Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: IPtables закрыть нескольким юзерам доступ в инет, не получается  (Прочитано 1570 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Exocet

  • Автор темы
  • Новичок
  • *
  • Сообщений: 25
    • Просмотр профиля
Всем доброго времени суток,
Сегодня закончил настройку сети (один ПК Ubuntu 9.10 имеет eth0 и eth1. eth0 смотрит в инет через dsl модем, eth1 - локальная сеть. Остальные ПК винды). DHCP настроил, сами iptables настроил, но когда ввожу iptables - A FORWARD -s x.x.x.x -j REJECT ни какого действия не происходит. Другой ПК как мог ходить в инет, так и ходит.
iptables:
# Generated by iptables-save v1.4.4 on Fri May 14 07:41:42 2010
*nat
:PREROUTING ACCEPT [3433:609508]
:POSTROUTING ACCEPT [187:140538]
:OUTPUT ACCEPT [3052:189215]
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Fri May 14 07:41:42 2010
# Generated by iptables-save v1.4.4 on Fri May 14 07:41:42 2010
*mangle
:PREROUTING ACCEPT [33684:21132988]
:INPUT ACCEPT [30930:19657579]
:FORWARD ACCEPT [2198:1396208]
:OUTPUT ACCEPT [30885:4882993]
:POSTROUTING ACCEPT [33122:6283702]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Fri May 14 07:41:42 2010
# Generated by iptables-save v1.4.4 on Fri May 14 07:41:42 2010
*filter
:INPUT ACCEPT [2483:307715]
:FORWARD ACCEPT [93:134532]
:OUTPUT ACCEPT [30885:4882993]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT ! -i ppp0 -m state --state NEW -j ACCEPT
-A FORWARD -i ppp0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o ppp0 -j ACCEPT
-A FORWARD -s 192.168.0.102 -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Fri May 14 07:41:42 2010
Если еще какие листинги нужны - дам.
Помогите, а то траффика на всех не напасешся...

Оффлайн uid0

  • Активист
  • *
  • Сообщений: 371
    • Просмотр профиля
    • hitetra.ru
изначально не правильно построенна таблица iptables

*filter
:INPUT ACCEPT [2483:307715]
:FORWARD ACCEPT [93:134532]
:OUTPUT ACCEPT [30885:4882993]

Должно быть

*filter
:INPUT DROP [2483:307715]
:FORWARD DROP [93:134532]
:OUTPUT ACCEPT [30885:4882993]

ну или когда создаёте правило iptables - A FORWARD -s x.x.x.x -j REJECT (не REJECT, а DROP пробуйте)
Be root, be different...

Оффлайн Exocet

  • Автор темы
  • Новичок
  • *
  • Сообщений: 25
    • Просмотр профиля
Нифига, не работает
« Последнее редактирование: 14 Мая 2010, 10:36:34 от Exocet »

Оффлайн Mam(O)n

  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT

*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT

*filter
:INPUT ACCEPT [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -i eth1 -s 192.168.0.102 -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state NEW -i eth1 -o ppp0 -j ACCEPT
COMMIT

Оффлайн Exocet

  • Автор темы
  • Новичок
  • *
  • Сообщений: 25
    • Просмотр профиля
ок, спасибо ,заработало, а что бы дать этому же юзеру доступ к почте нужно:
-A FORWARD -i eth1 -s x.x.x.x -d 94.100.177.6 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -s 10.100.1.166 -d 94.100.177.1 -p tcp -m tcp --dport 25 -j ACCEPT
я правильно понял?

Оффлайн Mam(O)n

  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Угу, первый вариант. И естественно, перед DROP.

Оффлайн Exocet

  • Автор темы
  • Новичок
  • *
  • Сообщений: 25
    • Просмотр профиля
а может тогда лучше INSERT использовать?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
а может тогда лучше INSERT использовать?

Зачем? iptables-save/-restore работают пачкой.
Insert используется, когда надо текущую таблицу выпрямить.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Exocet

  • Автор темы
  • Новичок
  • *
  • Сообщений: 25
    • Просмотр профиля
Угу, первый вариант. И естественно, перед DROP.
невыходит, вот часть таблицы
*filter
:INPUT ACCEPT [178:35155]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [78:17632]
-A FORWARD -i eth1 -s 192.168.0.102 -d 94.100.177.6 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -i eth1 -s 192.168.0.102 -d 94.100.177.6 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.0.102/32 -i eth1 -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o ppp0 -m state --state NEW -j ACCEPT
COMMIT
« Последнее редактирование: 14 Мая 2010, 11:23:39 от Exocet »

Оффлайн Mam(O)n

  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
на самый верх поставь

Оффлайн Exocet

  • Автор темы
  • Новичок
  • *
  • Сообщений: 25
    • Просмотр профиля
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
на самый верх поставь
не работает:
*filter
:INPUT ACCEPT [178:35155]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [78:17632]
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -s 192.168.0.102 -d 94.100.177.6 -p tcp -m tcp --dport 110 -j ACCEPT
-A FORWARD -i eth1 -s 192.168.0.102 -d 94.100.177.6 -p tcp -m tcp --dport 25 -j ACCEPT
-A FORWARD -s 192.168.0.102/32 -i eth1 -j DROP
-A FORWARD -i eth1 -o ppp0 -m state --state NEW -j ACCEPT
COMMIT

Оффлайн Mam(O)n

  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
-A FORWARD -i eth1 -s 192.168.0.102 -d 94.100.177.6 -p tcp -m tcp --dport 25 -j ACCEPT
У mail.ru сервер smtp с другим адресом - 94.100.177.1

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
А не ругается на на что при исполнении этого скрипта?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Exocet

  • Автор темы
  • Новичок
  • *
  • Сообщений: 25
    • Просмотр профиля
-A FORWARD -i eth1 -s 192.168.0.102 -d 94.100.177.6 -p tcp -m tcp --dport 25 -j ACCEPT
У mail.ru сервер smtp с другим адресом - 94.100.177.1
все равно не хочет

Пользователь решил продолжить мысль 14 Мая 2010, 11:53:32:
А не ругается на на что при исполнении этого скрипта?
нет не начто не ругается, а на той машине outlook пишет, что не может найти сервер pop.mail.ru

Оффлайн Mam(O)n

  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
А, так эта, DNS то какою юзается там? Если не свой, то до него тоже нужно открывать 53/udp.

 

Страница сгенерирована за 0.063 секунд. Запросов: 23.