forum.opennet.ru - "Iptables или враг не пройдёт и друг тоже" (9)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Iptables или враг не пройдёт и друг тоже"

Форум Информационная безопасность (Linux iptables, ipchains / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Iptables или враг не пройдёт и друг тоже"	+/–
Сообщение от orion55 on 30-Июл-11, 18:25
Здравствуйте Есть общая сеть организации(10.72.128.0/21) и есть сеть бухгалтерии(10.72.101.0/25). Это 2 физически разные сети. Между ними стоит маршрутеризатор на базе Alt Linux Server 4 c 2 интерфейсами 10.72.143.166 и 10.72.101.126 между ними настроена машрутеризация. Пакеты ходят из одной сети в другую без проблем. Однако надо сделать так, чтобы из общей сети организации был запрещен доступ к сети бухгалтерии, а бухгалтерия ходила в общую сеть организации только строго на определенные сервера (Гарант(10.72.143.198), антивирус, и т.д.). Для этого производиться настройка iptables следующим скриптом #!/bin/bash IPTABLES -F IPTABLES -t nat -F IPTABLES -t mangle -F IPTABLES -X IPTABLES -t nat -X IPTABLES -t mangle –X IPTABLES -P INPUT DROP IPTABLES -P FORWARD DROP IPTABLES -P OUTPUT ACCEPT IPTABLES -A INPUT -i lo -j ACCEPT IPTABLES -A OUTPUT -o lo -j ACCEPT IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT IPTABLES -A INPUT -s 10.72.143.198 -j ACCEPT После выполнения этого скрипта умирает всё, все пинги, передача данных. Где я совершил ошибку?
Ответить \| Правка \| Cообщить модератору

Оглавление

Iptables или враг не пройдёт и друг тоже, PavelR, 18:34 , 30-Июл-11, (1) +2

Iptables или враг не пройдёт и друг тоже, orion55, 18:38 , 30-Июл-11, (2)

Iptables или враг не пройдёт и друг тоже, anonymous, 18:51 , 30-Июл-11, (3)
Iptables или враг не пройдёт и друг тоже, PavelR, 19:18 , 30-Июл-11, (4)

Iptables или враг не пройдёт и друг тоже, reader, 19:30 , 30-Июл-11, (5)
Iptables или враг не пройдёт и друг тоже, BlackRu, 20:52 , 30-Июл-11, (6) +1
Iptables или враг не пройдёт и друг тоже, XoRe, 18:46 , 31-Июл-11, (7)
Iptables или враг не пройдёт и друг тоже, ImPressed, 09:58 , 01-Авг-11, (8)
Iptables или враг не пройдёт и друг тоже, orion55, 14:03 , 01-Авг-11, (9)

Сообщения по теме [Сортировка по времени | RSS]

1. "Iptables или враг не пройдёт и друг тоже" +2 +/–

Сообщение от PavelR (??) on 30-Июл-11, 18:34

> После выполнения этого скрипта умирает всё, все пинги, передача данных. Где я
> совершил ошибку?
В выборе профессии. В нечтении документации.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Iptables или враг не пройдёт и друг тоже" +/–

Сообщение от orion55 on 30-Июл-11, 18:38

>> После выполнения этого скрипта умирает всё, все пинги, передача данных. Где я
>> совершил ошибку?
> В выборе профессии. В нечтении документации.
Ткни пальцем в ман, где я ошибся.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Iptables или враг не пройдёт и друг тоже" +/–

Сообщение от anonymous (??) on 30-Июл-11, 18:51

>>> После выполнения этого скрипта умирает всё, все пинги, передача данных. Где я
>>> совершил ошибку?
>> В выборе профессии. В нечтении документации.
> Ткни пальцем в ман, где я ошибся.
"сделайте за меня мою работу бесплатно". Насчет выбора профессии - поддерживаю.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Iptables или враг не пройдёт и друг тоже" +/–

Сообщение от PavelR (??) on 30-Июл-11, 19:18

>>> После выполнения этого скрипта умирает всё, все пинги, передача данных. Где я
>>> совершил ошибку?
>> В выборе профессии. В нечтении документации.
> Ткни пальцем в ман, где я ошибся.
В любой ман по iptables в любое место.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Iptables или враг не пройдёт и друг тоже" +/–

