Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Нужна помощь в настройке роутера  (Прочитано 1169 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн progmo

  • Автор темы
  • Участник
  • *
  • Сообщений: 105
    • Просмотр профиля
Нужна помощь в настройке роутера
« : 18 Января 2012, 15:45:03 »
Помогите дописать правила iptables. Есть задача пустить трафик через проксю (уже сделано), закрыть все порты адресам 172.22.4.30-172.22.4.254, кроме доступа в инет через прокси, а адресам 172.22.4.1-172.22.4.29 открыть все порты (из/вне).
Ubuntu 14.04.2

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Нужна помощь в настройке роутера
« Ответ #1 : 18 Января 2012, 15:51:29 »
Жесть... сначала ставите дефолтные правила, а потом чистите таблицы...

Если диапазоны пока проектные, то лучше изменить, чтобы хотя бы под маски уложить можно было

Оффлайн progmo

  • Автор темы
  • Участник
  • *
  • Сообщений: 105
    • Просмотр профиля
Re: Нужна помощь в настройке роутера
« Ответ #2 : 18 Января 2012, 15:54:40 »
Жесть... сначала ставите дефолтные правила, а потом чистите таблицы...
Ну поправьте новичка.
Если диапазоны пока проектные, то лучше изменить, чтобы хотя бы под маски уложить можно было
Например?!
Надо 20 адресов не фильтровать (по портам), только проксей, а всем остальным резать все!
Ubuntu 14.04.2

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Нужна помощь в настройке роутера
« Ответ #3 : 18 Января 2012, 16:03:53 »
так постройте правила по другому.
Запретите весь FORWARD по дефолту, а разрешите только избранным
Про маски IP-сетей почитайте и поймёте, чем 32 удобнее 20 ;)

Оффлайн progmo

  • Автор темы
  • Участник
  • *
  • Сообщений: 105
    • Просмотр профиля
Re: Нужна помощь в настройке роутера
« Ответ #4 : 18 Января 2012, 16:17:32 »
так постройте правила по другому.
Запретите весь FORWARD по дефолту, а разрешите только избранным
Про маски IP-сетей почитайте и поймёте, чем 32 удобнее 20 ;)


Как изначально все запретить понятно. На прокси трафик тоже завернут. Вопрос как разрешить доступ во внешку по нужным портам (какие точно не знаю, поэтому для начала все) адресам 172.22.4.2-172.22.4.29?

Нельзя в правилах указывать диапазон ? Только единичный адрес или в виде 172.22.4.2/32 ?
Ubuntu 14.04.2

Гарри Кашпировский

  • Гость
Re: Нужна помощь в настройке роутера
« Ответ #5 : 18 Января 2012, 17:57:11 »
Цитировать
Нельзя в правилах указывать диапазон ?
Можно.
man iptables |grep iprange -A7

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28334
    • Просмотр профиля
Re: Нужна помощь в настройке роутера
« Ответ #6 : 18 Января 2012, 19:02:06 »
@meinung, пишите по-русски, пожалуйста.
Я вас через слово понимаю, при том, что я понимаю, о чём вы вообще пишете.
Что из вашего словесного потока поймёт автор - никому неизвестно.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн meinung

  • Активист
  • *
  • Сообщений: 317
  • in nomine patris et fili et spiritus sancti amen.
    • Просмотр профиля
Re: Нужна помощь в настройке роутера
« Ответ #7 : 18 Января 2012, 19:02:29 »
хорошо. вот по-русски.
 я предлагаю ТС поставить   NAT и при не обходимости  просто   открыть  те сервисы, которые  реально нужно открыть  во внешний мир, или перенести  эти сервисы на роутер,  но   все это надо делать только в том  случае, если  у вас    првайдер выдал вам белый адрес
 я вам предлагаю собственное решение, которое используется  практически везде
iptables -t nat -A PREROUTING -p tcp --dport 80 -i ppp0 -j DNAT --to-destination 10.0.0.1:80
Пользователь решил продолжить мысль 18 Января 2012, 19:08:19:
AnrDaemon,  меня бывает  заносит, так  лучше ?
« Последнее редактирование: 18 Января 2012, 19:15:07 от meinung »
just read this flowing manual

