Lipetsk *nix Association Forum Lipetsk *nix Association Forum
Новости:
 
*
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?
29 Ноября 2024, 02:10:29


Войти


Страниц: [1] 2   Вниз
  Печать  
Автор Тема: Глупый вопрос по iptables  (Прочитано 34098 раз)
0 Пользователей и 3 Гостей смотрят эту тему.
black0f
Продвинутый
***

Карма: 0
Сообщений: 175


Debian-5.0.6

ОС:
Linux Linux
Браузер:
Firefox 3.0.5 Firefox 3.0.5


Награды
« : 22 Апреля 2009, 12:48:46 »

Вопрос действительно глупый, но не надо говорить "man iptables", т. к. решить надо срочно и времени мало. Дано: две сетевухи - $INT_INTERFACE (смотрит в локалку) $EXT_INTERFACE (смотрит во внешку). Комп раздает инет через проксю. Вопрос: что нужно сказать iptables, чтобы можно было работать с почтой? Типа, завернуть трафик по 25 и 110 портам между сетевухами в обход прокси. Подскажите плз ибо с синтаксисом iptables знаком слабо Грустный Нужно быстро поднять шлюз на linuxе (старый грохнулся), а то с работы уволят нахъ Грустный
« Последнее редактирование: 22 Апреля 2009, 12:56:12 от black0f » Записан

"Делать нечего... Пойду, оптоволокно, что ли, порасщепляю..." (c) securitylab.ru
NeO
Злобный админчик
Администратор
*****

Карма: 62
Сообщений: 2376

Debian Stretch

ОС:
Linux Linux
Браузер:
Firefox 3.1b3 Firefox 3.1b3


WWW Награды
« Ответ #1 : 22 Апреля 2009, 13:01:35 »

Разреши маршрутизацию пакетов между интерфейсами:
В /etc/sysctl.conf
net.ipv4.ip_forward=1

Перечитай sysctl.conf
sysctl -p

Добавь пару правил для трансляции адресов:
iptables -t nat -A PREROUTING -p tcp --dport 25 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp --dport 110 -j MASQUERADE

Шлюзом на клиентах должен быть прописан этот самый комп с проксей.
В настройках почтовика проксю указывать не нужно.
Записан
black0f
Продвинутый
***

Карма: 0
Сообщений: 175


Debian-5.0.6

ОС:
Linux Linux
Браузер:
Firefox 3.0.5 Firefox 3.0.5


Награды
« Ответ #2 : 22 Апреля 2009, 13:09:59 »

2NeO Спасибо, сегодня по окончании рабочего дня буду пробовать. А пока что пусть бухи юзают почту через браузер Улыбка Маршрутизация разрешена, работает все, кроме почты.
Цитировать
iptables -t nat -A PREROUTING -p tcp --dport 25 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp --dport 110 -j MASQUERADE
А разве не надо форвардинг прописывать?
Записан

"Делать нечего... Пойду, оптоволокно, что ли, порасщепляю..." (c) securitylab.ru
all
Небритый одмин
*****

Карма: 2
Сообщений: 730


Windows Vista Power Pack 2008)))

ОС:
Windows XP Windows XP
Браузер:
Firefox 3.0.4 Firefox 3.0.4


Награды
« Ответ #3 : 22 Апреля 2009, 13:35:55 »

хм а прокся какая прозрачная как показал Нео или через скуид?
а то как то странно получается, вариант Нео убирает необходимость в скуиде...
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE даст полный доступ ковсему инету...
правда после этого гнуно порезать кой какие портики, на всяк случай
Записан

all-all-blog.blogspot.com - мысли о пингвинах, паяльниках и др. интересной хрени.
NeO
Злобный админчик
Администратор
*****

Карма: 62
Сообщений: 2376

Debian Stretch

ОС:
Linux Linux
Браузер:
Firefox 3.1b3 Firefox 3.1b3


WWW Награды
« Ответ #4 : 22 Апреля 2009, 13:48:23 »

Маршрутизация разрешена, работает все, кроме почты. А разве не надо форвардинг прописывать?
А что в твоем понимании есть форвардинг?
Записан
black0f
Продвинутый
***

Карма: 0
Сообщений: 175


Debian-5.0.6

ОС:
Linux Linux
Браузер:
Firefox 3.0.5 Firefox 3.0.5


Награды
« Ответ #5 : 22 Апреля 2009, 13:51:13 »

Прокся - на первое время 3proxy, сегодня буду ставить squid и давать доступ по IP, выборочно к определенным ресурсам. Вариант NeO подойдет?
Цитировать
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE даст полный доступ ковсему инету...
Дает неконтролируемый доступ Улыбка Не-не-не-не... Не надо... Йа злой 0дмин Веселый

Добавлено: 22 Апреля 2009, 13:59:11
Цитировать
А что в твоем понимании есть форвардинг?
Как я понял, нужно что-то вроде:
Код:
$IPTABLES -A FORWARD -p tcp -s 192.168.0.1/24 --dport 110 -j ACCEPT
Или я не прав? Что же, все-таки, в конфиг писать?
« Последнее редактирование: 22 Апреля 2009, 14:00:07 от black0f » Записан

