forum.opennet.ru - "(+)Подскажите как в iptables запретить входящие роутящиеся с..." (9)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"(+)Подскажите как в iptables запретить входящие роутящиеся с..."

Форумы Информационная безопасность (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"(+)Подскажите как в iptables запретить входящие роутящиеся с..."
Сообщение от Samson on 29-Окт-02, 13:46 (MSK)
Есть сервак с двумя интерфейсами 192.168.1.1/24 192.168.0.246/24 Из сети 192.168.1.0/24 хосты выходят в сеть 192.168.0.0/24 через NAT. Хочу запретить соединения инициированные из сети 192.168.0.0/24 на хосты сети 192.168.1.0/24. Но при этом соединения из сети 192.168.1.0/24 в сеть 192.168.0.0/24 должны проходить. На сколько я понял надо править цепочку forward только как не знаю.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: (+)Подскажите как в iptables запретить входящие роутящие..., Alex Korshunov, 13:55 , 29-Окт-02, (1)
- RE: (+)Подскажите как в iptables запретить входящие роутящие..., Samson, 16:56 , 29-Окт-02, (2)
  - RE: (+)Подскажите как в iptables запретить входящие роутящие..., J, 11:12 , 30-Окт-02, (5)
- RE: (+)Подскажите как в iptables запретить входящие роутящие..., Samson, 17:12 , 29-Окт-02, (3)
  - RE: (+)Подскажите как в iptables запретить входящие роутящие..., Alex Korshunov, 11:19 , 30-Окт-02, (6)
    - RE: (+)Подскажите как в iptables запретить входящие роутящие..., Alex Korshunov, 11:20 , 30-Окт-02, (7)
RE: (+)Подскажите как в iptables запретить входящие роутящие..., ovix, 21:26 , 29-Окт-02, (4)
RE: (+)Подскажите как в iptables запретить входящие роутящие..., Behemoth, 13:26 , 31-Окт-02, (8)
RE: (+)Подскажите как в iptables запретить входящие роутящие..., Sampan, 22:38 , 17-Ноя-02, (9)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: (+)Подскажите как в iptables запретить входящие роутящие..."

Сообщение от Alex Korshunov on 29-Окт-02, 13:55  (MSK)

>Есть сервак с двумя интерфейсами
>192.168.1.1/24
>192.168.0.246/24
>
>Из сети 192.168.1.0/24 хосты выходят в сеть 192.168.0.0/24 через NAT.
>Хочу запретить соединения инициированные из сети 192.168.0.0/24 на хосты
>сети 192.168.1.0/24. Но при этом соединения из сети 192.168.1.0/24 в сеть 192.168.0.0/24
>должны проходить. На сколько я понял надо править цепочку forward только
>как не знаю.
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -j REJECT
iptables -A FORWARD -p tcp -d 192.168.0.0/24 -j ACCEPT
или что-то очень на это похожее...

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: (+)Подскажите как в iptables запретить входящие роутящие..."

Сообщение от Samson on 29-Окт-02, 16:56  (MSK)

>
>iptables -A FORWARD -p tcp -s 192.168.0.0/24 -j REJECT
>iptables -A FORWARD -p tcp -d 192.168.0.0/24 -j ACCEPT
>
>или что-то очень на это похожее...
Как я вижу, тут нет ничего касабельно разбора входящего/исходящего соединения, значит эти правила похерят всеь роутинг, не так?

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: (+)Подскажите как в iptables запретить входящие роутящие..."

Сообщение от J on 30-Окт-02, 11:12  (MSK)

>>
>>iptables -A FORWARD -p tcp -s 192.168.0.0/24 -j REJECT
>>iptables -A FORWARD -p tcp -d 192.168.0.0/24 -j ACCEPT
>>
>>или что-то очень на это похожее...
>
>Как я вижу, тут нет ничего касабельно разбора входящего/исходящего соединения, значит эти
>правила похерят всеь роутинг, не так?
ну можно еще интерфейс указать

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: (+)Подскажите как в iptables запретить входящие роутящие..."

Сообщение от Samson on 29-Окт-02, 17:12  (MSK)

>iptables -A FORWARD -p tcp -s 192.168.0.0/24 -j REJECT
>iptables -A FORWARD -p tcp -d 192.168.0.0/24 -j ACCEPT
>
>или что-то очень на это похожее...

Я кажется понял как, наверно так
eth0 -192.168.0.0/24
eth1 -192.168.1.0/24
iptables -A FORWARD -i eth0 -o eth1 -p tcp --syn -d 192.168.1.0/24 -j DROP
Таким образом отрубаем все попытки соединений из вне с сетью 192.168.1.0
Ворос к гуру, будет работать? На рабочем серваке гадать не хочется.

