Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: Нужна помощь в настройке роутера  (Прочитано 709 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн progmo

  • Автор темы
  • Участник
  • *
  • Сообщений: 105
    • Просмотр профиля
Нужна помощь в настройке роутера
« : 18 Январь 2012, 15:45:03 »
Помогите дописать правила iptables. Есть задача пустить трафик через проксю (уже сделано), закрыть все порты адресам 172.22.4.30-172.22.4.254, кроме доступа в инет через прокси, а адресам 172.22.4.1-172.22.4.29 открыть все порты (из/вне).
Ubuntu 14.04.2

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13744
    • Просмотр профиля
Re: Нужна помощь в настройке роутера
« Ответ #1 : 18 Январь 2012, 15:51:29 »
Жесть... сначала ставите дефолтные правила, а потом чистите таблицы...

Если диапазоны пока проектные, то лучше изменить, чтобы хотя бы под маски уложить можно было
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн progmo

  • Автор темы
  • Участник
  • *
  • Сообщений: 105
    • Просмотр профиля
Re: Нужна помощь в настройке роутера
« Ответ #2 : 18 Январь 2012, 15:54:40 »
Жесть... сначала ставите дефолтные правила, а потом чистите таблицы...
Ну поправьте новичка.
Если диапазоны пока проектные, то лучше изменить, чтобы хотя бы под маски уложить можно было
Например?!
Надо 20 адресов не фильтровать (по портам), только проксей, а всем остальным резать все!
Ubuntu 14.04.2

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13744
    • Просмотр профиля
Re: Нужна помощь в настройке роутера
« Ответ #3 : 18 Январь 2012, 16:03:53 »
так постройте правила по другому.
Запретите весь FORWARD по дефолту, а разрешите только избранным
Про маски IP-сетей почитайте и поймёте, чем 32 удобнее 20 ;)
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн progmo

  • Автор темы
  • Участник
  • *
  • Сообщений: 105
    • Просмотр профиля
Re: Нужна помощь в настройке роутера
« Ответ #4 : 18 Январь 2012, 16:17:32 »
так постройте правила по другому.
Запретите весь FORWARD по дефолту, а разрешите только избранным
Про маски IP-сетей почитайте и поймёте, чем 32 удобнее 20 ;)


Как изначально все запретить понятно. На прокси трафик тоже завернут. Вопрос как разрешить доступ во внешку по нужным портам (какие точно не знаю, поэтому для начала все) адресам 172.22.4.2-172.22.4.29?

Нельзя в правилах указывать диапазон ? Только единичный адрес или в виде 172.22.4.2/32 ?
Ubuntu 14.04.2

Гарри Кашпировский

  • Гость
Re: Нужна помощь в настройке роутера
« Ответ #5 : 18 Январь 2012, 17:57:11 »
Цитировать
Нельзя в правилах указывать диапазон ?
Можно.
man iptables |grep iprange -A7

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25941
    • Просмотр профиля
Re: Нужна помощь в настройке роутера
« Ответ #6 : 18 Январь 2012, 19:02:06 »
@meinung, пишите по-русски, пожалуйста.
Я вас через слово понимаю, при том, что я понимаю, о чём вы вообще пишете.
Что из вашего словесного потока поймёт автор - никому неизвестно.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн meinung

  • Активист
  • *
  • Сообщений: 310
  • in nomine patris et fili et spiritus sancti amen.
    • Просмотр профиля
Re: Нужна помощь в настройке роутера
« Ответ #7 : 18 Январь 2012, 19:02:29 »
хорошо. вот по-русски.
 я предлагаю ТС поставить   NAT и при не обходимости  просто   открыть  те сервисы, которые  реально нужно открыть  во внешний мир, или перенести  эти сервисы на роутер,  но   все это надо делать только в том  случае, если  у вас    првайдер выдал вам белый адрес
 я вам предлагаю собственное решение, которое используется  практически везде
iptables -t nat -A PREROUTING -p tcp --dport 80 -i ppp0 -j DNAT --to-destination 10.0.0.1:80
Пользователь решил продолжить мысль 18 Январь 2012, 19:08:19:
AnrDaemon,  меня бывает  заносит, так  лучше ?
« Последнее редактирование: 18 Январь 2012, 19:15:07 от meinung »
just read this flowing manual

Оффлайн progmo

  • Автор темы
  • Участник
  • *
  • Сообщений: 105
    • Просмотр профиля
Re: Нужна помощь в настройке роутера
« Ответ #8 : 19 Январь 2012, 10:22:37 »
Повторюсь какие именно сервисы нужно открыть на указанных адресах пока не могу уточнить... Это бухгалтерские компы, куча софта у них там, и мешать их работе ваще не охото.... Но прикрыть сеть из вне хоть как-то для начала надо.

Изменил скрипт.... Поправьте плиз если ошибся!

Ubuntu 14.04.2

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13744
    • Просмотр профиля
Re: Нужна помощь в настройке роутера
« Ответ #9 : 19 Январь 2012, 10:29:39 »
Для начального уровня почти всё хорошо.
Почти, потому что сам шлюз слепой из-за -P OUTPUT DROP. Здесь считается (и практика показывает, что это именно так), что это правило почти всегда ведёт к ошибке. Уберите. И в цепочке INPUT разрешите установленные соединения.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн progmo

  • Автор темы
  • Участник
  • *
  • Сообщений: 105
    • Просмотр профиля
Re: Нужна помощь в настройке роутера
« Ответ #10 : 19 Январь 2012, 10:49:30 »
Для начального уровня почти всё хорошо.
Почти, потому что сам шлюз слепой из-за -P OUTPUT DROP. Здесь считается (и практика показывает, что это именно так), что это правило почти всегда ведёт к ошибке. Уберите. И в цепочке INPUT разрешите установленные соединения.


Тогда может быть лучше так -->
(Подправил чужой скрипт под себя).

Обозначу еще раз задачу:
- На роутере открыть ssh;
- Пускать трафик с адресов 172.22.4.2-172.22.4.30 по любым портам (пока) во внешку и обратно;
- Весь веб трафик заруливать на сквиду.
Ubuntu 14.04.2

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13744
    • Просмотр профиля
Re: Нужна помощь в настройке роутера
« Ответ #11 : 19 Январь 2012, 10:58:08 »
Не нужны нам Ваши скрипты.
sudo iptables-save показывайте
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн progmo

  • Автор темы
  • Участник
  • *
  • Сообщений: 105
    • Просмотр профиля
Re: Нужна помощь в настройке роутера
« Ответ #12 : 19 Январь 2012, 11:02:07 »
Не нужны нам Ваши скрипты.
sudo iptables-save показывайте

Дык там сейчас все по дефолту настройки. Скрипт я еще не применял... Не охото в середине раб. дня сбивать настройки.

Пользователь решил продолжить мысль 19 Январь 2012, 16:37:01:
Применил настройки, получил ошибку -> :(
(Нажмите, чтобы показать/скрыть)


iptables-save
(Нажмите, чтобы показать/скрыть)
« Последнее редактирование: 19 Январь 2012, 16:37:01 от progmo »
Ubuntu 14.04.2

Оффлайн meinung

  • Активист
  • *
  • Сообщений: 310
  • in nomine patris et fili et spiritus sancti amen.
    • Просмотр профиля
Re: Нужна помощь в настройке роутера
« Ответ #13 : 19 Январь 2012, 16:44:54 »
Цитировать
куча софта
даже  если  не открывать  порты все  програмы  будут работать порты  надо открывать только  серверным приложениям все  клиентские кроме торрента  там ICQ передача данных не  требуют открытый порт  через NAT. у меня  стоит NAT и никаких нет проблем с инетрентом  на клиентском  компьютере,и порты  я  никакие  не прокидывал
just read this flowing manual

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25941
    • Просмотр профиля
Re: Нужна помощь в настройке роутера
« Ответ #14 : 19 Январь 2012, 16:50:22 »
Ну, ошибка как бээээ намекает, что у вас настройки не от мира сего.
ifconfig -a
показывайте.

@meinung, у вас лимит на запятые в день? >.<
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.073 секунд. Запросов: 24.