URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4908
[ Назад ]

Исходное сообщение
"Iptables или враг не пройдёт и друг тоже"
Отправлено orion55 , 30-Июл-11 18:25

Здравствуйте
Есть общая сеть организации(10.72.128.0/21) и есть сеть бухгалтерии(10.72.101.0/25). Это 2 физически разные сети. Между ними стоит маршрутеризатор на базе Alt Linux Server 4 c 2 интерфейсами 10.72.143.166 и 10.72.101.126 между ними настроена машрутеризация. Пакеты ходят из одной сети в другую без проблем.
Однако надо сделать так, чтобы из общей сети организации был запрещен доступ к сети бухгалтерии, а бухгалтерия ходила в общую сеть организации только строго на определенные сервера (Гарант(10.72.143.198), антивирус, и т.д.). Для этого производиться настройка iptables следующим скриптом
#!/bin/bash
IPTABLES -F
IPTABLES -t nat -F
IPTABLES -t mangle -F
IPTABLES -X
IPTABLES -t nat -X
IPTABLES -t mangle –X
IPTABLES -P INPUT DROP
IPTABLES -P FORWARD DROP
IPTABLES -P OUTPUT ACCEPT
IPTABLES -A INPUT -i lo -j ACCEPT
IPTABLES -A OUTPUT -o lo -j ACCEPT
IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
IPTABLES -A INPUT -s 10.72.143.198 -j ACCEPT
После выполнения этого скрипта умирает всё, все пинги, передача данных. Где я совершил ошибку?

Содержание

Iptables или враг не пройдёт и друг тоже,PavelR, 18:34 , 30-Июл-11
- Iptables или враг не пройдёт и друг тоже,orion55, 18:38 , 30-Июл-11
  - Iptables или враг не пройдёт и друг тоже,anonymous, 18:51 , 30-Июл-11
  - Iptables или враг не пройдёт и друг тоже,PavelR, 19:18 , 30-Июл-11
Iptables или враг не пройдёт и друг тоже,reader, 19:30 , 30-Июл-11
Iptables или враг не пройдёт и друг тоже,BlackRu, 20:52 , 30-Июл-11
Iptables или враг не пройдёт и друг тоже,XoRe, 18:46 , 31-Июл-11
Iptables или враг не пройдёт и друг тоже,ImPressed, 09:58 , 01-Авг-11
Iptables или враг не пройдёт и друг тоже,orion55, 14:03 , 01-Авг-11

Сообщения в этом обсуждении

"Iptables или враг не пройдёт и друг тоже"
Отправлено PavelR , 30-Июл-11 18:34

> После выполнения этого скрипта умирает всё, все пинги, передача данных. Где я
> совершил ошибку?
В выборе профессии. В нечтении документации.

"Iptables или враг не пройдёт и друг тоже"
Отправлено orion55 , 30-Июл-11 18:38

>> После выполнения этого скрипта умирает всё, все пинги, передача данных. Где я
>> совершил ошибку?
> В выборе профессии. В нечтении документации.
Ткни пальцем в ман, где я ошибся.

"Iptables или враг не пройдёт и друг тоже"
Отправлено anonymous , 30-Июл-11 18:51

>>> После выполнения этого скрипта умирает всё, все пинги, передача данных. Где я
>>> совершил ошибку?
>> В выборе профессии. В нечтении документации.
> Ткни пальцем в ман, где я ошибся.
"сделайте за меня мою работу бесплатно". Насчет выбора профессии - поддерживаю.

"Iptables или враг не пройдёт и друг тоже"
Отправлено PavelR , 30-Июл-11 19:18

>>> После выполнения этого скрипта умирает всё, все пинги, передача данных. Где я
>>> совершил ошибку?
>> В выборе профессии. В нечтении документации.
> Ткни пальцем в ман, где я ошибся.
В любой ман по iptables в любое место.

"Iptables или враг не пройдёт и друг тоже"
Отправлено reader , 30-Июл-11 19:30

> После выполнения этого скрипта умирает всё, все пинги, передача данных. Где я
> совершил ошибку?
наверно не все умерло, с 10.72.143.198 к 10.72.143.166 можно вить обращаться и с самого маршрутизатора в любую подсеть можно.
А то что вы хотите, городите в FORWARD

"Iptables или враг не пройдёт и друг тоже"
Отправлено BlackRu , 30-Июл-11 20:52

IPTABLES -P FORWARD DROP
Вы же перекрыли воду транзитным пакетам.

"Iptables или враг не пройдёт и друг тоже"
Отправлено XoRe , 31-Июл-11 18:46

> Есть общая сеть организации(10.72.128.0/21) и есть сеть бухгалтерии(10.72.101.0/25).
> Alt Linux Server 4 c 2 интерфейсами 10.72.143.166 и 10.72.101.126 между
> строго на определенные сервера (Гарант(10.72.143.198), антивирус, и т.д.). Для этого
man iptables
найдите место:
filter:
    This  is  the default table (if no -t option is passed). It contains the built-in chains INPUT (for packets
    destined to local sockets), FORWARD (for packets being routed through the box), and  OUTPUT  (for  locally-
    generated packets).
Там хорошо написано, что делают цепочки INPUT, OUTPUT, и FORWARD
По конфигу:
# пинги
IPTABLES -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
# доступ к шлюзу
IPTABLES -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
# Хождение в гарант, туда и обратно
IPTABLES -A FORWARD -s 10.72.101.0/25 -d 10.72.143.198 -j ACCEPT
IPTABLES -A FORWARD -s 10.72.143.198 -d 10.72.101.0/25 -j ACCEPT

"Iptables или враг не пройдёт и друг тоже"
Отправлено ImPressed , 01-Авг-11 09:58

>[оверквотинг удален]
> IPTABLES -t mangle –X
> IPTABLES -P INPUT DROP
> IPTABLES -P FORWARD DROP
> IPTABLES -P OUTPUT ACCEPT
> IPTABLES -A INPUT -i lo -j ACCEPT
> IPTABLES -A OUTPUT -o lo -j ACCEPT
> IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> IPTABLES -A INPUT -s 10.72.143.198 -j ACCEPT
> После выполнения этого скрипта умирает всё, все пинги, передача данных. Где я
> совершил ошибку?
Присоединяюсь к предыдущим ораторам.
Тут вам проще-бы VLANы нарезать на оборудовании ( если оно конечно умеет) и разрешать/запрещать маршрутизацию пакетов на основе VLAN.
З.ЫЖ Нет не решаемых проблем, для тех кто знает про RTFM.

"Iptables или враг не пройдёт и друг тоже"
Отправлено orion55 , 01-Авг-11 14:03

Всем спасибо!
Прекрасно работает следующий скрипт
iptables -F
iptables -X
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 10.72.101.0/25 -d 10.72.143.169/32 -j ACCEPT
iptables -A FORWARD -s 10.72.143.169/32 -d 10.72.101.0/25 -j ACCEPT
iptables -A FORWARD -j DROP
Тема закрыта.