Stargazer Firewall

[ZVER]

Люди проблема в том что, у меня пока неактивируешь авторизатор фтп на сервере не открывается, гляньте плз и скажите что не так, нужно чтобы фтп и локальная страничка открывались не в зависимости от авторизатора, активен он или нет. Я немогу понять одного как 5555 порт открыть так открывается и конфигуратор входит без проблем, а как 21 порт для фтп так он почемуто не работает сам фтп, может я что-то забыл??? Все что после строки #moi - неработает

#!/bin/bash

#external ip

servip1=192.168.0.1 - клиенты

servip4=192.168.193.1 - клиенты(еще толком не внедрил)

 

#internal ip

servip2=192.168.1.1 - приход инета

servip3=192.168.1.123 - пентаофис

 

EXT_IFACE1=ppp0 - выход инета

EXT_IFACE2=eth1 - приход инета

 

 

echo "1" > /proc/sys/net/ipv4/ip_forward

#

iptables -t filter -F

iptables -t filter -X

 

#iptables -t nat -F

#iptables -t nat -X

 

iptables -t filter -P INPUT DROP

iptables -t filter -P FORWARD DROP

iptables -t filter -P OUTPUT DROP

 

#ICMP

iptables -t filter -A INPUT -p icmp -j ACCEPT

iptables -t filter -A OUTPUT -p icmp -j ACCEPT

 

 

 

iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT

iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT

 

iptables -t filter -A INPUT -i ppp0 -j ACCEPT

iptables -t filter -A OUTPUT -o ppp0 -j ACCEPT

iptables -t filter -A INPUT -i eth1 -j ACCEPT

iptables -t filter -A OUTPUT -o eth1 -j ACCEPT

 

#DNS

iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT

iptables -t filter -A FORWARD -p tcp --sport 53 -j ACCEPT

iptables -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT

iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT

iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT

iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT

iptables -t filter -A FORWARD -p udp --dport 53 -j ACCEPT

iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT

 

 

 

#authorizer

iptables -t filter -A INPUT -p udp -s 0.0.0.0/0 --sport 5554 -d $servip1 --dport 5555 -j ACCEPT

iptables -t filter -A OUTPUT -p udp -d 0.0.0.0/0 --dport 5555 -s $servip1 --sport 5554 -j ACCEPT

iptables -t filter -A INPUT -p udp -s 0.0.0.0/0 --sport 5554 -d $servip4 --dport 5555 -j ACCEPT

iptables -t filter -A OUTPUT -p udp -d 0.0.0.0/0 --dport 5555 -s $servip4 --sport 5554 -j ACCEPT

 

 

#configurator

iptables -t filter -A INPUT -p tcp -s 0.0.0.0/0 -d $servip1 --dport 5555 -j ACCEPT

iptables -t filter -A OUTPUT -p tcp -d 0.0.0.0/0 -s $servip1 --sport 5555 -j ACCEPT

 

 

#moi

 

iptables -t filter -A INPUT -p tcp -s 0.0.0.0/0 -d $servip1 --dport 21 -j ACCEPT

iptables -t filter -A OUTPUT -p tcp -d 0.0.0.0/0 -s $servip1 --sport 21 -j ACCEPT

 

 

#zakritie 6000 porta

iptables -t filter -A INPUT -p tcp -d 192.168.0.1 --dport 6000 -j DROP

iptables -t filter -A INPUT -p tcp -d 192.168.193.1 --dport 6000 -j DROP

iptables -t filter -A INPUT -p tcp -d 192.168.1.1 --dport 6000 -j DROP

#zakrivaet udalenniy vhod vsem krome 192.168.0.2 na port 22 ssh

iptables -t filter -I INPUT -p tcp -d $servip1 --dport 22 -j REJECT

iptables -t filter -I INPUT -p tcp -d $servip2 --dport 22 -j REJECT

iptables -t filter -I INPUT -p tcp -d $servip4 --dport 22 -j REJECT

 

iptables -t filter -I INPUT -p tcp -d $servip1 -s 192.168.0.2 --dport 22 -j ACCEPT

iptables -t filter -I INPUT -p tcp -d $servip1 -s 192.168.193.2 --dport 22 -j ACCEPT

[Den_LocalNet]

Скажем так вот джентельменский наборчик:

eth1 - интерфейс по которому будут стучаться юзера.

