forum.opennet.ru - "И снова форвардинг в iptables" (8)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"И снова форвардинг в iptables"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"И снова форвардинг в iptables"
Сообщение от handler2006 (ok) on 31-Янв-09, 23:09
Здравствуйте! Все очень просто: Имеем роутер под федорой и набором правил iptables - все работает Решил испытать новые правила, для чего присвоил тестовой машине из локалки адрес "A.D.D.R" и в консоли набираю: # iptables -A FORWARD -s A.D.D.R -o $EXT_IF - j ACCEPT //отправляем пакеты наружу # iptables -A FORWARD -d A.D.D.R -i $EXT_IF -m state --state ESTABLISHED,RELATED -j ACCEPT //Принимаем пакеты снаружи # iptables -t nat -A POSTROUTING -s A.D.D.R -o $EXT_IF -j SNAT --to $EXT_IP # ping $EXT_IP //ходит нормально, даже ходит на противоположный адрес за роутером а интернета нет
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

И снова форвардинг в iptables, PavelR, 15:19 , 01-Фев-09, (1)

И снова форвардинг в iptables, handler2006, 16:40 , 01-Фев-09, (2)

И снова форвардинг в iptables, PavelR, 19:02 , 01-Фев-09, (3)

И снова форвардинг в iptables, handler2006, 09:43 , 02-Фев-09, (4)

И снова форвардинг в iptables, LS, 09:05 , 25-Фев-09, (8)

И снова форвардинг в iptables, ai, 10:14 , 06-Фев-09, (5)

И снова форвардинг в iptables, handler2006, 16:14 , 06-Фев-09, (6)

И снова форвардинг в iptables, ai, 17:21 , 06-Фев-09, (7)

Сообщения по теме [Сортировка по времени | RSS]

1. "И снова форвардинг в iptables"

Сообщение от PavelR (??) on 01-Фев-09, 15:19

>[оверквотинг удален]
>"A.D.D.R" и в консоли набираю:
># iptables -A FORWARD -s A.D.D.R -o $EXT_IF - j ACCEPT
>
> //отправляем пакеты наружу
># iptables -A FORWARD -d A.D.D.R -i $EXT_IF -m state --state ESTABLISHED,RELATED
>-j ACCEPT     //Принимаем пакеты снаружи
># iptables -t nat -A POSTROUTING -s A.D.D.R -o $EXT_IF -j SNAT
>--to $EXT_IP
># ping $EXT_IP    //ходит нормально, даже ходит на противоположный
>адрес за роутером а интернета нет
Благодарю за полное описание картины проблемы, топологии сети, всех правил маршрутизации и всех правил iptables.

Только пожалуйста поясните, какого @%&#^ вы считаете, что позиция правила в списке правил iptables _никак_ не важна ?
man iptables. Почитайте как этот пакетный фильтр работает.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "И снова форвардинг в iptables"

Сообщение от handler2006 (ok) on 01-Фев-09, 16:40

боюсь что правила маршрутизации будут неуместны тут, т. к. они принимают пакеты из внутренней сети, маркируют их, и затем направляют в три разных канала.
Думаю, Вы догадываетесь, что они нечитабельны тут.
Вы также справедливо заметили, что порядок правил имеет ключевую роль в фильтрации пакетов.
Прошу Вас подсказать мне как указать iptables вставить мои правила перед всеми остальными, а то, получается, команда -A FORWARD добавляет мои правила в конец цепочки после команды -j DROP

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "И снова форвардинг в iptables"

Сообщение от PavelR (??) on 01-Фев-09, 19:02

>боюсь что правила маршрутизации будут неуместны тут, т. к. они принимают пакеты
>из внутренней сети, маркируют их, и затем направляют в три разных
>канала.
>Думаю, Вы догадываетесь, что они нечитабельны тут.
>Вы также справедливо заметили, что порядок правил имеет ключевую роль в фильтрации
>пакетов.
>Прошу Вас подсказать мне как указать iptables вставить мои правила перед всеми
>остальными, а то, получается, команда -A FORWARD добавляет мои правила в
>конец цепочки после команды -j DROP
iptables -I FORWARD <position_number> ....
iptables -nvL FORWARD --line

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "И снова форвардинг в iptables"

Сообщение от handler2006 (ok) on 02-Фев-09, 09:43

Вы снова правы, только все это неуместно, т к приходтся писать правила заново, потому, что втавлять свои куски в работающую систему, к тому же еще и написанную не тобой - это очень плохо.
Спасибо что уделили время.
Тут а нашел очень интересную конструкцию, как создать для каждого пользователя отдельный канал:
iptables -t mangle -A POSTROUTING -o eth0 -j IPMARK --adr=dst --and-mask 0xffff --or-mask 0x10000
tc add filter dev eth0 parent 1:0 protocol ip fw
только у меня она не работает:
unknown arg --addr

