Iptables

[inco 20]

В общем возникла проблема следующего типа.

У меня стоит сервер под Ubuntu 8.04.

На нем стоит биллинг Cake (советую, т.к. оч активно развивается), подключение осуществляется посредством ВПН (связка PPTPT+PPPD+Radius)

Но есть негативный момент, т.к. я недавно начал дружить с Линуксом то есть проблемы в области настройки штатного файвола iptables.

 

Вот чего хочу добиться от файвола:

1. Нужно чтобы юзер мог получить доступ к Интернету только через установленое ВПН-соединение.

2. Сервер не должен пинговаться со стороны сетки, но с мира должен.

3. Юзерам должно быть видно домашний ВЕБ-сервер для просмотра статистики.

4. Разрешить доступ по SSH со всех сторон.

 

Конфигурация серва:

интерфейс eth0 - смотрит в мир, IP-адрес статический "белый"

интерфейс eth1 - смотрит в сеть. Сеть типа С, IP-адрес 192.168.0.250, маска 255.255.255.0

[Neelix 33]

1. Нужно чтобы юзер мог получить доступ к Интернету только через установленое ВПН-соединение.

без форвардинга и включенного маскарадинга или SNAT не получит

2. Сервер не должен пинговаться со стороны сетки, но с мира должен.

iptables -A INPUT -p icmp -s 192.168.0.0/24 -j DROP закроет пинги изнутри.

3. Юзерам должно быть видно домашний ВЕБ-сервер для просмотра статистики.

если его не закрывать, то ничего не надо добавлять в iptables, оставляешь все как есть.

4. Разрешить доступ по SSH со всех сторон.

аналогично п.3

 

политика "Разрешено все, что не Запрещено"

[podolyukh 0]

У меня вопрос. Начинаю строить локальную сеть. Но на моем компьютере при включении "Отобразить компютеры рабочей группы" не отображаются компютеры и надпись: "Нет доступа к MSHOME. Возможно у вас нет прав на использование этого сетевого ресурса. Обратитесь к администратору этого сервера для получения соответствующих прав доступа.

Недоступен список серверов для этой рабочей группы. "

[prototip 286]

В общем возникла проблема следующего типа.

У меня стоит сервер под Ubuntu 8.04.

На нем стоит биллинг Cake (советую, т.к. оч активно развивается), подключение осуществляется посредством ВПН (связка PPTPT+PPPD+Radius)

Но есть негативный момент, т.к. я недавно начал дружить с Линуксом то есть проблемы в области настройки штатного файвола iptables.

А кто сказал , что штатный фаервол в Ubuntu - iptables ? В Убунту есть свой фаер , называется вроде Ufw , простой помоему как двери ...

[prototip 286]

А ыот закрыть для клиента возможность пинговать сервак это не дело абсолютно , запретив прохождение ICMP пакетов , вы лишите себя возможности диагностировать свою сетку . Ведь первой командой , которой вы пользуетесь , когда нет связи это PING !

[Pretender 5]

В общем возникла проблема следующего типа.

У меня стоит сервер под Ubuntu 8.04.

На нем стоит биллинг Cake (советую, т.к. оч активно развивается), подключение осуществляется посредством ВПН (связка PPTPT+PPPD+Radius)

Но есть негативный момент, т.к. я недавно начал дружить с Линуксом то есть проблемы в области настройки штатного файвола iptables.

 

Вот чего хочу добиться от файвола:

1. Нужно чтобы юзер мог получить доступ к Интернету только через установленое ВПН-соединение.

делаете

$IPT -P FORWARD DROP

И кроме разрешенных ип адресов никакие не пролезут.

2. Сервер не должен пинговаться со стороны сетки, но с мира должен.

iptables -A INPUT -p icmp -s 192.168.0.0/24 -j DROP

Правда это точно глупо

3. Юзерам должно быть видно домашний ВЕБ-сервер для просмотра статистики.

для этого ничего в iptables вносить не нужно если input не блокирован

4. Разрешить доступ по SSH со всех сторон.

Собственно как с пунктом 3, правда я бы посоветовал сменить порт для ssh

[Ziki 11]

Я думаю автор за 7 месяцев уже разобрался с этой проблемой

[fima1981 33]

как я знаю нет