Page 26 of 36 FirstFirst ... 162425262728 ... LastLast
Results 376 to 390 of 532

Thread: Настройка IPTables

  1. 19-08-2010, 19:47 #376
    Spartach
    Spartach is offline Member
    Join Date
    Feb 2010
    Posts
    90

    MARK

    Да, тоже решил что туда смотреть нужно, но опять проблема...
    Эксперимент ставлю над портом SSH (22).
    Делаю так:
    #создаю маршрут через нужный GW в таблице 200.
    ip route add default via xx.xx.xx.xx table 200
    #добавляю правило маркирования исходящих пакетов с роутера с 22 порта.
    iptables -t mangle -A PREROUTING -p tcp -s 10.76.0.1 --sport 22 -j MARK --set-mark 1
    #добавляю правило для выбора таблицы маршрутов для маркированных пакетов.
    ip rule add fwmark 1 table 200
    ip route flush cache

    Не работает.
    Делаю все то-же самое для другого внутреннего IP, работает.

    Пробовал играть с IP роутера, и 127.0.0.1 и имя роутера пробовал, не хочет. В чем может быть косяк?
    Reply With Quote Reply With Quote
  2. 20-08-2010, 17:36 #377
    agros
    agros is offline Member
    Join Date
    Nov 2006
    Location
    Russia.
    Posts
    67
    Quote Originally Posted by Spartach View Post
    Да, тоже решил что туда смотреть нужно, но опять проблема...
    Эксперимент ставлю над портом SSH (22).
    Делаю так:
    #создаю маршрут через нужный GW в таблице 200.
    ip route add default via xx.xx.xx.xx table 200
    #добавляю правило маркирования исходящих пакетов с роутера с 22 порта.
    iptables -t mangle -A PREROUTING -p tcp -s 10.76.0.1 --sport 22 -j MARK --set-mark 1
    #добавляю правило для выбора таблицы маршрутов для маркированных пакетов.
    ip rule add fwmark 1 table 200
    ip route flush cache

    Не работает.
    Делаю все то-же самое для другого внутреннего IP, работает.

    Пробовал играть с IP роутера, и 127.0.0.1 и имя роутера пробовал, не хочет. В чем может быть косяк?
    Я тут подумал, возможно все проще, у вас что есть wan? и еще покажите файл опций pptp соединения с другим офисом (без логина пароля и адреса )
    Reply With Quote Reply With Quote
  3. 20-08-2010, 18:41 #378
    Spartach
    Spartach is offline Member
    Join Date
    Feb 2010
    Posts
    90

    Настройки.

    WAN - статический IP.
    + PPTP
    noauth refuse-eap
    user 'xxxx'
    password 'xxxx'
    plugin pptp.so
    pptp_server xxx.server.ru
    nomppe-stateful +mppe-128 mtu 1400
    maxfail 0
    persist
    ipcp-accept-remote ipcp-accept-local noipdefault
    ktune
    default-asyncmap nopcomp noaccomp
    novj nobsdcomp nodeflate
    lcp-echo-interval 10
    lcp-echo-failure 6
    unit 0

    PS: весь трафик из локалки должен уходить в ppp0.
    Last edited by Spartach; 20-08-2010 at 18:44.
    Reply With Quote Reply With Quote
  4. 20-08-2010, 21:12 #379
    agros
    agros is offline Member
    Join Date
    Nov 2006
    Location
    Russia.
    Posts
    67
    похоже, что нужна поддержка CONNMARK в ядре и iptables, ядро, в свою очередь, нужно 2.6, может кто поправит меня?
    Reply With Quote Reply With Quote
  5. 22-08-2010, 20:51 #380
    Spartach
    Spartach is offline Member
    Join Date
    Feb 2010
    Posts
    90

    Решил проблему.

    Методом чтения доки на iptables нашел решение :-)
    Напишу, мало-ли кому пригодится...
    #Создаю таблицу маршрутизайии, где xxx.xxx.xxx.xxx - необходимый gw.
    ip route add default via xxx.xxx.xxx.xxx table 200
    #Правило маркировки пакетов, красить любой пакет уходящий с роутера с адресом отправителя yyy.yyy.yyy.yyy (принадлежит интерфейсу с которого нужно отвечать, т.е. на который пришел запрос).
    iptables -t mangle -A OUTPUT -s yyy.yyy.yyy.yyy -j MARK --set-mark 1
    #Применять таблицу маршрутизации для крашеных пакетов.
    ip rule add fwmark 1 table 200
    ip route flush cache