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "И снова форвардинг в iptables"

Сообщение от LS (ok) on 25-Фев-09, 09:05

>[оверквотинг удален]
>заново, потому, что втавлять свои куски в работающую систему, к тому
>же еще и написанную не тобой - это очень плохо.
> Спасибо что уделили время.
>Тут а нашел очень интересную конструкцию, как создать для каждого пользователя отдельный
>канал:
>iptables -t mangle -A POSTROUTING -o eth0 -j IPMARK --adr=dst --and-mask 0xffff
>--or-mask 0x10000
>tc add filter dev eth0 parent 1:0 protocol ip fw
>только у меня она не работает:
>unknown arg --addr
свою цепочку, jump на нее из любого нах места, и вставляй правила в нее и чисть и перезаполняй ее как тебе угодно. и никак это не отразится на том, что ты трогать не хочешь.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "И снова форвардинг в iptables"

Сообщение от ai (??) on 06-Фев-09, 10:14

>[оверквотинг удален]
>"A.D.D.R" и в консоли набираю:
># iptables -A FORWARD -s A.D.D.R -o $EXT_IF - j ACCEPT
>
> //отправляем пакеты наружу
># iptables -A FORWARD -d A.D.D.R -i $EXT_IF -m state --state ESTABLISHED,RELATED
>-j ACCEPT     //Принимаем пакеты снаружи
># iptables -t nat -A POSTROUTING -s A.D.D.R -o $EXT_IF -j SNAT
>--to $EXT_IP
># ping $EXT_IP    //ходит нормально, даже ходит на противоположный
>адрес за роутером а интернета нет
мой вам совет:
чтоб не создавать подобные темы и не иметь больше проблем с пакетным фильтром - юзайте -j LOG сразу перед -j DROP
вот вам маленький пример:
logops="--log-level=3 -m limit --limit 1/second --limit-burst 10"
$ipt -A FORWARD -i $INET_IF -j LOG --log-prefix "IPT: IN_LOCAL_NETWORK: " $logops
    $ipt -A FORWARD -i $INET_IF -j DROP
    $ipt -A FORWARD -i $LOCAL_IF -j LOG --log-prefix "IPT: FORWARD -i $LOCAL_IF: " $logops
    $ipt -A FORWARD -i $LOCAL_IF -j DROP
    $ipt -A FORWARD -j LOG --log-prefix "IPT: FORWARD: " $logops
    $ipt -A FORWARD -j DROP
дальше просто юзаем screen для удобства и в одном из окон - tail -f /var/log/messages
там все подробно пишетсо )))
удачи

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "И снова форвардинг в iptables"

Сообщение от handler2006 (??) on 06-Фев-09, 16:14

You right - the problem was just in that: I try write own rules over existing and this was bad idea.
I clear all rules and write own from beginning
Yes, LOG - very usefull target

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "И снова форвардинг в iptables"

