)


,------["sergicus s" <sergicus на gmail.com> Fri, 4 Jan 2008 13:27:03 +0300]
|У меня стои ubuntu server 7.10
|
|Настраиваю ее как прокси сервер
|
|Задача настроить маскарадинг и обеспечить безопасность
|
|Сам маскарадинг настроился и работает после такой команды
|
|iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
|
|и все нормально
|
|Начал настраивать прочие правила - создал скрипт для установки правил
|
|#!/bin/bash
|
|IPT=/sbin/iptables
|
|$IPT -F
|$IPT -t nat -F
|$IPT -t mangle -F
|$IPT -P INPUT DROP
|$IPT -P FORWARD DROP
|
|#==STATE RULES
|$IPT -t nat -A POSTROUTING -o eth0 -j MASQUERADE
|
|$IPT -A FORWARD -p tcp -j LOG
|$IPT -A FORWARD -p udp -j LOG
|$IPT -A FORWARD -p icmp -j LOG
|
|$IPT -A INPUT -m state --state INVALID -j DROP
|$IPT -A FORWARD -m state --state INVALID -j DROP
|$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
|$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
|
|#== LOCALCHOST
|
|$IPT -A FORWARD -i ! lo -s 127.0.0.1 -j DROP
|$IPT -A INPUT -i ! lo -s 127.0.0.1 -j DROP
|$IPT -A FORWARD -i ! lo -d 127.0.0.1 -j DROP
|$IPT -A INPUT -i ! lo -d 127.0.0.1 -j DROP
|$IPT -A INPUT -d 127.0.0.1 -j ACCEPT
|$IPT -A INPUT -s 127.0.0.1 -j ACCEPT
|
|#== ICMP
|
|$IPT -A INPUT -p icmp -j ACCEPT
|
|#== SSH
|
|$IPT -A INPUT -p tcp -i eth0 -m state --state NEW --dport 22 -m recent
|--update --seconds 20 -j DROP
|$IPT -A INPUT -p tcp -i eth0 -m state --state NEW --dport 22 -m recent --set
|-j ACCEPT
|$IPT -A INPUT -p tcp --dport 22 -j ACCEPT
|
|
|#== DNS
|
|$IPT -A INPUT -p tcp --dport 53 -j ACCEPT
|$IPT -A INPUT -p udp --dport 53 -j ACCEPT
|
|#==APACHE
|$IPT -A INPUT -p tcp --dport 80 -j ACCEPT
|
|#== SMTP
|
|$IPT -A INPUT -p tcp --dport 25 -j ACCEPT
|
|#== SPOP
|
|$IPT -A INPUT -p tcp -i eth0 -m state --state NEW --dport 995 -m recent
|--update --seconds 20 -j DROP
|$IPT -A INPUT -p tcp -i eth0 -m state --state NEW --dport 995 -m recent
|--set -j ACCEPT
|
|
|
|но к сожелению после его запуска маскарадинг перестал работать - с сервера
|на котором установлен iptables все в инет иде а с других компов сети нет.
|
|Посоветуйте  ПОЖАЛУЙСТА - где я допустил ошибку и что еще можно добавить в
|скрипт для повышения безопасности
|
|Я запустил логирование - вот результат (примерно все такого типа - я
|пробовал из локальной сети пропинговать сайт и зайти на другой сайт из
|брайзера  - результата нет)
|Jan  4 13:09:06 prox kernel: [12468.250866] IN=eth1 OUT=eth0 SRC=192.168.0.9DST=
|213.180.204.8 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=ICMP TYPE=8
|CODE=0 ID=55064 SEQ=378
|Jan  4 13:09:06 prox kernel: [12468.267539] IN=eth0 OUT=eth1 SRC=
|213.180.204.8 DST=192.168.0.9 LEN=84 TOS=0x00 PREC=0x20 TTL=56 ID=10742
|PROTO=ICMP TYPE=0 CODE=0 ID=55064 SEQ=378
|

`-----------------

-- 
_________
***************************************
*           icq: 161874711            *
*   jabber:  devil_inside на jabber.ru   *
* irc.starlink.ru,#Gene, Devil_InSide *
*    Registered linux user #450844    *
*************************************** 





Подробная информация о списке рассылки ubuntu-ru