    Можно сделать для определенных портов, но в своем случае решил весь трафик пустить.
    Тему можно закрывать.
    Reply With Quote Reply With Quote
  6. 14-10-2010, 15:35 #381
    3ji
    3ji is offline Registered User
    Join Date
    May 2008
    Posts
    1

    сохрание правил firewall

    Господа имеется роутер с asus wl500w с прошиковой от олега 1.9.2.7-10.
    Подскажите пожалуйста как сделать так чтобы правила созданные в коммандной строке через iptable (а не через web интерфейс) сохранялись после перезагрузки роутера.
    Reply With Quote Reply With Quote
  7. 14-10-2010, 15:41 #382
    Lupo_Alberto
    Lupo_Alberto is offline Senior Member
    Join Date
    Nov 2007
    Location
    Belarus, Gomel
    Posts
    168
    Поместить их в файл /usr/local/sbin/post-firewall.
    Last edited by Lupo_Alberto; 14-10-2010 at 15:44.
    Reply With Quote Reply With Quote
  8. 25-12-2010, 17:32 #383
    levgen
    levgen is offline Registered User
    Join Date
    Dec 2010
    Posts
    2

    Iptables разрешить только один SMTP сервер

    Всем привет,

    Имеем прошивку от энтузиастов. Необходимо компьютерам в локальной сети разрешить отправку почты только через один smtp сервер. Подключения к остальным зарезать.
    Возможно ли это как-то красиво вписать в существующие правила.

    Подозреваю, что раз транзитный трафик разруливать все надо в цепочке FORWARD. Вывод iptables -nvL FORWARD в дефолте:
    Code:
    Chain FORWARD (policy ACCEPT 76044 packets, 4682K bytes)
 pkts bytes target     prot opt in     out     source               destination         
 6423 2499K ACCEPT     all  --  br0    br0     0.0.0.0/0            0.0.0.0/0           
    0     0 logdrop    all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            224.0.0.0/4         
48033 2616K TCPMSS     tcp  --  *      *       0.0.0.0/0         0.0.0.0/0           tcp flags:0x06/0x02 TCPMSS clamp to PMTU 
2811K 2306M ACCEPT     all  --  *      *       0.0.0.0/0         0.0.0.0/0           state RELATED,ESTABLISHED 
    0     0 logdrop    all  --  !br0   ppp0    0.0.0.0/0            0.0.0.0/0           
    0     0 logdrop    all  --  !br0   vlan1   0.0.0.0/0            0.0.0.0/0           
  580 33272 ACCEPT     all  --  *      *       0.0.0.0/0           0.0.0.0/0           ctstate DNAT 
    0     0 logdrop    all  --  *      br0     0.0.0.0/0            0.0.0.0/0
    Пока мои изысканию привели к таким правилам
    Code:
    LAN=br0
iptables -I FORWARD -p TCP -i $LAN -d 0/0 --dport 25 -j DROP
iptables -I FORWARD -p TCP -i $LAN -d $SMTP2 --dport 25 -j ACCEPT
iptables -I FORWARD -p TCP -i $LAN -d $SMTP1 --dport 25 -j ACCEPT
    В таком варианте не работает.
    Может кто-то сталкивался и подскажет как реализовать или направит в нужное русло

    Заранее спасибо
    Reply With Quote Reply With Quote
  9. 26-12-2010, 13:44 #384
    another
    another is offline Registered User
    Join Date
    Nov 2010
    Location
    Moscow
    Posts
    3
    2 levgen:

    Имеем прошивку от энтузиастов. Необходимо компьютерам в локальной сети разрешить отправку почты только через один smtp сервер. Подключения к остальным зарезать.
    По приведенному коду smtp-серверов два - $SMTP1 и $SMTP2.
    Правила в цепочках выполняются последовательно, поэтому правило номер раз тут:

    Code:
    LAN=br0
iptables -I FORWARD -p TCP -i $LAN -d 0/0 --dport 25 -j DROP
iptables -I FORWARD -p TCP -i $LAN -d $SMTP2 --dport 25 -j ACCEPT
iptables -I FORWARD -p TCP -i $LAN -d $SMTP1 --dport 25 -j ACCEPT
    не дает выполниться правилам 2 и 3. Перенеси его в конец и должно заработать
    Reply With Quote Reply With Quote
  10. 26-12-2010, 18:04 #385
    levgen
    levgen is offline Registered User
    Join Date
    Dec 2010
    Posts
    2
    Порядок самих правил менял. и в начало -I и в конец -A цепочки пробовал. результат нулевой

    Оно либо режется на этом правиле:

    Code:
    iptables -I FORWARD -p TCP -i br0 -d 0/0 --dport 25 -j DROP
    либо все пропускается.

    видимо не сильно эти правила вписываются в default policy
    Reply With Quote Reply With Quote
  11. 26-12-2010, 21:08 #386
    another
    another is offline Registered User
    Join Date
    Nov 2010
    Location
    Moscow
    Posts
    3
    Если это правило:
    Code:
    iptables -I FORWARD -p TCP -i br0 -d 0/0 --dport 25 -j DROP
    стоит первым, то оно режет всё остальное по 25-му порту, т.к. destination у него - ВСЕ.
    Покажи вывод команды iptables -nvxL FORWARD после применения твоих правил.

    PS кстати, кроме 25-го порта есть еще 465 (SMTP поверх SSL) и 587 (e-mail message submission (SMTP))
    Reply With Quote Reply With Quote
  12. 11-01-2011, 17:39 #387
    idShura
    idShura is offline Junior Member
    Join Date
    Dec 2010
    Posts
    24

    Question логирование iptables

    Подскажите как в iptables сделать логирование по срабатыванию определенного правила, например доступ по порту 22? Как само правило прописать я думаю соображу, вопрос больше по параметрам лога (я так понял он может быть разной степени подробности) и самое главное я не могу понять куда будет сохранятся лог?
    Reply With Quote Reply With Quote
  13. 11-01-2011, 18:21 #388
    KPOWKA
    KPOWKA is offline Junior Member
    Join Date
    Dec 2010
    Posts
    11
    Quote Originally Posted by idShura View Post
    Подскажите как в iptables сделать логирование по срабатыванию определенного правила, например доступ по порту 22? Как само правило прописать я думаю соображу, вопрос больше по параметрам лога (я так понял он может быть разной степени подробности) и самое главное я не могу понять куда будет сохранятся лог?
    Вот тут почитай. А пишется вроде в log/kernel/info и в log/messages
    Asus RT-N16+3 антенны D-link 7db+160 gb Samsung 2.5: TomatoUSB Toastman Mod, rtorrent + nTorrent (SSH), nod 32 update server
    Reply With Quote Reply With Quote
  14. 11-02-2011, 00:39 #389
    featZima
    featZima is offline Member
    Send a message via ICQ to featZima
    Join Date
    Dec 2008
    Location
    Ukraine, Kharkov
    Posts
    66

    Маркировка пакетов по src ip ?

    Сейчас маркирую пакеты с помощью цепочки правил в Iptables, но так как компьютеров в сети много, то и правил много... Можно ли сократить это как-нибудь до одного правила?

    Например так
    Code:
    iptables -t mangle -A labels_in -j MARK --set-mark @srcip
    Пример того, что сейчас происходит:
    Code:
    *mangle
:PREROUTING ACCEPT [61197570:39908422354]
:INPUT ACCEPT [1574141:975304771]
:FORWARD ACCEPT [59262832:38892196704]
:OUTPUT ACCEPT [759365:97242599]
:POSTROUTING ACCEPT [60017173:38989130939]
:labels_in - [0:0]
:labels_out - [0:0]
-A PREROUTING -s 192.168.1.0/24 -j labels_out
-A POSTROUTING -d 192.168.1.0/24 -j labels_in
-A labels_in -d 192.168.1.4/32 -j MARK --set-mark 0x68
-A labels_in -d 192.168.1.5/32 -j MARK --set-mark 0x69
-A labels_in -d 192.168.1.6/32 -j MARK --set-mark 0x6a
-A labels_in -d 192.168.1.7/32 -j MARK --set-mark 0x6b
-A labels_in -d 192.168.1.8/32 -j MARK --set-mark 0x6c
-A labels_in -d 192.168.1.9/32 -j MARK --set-mark 0x6d
-A labels_in -d 192.168.1.10/32 -j MARK --set-mark 0x6e
-A labels_in -d 192.168.1.11/32 -j MARK --set-mark 0x6f
-A labels_in -d 192.168.1.12/32 -j MARK --set-mark 0x70
-A labels_in -d 192.168.1.13/32 -j MARK --set-mark 0x71
-A labels_in -d 192.168.1.14/32 -j MARK --set-mark 0x72
-A labels_in -d 192.168.1.15/32 -j MARK --set-mark 0x73
-A labels_in -d 192.168.1.16/32 -j MARK --set-mark 0x74
-A labels_in -d 192.168.1.17/32 -j MARK --set-mark 0x75
-A labels_in -d 192.168.1.18/32 -j MARK --set-mark 0x76
-A labels_in -d 192.168.1.19/32 -j MARK --set-mark 0x77
-A labels_in -d 192.168.1.20/32 -j MARK --set-mark 0x78
-A labels_in -d 192.168.1.21/32 -j MARK --set-mark 0x79
-A labels_in -d 192.168.1.22/32 -j MARK --set-mark 0x7a
-A labels_in -d 192.168.1.23/32 -j MARK --set-mark 0x7b
-A labels_in -d 192.168.1.24/32 -j MARK --set-mark 0x7c
-A labels_in -d 192.168.1.25/32 -j MARK --set-mark 0x7d
-A labels_in -j RETURN
-A labels_out -s 192.168.1.4/32 -j MARK --set-mark 0xcc
-A labels_out -s 192.168.1.5/32 -j MARK --set-mark 0xcd
-A labels_out -s 192.168.1.6/32 -j MARK --set-mark 0xce
-A labels_out -s 192.168.1.7/32 -j MARK --set-mark 0xcf
-A labels_out -s 192.168.1.8/32 -j MARK --set-mark 0xd0
-A labels_out -s 192.168.1.9/32 -j MARK --set-mark 0xd1
-A labels_out -s 192.168.1.10/32 -j MARK --set-mark 0xd2
-A labels_out -s 192.168.1.11/32 -j MARK --set-mark 0xd3
-A labels_out -s 192.168.1.12/32 -j MARK --set-mark 0xd4
-A labels_out -s 192.168.1.13/32 -j MARK --set-mark 0xd5
-A labels_out -s 192.168.1.14/32 -j MARK --set-mark 0xd6
-A labels_out -s 192.168.1.15/32 -j MARK --set-mark 0xd7
-A labels_out -s 192.168.1.16/32 -j MARK --set-mark 0xd8
-A labels_out -s 192.168.1.17/32 -j MARK --set-mark 0xd9
-A labels_out -s 192.168.1.18/32 -j MARK --set-mark 0xda
-A labels_out -s 192.168.1.19/32 -j MARK --set-mark 0xdb
-A labels_out -s 192.168.1.20/32 -j MARK --set-mark 0xdc
-A labels_out -s 192.168.1.21/32 -j MARK --set-mark 0xdd
-A labels_out -s 192.168.1.22/32 -j MARK --set-mark 0xde
-A labels_out -s 192.168.1.23/32 -j MARK --set-mark 0xdf
-A labels_out -s 192.168.1.24/32 -j MARK --set-mark 0xe0
-A labels_out -s 192.168.1.25/32 -j MARK --set-mark 0xe1
-A labels_out -j RETURN
COMMIT
    Last edited by featZima; 11-02-2011 at 00:44.
    Reply With Quote Reply With Quote
  15. 11-02-2011, 13:55 #390
    featZima
    featZima is offline Member
    Send a message via ICQ to featZima
    Join Date
    Dec 2008
    Location
    Ukraine, Kharkov
    Posts
    66
    А можно ли как-нибудь добавить фильтр flow в iptables ?

    Code:
    >$  tc filter add dev ppp1 ip parent 1: prio 1 flow hash keys nfct-src devisor 1024
Unknown filter "flow", hence option "hash" is unparsable
    Reply With Quote Reply With Quote
Page 26 of 36 FirstFirst ... 162425262728 ... LastLast
« Previous Thread | Next Thread »

Similar Threads

  1. Help with IPTABLES
    By tomv in forum WL-500gP Q&A
    Replies: 1
    Last Post: 14-01-2008, 20:43
  2. Iptables
    By byteZero in forum WL-500g Q&A
    Replies: 2
    Last Post: 07-11-2006, 19:23
  3. How to configure Firewall/iptables
    By samoht in forum WL-500g/WL-500gx Tutorials
    Replies: 3
    Last Post: 14-08-2005, 01:28
  4. iptables vs web interface
    By bomberman in forum WL-500g Q&A
    Replies: 0
    Last Post: 20-05-2005, 08:06
  5. Iptables
    By barsju in forum WL-500g Q&A
    Replies: 15
    Last Post: 01-03-2005, 01:36

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •  

Forum Rules