Сообщение от ai (??) on 06-Фев-09, 17:21

>You right - the problem was just in that: I try write
>own rules over existing and this was bad idea.
>I clear all rules and write own from beginning
>Yes, LOG - very usefull target
Welcome...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "И снова форвардинг в iptables"
Сообщение от PavelR (??) on 01-Фев-09, 15:19
>[оверквотинг удален] >"A.D.D.R" и в консоли набираю: ># iptables -A FORWARD -s A.D.D.R -o $EXT_IF - j ACCEPT > > //отправляем пакеты наружу ># iptables -A FORWARD -d A.D.D.R -i $EXT_IF -m state --state ESTABLISHED,RELATED >-j ACCEPT //Принимаем пакеты снаружи ># iptables -t nat -A POSTROUTING -s A.D.D.R -o $EXT_IF -j SNAT >--to $EXT_IP ># ping $EXT_IP //ходит нормально, даже ходит на противоположный >адрес за роутером а интернета нет Благодарю за полное описание картины проблемы, топологии сети, всех правил маршрутизации и всех правил iptables. Только пожалуйста поясните, какого @%&#^ вы считаете, что позиция правила в списке правил iptables _никак_ не важна ? man iptables. Почитайте как этот пакетный фильтр работает.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "И снова форвардинг в iptables"
	Сообщение от handler2006 (ok) on 01-Фев-09, 16:40
	боюсь что правила маршрутизации будут неуместны тут, т. к. они принимают пакеты из внутренней сети, маркируют их, и затем направляют в три разных канала. Думаю, Вы догадываетесь, что они нечитабельны тут. Вы также справедливо заметили, что порядок правил имеет ключевую роль в фильтрации пакетов. Прошу Вас подсказать мне как указать iptables вставить мои правила перед всеми остальными, а то, получается, команда -A FORWARD добавляет мои правила в конец цепочки после команды -j DROP
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "И снова форвардинг в iptables"
	Сообщение от PavelR (??) on 01-Фев-09, 19:02
	>боюсь что правила маршрутизации будут неуместны тут, т. к. они принимают пакеты >из внутренней сети, маркируют их, и затем направляют в три разных >канала. >Думаю, Вы догадываетесь, что они нечитабельны тут. >Вы также справедливо заметили, что порядок правил имеет ключевую роль в фильтрации >пакетов. >Прошу Вас подсказать мне как указать iptables вставить мои правила перед всеми >остальными, а то, получается, команда -A FORWARD добавляет мои правила в >конец цепочки после команды -j DROP iptables -I FORWARD <position_number> .... iptables -nvL FORWARD --line
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "И снова форвардинг в iptables"
	Сообщение от handler2006 (ok) on 02-Фев-09, 09:43
	Вы снова правы, только все это неуместно, т к приходтся писать правила заново, потому, что втавлять свои куски в работающую систему, к тому же еще и написанную не тобой - это очень плохо. Спасибо что уделили время. Тут а нашел очень интересную конструкцию, как создать для каждого пользователя отдельный канал: iptables -t mangle -A POSTROUTING -o eth0 -j IPMARK --adr=dst --and-mask 0xffff --or-mask 0x10000 tc add filter dev eth0 parent 1:0 protocol ip fw только у меня она не работает: unknown arg --addr
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "И снова форвардинг в iptables"
	Сообщение от LS (ok) on 25-Фев-09, 09:05
	>[оверквотинг удален] >заново, потому, что втавлять свои куски в работающую систему, к тому >же еще и написанную не тобой - это очень плохо. > Спасибо что уделили время. >Тут а нашел очень интересную конструкцию, как создать для каждого пользователя отдельный >канал: >iptables -t mangle -A POSTROUTING -o eth0 -j IPMARK --adr=dst --and-mask 0xffff >--or-mask 0x10000 >tc add filter dev eth0 parent 1:0 protocol ip fw >только у меня она не работает: >unknown arg --addr свою цепочку, jump на нее из любого нах места, и вставляй правила в нее и чисть и перезаполняй ее как тебе угодно. и никак это не отразится на том, что ты трогать не хочешь.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

5. "И снова форвардинг в iptables"
Сообщение от ai (??) on 06-Фев-09, 10:14
>[оверквотинг удален] >"A.D.D.R" и в консоли набираю: ># iptables -A FORWARD -s A.D.D.R -o $EXT_IF - j ACCEPT > > //отправляем пакеты наружу ># iptables -A FORWARD -d A.D.D.R -i $EXT_IF -m state --state ESTABLISHED,RELATED >-j ACCEPT //Принимаем пакеты снаружи ># iptables -t nat -A POSTROUTING -s A.D.D.R -o $EXT_IF -j SNAT >--to $EXT_IP ># ping $EXT_IP //ходит нормально, даже ходит на противоположный >адрес за роутером а интернета нет мой вам совет: чтоб не создавать подобные темы и не иметь больше проблем с пакетным фильтром - юзайте -j LOG сразу перед -j DROP вот вам маленький пример: logops="--log-level=3 -m limit --limit 1/second --limit-burst 10" $ipt -A FORWARD -i $INET_IF -j LOG --log-prefix "IPT: IN_LOCAL_NETWORK: " $logops $ipt -A FORWARD -i $INET_IF -j DROP $ipt -A FORWARD -i $LOCAL_IF -j LOG --log-prefix "IPT: FORWARD -i $LOCAL_IF: " $logops $ipt -A FORWARD -i $LOCAL_IF -j DROP $ipt -A FORWARD -j LOG --log-prefix "IPT: FORWARD: " $logops $ipt -A FORWARD -j DROP дальше просто юзаем screen для удобства и в одном из окон - tail -f /var/log/messages там все подробно пишетсо ))) удачи
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "И снова форвардинг в iptables"
	Сообщение от handler2006 (??) on 06-Фев-09, 16:14
	You right - the problem was just in that: I try write own rules over existing and this was bad idea. I clear all rules and write own from beginning Yes, LOG - very usefull target
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "И снова форвардинг в iptables"
	Сообщение от ai (??) on 06-Фев-09, 17:21
	>You right - the problem was just in that: I try write >own rules over existing and this was bad idea. >I clear all rules and write own from beginning >Yes, LOG - very usefull target Welcome...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]