iptables - нужно пару пояснений.

[harmfreem]

Добрый день всем.

Сразу говорю с линуксом  знаком совсем недолго.
ТОПОЛОГИЯ : Звезда.
ЗАДАЧА:  раздача интернета.
Начитавшись разных манов сделал маршрутизатор ,вот:
eth1=Локальная сеть
eth3=интернет


# Generated by iptables-save v1.4.1.1 on Mon Jul 13 21:23:06 2009
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth3 -j MASQUERADE
COMMIT
# Completed on Mon Jul 13 21:23:06 2009
# Generated by iptables-save v1.4.1.1 on Mon Jul 13 21:23:06 2009
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP  [0:0]

#====Доступ к локальной петле===========================================================
-A INPUT  -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT

#====Доступ к маршрутизатору из локальной сети===========================================
-A INPUT  -i eth1 --source 192.168.0.0/24 --match state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth1 --source 192.168.0.0/24 --match state --state NEW,ESTABLISHED -j ACCEPT


#====Доступ по SSH + противобрутфорс=====================================================
-A INPUT -i eth3  -p tcp --dport ssh -j ACCEPT
-I INPUT -i eth3 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource
-I INPUT -i eth3 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 180 --hitcount 1 --name DEFAULT --rsource -j DROP

#====Служебные пакеты=======
 -A INPUT  -p ICMP -j ACCEPT
 -A OUTPUT -p ICMP -j ACCEPT

#====Разрешение на прием протоколов TCP,UPD===================
 -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
 -A INPUT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT
 -A OUTPUT -p TCP -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 -A OUTPUT -p UDP -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

-A FORWARD -i eth3 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth3 -j ACCEPT
COMMIT

Вобщем интернет есть , пользователи счасливы. Но меня терзают смутные сомнения что я что-то сделал не так или совсем не так.
Знающие люди подскажите ! Или  покажите кто-то свои конфиги с минимальными пояснениями.

По скольку настраивал в первый раз много сомнений...

[AnrDaemon]

Опиши топологию сети и задачи сервера.

[harmfreem]

Дописал в первом посте.  В общем раздавать интернет , потом предполагаю поставить сквид. А пока разобраться в работе . 
на данный момент у меня с помощью форвардинга  весь исходящий трафик открыт как его органичить ?
например закрыть доступ  для скачки по фтп.

[AnrDaemon]

Одно умное слово, сказанное не к месту, ситуацию не объяснило.
Вопрос прежний. Как приходит инет и какие задачи у сервера?

[harmfreem]

provayder ------- > ( eth3 ----server------eth1)------>switch--------> local

Вот такая система. Как доступней описать даже не знаю.

Задача сервера - раздача интернета и доступ к определенным портам некоторых серверов. Поскольку  эта машинка напрямую имеет доступ в интернет ,вопрос безопасности тоже актуален.

[terrible_user]

Могу предложить следующую мысль :

Код: [Выделить]

#====Доступ к маршрутизатору из локальной сети===========================================
-A INPUT  -i eth1 --source 192.168.0.0/24 --match state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth1 --source 192.168.0.0/24 --match state --state NEW,ESTABLISHED -j ACCEPT

#====Разрешение на прием протоколов TCP,UPD===================
 -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
 -A OUTPUT -p TCP -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
Разрешаешь для локалки  а потом следующими правила практически дублируешь + разрешение идет для всех интерфейсов (т.е. и для eth3), но только tcp udp (хотя это уже почти все)

[harmfreem]

Спасибо. Просто в первом случае я разрешаю для локальной сети все.А во втором только на выход ,а на вход только если есть соединение.
если есть способ лучше ,готов выслушать.

На данный момент раздача интернета идет с помощью правил:

-A FORWARD -i eth3 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth3 -j ACCEPТ

Но мне кажется это как-то не правельно.  А если например надо открыть только ашттп?
Пользователь решил продолжить мысль 03 Сентября 2009, 10:02:51:Не проходите мимо!!!!