-
/1247620-2885312134_1e80bd8362_o.jpg)
помогите с линуксом
Теги:
BrAB
Sokrat, 15.12.2003 16:24:05:Это о выборе цепочки, а не правила - а цепочка у Вас одна (FORWARD).
Так, уже легче. хоть не все правила падают стремительным домкратом
тут какая весчь: настроил я сократовские правила. получилось так:
:forward DENY
-A forward -s 192.168.4.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j DENY
-A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/255.255.255.0 -j DENY
-A forward -s 192.168.4.0/255.255.255.0 -d 0.0.0.0/255.255.255.0 -j ACCEPT
-A forward -s 0.0.0.0/255.255.255.0 -d 192.168.4.0/255.255.255.0 -j ACCEPT
теперь клиентские машины (из сети 192.168.4.х) в инет пробится не могут (при сбросе дефаултной политики в ACCEPT - инет появляется).
Если я правильно понимаю, то режет пакеты первое правило, т. к. шлюзом в инет является машина 192.168.0.1, а как раз на неё ipchains пакеты не пускает.
Либо что-то настроил я не так...
Было у еврея всё плохо. Пришел за советом к равину. Тот - напиши над дверью - "Так будет не всегда". Стало всё ок. Пошел он благодарить. А тот ему - надпись не стирай.
Злой чечен ползет на берег. ©Лермонтов
инфо
инструменты
Balancer
BrAB, 15.12.2003 17:39:44:-A forward -s 192.168.4.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j DENY
Правило MASQ:
-A forward -s 192.168.4.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j MASQ
Balancer, 15.12.2003 16:42:45:Правило MASQ:
-A forward -s 192.168.4.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j MASQ
Так, правильно ли моя понимать, что NAT должен быть настроен на обоих серваках с рисунка на первой странице?
Было у еврея всё плохо. Пришел за советом к равину. Тот - напиши над дверью - "Так будет не всегда". Стало всё ок. Пошел он благодарить. А тот ему - надпись не стирай.
Злой чечен ползет на берег. ©Лермонтов
Balancer, 15.12.2003 16:42:45:Правило MASQ:
-A forward -s 192.168.4.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j MASQ
Выражаю глубочающую благодарность всем, кто помог начинающему админу - чайнику в его чайниковской задаче. ЗАРАБОТАЛО! особое спасибо Сократу и Роме. Приятно сознавать, что есть люди, при своей сильной загружености способные помочь советом.
Перехожу в режим усиленного копания Перл, доков и т. д. Самообразование, блин.
P. S. Ром, заведи счёт в рублях. Такое замечательное место не долно пропасть.
Было у еврея всё плохо. Пришел за советом к равину. Тот - напиши над дверью - "Так будет не всегда". Стало всё ок. Пошел он благодарить. А тот ему - надпись не стирай.
Злой чечен ползет на берег. ©Лермонтов
Mishka
ceci_, 13.12.2003 13:21:36:Именно это я имел в виду, пользы от такой смены адреса никакой, но для сетки могут появится проблемы. Думаю видел с год назад пример такой атаки на днс услугу, суть была в том что если не отразать частные сети на внешних интерфейсах, злоумышленик может послать заявки к днс /или другому сервизу/ а он в свою очередь перенаправит их по его маршрутизирующей таблице.
хост1 - 192.168.4.20 /ставим на него скажем 192.168.0.20/ -->днс зайвка к днс-у сети->маршрутизатор->днс->днс возвращает ответ к 192.168.0.20-> тут возникает проблемма
Да, и это тоже, любая DDOS атака идет на ура при спуфнутом source address. Ну, при наличии echo поднятой, можно и цикл закрутить.
Balancer, 15.12.2003 16:42:45:Правило MASQ:
-A forward -s 192.168.4.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j MASQ
М-м-м... А зачем?
Должно и так работать, разве что 192.168.0.1 пропускает только из сети 192.168.0.x или там прокся непрозрачная... Или теперь уже я торможу? 
Sokrat, 15.12.2003 18:48:57:Должно и так работать
Хм. Как "так"? Кто пакеты NAT'ить будет?
Из локалки же, из DMZ, во "внешний Инет". (Правда, я задачу не читал, я мог и на другую задачу решение дать 
)
[ceci_]
Sokrat, 15.12.2003 17:48:57:М-м-м... А зачем?
Сократ, думаю не проработает, так как явно у товарища конфигурация слооожная
)))) Или скореее он себе жизнь усложняет ) Все это получается из за того что на BSD натится один сегмент сети, а на линуксе будет натится другой
) Смысла особого нет, но зато есть много нат-а )2 BraB
Просмотрите лучше всего какую нибудь базувую книжку по UNIX, будет много легче, то что Вы хотели сделать можно /просмотр правил/, можно сделать например так:
iptables -L -xvn |more
iptables -L -xvn |grep "192.168.0." |more
или каким нибудь другим способом
[ceci_:],15.12.2003 19:34:26iptables -L -xvn |more
Таки
iptables -L -xvn |less
лучше
[ceci_:],15.12.2003 18:34:26Сократ, думаю не проработает, так как явно у товарища конфигурация слооожная
А, ну да - я как само собой разумеющееся принял, что на входном сервере NAT на обе сетки настроен.
Все это получается из за того что на BSD натится один сегмент сети, а на линуксе будет натится другой
Скорее, "перенативаться"...