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: (+)Подскажите как в iptables запретить входящие роутящие..."

Сообщение от Alex Korshunov on 30-Окт-02, 11:19  (MSK)

>Таким образом отрубаем все попытки соединений из вне с сетью 192.168.1.0
>Ворос к гуру, будет работать? На рабочем серваке гадать не хочется.
Можно указывать конкретные интерфесы, но вообще ключик -s и ключик -d не просто так существуют. Они как раз и указывают, кто в данном случае source, а кто destination.

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: (+)Подскажите как в iptables запретить входящие роутящие..."

Сообщение от Alex Korshunov on 30-Окт-02, 11:20  (MSK)

>
>>Таким образом отрубаем все попытки соединений из вне с сетью 192.168.1.0
>>Ворос к гуру, будет работать? На рабочем серваке гадать не хочется.
>
>Можно указывать конкретные интерфесы, но вообще ключик -s и ключик -d не
>просто так существуют. Они как раз и указывают, кто в данном
>случае source, а кто destination.
А в принципе, человек уже написал самое верное правило - сначала все позапрещать, а уже потом разрешать, что нужно. И гадать тут нечего - простой телнет спасет отца русского файрвола ;)

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: (+)Подскажите как в iptables запретить входящие роутящие..."

Сообщение от ovix on 29-Окт-02, 21:26  (MSK)

Вообще-то, все правила в межсетевых экранах пишутся в основном исходя из одного правила: запрещенно все, что не разрешено.
Запрети в начале вообще все:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
а потом своим правилом разреши только нужный трафик "в сеть 192.168.0.0/24 через NAT"

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: (+)Подскажите как в iptables запретить входящие роутящие..."

Сообщение от Behemoth on 31-Окт-02, 13:26  (MSK)

Вообще то для запрета форвардинга в одном направлении можно написать что-то вроде:
iptables -t filter -A FORWARD -i eth0 -m state --state NEW -j DROP

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "RE: (+)Подскажите как в iptables запретить входящие роутящие..."

Сообщение от Sampan on 17-Ноя-02, 22:38  (MSK)

>Есть сервак с двумя интерфейсами
>192.168.1.1/24
>192.168.0.246/24
>
>Из сети 192.168.1.0/24 хосты выходят в сеть 192.168.0.0/24 через NAT.
>Хочу запретить соединения инициированные из сети 192.168.0.0/24 на хосты
>сети 192.168.1.0/24. Но при этом соединения из сети 192.168.1.0/24 в сеть 192.168.0.0/24
>должны проходить. На сколько я понял надо править цепочку forward только
>как не знаю.
Предположим
192.168.1.1/24             - eth0
192.168.0.246/24          - eth1
# Вначале все запрещаем
iptables -P FORWARD REJECT
# Из сети 192.168.1.1/24 в 192.168.0.246/24 разрешено все
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
# Обратно разрешены только пакеты, соответствующие уже установленному соединению,
# или устанавливающие новое соединение по запросу изнутри (FTP)
# Если FTP между сетями не нужен, RELATED лучше выкинуть
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Ну и, естественно, загрузить необходимые модули - ipt_state, ipt_conntrack, ip_conntrack_ftp и т.п. (сахар, соль - по вкусу)

