Iptables

inco · 20 серпня, 2008

В общем возникла проблема следующего типа.

У меня стоит сервер под Ubuntu 8.04.

На нем стоит биллинг Cake (советую, т.к. оч активно развивается), подключение осуществляется посредством ВПН (связка PPTPT+PPPD+Radius)

Но есть негативный момент, т.к. я недавно начал дружить с Линуксом то есть проблемы в области настройки штатного файвола iptables.

Вот чего хочу добиться от файвола:

1. Нужно чтобы юзер мог получить доступ к Интернету только через установленое ВПН-соединение.

2. Сервер не должен пинговаться со стороны сетки, но с мира должен.

3. Юзерам должно быть видно домашний ВЕБ-сервер для просмотра статистики.

4. Разрешить доступ по SSH со всех сторон.

Конфигурация серва:

интерфейс eth0 - смотрит в мир, IP-адрес статический "белый"

интерфейс eth1 - смотрит в сеть. Сеть типа С, IP-адрес 192.168.0.250, маска 255.255.255.0

Neelix · 21 серпня, 2008

1. Нужно чтобы юзер мог получить доступ к Интернету только через установленое ВПН-соединение.

без форвардинга и включенного маскарадинга или SNAT не получит

2. Сервер не должен пинговаться со стороны сетки, но с мира должен.

iptables -A INPUT -p icmp -s 192.168.0.0/24 -j DROP закроет пинги изнутри.

3. Юзерам должно быть видно домашний ВЕБ-сервер для просмотра статистики.

если его не закрывать, то ничего не надо добавлять в iptables, оставляешь все как есть.

4. Разрешить доступ по SSH со всех сторон.

аналогично п.3

политика "Разрешено все, что не Запрещено"

podolyukh · 2 квітня, 2009

У меня вопрос. Начинаю строить локальную сеть. Но на моем компьютере при включении "Отобразить компютеры рабочей группы" не отображаются компютеры и надпись: "Нет доступа к MSHOME. Возможно у вас нет прав на использование этого сетевого ресурса. Обратитесь к администратору этого сервера для получения соответствующих прав доступа.

Недоступен список серверов для этой рабочей группы. "

prototip · 2 квітня, 2009

В общем возникла проблема следующего типа.
У меня стоит сервер под Ubuntu 8.04.

На нем стоит биллинг Cake (советую, т.к. оч активно развивается), подключение осуществляется посредством ВПН (связка PPTPT+PPPD+Radius)

Но есть негативный момент, т.к. я недавно начал дружить с Линуксом то есть проблемы в области настройки штатного файвола iptables.

А кто сказал , что штатный фаервол в Ubuntu - iptables ? В Убунту есть свой фаер , называется вроде Ufw , простой помоему как двери ...

prototip · 2 квітня, 2009

А ыот закрыть для клиента возможность пинговать сервак это не дело абсолютно , запретив прохождение ICMP пакетов , вы лишите себя возможности диагностировать свою сетку . Ведь первой командой , которой вы пользуетесь , когда нет связи это PING !

Pretender · 2 квітня, 2009

В общем возникла проблема следующего типа.
У меня стоит сервер под Ubuntu 8.04.

На нем стоит биллинг Cake (советую, т.к. оч активно развивается), подключение осуществляется посредством ВПН (связка PPTPT+PPPD+Radius)

Но есть негативный момент, т.к. я недавно начал дружить с Линуксом то есть проблемы в области настройки штатного файвола iptables.

Вот чего хочу добиться от файвола:

1. Нужно чтобы юзер мог получить доступ к Интернету только через установленое ВПН-соединение.

делаете

$IPT -P FORWARD DROP

И кроме разрешенных ип адресов никакие не пролезут.

2. Сервер не должен пинговаться со стороны сетки, но с мира должен.

iptables -A INPUT -p icmp -s 192.168.0.0/24 -j DROP

Правда это точно глупо

3. Юзерам должно быть видно домашний ВЕБ-сервер для просмотра статистики.

для этого ничего в iptables вносить не нужно если input не блокирован

4. Разрешить доступ по SSH со всех сторон.

Собственно как с пунктом 3, правда я бы посоветовал сменить порт для ssh

Ziki · 2 квітня, 2009

Я думаю автор за 7 месяцев уже разобрался с этой проблемой

fima1981 · 2 квітня, 2009

как я знаю нет

Увійти

Iptables

Рекомендованные сообщения

inco

Neelix

podolyukh

prototip

prototip

Pretender

Ziki

fima1981

Создайте аккаунт или войдите в него для комментирования

Создать аккаунт

Вхід

Зараз на сторінці 0 користувачів

Спільнота

Активність