Детальная настройка фаерволла...!!!

[Гость eXorous]

Народ, срочно, помогите кто может... В общем ситуация такая : стоит роутер с 4 сетевыми интерфейсами. 2 из них разруливают локалку, другие 2 с серым и белым айпишниками, вот... Короче у меня есть фалик firewall, я его выполняю через sh, все, фаерволл нормально работает, но только разговаривает с 2 интерфейсами которые отвечают за инет, А ЛОКАЛКА ОТЛЕТАЕТ НАПРОЧЬ! И вот это мне как раз нужно исправить, помогите пжалуста ..

Кстати юзаю старгейзер...

[Гость Guest_Quarcel]

Ты думаешь тут экстрасенсы сидят? Запости этот файл с правилами, а так никто не сможет сказать в чем проблема

[nn 7]

Удалённо настраивать фаервол задача непростая.

Всегда есть опастность положить рутер.

Лучше это делать с консоли, или хотя бы иметь возможность передёрнуть питание.

А вообще надо писать, что за ситация, ОС, ИП...конфиги.

[XoRe 0]

Отвечу без чтения всяких конфигов!

Нужно сделать вот что - берешь и настраиваешь файрволл так, чтобы локалка не слетала! =))

Больше я, изходя из твоих данных, ничего не могу сказать. =))

[Гость Guest]

#Forwarding ON

echo 1 > /proc/sys/net/ipv4/ip_forward

 

IPT="/sbin/iptables"

 

ext_ip="80.64.88.198"

int_ip="192.168.0.250"

 

ext_if="eth1"

int_if="eth0"

 

# Clear all rules

$IPT -t filter -F

$IPT -t filter -X

$IPT -t nat -F

$IPT -t nat -X

 

$IPT -t filter -P INPUT DROP

$IPT -t filter -P FORWARD DROP

$IPT -t filter -P OUTPUT ACCEPT

 

$IPT -t nat -P PREROUTING ACCEPT

$IPT -t nat -P POSTROUTING ACCEPT

$IPT -t nat -P OUTPUT ACCEPT

 

 

# localhost

$IPT -t filter -A INPUT -d 127.0.0.1 -j ACCEPT

 

# DNS

$IPT -t filter -A INPUT -p tcp --dport 53 -j ACCEPT

$IPT -t filter -A INPUT -p udp --dport 53 -j ACCEPT

$IPT -t filter -A INPUT -p tcp --sport 53 -j ACCEPT

$IPT -t filter -A INPUT -p udp --sport 53 -j ACCEPT

 

 

#SMTP from Internet

#$IPT -t filter -A INPUT -p tcp -i $ext_if --dport 25 -j ACCEPT

 

 

# Vhodyashie soedineniya

$IPT -t filter -A INPUT -p tcp -i $ext_if -m state --state ESTABLISHED --state RELATED -j ACCEPT

 

# SSH

$IPT -t filter -A INPUT -p tcp --dport 22 -j ACCEPT

$IPT -t filter -A OUTPUT -p tcp --sport 22 -j ACCEPT

#$IPT -t filter -A INPUT -p tcp --sport 22 -j ACCEPT

 

# Autorizator

$IPT -t filter -A INPUT -p udp -d $ext_ip --dport 5555 -j REJECT

$IPT -t filter -A OUTPUT -p udp -s $ext_ip --sport 5555 -j REJECT

$IPT -t filter -A INPUT -p udp -d $ext_ip --sport 5555 -j REJECT

$IPT -t filter -A OUTPUT -p udp -s $ext_ip --dport 5555 -j REJECT

 

$IPT -t filter -A INPUT -p udp -d $int_ip --dport 5555 -j ACCEPT

$IPT -t filter -A INPUT -p udp --sport 5555 -d $int_ip -j ACCEPT

 

# Configurator

$IPT -t filter -A INPUT -p tcp -d $int_ip --dport 5555 -j ACCEPT

$IPT -t filter -A INPUT -p tcp -d $int_ip --sport 5555 -j ACCEPT

$IPT -t filter -A INPUT -p tcp -d $ext_ip --dport 5555 -j ACCEPT

$IPT -t filter -A INPUT -p tcp -d $ext_ip --sport 5555C0 -j ACCEPT

 

## Pingu vechnaia SVOBODA!!!

$IPT -t filter -A INPUT -p icmp -j ACCEPT

$IPT -t filter -A OUTPUT -p icmp -j ACCEPT

 

##IRC

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 6667 -j DNAT --to 192.168.0.115

iptables -A FORWARD -i eth1 -o eth0 -d 192.168.0.115 -p tcp --dport 6667 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i eth0 -s 192.168.0.115 -o eth1 -p tcp --sport 6667 -m state --state ESTABLISHED,RELATED -j ACCEPT

 

 

#Spy

 

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 23 -j DNAT --to 192.168.0.115:22

iptables -A FORWARD -i eth1 -o eth0 -d 192.168.0.115 -p tcp --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i eth0 -s 192.168.0.115 -o eth1 -p tcp --sport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT

 

 

# Linkovka IRC

iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.115 --dport 6663 -j SNAT --to-source 80.64.88.198

iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 6663 -j ACCEPT

iptables -A FORWARD -d 192.168.0.115 -p tcp -j ACCEPT

 

 

 

 

Вот такой вот, конфиг.....

[Гость eXorous]

ОС ASPLinux, iptables.

[egor2fsys 5]

вот смотри у тебя в правилах описаны только действия для 2 фаейсов

ext_if="eth1"

int_if="eth0"

 

это я так понимаю те серый и белый

 

т. к. у тебя политика таблицы фильтр полностью переводится в состояние DROP то понятно что когда ты врубаешь такой скрипт, все остальные адреса с локалок не могут получить доступ к серверу

 

вот допустим тебе надо открыть на локалку порты авторизатора и конфигуратора, т. е. если ты их откоешь то более ничего не надо - при подключении авторизатора фаервол откроется и клиент получит все ресурсы

 

пиши по примеру как это сделано для тех 2 фейсов:

 

вводим еще 1 переменную, например

 

local_ip1="192.168.1.1" тут твой адрес сетевухи, которая смотрит в локаль

 

и далее дописываем доступ для этого адреса

 

# Autorizator

$IPT -t filter -A INPUT -p udp -d $local_ip1 --dport 5555 -j ACCEPT

$IPT -t filter -A OUTPUT -p udp -s $local_ip1 --sport 5555 -j ACCEPT

$IPT -t filter -A INPUT -p udp -d $local_ip1 --dport 5554 -j ACCEPT

$IPT -t filter -A OUTPUT -p udp -s $local_ip1 --sport 5554 -j ACCEPT

# Configurator

$IPT -t filter -A INPUT -p tcp -d $local_ip1 --dport 5555 -j ACCEPT

$IPT -t filter -A INPUT -p tcp -d $local_ip1 --sport 5555 -j ACCEPT

[Гость Guest]

ага, я понял, но вишка немного в другом. Роутер, 4 сетевки (1-192.168.4.5, 2-192.168.4.1, 3-белый, 4-192.168.2.4). Вот. Мне нужно получить доступ во 2 подсеть при запуске фаерволла, но не через авторизатор, то есть как было бы если

этот файл не запускать. тоесть через 2 интерфес получить доступ ко второй подсети и дальше соответственно, но только чтоб пакеты ходили между 2 и 4 интерфейсом, вот такая вот сложная проблема.... Маюсь уже месяц ниче никто толком сказать не может. Вот, думаю мож здешние знатоки помогут разобраться.