Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: [FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)  (Прочитано 111915 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 24003
    • Просмотр профиля
Показать вывод команды iptables-save
В виде текста. А не картинную галерею тут устраивать.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13265
    • Просмотр профиля
Далеко не весь выхлоп, да ещё и не завёрнутый в спойлер, но думаю, что "попадание в интернет" блокированных пользователей происходит через прозрачный прокси, на который Вы сами же всех и поворачиваете.

Кстати, здесь Вы дропаете несколько другой пул адресов нежели в первичном вопросе.

Ну и вопрос на "дурачка".
А зачем Вам весь этот огород из разрешающих правил, если у Вас по дефолту можно всё и всям?
« Последнее редактирование: 20 Март 2016, 21:55:35 от fisher74 »
Принимаю благодарности в WMR,WMZ и WME на кошельки:
R117026374371, Z308262888445 и E397246163411

Оффлайн trimba

  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Re: [FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)
« Ответ #332 : 07 Октябрь 2016, 21:07:41 »
Здравствуйте!
Поделитесь пожалуйста стандартными настройками iptables и ip6tables для desktop версии 16.04.
Маны курю, но не совсем еще понимаю, новичек...
+ Как запретить определенному приложению выход в инет
Заранее спасибо!

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 24003
    • Просмотр профиля
Re: [FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)
« Ответ #333 : 07 Октябрь 2016, 22:57:19 »
Если за "стандартные" принимать настройки сразу после установки, то их просто нет.
Запретить приложению выход в интернет очень просто - достатогчно удалить это приложение. Раз вы ему не доверяете, ему не место на вашей системе.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн trimba

  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Re: [FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)
« Ответ #334 : 07 Октябрь 2016, 23:16:54 »
AnrDaemon,
Если ответ стандартный, как ваш, то его тоже просто нет. А по делу что нибуть ответить было трудно я так понимаю....
Интересный форум с кучей проверок, паранойя однако....

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 24003
    • Просмотр профиля
Re: [FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)
« Ответ #335 : 08 Октябрь 2016, 19:24:25 »
Если вам не нравится ответ, это не делает его неправильным…
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Dmitrix

  • Участник
  • *
  • Сообщений: 163
    • Просмотр профиля
Re: [FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)
« Ответ #336 : 12 Декабрь 2016, 16:51:15 »
Помогите с настройками сети, у меня есть шлюз который через нат раздает интернет для локальной сети нескольких машины.
Сервер имеет 2 сетевых интерфейса
serv
eth1 192.168.1.10/24 смотрит в локальную сеть
eth0 192.168.0.10/24 смотрит в локальную сеть
имеет шлюз выхода в интернет 192.168.0.1

клиенты client0 в сети 192.168.0.0 они выходят в интернет через 192.168.0.1
клиенты client1 в сети 192.168.1.0 в качестве шлюза используют 192.168.1.10

некоторые client1 должны иметь выход в интернет, всем остальным доступ должен быть закрыт.
пример правила для выхода в интернет client1, которые я использую в текущий момент.
iptables -t nat -A POSTROUTING -s 192.168.1.203 -j SNAT --to-source 192.168.0.10

как разрешить всем пользователям client1 обмениваться данными с client0 через serv, сохраняя ограничение на выход в интернет?
« Последнее редактирование: 13 Декабрь 2016, 14:40:17 от Dmitrix »

Оффлайн achilles_85

  • Любитель
  • *
  • Сообщений: 58
    • Просмотр профиля
Re: [FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)
« Ответ #337 : 12 Декабрь 2016, 17:28:13 »
Dmitrix,
Вопрос до боли не понятно составлен)
Из того что я понял:
iptables -t nat -A POSTROUTING -s 192.168.1.203 -j SNAT --to-source 192.168.0.10
Тут ты разрешил 192.168.1.203 ходить в инет.
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 192.168.0.10 такая запись разрешит всем из диапазона адресов 192.168.1.0/24 ходить через твой шлюз
« Последнее редактирование: 12 Декабрь 2016, 17:30:28 от achilles_85 »

Оффлайн Dmitrix

  • Участник
  • *
  • Сообщений: 163
    • Просмотр профиля
Re: [FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)
« Ответ #338 : 13 Декабрь 2016, 14:41:26 »
Dmitrix,
Вопрос до боли не понятно составлен)
Из того что я понял:
iptables -t nat -A POSTROUTING -s 192.168.1.203 -j SNAT --to-source 192.168.0.10
Тут ты разрешил 192.168.1.203 ходить в инет.
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 192.168.0.10 такая запись разрешит всем из диапазона адресов 192.168.1.0/24 ходить через твой шлюз
я постарался переформулировать вопрос.
доступ в интернет для сети 192.168.1.0 должен быть ограничен.

Оффлайн dragomirsergeev

  • Новичок
  • *
  • Сообщений: 2
    • Просмотр профиля
Уважаемые господа! Есть проблема с iptables - не могу осознать почему не раздает инет. Схема сети(устройства):
ПК, установлен DHCP, nat, сетевые интерфейсы:
eth1 - internet dynamic,
eth0 - local network
wlan0 - local network
На влане поднята точка доступа - раздает ип нормально, но доступа в интернет через нее нет. Настроил правило форвард - не работает.
Подскажите по порядку правила iptables, может я где-то что-то путаю.
ipforwarding включен.
Суть в том, что локальная сеть и точка дорступа должны иметь доступ в инет через eth1.
masquarade пока работает только на влане. То есть пока разобраться бы с ней, а с локалкой по аналогии сделаю.
Заранее спасибо.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13265
    • Просмотр профиля
Вам в отдельную тему. Туда это же описание и добавьте диагностику сети шлюза.
Принимаю благодарности в WMR,WMZ и WME на кошельки:
R117026374371, Z308262888445 и E397246163411

 

Страница сгенерирована за 0.167 секунд. Запросов: 23.