#moi

 

#FTP

iptables -A INPUT -i eth1 -p tcp --dport 20 -j ACCEPT

iptables -A INPUT -o eth1 -p tcp --sport 20 -j ACCEPT

iptables -A INPUT -i eth1 -p tcp --dport 21 -j ACCEPT

iptables -A INPUT -o eth1 -p tcp --sport 21 -j ACCEPT

 

#HTTP

iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -o eth1 -p tcp --sport 80 -j ACCEPT

 

#HTTPS

iptables -A INPUT -i eth1 -p tcp --dport 443 -j ACCEPT

iptables -A INPUT -o eth1 -p tcp --sport 443 -j ACCEPT

 

#SSH

iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -o eth1 -p tcp --sport 22 -j ACCEPT

[ZVER]

так что мне єто дает, куда мне єто пихнуть!??

[Den_LocalNet]

ну если ты не можеш понять куда готовое пихнуть тада rtfm

http://www.opennet.ru/docs/RUS/iptables/index.html

[Guest Guest]

Конечно я несилен, но дело в другом может ті меня не понял, у меня все работает, когда авторизатор запускаешь, но мне нужно без запуска авторизатора чтобі работал фтп и веб-страница на єтой же тачке сервере, сервер смотрит на клиентов интерфейсом eth0. Вот что мне нужно, а я вроди делаю а эффекта нет!

[S_ergey]

iptables -t filter -P INPUT ACCEPT

iptables -t filter -P FORWARD DROP

iptables -t filter -P OUTPUT ACCEPT

И будет тебе радость

[Den_LocalNet]

токо в этом случае если не будеш рубить input и output при дисконекте то будет несчастье!

 

начатые закачки не убьёт!!!!

 

ZVER:

то что я написал нужно заменить тем что ты написал в разделе #moi

т.е. вместо вот этого:

#moi

 

iptables -t filter -A INPUT -p tcp -s 0.0.0.0/0 -d $servip1 --dport 21 -j ACCEPT

iptables -t filter -A OUTPUT -p tcp -d 0.0.0.0/0 -s $servip1 --sport 21 -j ACCEPT

[ZVER]

Да но когда я поставил то что ті вікинул у меня все равно фтп не хотит запускаться без авторизатора, без авторизатора сервак наглухо закріт, я сам непонимаю почему оно так!!!

[Den_LocalNet]

на каком интерфейсе сидят клиенты которым положено без авторизации ходить на фтп и сайт сети? Если не eth1 то поменяй везде на тот что нада

[nn]

iptables -t filter -P INPUT ACCEPT

iptables -t filter -P FORWARD DROP

iptables -t filter -P OUTPUT ACCEPT

И будет тебе радость

Это проверенно, работает, делай так.

А в скриптах просто включай форвардинг и выключай.

[Den_LocalNet]

да, работает. НО! если начать качать к примеру Download Master то фиг остановит его DROP в FORWARD - Тоже проверено!

[ZVER]

iptables -t filter -P INPUT ACCEPT

iptables -t filter -P FORWARD DROP

iptables -t filter -P OUTPUT ACCEPT

При таком:

Инет когда качаешь качалкой он не останавливает, но сервак все равно считает, так что єто просто мелкий нюанс и все, но проблема в другом, что даже когда не активирован клиент, все завпросі которій поступают от клиентов на сервак все считает, и меня клиент просто сжирает, как єто так у него не активирован клиент, а деньги исчезает, а если еще у почти всех винда ХР, тот иуи ваще задница, там службі в инет лезут постоянно, и примерно за несколько дней у людей щелкает по 1.5 мегов одних запросов, представьте себе юзер просто играет в какуюто игру а у него постоянно инет тикает, мало но ввсе таки тикает!!!!!

[Den_LocalNet]

У тебя клиент авторизируется? или "Всегда онлайн" ?

Если в авторизаторе отключится, то автоматически посылается команда на запуск OnDisconnect и прекращается подсчёт трафика.

 

А в принципе это проблемы людей. Ты ж у них этот трафик не своровал. Всё отражено в логах. Как говорится "Спасение утопающих, дело рук самих утопающих". Ты ж не виновать что у них винь лезет в инет.

[ZVER]

Пожи ті не прав в логах неотражено их запросі, в логах есть когда подключен авторизатор скока біло и скока стало когда віключен авторизатор. А запросі их се рвно тикают и когда нет авторизатора, и в логах НИЧЕГо про єто НЕТ! Так поєтому мне и сложно клиенту обьяснить в чем проблема та!!????

[Den_LocalNet]

Совсем недорого взял модуль детальной статистики - и вопрос отпал. Юзера довольны - вопросы пропали.

 

В логах есть всё.

 

  А запросі их се рвно тикают и когда нет авторизатора, и в логах НИЧЕГо про єто НЕТ!

 

Любой тебе на этом фруме скажет что если человек offline то трафик не тикает.