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: (+)Подскажите как в iptables запретить входящие роутящие..."
Сообщение от Alex Korshunov on 29-Окт-02, 13:55 (MSK)
>Есть сервак с двумя интерфейсами >192.168.1.1/24 >192.168.0.246/24 > >Из сети 192.168.1.0/24 хосты выходят в сеть 192.168.0.0/24 через NAT. >Хочу запретить соединения инициированные из сети 192.168.0.0/24 на хосты >сети 192.168.1.0/24. Но при этом соединения из сети 192.168.1.0/24 в сеть 192.168.0.0/24 >должны проходить. На сколько я понял надо править цепочку forward только >как не знаю. iptables -A FORWARD -p tcp -s 192.168.0.0/24 -j REJECT iptables -A FORWARD -p tcp -d 192.168.0.0/24 -j ACCEPT или что-то очень на это похожее...
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "RE: (+)Подскажите как в iptables запретить входящие роутящие..."
	Сообщение от Samson on 29-Окт-02, 16:56 (MSK)
	> >iptables -A FORWARD -p tcp -s 192.168.0.0/24 -j REJECT >iptables -A FORWARD -p tcp -d 192.168.0.0/24 -j ACCEPT > >или что-то очень на это похожее... Как я вижу, тут нет ничего касабельно разбора входящего/исходящего соединения, значит эти правила похерят всеь роутинг, не так?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "RE: (+)Подскажите как в iptables запретить входящие роутящие..."
	Сообщение от J on 30-Окт-02, 11:12 (MSK)
	>> >>iptables -A FORWARD -p tcp -s 192.168.0.0/24 -j REJECT >>iptables -A FORWARD -p tcp -d 192.168.0.0/24 -j ACCEPT >> >>или что-то очень на это похожее... > >Как я вижу, тут нет ничего касабельно разбора входящего/исходящего соединения, значит эти >правила похерят всеь роутинг, не так? ну можно еще интерфейс указать
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "RE: (+)Подскажите как в iptables запретить входящие роутящие..."
	Сообщение от Samson on 29-Окт-02, 17:12 (MSK)
	>iptables -A FORWARD -p tcp -s 192.168.0.0/24 -j REJECT >iptables -A FORWARD -p tcp -d 192.168.0.0/24 -j ACCEPT > >или что-то очень на это похожее... Я кажется понял как, наверно так eth0 -192.168.0.0/24 eth1 -192.168.1.0/24 iptables -A FORWARD -i eth0 -o eth1 -p tcp --syn -d 192.168.1.0/24 -j DROP Таким образом отрубаем все попытки соединений из вне с сетью 192.168.1.0 Ворос к гуру, будет работать? На рабочем серваке гадать не хочется.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "RE: (+)Подскажите как в iptables запретить входящие роутящие..."
	Сообщение от Alex Korshunov on 30-Окт-02, 11:19 (MSK)
	>Таким образом отрубаем все попытки соединений из вне с сетью 192.168.1.0 >Ворос к гуру, будет работать? На рабочем серваке гадать не хочется. Можно указывать конкретные интерфесы, но вообще ключик -s и ключик -d не просто так существуют. Они как раз и указывают, кто в данном случае source, а кто destination.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "RE: (+)Подскажите как в iptables запретить входящие роутящие..."
	Сообщение от Alex Korshunov on 30-Окт-02, 11:20 (MSK)
	> >>Таким образом отрубаем все попытки соединений из вне с сетью 192.168.1.0 >>Ворос к гуру, будет работать? На рабочем серваке гадать не хочется. > >Можно указывать конкретные интерфесы, но вообще ключик -s и ключик -d не >просто так существуют. Они как раз и указывают, кто в данном >случае source, а кто destination. А в принципе, человек уже написал самое верное правило - сначала все позапрещать, а уже потом разрешать, что нужно. И гадать тут нечего - простой телнет спасет отца русского файрвола ;)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

4. "RE: (+)Подскажите как в iptables запретить входящие роутящие..."
Сообщение от ovix on 29-Окт-02, 21:26 (MSK)
Вообще-то, все правила в межсетевых экранах пишутся в основном исходя из одного правила: запрещенно все, что не разрешено. Запрети в начале вообще все: iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP а потом своим правилом разреши только нужный трафик "в сеть 192.168.0.0/24 через NAT"
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

8. "RE: (+)Подскажите как в iptables запретить входящие роутящие..."
Сообщение от Behemoth on 31-Окт-02, 13:26 (MSK)
Вообще то для запрета форвардинга в одном направлении можно написать что-то вроде: iptables -t filter -A FORWARD -i eth0 -m state --state NEW -j DROP
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

9. "RE: (+)Подскажите как в iptables запретить входящие роутящие..."
Сообщение от Sampan on 17-Ноя-02, 22:38 (MSK)
>Есть сервак с двумя интерфейсами >192.168.1.1/24 >192.168.0.246/24 > >Из сети 192.168.1.0/24 хосты выходят в сеть 192.168.0.0/24 через NAT. >Хочу запретить соединения инициированные из сети 192.168.0.0/24 на хосты >сети 192.168.1.0/24. Но при этом соединения из сети 192.168.1.0/24 в сеть 192.168.0.0/24 >должны проходить. На сколько я понял надо править цепочку forward только >как не знаю. Предположим 192.168.1.1/24 - eth0 192.168.0.246/24 - eth1 # Вначале все запрещаем iptables -P FORWARD REJECT # Из сети 192.168.1.1/24 в 192.168.0.246/24 разрешено все iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT # Обратно разрешены только пакеты, соответствующие уже установленному соединению, # или устанавливающие новое соединение по запросу изнутри (FTP) # Если FTP между сетями не нужен, RELATED лучше выкинуть iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT Ну и, естественно, загрузить необходимые модули - ipt_state, ipt_conntrack, ip_conntrack_ftp и т.п. (сахар, соль - по вкусу)
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх