Настройка iptables. Разрешить полный доступ для диапазона адресов.

0

0

Никто по этому вопросу совета не даст????

http://www.linux.org.ru/view-message.jsp?msgid=2401961

Ссылка

←	Xen domU и ванильное ядро

Ipcad libipq, ulog, libpcap

→

Решайте проблему пошагово.

Если это верно http://www.linux.org.ru/jump-message.jsp?msgid=2401961&cid=2406941

то iptables -I FORWARD 2 -i eth0 -o eth1 -j ACCEPT

Если будут проблемы, то анализируйте трафик с помощью tcpdump

Valmont ★★★
(16.01.08 16:18:45 MSK)

Ответ на: комментарий от Valmont 16.01.08 16:18:45 MSK

при таком раскладе:

iptables -I FORWARD 2 -i eth0 -o eth1 -j ACCEPT

доступ к внутреним службам (серверу апачу) доступ есть....

но тогда весь смысл фаервола теряеться.....

надо разрешить ходить по маршруту eth0 <-> eth1 не всем во всём мире, а только опредеоенным адресам....

2ADMIN: уважаемый администратор форума, смени картинку кода проверки.... это же просто издевательство нал человеческим разумом!!!!

anonymous
(16.01.08 17:09:31 MSK)

Ответ на: комментарий от anonymous 16.01.08 17:09:31 MSK

Хорошо, тогда два вопроса. " lan1 = 212.1.1.0/25 lan2 = 212.2.2.0/25 "

Правильно ли выбрана маска подсети? И _правильно_ ли соотнесены диапазоны ip и eth0 eth1?

" iptables -A FORWARD -s $lan1 -j ACCEPT - это для шлюза на lan2 iptables -A FORWARD -s $lan2 -j ACCEPT - это для шлюза на lan1"

При правильном указании этого у вас также должна присутстовать строчка

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

И последнее.Если после прописывания у вас проблема останется - анализируйте ситуацию с помощью tcpdump и включением логгирования в iptables. Не ленитесь. Все проблемы при определенном терпении и настойчивости вполне решаемые. Просто так вписывая рекомендации других вы многому не научитесь.

Valmont ★★★
(16.01.08 23:03:00 MSK)

Ссылка

>настройки iptables:
>lan1 = 212.1.1.0/25
>lan2 = 212.2.2.0/25
>iptables -A FORWARD -s $lan1 -j ACCEPT - это для шлюза на lan2
>iptables -A FORWARD -s $lan2 -j ACCEPT - это для шлюза на lan1
>при таких настройках можно пинговать компы из одной сети в другую и
>обратно. Но зайти на то же апач, чт установлен внутри сети не
>получается!!!!! Но в то же время, если прописать следующее правило:
>iptables -A FORWARD -p TCP -d 212.1.1.10 --dport 80 -j ACCEPT
>то доступ на апач есть!!!!
>Почему так происходит?

Больше всего похоже, что все таки компы у вас лезут с других адресов. Пусть FORWARD будет такой:
"iptables -A FORWARD -s $lan1 -j ACCEPT"
"iptables -A FORWARD -s $lan2 -j ACCEPT"
"iptables -m limit --limit 10/sec -j LOG"
и посмотрте, какие пакеты попадают в лог. Может вы просто опечатались при вводе lan1.

Еще я не понял, сначала было написано: "Есть две сетки с белыми IP",
а потом сказано, что "eth0 - смотрит в инет, eth1 - смотрит в локалку".
А на каком интефейсе вторая сетка? И какие адреса на интерфейсах?

И еще, если вы установили transparent proxy (судя по правилам в PREROUTING), то может лучше проверять связность сеток
не по http, а по другому протоколу, ftp, допустим?