Настройка SuSEfirewall2

0

1

Всем привет. В SuSEfirewall2 есть три типа сети: INT, EXT, DMZ. С INT и EXT понятно, а вот DMZ означает открытость куда? Открытость сети за DMZ-интерфейсом в сторону EXT или как? И сразу чтобы совсем не было похоже, на пустой бред: Дано: eth0 - 10.0.1.2/24 eth1 - 10.0.0.10/24 За eth1 на самом деле Yota модем, который пробрасывает все порты с внешнего адреса на 10.0.0.10. SuSEfirewall2 настроен: FW_DEV_EXT=«eth1» FW_DEV_INT=«eth0» FW_SERVICES_EXT_TCP=«ssh» Остальное, как было по стандарту. В конфигах ssh указано слушать по любому адресу. С внешнего адреса eth1 не достучаться по ssh на систему. В чем я ССЗБ? Может кто подскажет?

Перемещено JB из talks

Ссылка

←	Разыскивается Repository for Debian kernels with IMQ support

vsftpd: ftp-сервер не позволяет заливать файлы

→

а вот DMZ означает открытость куда?

A demilitarized zone is an additional line of defense in front of an internal network and the (hostile) Internet. Hosts assigned to this zone can be reached from the internal network and from the Internet, but cannot access the internal network.

registrant ★★★★★
(25.12.12 11:08:30 MSK)

Ответ на: комментарий от registrant 25.12.12 11:08:30 MSK

Всё правильно написал.

robot12 ★★★★★
(25.12.12 11:27:25 MSK)

Ссылка

iptables -L

в студию

i_gnatenko_brain ★★★★
(25.12.12 13:12:37 MSK)

Ссылка

За eth1 на самом деле Yota модем, который пробрасывает все порты с внешнего адреса на 10.0.0.10
С внешнего адреса eth1 не достучаться по ssh на систему.

Что есть внешний адрес?

Если вместо Yota-модема подключить ноутбук, достучаться по ssh можно? Yota-модем точно «все порты с внешнего адреса» пробрасывает?

ameba
(25.12.12 18:10:34 MSK)

Ответ на: комментарий от ameba 25.12.12 18:10:34 MSK

А разрешил ли службу sshd для выбранной зоны?

artb1sh ★
(25.12.12 19:05:45 MSK)

Ссылка

Ответ на: комментарий от ameba 25.12.12 18:10:34 MSK

sshd разрешен, точно пробрасывает, достучаться другим устройством с eth1 нельзя, так как это и есть модем - NDIS-устройство.

vwdepo:~ # iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             ctstate ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere             ctstate RELATED
input_int  all  --  anywhere             anywhere
input_ext  all  --  anywhere             anywhere
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix "SFW2-IN-ILL-TARGET "
DROP       all  --  anywhere             anywhere

Chain FORWARD (policy DROP)
target     prot opt source               destination
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix "SFW2-FWD-ILL-ROUTING "

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

Chain forward_ext (0 references)
target     prot opt source               destination

Chain forward_int (0 references)
target     prot opt source               destination

Chain input_ext (1 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere             PKTTYPE = broadcast
ACCEPT     icmp --  anywhere             anywhere             icmp source-quench
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request
LOG        tcp  --  anywhere             anywhere             limit: avg 3/min burst 5 tcp dpt:ssh flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix "SFW2-INext-ACC-TCP "
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
LOG        tcp  --  anywhere             anywhere             limit: avg 3/min burst 5 tcp dpt:ssh flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix "SFW2-INext-ACC-TCP "
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
DROP       all  --  anywhere             anywhere             PKTTYPE = multicast
DROP       all  --  anywhere             anywhere             PKTTYPE = broadcast
LOG        tcp  --  anywhere             anywhere             limit: avg 3/min burst 5 tcp flags:FIN,SYN,RST,ACK/SYN LOG level warning tcp-options ip-options prefix "SFW2-INext-DROP-DEFLT "
LOG        icmp --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warning tcp-options ip-options prefix "SFW2-INext-DROP-DEFLT "
LOG        udp  --  anywhere             anywhere             limit: avg 3/min burst 5 ctstate NEW LOG level warning tcp-options ip-options prefix "SFW2-INext-DROP-DEFLT "
DROP       all  --  anywhere             anywhere

Chain input_int (1 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

Chain reject_func (0 references)
target     prot opt source               destination
REJECT     tcp  --  anywhere             anywhere             reject-with tcp-reset
REJECT     udp  --  anywhere             anywhere             reject-with icmp-port-unreachable
REJECT     all  --  anywhere             anywhere             reject-with icmp-proto-unreachable

ekze13
(26.12.12 12:42:29 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Разыскивается Repository for Debian kernels with IMQ support

Admin

vsftpd: ftp-сервер не позволяет заливать файлы

→

Похожие темы