Сообщение от reader (ok) on 30-Июл-11, 19:30

> После выполнения этого скрипта умирает всё, все пинги, передача данных. Где я
> совершил ошибку?
наверно не все умерло, с 10.72.143.198 к 10.72.143.166 можно вить обращаться и с самого маршрутизатора в любую подсеть можно.
А то что вы хотите, городите в FORWARD

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Iptables или враг не пройдёт и друг тоже" +1 +/–

Сообщение от BlackRu (ok) on 30-Июл-11, 20:52

IPTABLES -P FORWARD DROP
Вы же перекрыли воду транзитным пакетам.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Iptables или враг не пройдёт и друг тоже" +/–

Сообщение от XoRe (ok) on 31-Июл-11, 18:46

> Есть общая сеть организации(10.72.128.0/21) и есть сеть бухгалтерии(10.72.101.0/25).
> Alt Linux Server 4 c 2 интерфейсами 10.72.143.166 и 10.72.101.126 между
> строго на определенные сервера (Гарант(10.72.143.198), антивирус, и т.д.). Для этого
man iptables
найдите место:
filter:
    This  is  the default table (if no -t option is passed). It contains the built-in chains INPUT (for packets
    destined to local sockets), FORWARD (for packets being routed through the box), and  OUTPUT  (for  locally-
    generated packets).
Там хорошо написано, что делают цепочки INPUT, OUTPUT, и FORWARD
По конфигу:
# пинги
IPTABLES -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
# доступ к шлюзу
IPTABLES -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
# Хождение в гарант, туда и обратно
IPTABLES -A FORWARD -s 10.72.101.0/25 -d 10.72.143.198 -j ACCEPT
IPTABLES -A FORWARD -s 10.72.143.198 -d 10.72.101.0/25 -j ACCEPT

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Iptables или враг не пройдёт и друг тоже" +/–

Сообщение от ImPressed (ok) on 01-Авг-11, 09:58

>[оверквотинг удален]
> IPTABLES -t mangle –X
> IPTABLES -P INPUT DROP
> IPTABLES -P FORWARD DROP
> IPTABLES -P OUTPUT ACCEPT
> IPTABLES -A INPUT -i lo -j ACCEPT
> IPTABLES -A OUTPUT -o lo -j ACCEPT
> IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> IPTABLES -A INPUT -s 10.72.143.198 -j ACCEPT
> После выполнения этого скрипта умирает всё, все пинги, передача данных. Где я
> совершил ошибку?
Присоединяюсь к предыдущим ораторам.
Тут вам проще-бы VLANы нарезать на оборудовании ( если оно конечно умеет) и разрешать/запрещать маршрутизацию пакетов на основе VLAN.
З.ЫЖ Нет не решаемых проблем, для тех кто знает про RTFM.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Iptables или враг не пройдёт и друг тоже" +/–

Сообщение от orion55 on 01-Авг-11, 14:03

Всем спасибо!
Прекрасно работает следующий скрипт
iptables -F
iptables -X
iptables -P FORWARD ACCEPT
iptables -P OUTPUT  ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 10.72.101.0/25 -d 10.72.143.169/32 -j ACCEPT
iptables -A FORWARD -s 10.72.143.169/32 -d 10.72.101.0/25 -j ACCEPT
iptables -A FORWARD -j DROP
Тема закрыта.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Iptables или враг не пройдёт и друг тоже"	+2 +/–
Сообщение от PavelR (??) on 30-Июл-11, 18:34
> После выполнения этого скрипта умирает всё, все пинги, передача данных. Где я > совершил ошибку? В выборе профессии. В нечтении документации.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Iptables или враг не пройдёт и друг тоже"	+/–
	Сообщение от orion55 on 30-Июл-11, 18:38
	>> После выполнения этого скрипта умирает всё, все пинги, передача данных. Где я >> совершил ошибку? > В выборе профессии. В нечтении документации. Ткни пальцем в ман, где я ошибся.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Iptables или враг не пройдёт и друг тоже"	+/–
	Сообщение от anonymous (??) on 30-Июл-11, 18:51
	>>> После выполнения этого скрипта умирает всё, все пинги, передача данных. Где я >>> совершил ошибку? >> В выборе профессии. В нечтении документации. > Ткни пальцем в ман, где я ошибся. "сделайте за меня мою работу бесплатно". Насчет выбора профессии - поддерживаю.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Iptables или враг не пройдёт и друг тоже"	+/–
	Сообщение от PavelR (??) on 30-Июл-11, 19:18
	>>> После выполнения этого скрипта умирает всё, все пинги, передача данных. Где я >>> совершил ошибку? >> В выборе профессии. В нечтении документации. > Ткни пальцем в ман, где я ошибся. В любой ман по iptables в любое место.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору

