anton 0 Опубликовано: 2004-06-05 20:03:52 Share Опубликовано: 2004-06-05 20:03:52 вопрос такой: есть сетка 192.168.2.0, сервер 192.168.2.1+FTP+WWW нужно считать локальный трафик. STG2 сиситема ASPLinux 9.2 Ссылка на сообщение Поделиться на других сайтах
Doozer 0 Опубліковано: 2004-06-05 20:09:56 Share Опубліковано: 2004-06-05 20:09:56 TCP_UDP 192.168.2.1:21 DIR0 TCP_UDP 192.168.2.1:80 DIR0 Или я не поняфф вопроса... Ссылка на сообщение Поделиться на других сайтах
anton 0 Опубліковано: 2004-06-05 20:16:24 Автор Share Опубліковано: 2004-06-05 20:16:24 это понятно. вопрос по правилам iptables, чтобы можно было отключать пользователей от локальных серверов при пустом щете Ссылка на сообщение Поделиться на других сайтах
Doozer 0 Опубліковано: 2004-06-05 20:21:11 Share Опубліковано: 2004-06-05 20:21:11 От блин, а спрашивать нормально? (я смотрю и думаю, какие ещё могут быть правила? - Форум -> Stargazer -> Вопросы -> правила, помогите создать правила) Тебе OnConnect надо или чё? какие правила iptables тебе надо? на севере глобально, под старгейзера, под юзерей? PS. старая мудрость гласит: Грамотно заданый вопрос - это уже половина ответа. Ссылка на сообщение Поделиться на других сайтах
anton 0 Опубліковано: 2004-06-05 20:26:33 Автор Share Опубліковано: 2004-06-05 20:26:33 понял... 1. какие правила вставить в iptables которые запускаются при загрузке системы? 2. какие правила вставить в ondisconect для сбрасывания правил но чтобы конектится авторизатором и SSH? 3. какие правила вставить в onconnect для разрешения пользователям входить на локальные адреса. наверно теперь правильно изложил свой вопрос. Ссылка на сообщение Поделиться на других сайтах
Doozer 0 Опубліковано: 2004-06-05 20:38:34 Share Опубліковано: 2004-06-05 20:38:34 1. в зависимости от того - куда смотрит машина. если на ней нет ничего кроме WEB+FTP тогда закрывай нафик всё кроме этого (не забудь открыть 22, 25, 53, 110 для твоего адреса, 5554 и 5555 для всех) 3. разрешение на доступ к 21 и 80 порту для IP адреса подключившегося через STG 2. удаление правила для IP адреса подключившегося через STG IPTables Manual - http://www.opennet.ru/docs/RUS/iptables/index.html так как у тебя могут быть тонкости (например привязка к MAC или какой нить мега маскарад) то лучше воспользоваться мануалом. Ссылка на сообщение Поделиться на других сайтах
anton 0 Опубліковано: 2004-06-05 20:47:12 Автор Share Опубліковано: 2004-06-05 20:47:12 Doozer, может тебе кинуть свой iptables для сети он настроен но исходя из него нужно остальные правила построить, может чтонибуть подскажешь что в OnDisconnect и OnConnect прописать? а мануал я уже распечатываю еще пригодится, но время поджимает. Ссылка на сообщение Поделиться на других сайтах
anton 0 Опубліковано: 2004-06-05 20:57:06 Автор Share Опубліковано: 2004-06-05 20:57:06 вот мой iptables, может кто что посоветует: *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Lokkit-0-50-INPUT - [0:0] -A INPUT -j RH-Lokkit-0-50-INPUT -A FORWARD -j RH-Lokkit-0-50-INPUT # SSH -A RH-Lokkit-0-50-INPUT -p tcp -m tcp -d 192.168.2.1 --dport 22 --syn -j ACCEPT # SMTP -A RH-Lokkit-0-50-INPUT -p tcp -m tcp -d 192.168.2.3 --dport 25 --syn -j ACCEPT # WEB -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT # FTP -A RH-Lokkit-0-50-INPUT -p tcp -m tcp -d 192.168.2.6 --dport 21 --syn -j ACCEPT # POP3 -A RH-Lokkit-0-50-INPUT -p tcp -m tcp -d 192.168.2.3 --dport 110 --syn -j ACCEPT # DNS -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 53 --syn -j ACCEPT # WEBMIN -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 10000 --syn -j ACCEPT # WEB SSL -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 443 --syn -j ACCEPT # DNS -A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 53 -j ACCEPT -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 53 -j ACCEPT -A RH-Lokkit-0-50-INPUT -p udp -m udp -s 0/0 --sport 67:68 -d 0/0 --dport 67:68 -i eth0 -j ACCEPT -A RH-Lokkit-0-50-INPUT -p udp -m udp -s 0/0 --sport 67:68 -d 0/0 --dport 67:68 -i eth1 -j ACCEPT -A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 0:1023 --syn -j REJECT -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --syn -j REJECT -A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 0:1023 -j REJECT -A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j REJECT -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 6000:6009 --syn -j REJECT -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 7100 --syn -j REJECT COMMIT Ссылка на сообщение Поделиться на других сайтах
Doozer 0 Опубліковано: 2004-06-05 20:57:12 Share Опубліковано: 2004-06-05 20:57:12 да запросто. Кидай приватом. Попробуем тебе подмогнуть. Ссылка на сообщение Поделиться на других сайтах
anton 0 Опубліковано: 2004-06-06 08:19:07 Автор Share Опубліковано: 2004-06-06 08:19:07 наверно нет до меня никому дела, тишина в топике или все решают этот вопрос? Ссылка на сообщение Поделиться на других сайтах
Doozer 0 Опубліковано: 2004-06-06 09:35:24 Share Опубліковано: 2004-06-06 09:35:24 iptanles -A RH-Lokkit-0-50-INPUT -p tcp -m tcp -s $IP --dport 80 --syn -j ACCEPT iptanles -A RH-Lokkit-0-50-INPUT -p tcp -m tcp -s $IP --dport 21 --syn -j ACCEPT и так далее... пройдись по партам а на дисконнект тоже мамое но -D PS... только наскольео я понял у тебя по дефолту разрешен коннект кому угодно... закрой его. Ссылка на сообщение Поделиться на других сайтах
anton 0 Опубліковано: 2004-06-06 09:49:49 Автор Share Опубліковано: 2004-06-06 09:49:49 каким образом и где Ссылка на сообщение Поделиться на других сайтах
Doozer 0 Опубліковано: 2004-06-06 10:06:10 Share Опубліковано: 2004-06-06 10:06:10 STG скрипты: OnConnect и OnDisconnect Ссылка на сообщение Поделиться на других сайтах
DeadOff 0 Опубліковано: 2004-06-06 11:46:32 Share Опубліковано: 2004-06-06 11:46:32 Посмотри правила в примерах для СТГ1, там в фёрсте всё прекрасно нарисовано, он принципиально не отличается Ссылка на сообщение Поделиться на других сайтах
anton 0 Опубліковано: 2004-06-06 13:29:45 Автор Share Опубліковано: 2004-06-06 13:29:45 но не отключает , скрипт OnDisconnect срабатывает. вот что в OnDisconnect: LOGIN=$1 IP=$2 CASH=$3 ID=$4 iptables -D RH-Lokkit-0-50-INPUT -p tcp -m tcp -s $2 -d 192.168.2.3 --dport 25 --syn -j ACCEPT iptables -D RH-Lokkit-0-50-INPUT -p tcp -m tcp -s $2 -d 192.168.2.3 --dport 110 --syn -j ACCEPT iptables -D RH-Lokkit-0-50-INPUT -p tcp -m tcp -s $2 --dport 80 --syn -j ACCEPT iptables -D RH-Lokkit-0-50-INPUT -p tcp -m tcp -s $2 --dport 443 --syn -j ACCEPT iptables -D RH-Lokkit-0-50-INPUT -p tcp -m tcp -s $2 -d 192.168.2.6 --dport 21 --syn -j ACCEPT echo "Disconnect login='$LOGIN' ip=$IP cash=$CASH" >> /tmp/qqq может опять что нитак прописал. Ссылка на сообщение Поделиться на других сайтах