Оффлайн progmo

  • Автор темы
  • Участник
  • *
  • Сообщений: 105
    • Просмотр профиля
Re: Нужна помощь в настройке роутера
« Ответ #8 : 19 Января 2012, 10:22:37 »
Повторюсь какие именно сервисы нужно открыть на указанных адресах пока не могу уточнить... Это бухгалтерские компы, куча софта у них там, и мешать их работе ваще не охото.... Но прикрыть сеть из вне хоть как-то для начала надо.

Изменил скрипт.... Поправьте плиз если ошибся!

Ubuntu 14.04.2

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Нужна помощь в настройке роутера
« Ответ #9 : 19 Января 2012, 10:29:39 »
Для начального уровня почти всё хорошо.
Почти, потому что сам шлюз слепой из-за -P OUTPUT DROP. Здесь считается (и практика показывает, что это именно так), что это правило почти всегда ведёт к ошибке. Уберите. И в цепочке INPUT разрешите установленные соединения.

Оффлайн progmo

  • Автор темы
  • Участник
  • *
  • Сообщений: 105
    • Просмотр профиля
Re: Нужна помощь в настройке роутера
« Ответ #10 : 19 Января 2012, 10:49:30 »
Для начального уровня почти всё хорошо.
Почти, потому что сам шлюз слепой из-за -P OUTPUT DROP. Здесь считается (и практика показывает, что это именно так), что это правило почти всегда ведёт к ошибке. Уберите. И в цепочке INPUT разрешите установленные соединения.


Тогда может быть лучше так -->
(Подправил чужой скрипт под себя).

Обозначу еще раз задачу:
- На роутере открыть ssh;
- Пускать трафик с адресов 172.22.4.2-172.22.4.30 по любым портам (пока) во внешку и обратно;
- Весь веб трафик заруливать на сквиду.
Ubuntu 14.04.2

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13756
    • Просмотр профиля
Re: Нужна помощь в настройке роутера
« Ответ #11 : 19 Января 2012, 10:58:08 »
Не нужны нам Ваши скрипты.
sudo iptables-save показывайте

Оффлайн progmo

  • Автор темы
  • Участник
  • *
  • Сообщений: 105
    • Просмотр профиля
Re: Нужна помощь в настройке роутера
« Ответ #12 : 19 Января 2012, 11:02:07 »
Не нужны нам Ваши скрипты.
sudo iptables-save показывайте

Дык там сейчас все по дефолту настройки. Скрипт я еще не применял... Не охото в середине раб. дня сбивать настройки.

Пользователь решил продолжить мысль 19 Января 2012, 16:37:01:
Применил настройки, получил ошибку -> :(
(Нажмите, чтобы показать/скрыть)


iptables-save
(Нажмите, чтобы показать/скрыть)
« Последнее редактирование: 19 Января 2012, 16:37:01 от progmo »
Ubuntu 14.04.2

Оффлайн meinung

  • Активист
  • *
  • Сообщений: 317
  • in nomine patris et fili et spiritus sancti amen.
    • Просмотр профиля
Re: Нужна помощь в настройке роутера
« Ответ #13 : 19 Января 2012, 16:44:54 »
Цитировать
куча софта
даже  если  не открывать  порты все  програмы  будут работать порты  надо открывать только  серверным приложениям все  клиентские кроме торрента  там ICQ передача данных не  требуют открытый порт  через NAT. у меня  стоит NAT и никаких нет проблем с инетрентом  на клиентском  компьютере,и порты  я  никакие  не прокидывал
just read this flowing manual

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28334
    • Просмотр профиля
Re: Нужна помощь в настройке роутера
« Ответ #14 : 19 Января 2012, 16:50:22 »
Ну, ошибка как бээээ намекает, что у вас настройки не от мира сего.
ifconfig -a
показывайте.

@meinung, у вас лимит на запятые в день? >.<
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.093 секунд. Запросов: 25.