iptables - вопрос чайника

0

1

У меня виртуальный сервер с вебсервером. Всего делов то осталось разрешить доступ к нему по следующим портам:
80 http
443 https
25 smtp сервер
подскажите пожалуйста команду. Маны читал, но хочется сразу все сделать правильно. Права на ошибку нет.

Ссылка

←	Ubuntu desktop, или netbook?

Помогите создать wifi точку из ноутбука [gentoo][wifi]

→

Вы хотя бы предположите, какую команду вводить, а мы найдём ошибки. Так хотя бы, может быть, научитесь.

AITap ★★★★★
(05.12.10 16:05:01 MSK)

Ответ на: комментарий от AITap 05.12.10 16:05:01 MSK

думаю так
iptables -A INPUT --dport 80 -j ACCEPT
iptables -A INPUT --dport 443 -j ACCEPT
iptables -A INPUT --dport 25 -j ACCEPT
верно?

h0lder
(05.12.10 16:09:34 MSK) автор топика

Ответ на: комментарий от h0lder 05.12.10 16:09:34 MSK

Да. Правда, по-умолчанию все входящие соединения и так разрешены.

AITap ★★★★★
(05.12.10 16:11:44 MSK)

Ответ на: комментарий от AITap 05.12.10 16:11:44 MSK

у меня по умолчанию запрещены.
и потом для сохранения:
iptables-save
yes?

h0lder
(05.12.10 16:16:54 MSK) автор топика

Ответ на: комментарий от AITap 05.12.10 16:11:44 MSK

пишет:
# iptables -A INPUT --dport 80 -j ACCEPT
iptables v1.3.5: Unknown arg `--dport'

h0lder
(05.12.10 16:22:47 MSK) автор топика

Ответ на: комментарий от h0lder 05.12.10 16:22:47 MSK

а если так?
iptables -A INPUT -i eth0 -p TCP -m multiport --dports 80,443,25 -j ACCEPT

h0lder
(05.12.10 16:24:51 MSK) автор топика

Ссылка

Ответ на: комментарий от h0lder 05.12.10 16:16:54 MSK

>и потом для сохранения:

iptables-save

На самом деле, это довольно сложный вопрос.
В redhat-based дистрах достаточно от рута сделать «iptables-save > /etc/sysconfig/iptables» (или «service iptables save»).
В debian-based дистрах это не поможет, т.к. мейнтейнер iptables в дебиане Laurence J Lane считает, что админ должен конфигурировать фаервол ручками после каждой загрузки. Хотя в тестинге таки появился забавный уродец iptables-persistent, читающий конфиг из /etc/default/iptables (емнип).

iptables v1.3.5: Unknown arg `--dport'

Если указываешь порт, укажи и протокол (tcp). Не у всех протоколов порты есть (у icmp, например, нет).

iptables -A INPUT -i eth0 -p TCP -m multiport --dports 80,443,25 -j ACCEPT

Да, это более короткая форма того, что было выше. Должно работать.

Маны читал, но хочется сразу все сделать правильно. Права на ошибку нет.

Если делаешь по удаленке, не забудь добавить в разрешенные порты свой ssh. Иначе это может стать последней ошибкой :)

nnz ★★★★
(05.12.10 16:33:44 MSK)

Ссылка

1) -I INPUT 1 -m state --state RELATED,ESTABLISHED -j ACCEPT

Это позволит пропускать «без очереди» уже установленные соединения, а также без прблем открывать соединения наружу.

2) -A INPUT -i lo -j ACCEPT

lo тоже интерфейс, но врагов по другую его сторону с очевидностью нет.

3) А вообще-то, возьмите старую развалюху, запустите на ней какой-нибудь кноппикс да попробуйте несколько раз. Не такая большая плата за право на ошибку.

lodin ★★★★
(06.12.10 03:58:02 MSK)

Ссылка

Во-первых, нужно настроить iptables как на машине-хосте, так и на виртаульной машине. Как это делается, я описывал:
http://www.linux.org.ru/forum/admin/5636910?lastmod=1291399452618#comment-563...

Во-вторых, мало открыть порты.
Нужно их еще пробрасывать:
1) с роутера на хост-машину («Port forwarding»)
2) с хост-машины на ВМ

В-третьих, нужно настроить определенным образом «принятие» портов самой виртуальной машиной. Например, для kvm это делается опциями -redir или нужно строить сетевой интерфейс опцией -net. Подробнее читай man kvm или ищи в гугле «kvm port redirect».

~~Nordman~~
(06.12.10 14:28:06 MSK)

Ответ на: комментарий от Nordman 06.12.10 14:28:06 MSK

Кажысь все дело было в том, что у меня оказывается запущен ip6tables, в котором все уже настроено. Поэтому iptables я просто отключил.

h0lder
(06.12.10 15:50:51 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Ubuntu desktop, или netbook?

General

Помогите создать wifi точку из ноутбука [gentoo][wifi]

→

Похожие темы