IPTables, помогите разобраться

0

0

В общем имеем красную шапку :) Имеем цепочки вида: 1. -A INPUT -i eth0 -m mac --mac-source xx:xx:xx:xx:xx:xx --dport 22 ACCEPT - доступ на шелл админа с локальной сети 2. -A INPUT -i eth0 -m mac --mac-source xx:xx:xx:xx:xx:xx --dport 19150 ACCEPT - доступ к GKrellM админу с локальной сети 3. -A INPUT -i eth0 -s 10.x.y.z -m tcp --dport 19150 ACCEPT - доступ к GKrellM админу с локальной сети 4. -A INPUT -s 10.0.0.0/8 -m tcp --dport 21 ACCEPT - доступ на ФТП с локальной сети 5. -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT - честно говоря незнаю зачем, но без этого правила юзерам не зайти на ФТП 6. -A INPUT -p ICMP -s 0/0 --icmp-type 3 -j ACCEPT - пинги 7. -A INPUT -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT - пинги 8. -A INPUT -p ICMP -s 0/0 --icmp-type 12 -j ACCEPT - пинги 9. -A INPUT -s 0/0 -m tcp --dport 6666 ACCEPT - всем и вся разрешаем доступ к чату 10. -A INPUT -i ppp0 -s 213.x.y.z -m tcp --dport 22 ACCEPT - доступ на шелл админа с рабочего компа 11. -A INPUT -i ppp0 -s 213.x.y.z -m tcp --dport 19150 ACCEPT - доступ к GKrellM админу с рабочего компа 12. -P INPUT DROP - политика по умолчанию для входящих 13. -P OUTPUT ACCEPT - политика по умолчанию для исходящих Уф.... Извините за загруз ;) А теперь вопросы: 1ая цепочка работает ок, я могу зашеллиться со своего компа в локалке. 2ая цепочка почему-то не работает, потому пришлось ввести 3ю (никто не подскажет почему?). 4ая работает, т.е. юзеры нормально на фтп заходят с локалки, правда при условии присутствия 5ой. Подскажите зачем 5ая нужна толком? 6-7-8 пинги, ну это все понятно. 9ая отлично работает - доступ к чату как с локалки, так и с интернета имеется. А теперь самое главное - 10ая и 11ая. Ни в какую не работает. Т.е. я со своего рабочего компа вижу открытым только 6666ой порт (чат) и все, хотя в 10ом и 11ом павилах мой ИП рабочий явно разрешен. :( В чем может быть дело? Где копать? Нмап кажет следующее с рабочего компа: The 1662 ports scanned but not shown below are in state: filtered | 6666/tcp open irc-serv. А где же 22ой и 19150ый???

Ссылка

←	iptables forwadr

sendmaill

→

Извини, но твои правила ломали глаза... Так лучше, наверное.

01. -A INPUT -i eth0 -m mac --mac-source xx:xx:xx:xx:xx:xx --dport 22 ACCEPT -доступ на шелл админа с локальной сети
02. -A INPUT -i eth0 -m mac --mac-source xx:xx:xx:xx:xx:xx --dport 19150 ACCEPT - доступ к GKrellM админу с локальной сети
03. -A INPUT -i eth0 -s 10.x.y.z -m tcp --dport 19150 ACCEPT - доступ к GKrellM админу с локальной сети
04. -A INPUT -s 10.0.0.0/8 -m tcp --dport 21 ACCEPT - доступ на ФТП с локальной сети
05. -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT - честно говоря незнаю зачем, но без этого правила юзерам не зайти на ФТП
06. -A INPUT -p ICMP -s 0/0 --icmp-type 3 -j ACCEPT - пинги
07. -A INPUT -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT - пинги
08. -A INPUT -p ICMP -s 0/0 --icmp-type 12 -j ACCEPT - пинги
09. -A INPUT -s 0/0 -m tcp --dport 6666 ACCEPT - всем и вся разрешаем доступ к чату
10. -A INPUT -i ppp0 -s 213.x.y.z -m tcp --dport 22 ACCEPT - доступ на шелл админа с рабочего компа
11. -A INPUT -i ppp0 -s 213.x.y.z -m tcp --dport 19150 ACCEPT - доступ к GKrellM админу с рабочего компа
12. -P INPUT DROP - политика по умолчанию для входящих
13. -P OUTPUT ACCEPT - политика по умолчанию для исходящих

anonymous
(16.05.05 09:29:33 MSD)

Ответ на: комментарий от anonymous 16.05.05 09:29:33 MSD

Ой, стормозил, спасибо ;) вот вопросы в удобочитаемом виде :) 1ая цепочка работает ок, я могу зашеллиться со своего компа в локалке. 2ая цепочка почему-то не работает, потому пришлось ввести 3ю (никто не подскажет почему?). 4ая работает, т.е. юзеры нормально на фтп заходят с локалки, правда при условии присутствия 5ой. Подскажите зачем 5ая нужна толком? 6-7-8 пинги, ну это все понятно. 9ая отлично работает - доступ к чату как с локалки, так и с интернета имеется. А теперь самое главное - 10ая и 11ая. Ни в какую не работает. Т.е. я со своего рабочего компа вижу открытым только 6666ой порт (чат) и все, хотя в 10ом и 11ом павилах мой ИП рабочий явно разрешен. :( В чем может быть дело? Где копать? Нмап кажет следующее с рабочего компа: The 1662 ports scanned but not shown below are in state: filtered 6666/tcp open irc-serv. А где же 22ой и 19150ый???

anonymous
(16.05.05 09:45:45 MSD)

Ответ на: комментарий от anonymous 16.05.05 09:45:45 MSD

Да, и почему nmap кажет "filtered", а не closed???

anonymous
(16.05.05 10:12:45 MSD)

Ссылка

Ответ на: комментарий от anonymous 16.05.05 09:45:45 MSD

10. -A INPUT -i ppp0, тогда как в первых правилах у тебя упоминается eth0 чувачок, не надо выдёргивать с нета по строчке, начни наконец читать доки по iptables

anonymous
(16.05.05 10:43:43 MSD)

Ссылка

Ответ на: комментарий от anonymous 16.05.05 09:29:33 MSD

...да и политику надо указывать с начала, а не в конце

anonymous
(16.05.05 10:44:53 MSD)

Ответ на: комментарий от anonymous 16.05.05 10:44:53 MSD

Ну а толком то ответить можно? Т.е. правило с ppp0 вперед??? А политика по умолчанию сразу была сделана DROP. Просто для сведения привел.

anonymous
(16.05.05 10:50:11 MSD)

Ответ на: комментарий от anonymous 16.05.05 10:50:11 MSD

дык у тебя рабочая станция в локальной сети или нет?

anonymous
(16.05.05 11:26:40 MSD)

Ответ на: комментарий от anonymous 16.05.05 11:26:40 MSD

Да нет, это просто фтп/чат сервер. Он смотрит и в локальную сеть (фтп/чат, для меня еще шелл и gkrellm) и в интернет (только чат, для меня еще шелл и gkrellm).

hayova
(16.05.05 11:36:12 MSD)