Добрый день, вот не могу разобратmся с iptables голову уже себе сломал.
есть 3 сетевухи
eth0 - это между серверами
eth1 - это интернет
eth2 - это squid
Проблема в том что я немогу запретить натировать исходящий травик пользователей через нат(нужно только особые порты оставить)
У меня либо пускает все либо не пускает вобще
Вот скрипт запуска iptables
startFirewall() {
echo -n "Starting iptables (created by KMyFirewall)... "
if [ "$verbose" = "1" ]; then
echo -n "
Loading needed modules... "
fi
$MOD ip_tables
$MOD ip_conntrack
$MOD ipt_LOG
$MOD ipt_limit
$MOD ipt_state
$MOD ip_conntrack_ftp
$MOD ip_conntrack_irc
$MOD iptable_filter
$MOD iptable_nat
$MOD iptable_mangle
############################################################################### #################
# Правила для цепочки отключенных пользователей #
for IP_D in `cat ./DISABLE | awk '{print $1}'`
do
$IPT -t filter -A INPUT --source $IP_D -j DROP
done
# #
############################################################################### #################
#$IPT -t filter -A INPUT -i eth0 -p ALL -j ACCEPT # Трафик между 10.6.213.1 <-> 10.6.213.2
$IPT -t filter -A INPUT --source 10.6.213.1 -p ALL -j ACCEPT # Трафик между 10.6.213.1 <-> 10.6.213.2
$IPT -t filter -A INPUT --match limit --limit 1/second --limit-burst 5 -p icmp --icmp-type echo-request -j ACCEPT # Ограничения ICMP
$IPT -t filter -A INPUT --source 127.0.0.1 -j ACCEPT
$IPT -t filter -A INPUT --source 10.10.10.10 -j ACCEPT
$IPT -t filter -A INPUT --source 10.10.10.11 -j ACCEPT
$IPT -t filter -A INPUT --match state --state RELATED,ESTABLISHED -j ACCEPT
Я понимаю что эти строки разрешают входящий трафик следующий в интернет ???
$IPT -t filter -A INPUT -d ! 10.10.0.0/16 -p tcp --destination-port 80 -j ACCEPT
$IPT -t filter -A INPUT -d ! 10.10.0.0/16 -p tcp --destination-port 8080 -j ACCEPT
$IPT -t filter -A INPUT -d ! 10.10.0.0/16 -p tcp --destination-port 81 -j ACCEPT
$IPT -t filter -A INPUT -d ! 10.10.0.0/16 -p tcp --destination-port 21 -j ACCEPT
$IPT -t filter -A INPUT -d ! 10.10.0.0/16 -p tcp --destination-port 433 -j ACCEPT
$IPT -t filter -A INPUT -d 10.10.10.0/24 -j ACCEPT # я вот думаю что это всё из за этой строчки
$IPT -t filter -A INPUT -j LOG --log-prefix "KMF:"
$IPT -t filter -P INPUT DROP
$IPT -t filter -P OUTPUT ACCEPT
$IPT -t filter -P FORWARD ACCEPT
$IPT -t nat -A PREROUTING -d ! 10.10.0.0/16 -p tcp --destination-port 80 -j REDIRECT --to-port 3128 # Перенаправление на SQUID
$IPT -t nat -A PREROUTING -d ! 10.10.0.0/16 -p tcp --destination-port 21 -j REDIRECT --to-port 3128 # Перенаправление на SQUID
$IPT -t nat -A PREROUTING -d ! 10.10.0.0/16 -p tcp --destination-port 81 -j REDIRECT --to-port 3128 # Перенаправление на SQUID
$IPT -t nat -A PREROUTING -d ! 10.10.0.0/16 -p tcp --destination-port 8080 -j REDIRECT --to-port 3128 # Перенаправление на SQUID
$IPT -t nat -P OUTPUT ACCEPT
$IPT -t nat -A POSTROUTING -p icmp -j MASQUERADE
$IPT -t nat -A POSTROUTING -j MASQUERADE # если убрать эту строчку то следуяшая строка не работает
$IPT -t nat -A POSTROUTING -p tcp --destination-port 433 -j MASQUERADE
$IPT -t nat -P POSTROUTING ACCEPT
$IPT -t mangle -P INPUT ACCEPT
$IPT -t mangle -P OUTPUT ACCEPT
$IPT -t mangle -P FORWARD ACCEPT
$IPT -t mangle -P PREROUTING ACCEPT
$IPT -t mangle -P POSTROUTING ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
for i in /proc/sys/net/ipv4/conf/*/rp_filter ; do
echo 0 > $i
done
for i in /proc/sys/net/ipv4/conf/*/log_martians ; do
echo 0 > $i
done
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo "Done."
}
Помогите плыз тут яно всё просто должно быть, а у сервера должен быть доступ полноценный
Ответ на:
комментарий
от samson
Ответ на:
комментарий
от loewa
Ответ на:
комментарий
от samson
Ответ на:
комментарий
от loewa
Ответ на:
комментарий
от loewa
Ответ на:
комментарий
от loewa
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.