LINUX.ORG.RU
решено ФорумGeneral

iptables


0

0

есть тачка с двумя сетевухами (одна в свиче, другая в модем) на них поднят мост br0. Мост делался чтобы на тачке поднять шейпер и файрвол.

С шейпером разобрался. Все работает. А вот с iptables не пойму.


iptables -F -t nat
iptables -F -t mangle
iptables -F

iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P INPUT ACCEPT

iptables -A FORWARD -p tcp --dport 22 -d 110.22.5.3/32 -i br0 -j DROP
iptables -A OUTPUT -p tcp --dport 22 -d 110.22.5.3/32 -j DROP

и нифига на эту тачку и с локалхоста ломится и с любой воткнутой в свитч.

110.22.5.3 — это тачка за модемом.

[ubuntu] потерялся модуль питона
latex переносы

iptables -A FORWARD -p tcp --dport 22 -d 110.22.5.3/32 -i br0 -j DROP
такс с -o br0 фильтрует. Терь обратная задача, делаю

Нужно через тачку только ссш на 110.22.5.3/32

iptables -F -t nat
iptables -F -t mangle
iptables -F

iptables -P OUTPUT ACCEPT
iptables -P INPUT ACCEPT
iptables -P FORWARD DROP

iptables -A FORWARD -p tcp --dport 22 -d 110.22.5.3/32 -o br0 -j ACCEPT

так не пускает, но если добавить
iptables -A FORWARD -p tcp -s 110.22.5.3/32 -o br0 -j ACCEPT
все работает. Но получается я открываю все порты для 110.22.5.3.

Я так понимаю ответ от ssh 110.22.5.3 приходит на случайный порт. Так вот как бы его забить в правила, чтобы с 110.22.5.3 на мою подсеть все было закрыто?

unmerge
() автор топика
Ответ на: комментарий от unmerge

Отвечаю сам себе )
вместо
iptables -A FORWARD -p tcp -s 110.22.5.3/32 -o br0 -j ACCEPT
пишем
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -o br0 -j ACCEPT
и получаем то что желаем.

unmerge
() автор топика
Ответ на: комментарий от unmerge 
iptables -F FORWARD
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --dport 22 -d 110.22.5.3 -j ACCEPT
iptables -P FORWARD DROP
nnz ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
[ubuntu] потерялся модуль питона
General
latex переносы