Маршрутизация. Что и как(mini-HOWTO).

[dimasik22]

Здравствуйте!!!!


сделал вот это:
-t filter -A FORWARD -i eth3 -s 192.168.130.1 -j ACCEPT
-t filter -A FORWARD -i eth3 -s 192.168.130.2 -j ACCEPT
-t filter -A FORWARD -i eth3 -s 192.168.130.3 -j ACCEPT
-t filter -A FORWARD -i eth3 -s 192.168.130.0/24 -j DROP
всё работает...

подскажите, как сохранить это, чтобы после перезагрузки не пропадало?
Пользователь решил продолжить мысль 20 Февраля 2010, 03:46:35:Help----- ребята, подскажите как сохранить... в инете юзал там были примеры, пробую не идет...(((
Пользователь решил продолжить мысль 20 Февраля 2010, 14:22:20:такое зловещее молчание....

[dimasik22]

РЕБЯТА, НУ ОТВЕТЬТЕ ХОТЬ ЧТОНИБУДЬ ТО???

[Mam(O)n]

1. Создай файл /etc/init.d/iptables со следующим содержимым:

Код: [Выделить]

#!/bin/bash
[ "$1" = "start" ] && /sbin/iptables-restore < /etc/iptables.conf

2. Дай права на запуск:

Код: [Выделить]

sudo chmod +x /etc/init.d/iptables

3. Установи уровни запуска/останова:

Код: [Выделить]

sudo update-rc.d iptables defaults

4. Сохрани текущие настройки iptables в файл конфигурации:

Код: [Выделить]

sudo iptables-save > /etc/iptables.conf

[dimasik22]

1. Создай файл /etc/init.d/iptables со следующим содержимым:

Код: [Выделить]

#!/bin/bash
[ "$1" = "start" ] && /sbin/iptables-restore < /etc/iptables.conf

2. Дай права на запуск:

Код: [Выделить]

sudo chmod +x /etc/init.d/iptables

3. Установи уровни запуска/останова:

Код: [Выделить]

sudo update-rc.d iptables default

4. Сохрани текущие настройки iptables в файл конфигурации:

Код: [Выделить]

sudo iptables-save > /etc/iptables.conf

СПАСИБО огромное за ответ!!! буду пробовать!
Пользователь решил продолжить мысль 21 Февраля 2010, 14:17:24:Доброго времени суток! Здравствуйте! Будьте любезны, подскажите как реализовать следующее:

у меня имеется и прописаны с вашей помощью фильтры:

-t filter -A FORWARD -i eth3 -s 192.168.130.1 -j ACCEPT
-t filter -A FORWARD -i eth3 -s 192.168.130.2 -j ACCEPT
-t filter -A FORWARD -i eth3 -s 192.168.130.3 -j ACCEPT
-t filter -A FORWARD -i eth3 -s 192.168.130.0/24 -j DROP

тем самым мы пускаем из сети eth3 только 3 пользователя это: 192.168.130.1, 192.168.130.2, 192.168.130.3, а остальных пропускаем 192.168.130.0/24, но мы же их пропускаем по всем открытым портам, да??? как можно им закрыть все порты кроме FTP??? и какой коммандой можно посмотреть все открытые порты, если это конечно возможно???

[aSmile]

чтобы открыть не все, а только нужный порт, допиши --destination-port 21
т.е. строчка будет выглядеть так

Код: [Выделить]

-A FORWARD -i eth3 -s 192.168.130.1 --destination-port 21 -j ACCEPT
насчет открытых портов... тебе надо смотреть открытые порты на конкретной машине? или порты. открытые для какого-то айпи? да и не забывай гугль использовать - найдешь по первой-второй ссылке наверняка.

[dimasik22]

чтобы открыть не все, а только нужный порт, допиши --destination-port 21
т.е. строчка будет выглядеть так

Код: [Выделить]

-A FORWARD -i eth3 -s 192.168.130.1 --destination-port 21 -j ACCEPT
насчет открытых портов... тебе надо смотреть открытые порты на конкретной машине? или порты. открытые для какого-то айпи? да и не забывай гугль использовать - найдешь по первой-второй ссылке наверняка.

спасибо за ответ!

я просто новичек в администрировании Linux сервера, гугл это замечательная штука, но он все равно не заменит такого "живого" общения с людьми понимающими в администрировании Linux серверов.

а по портам, подскажите и тот и тот вариант то есть, смотреть открытые порты на конкретной машине и порты. открытые для какого-то конктетного айпи? безопасность лишней не будет, проверю всё... хоть знать буду что открыто, что нет...