"Делать нечего... Пойду, оптоволокно, что ли, порасщепляю..." (c) securitylab.ru
NeO
Злобный админчик
Администратор
*****

Карма: 62
Сообщений: 2376

Debian Stretch

ОС:
Linux Linux
Браузер:
Firefox 3.1b3 Firefox 3.1b3


WWW Награды
« Ответ #6 : 22 Апреля 2009, 14:05:23 »

хм а прокся какая прозрачная как показал Нео или через скуид?
а то как то странно получается, вариант Нео убирает необходимость в скуиде...
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE даст полный доступ ковсему инету...
правда после этого гнуно порезать кой какие портики, на всяк случай
Чукча не читатель? У меня вообще-то немного другие правила написаны.

Дает неконтролируемый доступ Улыбка Не-не-не-не... Не надо... Йа злой 0дмин Веселый
Злой, невнимательный и неразбирающийся в сабже - жуткое сочетание.

Как я понял, нужно что-то вроде:
Код:
$IPTABLES -A FORWARD -p tcp -s 192.168.0.1/24 --dport 110 -j ACCEPT
Или я не прав? Что же, все-таки, в конфиг писать?
Для начала покажи iptables -L FORWARD
А еще лучше сразу iptables -L -v -n --line-numbers


Записан
black0f
Продвинутый
***

Карма: 0
Сообщений: 175


Debian-5.0.6

ОС:
Linux Linux
Браузер:
Firefox 3.0.5 Firefox 3.0.5


Награды
« Ответ #7 : 22 Апреля 2009, 14:18:34 »

Цитировать
и неразбирающийся в сабже
Дык, я так сразу и сказал. iptables -L -v -n --line-numbers сделать не могу, т. к. сейчас к этому компу нет доступа.
Вот фрагмент скрипта, устанавливающего правила для iptables.
Код:
int="eth2" # Внутренний интерфейс
ext="eth0" # Внешний интерфейс
intaddr="192.168.0.1"
extaddr="192.168.1.12"
localnet="192.168.0.0/24"
localports="1024:65535"
cmd="/sbin/iptables"
$cmd -P INPUT DROP
$cmd -P OUTPUT ACCEPT
$cmd -P FORWARD ACCEPT
$cmd -F INPUT
$cmd -F OUTPUT
$cmd -F FORWARD
$cmd -A INPUT -p icmp --icmp-type timestamp-request -j DROP
$cmd -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
$cmd -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
$cmd -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$cmd -A INPUT -p tcp --tcp-flags FIN,RST FIN,RST -j DROP
$cmd -A INPUT -p tcp --tcp-flags ACK,FIN FIN -j DROP
$cmd -A INPUT -p tcp --tcp-flags ACK,PSH PSH -j DROP
$cmd -A INPUT -p tcp --tcp-flags ACK,URG URG -j DROP
$cmd -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$cmd -A INPUT -i lo -j ACCEPT
$cmd -t nat -A POSTROUTING -o $ext -p icmp -j MASQUERADE
$cmd -A INPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
$cmd -A INPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT

# Раздаем инет для внутренней сети без прокси-сервера. Не надо так делать :-D
#$cmd -t nat -A POSTROUTING -s 192.168.0.0/24 -o $ext -j MASQUERADE
#------- END OF CONFIG -------#
Так что ему сказать, чтобы почту принимать-отправлять можно было?
Это:
Код:
iptables -t nat -A PREROUTING -p tcp --dport 25 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp --dport 110 -j MASQUERADE
будет работать?

Добавлено: 22 Апреля 2009, 14:31:01
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
Этого как раз не надо. Нужен ограниченный доступ+кэширование
« Последнее редактирование: 22 Апреля 2009, 14:31:01 от black0f » Записан

"Делать нечего... Пойду, оптоволокно, что ли, порасщепляю..." (c) securitylab.ru
NeO
Злобный админчик
Администратор
*****

Карма: 62
Сообщений: 2376

Debian Stretch

ОС:
Linux Linux
Браузер:
Firefox 3.1b3 Firefox 3.1b3


WWW Награды
« Ответ #8 : 22 Апреля 2009, 14:34:41 »

Должно работать. Хотя, если юзается smtps/imaps, то порты нужны другие.
Форвардинг прописывать не надо, там итак все разрешено. Исходящие пакеты тоже не блокируются.