Balancer, 15.12.2003 18:47:02:Таки
iptables -L -xvn |less
лучше
ну это, надо чтоб и на книжки осталось
)) так слишком легко ) А так мне привычнее море
[ceci_:],15.12.2003 18:34:26Сократ, думаю не проработает, так как явно у товарища конфигурация слооожная
Все это получается из за того что на BSD натится один сегмент сети, а на линуксе будет натится другой
2 BraB
Просмотрите лучше всего какую нибудь базувую книжку по UNIX, будет много легче, то что Вы хотели сделать можно /просмотр правил/, можно сделать например так:
iptables -L -xvn |more
iptables -L -xvn |grep "192.168.0." |more
или каким нибудь другим способом
Спасибо за советы.
Да, наверное намеренно усложнил себе жизнь. но проблема в том, что проблему надо решать здесь и сейчас, а лезть в главный сервак Страшно!
Ещё раз спасибо всем за советы.
Пошёл самообразовываься
Было у еврея всё плохо. Пришел за советом к равину. Тот - напиши над дверью - "Так будет не всегда". Стало всё ок. Пошел он благодарить. А тот ему - надпись не стирай.
Злой чечен ползет на берег. ©Лермонтов
Дабы считать трафик по отдельным ip настроил так:
-A forward -s 192.168.4.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j DENY
-A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j DENY
-A forward -s 192.168.4.4 -d 0.0.0.0/0.0.0.0 -j MASQ
-A forward -s 0.0.0.0/0.0.0.0 -d 192.168.4.4 -j ACCEPT
Получился следующий результат:
pkts bytes target prot opt tosa tosx ifname
12 576 DENY all ------ 0xFF 0x00 *
0 0 DENY all ------ 0xFF 0x00 *
1785 159K MASQ all ------ 0xFF 0x00 *
0 0 ACCEPT all ------ 0xFF 0x00 *
Т. е. счётчик накручивается для правила MASQ. Это означает:
1) через MASQ идёт трафик в обе стороны, т. е. и из инета и в инет
2) я что-то настроил не так и считается только трафик в инет, а трафик из инета должен считаться ACCEPTом, но он не работает
3) я всё настроил не так и в результате выдаётся бред.
куда глядеть?
-A forward -s 192.168.4.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j DENY
-A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j DENY
-A forward -s 192.168.4.4 -d 0.0.0.0/0.0.0.0 -j MASQ
-A forward -s 0.0.0.0/0.0.0.0 -d 192.168.4.4 -j ACCEPT
Получился следующий результат:
pkts bytes target prot opt tosa tosx ifname
12 576 DENY all ------ 0xFF 0x00 *
0 0 DENY all ------ 0xFF 0x00 *
1785 159K MASQ all ------ 0xFF 0x00 *
0 0 ACCEPT all ------ 0xFF 0x00 *
Т. е. счётчик накручивается для правила MASQ. Это означает:
1) через MASQ идёт трафик в обе стороны, т. е. и из инета и в инет
2) я что-то настроил не так и считается только трафик в инет, а трафик из инета должен считаться ACCEPTом, но он не работает
3) я всё настроил не так и в результате выдаётся бред.
куда глядеть?
Было у еврея всё плохо. Пришел за советом к равину. Тот - напиши над дверью - "Так будет не всегда". Стало всё ок. Пошел он благодарить. А тот ему - надпись не стирай.
Злой чечен ползет на берег. ©Лермонтов
BrAB, 16.12.2003 11:30:55:
Чудны дела получаются
выяснилось, что всё работает, даже если выкинуть последнее правило-A forward -s 0.0.0.0/0.0.0.0 -d 192.168.4.4 -j ACCEPT
Т. е. инет уходит на клиентски машины, минуя это правило, что и служит причиной того, что счётчик не изменяется. Что это может быть?
Было у еврея всё плохо. Пришел за советом к равину. Тот - напиши над дверью - "Так будет не всегда". Стало всё ок. Пошел он благодарить. А тот ему - надпись не стирай.
Злой чечен ползет на берег. ©Лермонтов
BrAB, 17.12.2003 09:40:37:BrAB, 16.12.2003 11:30:55 :куда глядеть?
Чудны дела получаются
-A forward -s 0.0.0.0/0.0.0.0 -d 192.168.4.4 -j ACCEPT
Т. е. инет уходит на клиентски машины, минуя это правило, что и служит причиной того, что счётчик не изменяется. Что это может быть?
так же выяснилось, что весь трафик уходящий на клиентов щурует через политику output (в которой только одно правило - пропускать всё). Т. е. почему-то в инет идёт через forward, а из инета через output. при попытке поставить на output DENY всё отрубается...
Было у еврея всё плохо. Пришел за советом к равину. Тот - напиши над дверью - "Так будет не всегда". Стало всё ок. Пошел он благодарить. А тот ему - надпись не стирай.
Злой чечен ползет на берег. ©Лермонтов
Всё, вопрос снят, разобрался.
Было у еврея всё плохо. Пришел за советом к равину. Тот - напиши над дверью - "Так будет не всегда". Стало всё ок. Пошел он благодарить. А тот ему - надпись не стирай.
Злой чечен ползет на берег. ©Лермонтов
Copyright © Balancer 1997..2018
Создано 09.12.2003
Связь с владельцами и администрацией сайта: anonisimov@gmail.com, rwasp1957@yandex.ru и admin@balancer.ru.
Создано 09.12.2003
Связь с владельцами и администрацией сайта: anonisimov@gmail.com, rwasp1957@yandex.ru и admin@balancer.ru.