[aSmile]

чтобы посмотреть открытые порты на конкретной машине - можно использовать nmap. например

Код: [Выделить]

root@mail2:~# nmap pop.mail.ru

Starting Nmap 4.53 ( http://insecure.org ) at 2010-02-21 14:45 MSK
Interesting ports on pop.mail.ru (94.100.177.6):
Not shown: 1703 filtered ports
PORT     STATE  SERVICE
53/tcp   closed domain
80/tcp   closed http
88/tcp   closed kerberos-sec
110/tcp  open   pop3
143/tcp  closed imap
179/tcp  closed bgp
443/tcp  closed https
587/tcp  closed submission
993/tcp  closed imaps
2041/tcp closed interbase
2042/tcp closed isis

Nmap done: 1 IP address (1 host up) scanned in 6.932 seconds


а чтобы посмотреть, какие порты открыты для конкретного айпи - смотри на шлюзе в iptables. например

Код: [Выделить]

root@mail2:~# iptables -L | grep 192.168.0.121
ACCEPT     tcp  --  anywhere             192.168.0.121       tcp dpt:20001
ACCEPT     udp  --  anywhere             192.168.0.121       udp dpt:20001
ACCEPT     tcp  --  192.168.0.121        anywhere
ACCEPT     udp  --  192.168.0.121        anywhere
здесь видно, что извне порт 20001 (tcp и udp) пробрасывается на 192.168.0.121 и для 192.168.0.121 открыты все порты по tcp и udp.

[dimasik22]

спасибо за ответ!

nmap. - это отдельная программка? её нужно установить?

я использую Ubuntu Server 8.4 там есть такое или всё же нужно ставить?

[aSmile]

Все, что я писал выше, было сделано на ubuntu server 8.04. Ты попробуй выполнить.

[dimasik22]

Все, что я писал выше, было сделано на ubuntu server 8.04. Ты попробуй выполнить.

это отлично, буду пробовать!!!
еще хочу поднять на нем почтовый сервер Sendmail, но это позже!!!
Пользователь решил продолжить мысль 21 Февраля 2010, 15:16:53:а еще такой вопрос, я все команды выполняю через своего пользователя, созданного при установке, через sudo и дальше команда, а как под root'ом зайти, читал что root по умолчанию отключен, как его включить и какой на него пароль?

[AnrDaemon]

Зачем его включать? Объясните мне, идиоту?
Чем "sudo su" не угодил?

[dimasik22]

Зачем его включать? Объясните мне, идиоту?
Чем "sudo su" не угодил?

не будьте на столько самокритичны!!! шутка...)))
ну допустим, просто для того, чтобы знать... знать как сделать при необходимости, sudo работает, но вот я по примерам пробовал сохранить таблицу маршрутизации, там вышло сообщение об ошибке, посмотрел в googl'е, пишут что нужно зайти под root'ом... вот и интересуюсь...

кстати я в этой ситуации и sudo su пробовал.... но ошибка выдавалась, как я сейчас понимаю, потому что я пытался сохранить таблицу в не существующее место, а теперь понял куда нужно!!!! вот!!!

[AnrDaemon]

В гугле много чего пишут. Да не всему можно верить.
Начните с убунтологии, рут не просто так отключен - это мера безопасности.
Ибо root - это первый логин, который будут пробовать на слом всякие нехорошие личности. Если его нет вообще, пусть пробуют до... до.

[dimasik22]

В гугле много чего пишут. Да не всему можно верить.
Начните с убунтологии, рут не просто так отключен - это мера безопасности.
Ибо root - это первый логин, который будут пробовать на слом всякие нехорошие личности. Если его нет вообще, пусть пробуют до... до.

понятненько, конечно безопасность во главу угла, как говориться...
а то что начать с убунтологии, да Вы правы... с Windows перепрыгнуть на Linux сначало нужно перестроиться ну ни чего, буду читать литературу, тут спрашивать, в общем есть цель, цель - освоить Linux и именно с серверной версией, научиться на базе её администрировать сети!!!! вот!!!
Пользователь решил продолжить мысль 22 Февраля 2010, 11:23:47:

1. Создай файл /etc/init.d/iptables со следующим содержимым:

Код: [Выделить]

#!/bin/bash
[ "$1" = "start" ] && /sbin/iptables-restore < /etc/iptables.conf

2. Дай права на запуск:

Код: [Выделить]

sudo chmod +x /etc/init.d/iptables

3. Установи уровни запуска/останова:

Код: [Выделить]

sudo update-rc.d iptables default

4. Сохрани текущие настройки iptables в файл конфигурации:

Код: [Выделить]

sudo iptables-save > /etc/iptables.conf

СПАСИБО огромное за ответ!!! буду пробовать!
Пользователь решил продолжить мысль 21 Февраля 2010, 14:17:24:Доброго времени суток! Здравствуйте! Будьте любезны, подскажите как реализовать следующее:

у меня имеется и прописаны с вашей помощью фильтры:

-t filter -A FORWARD -i eth3 -s 192.168.130.1 -j ACCEPT
-t filter -A FORWARD -i eth3 -s 192.168.130.2 -j ACCEPT
-t filter -A FORWARD -i eth3 -s 192.168.130.3 -j ACCEPT
-t filter -A FORWARD -i eth3 -s 192.168.130.0/24 -j DROP

тем самым мы пускаем из сети eth3 только 3 пользователя это: 192.168.130.1, 192.168.130.2, 192.168.130.3, а остальных пропускаем 192.168.130.0/24, но мы же их пропускаем по всем открытым портам, да??? как можно им закрыть все порты кроме FTP??? и какой коммандой можно посмотреть все открытые порты, если это конечно возможно???

Спасибо, всё получилось! толко вот тут поправил не sudo update-rc.d iptables default, а  sudo update-rc.d iptables defaults и всё заработало!!!!

[C10ud9]

  Подскажите, как мне не сносить NetworkManager (аналогов у него для адсл я так понимаю нету), но при этом настроить удобно роуты. Поясню, у меня одно соединение(eth0) настроено в модеме (трафик по нему провайдер не учитывает, т.н. "гостевое соединение"), другое(ppp0) настроено в NetworkManager. Сейчас я убрал то что было в файле interfaces и прописал следующее:

Код: [Выделить]

auto lo eth0
iface lo inet loopback
iface eth0 inet static
name eth0
address 192.168.1.2
network 192.168.1.0
broadcast 192.168.1.255
netmask 255.255.255.0
gateway 192.168.1.1
#new network
up route add -net 86.57.151.0 netmask 255.255.255.224 gw 192.168.1.1 eth0
#game servers
up route add -net 86.57.251.28 netmask 255.255.255.255 gw 192.168.1.1 eth0
#stat.byfly.by
up route add -net 86.57.253.1 netmask 255.255.255.255 gw 192.168.1.1 eth0
#www.byfly.by
up route add -net 193.232.248.79 netmask 255.255.255.255 gw 192.168.1.1 eth0
#www.belpak.by
up route add -net 193.232.248.80 netmask 255.255.255.255 gw 192.168.1.1 eth0
#jabber
up route add -net 82.209.245.151 netmask 255.255.255.255 gw 192.168.1.1 eth0
#mogilev
up route add -net 194.158.206.240 netmask 255.255.255.255 gw 192.168.1.1 eth0
up route add -net 194.158.206.241 netmask 255.255.255.255 gw 192.168.1.1 eth0
up route add -net 194.158.206.246 netmask 255.255.255.255 gw 192.168.1.1 eth0
#grodno
up route add -net 194.158.202.59 netmask 255.255.255.255 gw 192.168.1.1 eth0
#brest
up route add -net 82.209.195.15 netmask 255.255.255.255 gw 192.168.1.1 eth0
#dc
up route add -net 86.57.250.0 netmask 255.255.254.0 gw 192.168.1.1 eth0
up route add -net 86.57.246.0 netmask 255.255.255.0 gw 192.168.1.1 eth0
up route add -net 93.84.112.0 netmask 255.255.248.0 gw 192.168.1.1 eth0
up route add -net 178.124.128.0 netmask 255.255.248.0 gw 192.168.1.1 eth0
#extmedia at dc
up route add -net 91.149.189.0 netmask 255.255.255.128 gw 192.168.1.1 eth0
up route add -net 91.149.189.128 netmask 255.255.255.192 gw 192.168.1.1 eth0
up route add -net 93.125.53.0 netmask 255.255.255.0 gw 192.168.1.1 eth0
#tut.by at dc
up route add -net 91.149.157.0 netmask 255.255.255.128 gw 192.168.1.1 eth0
#um
up route add -net 194.158.199.177 netmask 255.255.255.255 gw 192.168.1.1 eth0
#dns
up route add -net 194.158.202.57 netmask 255.255.255.255 gw 192.168.1.1 eth0
up route add -net 193.232.248.2 netmask 255.255.255.255 gw 192.168.1.1 eth0
Увы, роуты не поднимаются при загрузке. Чтобы они работали, нужно соединиться по ppp0 и в терминале ввести sudo /etc/init.d/networking restart, тогда всё работает. Но если переключится на eth0 а потом снова на ppp0, то опять не работает, опять нужно выполнять команду sudo /etc/init.d/networking restart.
 Может есть способ это всё упростить? Например, сделать так, чтобы когда я соединяюсь, выполнялась выше написанная команда. Кстати, на вкладке "параметры IPv4" настроек NM есть кнопка "маршруты", раньше вроде небыло.