Записан
black0f
Продвинутый
***

Карма: 0
Сообщений: 175


Debian-5.0.6

ОС:
Linux Linux
Браузер:
Firefox 3.0.5 Firefox 3.0.5


Награды
« Ответ #9 : 22 Апреля 2009, 14:40:39 »

если юзается smtps/imaps, то порты нужны другие.
Не юзаются, а в случае чего, можно по аналогии прописать нужные порты, если я правильно понял. Так что, всем спасибо, буду играть с настройками.
Записан

"Делать нечего... Пойду, оптоволокно, что ли, порасщепляю..." (c) securitylab.ru
all
Небритый одмин
*****

Карма: 2
Сообщений: 730


Windows Vista Power Pack 2008)))

ОС:
Windows XP Windows XP
Браузер:
Firefox 3.0.7 Firefox 3.0.7


Награды
« Ответ #10 : 22 Апреля 2009, 14:44:13 »

никакого неконтролируемого доступа не будет, контроль идет по openvpn и открыт только его порт во внешку...
и никакого гемора с дикими правами на доступ, никаких ldap и squid...
Записан

all-all-blog.blogspot.com - мысли о пингвинах, паяльниках и др. интересной хрени.
NeO
Злобный админчик
Администратор
*****

Карма: 62
Сообщений: 2376

Debian Stretch

ОС:
Linux Linux
Браузер:
Firefox 3.1b3 Firefox 3.1b3


WWW Награды
« Ответ #11 : 22 Апреля 2009, 15:02:35 »

никакого неконтролируемого доступа не будет, контроль идет по openvpn и открыт только его порт во внешку...
и никакого гемора с дикими правами на доступ, никаких ldap и squid...
То-ли я знаю значительно меньше об условиях поставленной задачи, то-ли ты не дописываешь свою мысль до конца :/ При чем тут VPN и LDAP?
Записан
all
Небритый одмин
*****

Карма: 2
Сообщений: 730


Windows Vista Power Pack 2008)))

ОС:
Windows XP Windows XP
Браузер:
Firefox 3.0.7 Firefox 3.0.7


Награды
« Ответ #12 : 22 Апреля 2009, 15:07:27 »

ну как то придется авторизировать пользователей для раздачи интернета? (хотя я сам это предпологаю)
скуид не позволяет сделать прозрачку, но позволяет создать авторизацию.
iptables позволяет создать прозрачный доступ, но без LDAP или чего то наподобие не дадут возможности авторизации, по сему и был последний пост.
ЗЫ мысль я действительно выразил не закончено, пардон.   
Записан

all-all-blog.blogspot.com - мысли о пингвинах, паяльниках и др. интересной хрени.
black0f
Продвинутый
***

Карма: 0
Сообщений: 175


Debian-5.0.6

ОС:
Linux Linux
Браузер:
Firefox 3.0.5 Firefox 3.0.5


Награды
« Ответ #13 : 22 Апреля 2009, 18:04:10 »

Авторизация - исключительно средствами прокси. Есть домен, контроллер домена на win2k3r2, шлюз будет на linuxе. До этого шлюз был на винде (ставили до меня еще, WinGate, MDaemon). Пока все это хозяйство работало, я его не трогал, ибо сказано: работает - не трогай. Но когда перестала работать почта и доступ в инет (точнее, стало работать через раз, в лучшем случае), я посмотрел настройки - оказалось, все настроено правильно, но ничего не работает Грустный Пришел к выводу, что пора ставить юниксоподобное что-нибудь. К тому же, ночальнег начал мну напрягать по поводу лицензионного софта, а что WinGate, что MDaemon - все ломаное. Кстати, по поводу домена: я так понимаю, что не обязательно вводить linuxовую машину в домен? Если авторизация на проксе будет реализована средствами самой прокси? Какое мнение на этот счет?

Добавлено: 22 Апреля 2009, 18:15:26
никакого неконтролируемого доступа не будет, контроль идет по openvpn и открыт только его порт во внешку...
и никакого гемора с дикими правами на доступ, никаких ldap и squid...
Нет, все куда как проще, никаких впн не надо, просто раздать инет, почту, и поднять внутренний почтовый сервер (что не критично, т. к. в основном вся рабочая почта на *@lipetsk.ru, но есть зареганный домен и раньше был у нас свой почтовый сервер, пока MDaemon не отлетел). Кстати, какой почтовик посоветовали бы? Я склоняюсь к postfix (sorry за offtop)
« Последнее редактирование: 22 Апреля 2009, 18:15:26 от black0f » Записан

"Делать нечего... Пойду, оптоволокно, что ли, порасщепляю..." (c) securitylab.ru
NeO
Злобный админчик
Администратор
*****

Карма: 62
Сообщений: 2376

Debian Stretch

ОС:
Linux Linux
Браузер:
Firefox 3.1b3 Firefox 3.1b3


WWW Награды
« Ответ #14 : 22 Апреля 2009, 18:26:27 »

Кстати, по поводу домена: я так понимаю, что не обязательно вводить линуксовую машину в домен? Если авторизация на проксе будет реализована средствами самой прокси? Какое мнение на этот счет?
Сплошной геморой без особой пользы.

Кстати, какой почтовик посоветовали бы? Я склоняюсь к postfix (sorry за offtop)
А это уже совсем другая история Улыбка
Записан
Страниц: [1] 2   Вверх
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2011, Simple Machines

Valid XHTML 1.0! Valid CSS! Dilber MC Theme by HarzeM