Doozer 0 Опубліковано: 2004-06-06 14:46:43 Share Опубліковано: 2004-06-06 14:46:43 а попробуй не через RH-Lokkit-0-50-INPUT, а через простой INPUT Ссылка на сообщение Поделиться на других сайтах
anton 0 Опубліковано: 2004-06-06 16:25:54 Автор Share Опубліковано: 2004-06-06 16:25:54 у когонибуть старгазер стоит под ASPLinux 9.x. киньте свои скрипты посмотреть. на данный момент удалил правило при загрузке системы для разрешения на 80 порт, но всеравно OnConnect не включяет его. помогите... Ссылка на сообщение Поделиться на других сайтах
anton 0 Опубліковано: 2004-06-06 21:09:24 Автор Share Опубліковано: 2004-06-06 21:09:24 теперь вообще отключил загрузку iptables, поднимаю фаервол через first, вот что там: iptables -t mangle -F iptables -t mangle -X iptables -t nat -F iptables -t nat -X iptables -t mangle -P PREROUTING DROP iptables -t mangle -P OUTPUT DROP #ICMP . iptables -t mangle -A PREROUTING -p icmp -j ACCEPT iptables -t mangle -A OUTPUT -p icmp -j ACCEPT # DNS. iptables -t mangle -A PREROUTING -p udp --dport 53 -j ACCEPT iptables -t mangle -A OUTPUT -p udp --sport 53 -j ACCEPT iptables -t mangle -A PREROUTING -p tcp --dport 53 -j ACCEPT iptables -t mangle -A OUTPUT -p tcp --sport 53 -j ACCEPT # авторизатор. iptables -t mangle -A PREROUTING -p udp -s 0.0.0.0/0 --sport 5554 -d 192.168.2.1 --dport 5555 -j ACCEPT iptables -t mangle -A OUTPUT -p udp -d 0.0.0.0/0 --dport 5555 -s 192.168.2.1 --sport 5554 -j ACCEPT #configurator iptables -t mangle -A PREROUTING -p tcp -s 0.0.0.0/0 -d 192.168.2.1 --dport 5555 -j ACCEPT iptables -t mangle -A OUTPUT -p tcp -d 0.0.0.0/0 -s 192.168.2.1 --sport 5555 -j ACCEPT # SSH. iptables -t mangle -A PREROUTING -p tcp -s 0.0.0.0/0 -d 192.168.2.1 --dport 22 -j ACCEPT iptables -t mangle -A OUTPUT -p tcp -d 0.0.0.0/0 -s 192.168.2.1 --sport 22 -j ACCEPT # Почта. iptables -t mangle -A PREROUTING -p tcp -s 0.0.0.0/0 -d 192.168.2.3 --dport 25 -j ACCEPT iptables -t mangle -A OUTPUT -p tcp -d 0.0.0.0/0 -s 192.168.2.3 --sport 25 -j ACCEPT iptables -t mangle -A PREROUTING -p tcp -s 0.0.0.0/0 -d 192.168.2.3 --dport 110 -j ACCEPT iptables -t mangle -A OUTPUT -p tcp -d 0.0.0.0/0 -s 192.168.2.3 --sport 110 -j ACCEPT а это OnConnect: LOGIN=$1 echo $2 IP=$2 CASH=$3 ID=$4 iptables -t mangle -A PREROUTING -s $IP -j ACCEPT iptables -t mangle -A OUTPUT -d $IP -j ACCEPT echo "Connect login='$LOGIN' ip=$IP cash=$CASH" >> /tmp/qqq это OnDisconnect: LOGIN=$1 IP=$2 CASH=$3 ID=$4 iptables -t mangle -D PREROUTING -s $IP -j ACCEPT while [ $? -eq 0 ] do iptables -t mangle -D PREROUTING -s $IP -j ACCEPT done ################################## iptables -t mangle -D OUTPUT -d $IP -j ACCEPT while [ $? -eq 0 ] do iptables -t mangle -D OUTPUT -d $IP -j ACCEPT done echo "Disconnect login='$LOGIN' ip=$IP cash=$CASH" >> /tmp/qqq но по прежнему вход на сервер для всех свободный, никого не отключает, можно даже авторизатор не запускать. где косяк зарыт :-)..? Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас