Форум русскоязычного сообщества Ubuntu


Автор Тема: [FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)  (Прочитано 192903 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: [FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)
« Ответ #330 : 20 Марта 2016, 20:24:08 »
Показать вывод команды iptables-save
В виде текста. А не картинную галерею тут устраивать.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: [FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)
« Ответ #331 : 20 Марта 2016, 20:53:20 »
Далеко не весь выхлоп, да ещё и не завёрнутый в спойлер, но думаю, что "попадание в интернет" блокированных пользователей происходит через прозрачный прокси, на который Вы сами же всех и поворачиваете.

Кстати, здесь Вы дропаете несколько другой пул адресов нежели в первичном вопросе.

Ну и вопрос на "дурачка".
А зачем Вам весь этот огород из разрешающих правил, если у Вас по дефолту можно всё и всям?
« Последнее редактирование: 20 Марта 2016, 20:55:35 от fisher74 »

Оффлайн trimba

  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Re: [FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)
« Ответ #332 : 07 Октября 2016, 20:07:41 »
Здравствуйте!
Поделитесь пожалуйста стандартными настройками iptables и ip6tables для desktop версии 16.04.
Маны курю, но не совсем еще понимаю, новичек...
+ Как запретить определенному приложению выход в инет
Заранее спасибо!

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: [FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)
« Ответ #333 : 07 Октября 2016, 21:57:19 »
Если за "стандартные" принимать настройки сразу после установки, то их просто нет.
Запретить приложению выход в интернет очень просто - достатогчно удалить это приложение. Раз вы ему не доверяете, ему не место на вашей системе.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн trimba

  • Новичок
  • *
  • Сообщений: 4
    • Просмотр профиля
Re: [FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)
« Ответ #334 : 07 Октября 2016, 22:16:54 »
AnrDaemon,
Если ответ стандартный, как ваш, то его тоже просто нет. А по делу что нибуть ответить было трудно я так понимаю....
Интересный форум с кучей проверок, паранойя однако....

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: [FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)
« Ответ #335 : 08 Октября 2016, 18:24:25 »
Если вам не нравится ответ, это не делает его неправильным…
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Dmitrix

  • Участник
  • *
  • Сообщений: 163
    • Просмотр профиля
Re: [FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)
« Ответ #336 : 12 Декабря 2016, 15:51:15 »
Помогите с настройками сети, у меня есть шлюз который через нат раздает интернет для локальной сети нескольких машины.
Сервер имеет 2 сетевых интерфейса
serv
eth1 192.168.1.10/24 смотрит в локальную сеть
eth0 192.168.0.10/24 смотрит в локальную сеть
имеет шлюз выхода в интернет 192.168.0.1

клиенты client0 в сети 192.168.0.0 они выходят в интернет через 192.168.0.1
клиенты client1 в сети 192.168.1.0 в качестве шлюза используют 192.168.1.10

некоторые client1 должны иметь выход в интернет, всем остальным доступ должен быть закрыт.
пример правила для выхода в интернет client1, которые я использую в текущий момент.
iptables -t nat -A POSTROUTING -s 192.168.1.203 -j SNAT --to-source 192.168.0.10

как разрешить всем пользователям client1 обмениваться данными с client0 через serv, сохраняя ограничение на выход в интернет?
« Последнее редактирование: 13 Декабря 2016, 13:40:17 от Dmitrix »

Оффлайн achilles_85

  • Любитель
  • *
  • Сообщений: 61
    • Просмотр профиля
Re: [FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)
« Ответ #337 : 12 Декабря 2016, 16:28:13 »
Dmitrix,
Вопрос до боли не понятно составлен)
Из того что я понял:
iptables -t nat -A POSTROUTING -s 192.168.1.203 -j SNAT --to-source 192.168.0.10
Тут ты разрешил 192.168.1.203 ходить в инет.
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 192.168.0.10 такая запись разрешит всем из диапазона адресов 192.168.1.0/24 ходить через твой шлюз
« Последнее редактирование: 12 Декабря 2016, 16:30:28 от achilles_85 »

Оффлайн Dmitrix

  • Участник
  • *
  • Сообщений: 163
    • Просмотр профиля
Re: [FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)
« Ответ #338 : 13 Декабря 2016, 13:41:26 »
Dmitrix,
Вопрос до боли не понятно составлен)
Из того что я понял:
iptables -t nat -A POSTROUTING -s 192.168.1.203 -j SNAT --to-source 192.168.0.10
Тут ты разрешил 192.168.1.203 ходить в инет.
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 192.168.0.10 такая запись разрешит всем из диапазона адресов 192.168.1.0/24 ходить через твой шлюз
я постарался переформулировать вопрос.
доступ в интернет для сети 192.168.1.0 должен быть ограничен.

Оффлайн dragomirsergeev

  • Новичок
  • *
  • Сообщений: 2
    • Просмотр профиля
Уважаемые господа! Есть проблема с iptables - не могу осознать почему не раздает инет. Схема сети(устройства):
ПК, установлен DHCP, nat, сетевые интерфейсы:
eth1 - internet dynamic,
eth0 - local network
wlan0 - local network
На влане поднята точка доступа - раздает ип нормально, но доступа в интернет через нее нет. Настроил правило форвард - не работает.
Подскажите по порядку правила iptables, может я где-то что-то путаю.
ipforwarding включен.
Суть в том, что локальная сеть и точка дорступа должны иметь доступ в инет через eth1.
masquarade пока работает только на влане. То есть пока разобраться бы с ней, а с локалкой по аналогии сделаю.
Заранее спасибо.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Вам в отдельную тему. Туда это же описание и добавьте диагностику сети шлюза.

Оффлайн ulan44

  • Участник
  • *
  • Сообщений: 166
    • Просмотр профиля
Re: [FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)
« Ответ #341 : 13 Августа 2018, 14:30:43 »
Доброго всем дня.
Сейчас конечно наверно глупость спрошу но все же.
В общем есть задача, есть сервер который находиться в другой компании и шлет данные нам на порт 444 их мы пробрасываем на тачку 192.168.1.10 теперь нужно что-бы эти же данные приходили и на 192.168.1.20

Будет ли это работать правильно ?

iptables -t nat -A PREROUTING --dst 1.2.3.4 -p tcp --dport 444 -j DNAT --to-destination 192.168.1.10
iptables -t nat -A PREROUTING --dst 1.2.3.4 -p tcp --dport 444 -j DNAT --to-destination 192.168.1.20

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: [FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)
« Ответ #342 : 13 Августа 2018, 14:45:16 »
Нет конечно.
Особенно нет, если, кроме "данные шлёт", принимающий сервер высылает какие-то подтверждения принятия.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн maxx2

  • Новичок
  • *
  • Сообщений: 2
    • Просмотр профиля
Re: [FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)
« Ответ #343 : 30 Октября 2018, 18:30:00 »
Подскажите по простому вопросу. Я так понимаю первая строка внутри политики INPUT это для уже открытых соединений, последняя - для внутренних, а вторая для внешнего ip зачем нужна? iptables -nvL
   Chain INPUT (policy DROP 55 packets, 4246 bytes)
pkts bytes target     prot opt in     out     source               destination
32200   42M ACCEPT     all  --  *      *     0.0.0.0/0         0.0.0.0/0        state RELATED,ESTABLISHED
0     0 ACCEPT     all  --  *      *        185.188.1.1         0.0.0.0/0
11   660 ACCEPT     all  --  *      *       127.0.0.1            0.0.0.0/0
« Последнее редактирование: 30 Октября 2018, 18:34:44 от maxx2 »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: [FAQ] iptables-настройка (в частности iptables _ CONNLIMIT)
« Ответ #344 : 01 Ноября 2018, 17:49:40 »
Очевидно же: чтобы к входящему пакету от хоста с IP=185.188.1.1 применить действие ACCEPT

 

Страница сгенерирована за 0.055 секунд. Запросов: 25.