LINUX.ORG.RU
ФорумAdmin

iptables && порты


0

0

Пытаюсь нормально настроить firewall для локальной сети, вроде бы почти все нормально, но никто (даже я) не могут зайти на мой ftp, nntp сервер. Где тут ошибка в правилах для iptables? Спасибо.

Есть следующие правила для iptables:

IPTABLES=/sbin/iptables
LANIP=10.49.61.2


$IPTABLES -F
# Запрещено то, что не разрешено:
$IPTABLES -P INPUT DROP

$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A INPUT -p icmp -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 10.48.127.3 -d $LANIP --dport ssh -j ACCEPT
$IPTABLES -A INPUT -p tcp -s $LANIP -d $LANIP --dport ssh -j ACCEPT
$IPTABLES -A INPUT -p tcp -s $LANIP -d $LANIP --dport http -j ACCEPT
$IPTABLES -A INPUT -p tcp -d $LANIP --dport ftp -j ACCEPT
$IPTABLES -A INPUT -p tcp -d $LANIP --dport nntp -j ACCEPT
$IPTABLES -A INPUT -p tcp -d $LANIP --dport 139 -j ACCEPT
$IPTABLES -A INPUT -p tcp -d $LANIP --dport 445 -j ACCEPT

★★★

Для того чтоб работал фтп в активном режиме необходимо разрешить прохождение пакетов по 2 портам 20 и 21.

Или пробуй в пассивном режиме

Login
()
Ответ на: комментарий от Login

> Для того чтоб работал фтп в активном режиме необходимо разрешить >прохождение пакетов по 2 портам 20 и 21.

>Или пробуй в пассивном режиме

Спасибо, а как быть с другими серверами -- news и samba, тоже не соединяются %(.

kondor ★★★
() автор топика
Ответ на: комментарий от kondor

Samba нужно для работы порты 137, 138, 139,445 притом два последних должны принимать броадкаст, значит iptables -A INPUT -p tcp -d 192.168.0.255 -dport 139 -j ACCEPT, потом 139 и 445 (если я не ошибаюсь) используют udp

fishor
()

Извени соврал... 137 это udp broadcast без него юзеры твой сервер просто не найдут, конечно если у тебя нет wins сервера. 139, 445 нужены для трансорта - значит tcp. iptables -A INPUT -p udp -sport 137 -dport 137 -s 10.49.61.255 -j ACCEPT (для этой операции порт источник и цель одинаковые, так его нельзя будет просканировать) iptables -A INPUT -p tcp -dport 139, 445 -s 10.49.61.255 -j ACCEPT (для этой операции нет постоянного порта источника, значит указываем только цель.)

fishor
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.