5. "Iptables или враг не пройдёт и друг тоже"	+/–
Сообщение от reader (ok) on 30-Июл-11, 19:30
> После выполнения этого скрипта умирает всё, все пинги, передача данных. Где я > совершил ошибку? наверно не все умерло, с 10.72.143.198 к 10.72.143.166 можно вить обращаться и с самого маршрутизатора в любую подсеть можно. А то что вы хотите, городите в FORWARD
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

6. "Iptables или враг не пройдёт и друг тоже"	+1 +/–
Сообщение от BlackRu (ok) on 30-Июл-11, 20:52
IPTABLES -P FORWARD DROP Вы же перекрыли воду транзитным пакетам.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

7. "Iptables или враг не пройдёт и друг тоже"	+/–
Сообщение от XoRe (ok) on 31-Июл-11, 18:46
> Есть общая сеть организации(10.72.128.0/21) и есть сеть бухгалтерии(10.72.101.0/25). > Alt Linux Server 4 c 2 интерфейсами 10.72.143.166 и 10.72.101.126 между > строго на определенные сервера (Гарант(10.72.143.198), антивирус, и т.д.). Для этого man iptables найдите место: filter: This is the default table (if no -t option is passed). It contains the built-in chains INPUT (for packets destined to local sockets), FORWARD (for packets being routed through the box), and OUTPUT (for locally- generated packets). Там хорошо написано, что делают цепочки INPUT, OUTPUT, и FORWARD По конфигу: # пинги IPTABLES -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT # доступ к шлюзу IPTABLES -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT # Хождение в гарант, туда и обратно IPTABLES -A FORWARD -s 10.72.101.0/25 -d 10.72.143.198 -j ACCEPT IPTABLES -A FORWARD -s 10.72.143.198 -d 10.72.101.0/25 -j ACCEPT
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

8. "Iptables или враг не пройдёт и друг тоже"	+/–
Сообщение от ImPressed (ok) on 01-Авг-11, 09:58
>[оверквотинг удален] > IPTABLES -t mangle –X > IPTABLES -P INPUT DROP > IPTABLES -P FORWARD DROP > IPTABLES -P OUTPUT ACCEPT > IPTABLES -A INPUT -i lo -j ACCEPT > IPTABLES -A OUTPUT -o lo -j ACCEPT > IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT > IPTABLES -A INPUT -s 10.72.143.198 -j ACCEPT > После выполнения этого скрипта умирает всё, все пинги, передача данных. Где я > совершил ошибку? Присоединяюсь к предыдущим ораторам. Тут вам проще-бы VLANы нарезать на оборудовании ( если оно конечно умеет) и разрешать/запрещать маршрутизацию пакетов на основе VLAN. З.ЫЖ Нет не решаемых проблем, для тех кто знает про RTFM.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

9. "Iptables или враг не пройдёт и друг тоже"	+/–
Сообщение от orion55 on 01-Авг-11, 14:03
Всем спасибо! Прекрасно работает следующий скрипт iptables -F iptables -X iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -s 10.72.101.0/25 -d 10.72.143.169/32 -j ACCEPT iptables -A FORWARD -s 10.72.143.169/32 -d 10.72.101.0/25 -j ACCEPT iptables -A FORWARD -j DROP Тема закрыта.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору