HOWTO: Iptables для новичков

[AnrDaemon]

А покажите
dpkg -l rsyslog

Правила лучше заменить на

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

*filter
:INPUT DROP
:FORWARD DROP
:OUTPUT ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j LOG --log-prefix "iptables: "
-A INPUT -s X -d Y -p tcp -m tcp --dport 777 -j ACCEPT
-A INPUT -i eth1 -p tcp -m state --state NEW -m tcp --dport 777 -j ACCEPT
-A INPUT -i eth1 -p udp -m state --state NEW -m udp --dport 777 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED,DNAT -j ACCEPT
-A FORWARD -s Z -d R -j ACCEPT
COMMIT

*nat
:PREROUTING ACCEPT
:INPUT ACCEPT
:OUTPUT ACCEPT
:POSTROUTING ACCEPT
-A PREROUTING ! -d EEE -i eth1 -p tcp -m multiport --dports 80 -j DNAT --to-destination MMM
-A POSTROUTING -s EEE -o eth0 -j MASQUERADE
COMMIT

[Userboy]

  Проверил свой компьютер на тесте, http://www.pcflank.com.
Показывает что 135-139         closed           n/a           n/a
"Closed" (non-stealthed) - means that this port is closed, but your computer is visible to others on the Internet that can be potentially dangerous

 В UFW порты закрыл. Но не помогло. На другом линуксе все закрыты.
С помощью каких комманд их закрыть в iptables?

[AnrDaemon]

Userboy, прежде чем пользоваться какими-то диагностическими инструментами, надо понимать, что они тебе показывают.

[kijinga]

Вот

Код: [Выделить]

ii  rsyslog    5.8.1-1ubuntu2    reliable system and kernel logging deamon
iptables попробую подкорректировать.

AnrDaemon и Vitsliputsli - Спасибо за подсказки, проблемма решена, выручили

Прошляпил "/" в файле конфига 10-iptables.conf перед дефисом
(Сам виноват, нечё играть с настройками второпях)

[Userboy]

Userboy, прежде чем пользоваться какими-то диагностическими инструментами, надо понимать, что они тебе показывают.

Я же не это спращивал а всего лишь то как закрыть порты.
Подобные комманды подойдут?

sudo iptables -t filter -A INPUT -i eth0 -p tcp --dport 137 -j DROP

[AnrDaemon]

Userboy, это и заметно, что не спрашивали... а надо было. Вам английским по белому сказано - ПОРТ ЗАКРЫТ, куда ЕЩЁ вы его закрывать собираетесь?

[ea2982]

Добрый всем

нужно помощи есть 3 сеть
1. 10.10.0.0/16 шлюз 10.10.3.254
2. 10.20.0.0/16 шлюз 10.20.3.254
3. 10.30.0.0/16 шлюз 10.30.3.254

сеть 1 и 3 не как не связано только через сеть 2
Нужно написать правила для проброса порта RDP из сеть 1 в сеть 3.
В сеть 3 конечный компьютер 10.30.3.200.

Сори если повторился нужно срочно

[fisher74]

сеть 1 и 3 не как не связано только через сеть 3

через 2 видимо...

Нужно именно forward? Может просто маршрутизацию раскурить?

[YellowRaccoon]

Доброго. У меня вопрос: как я смогу в iptables контролировать трафик/скорость? Т.е если будет, например, 50 активных пользователей в локалке, и кто-то врубит торрент на всю, смогу ли я его "наити"? Ну или если не наити, то хотя бы видеть, кто куда чего и сколько тянет?

[Userboy]

Userboy, это и заметно, что не спрашивали... а надо было. Вам английским по белому сказано - ПОРТ ЗАКРЫТ, куда ЕЩЁ вы его закрывать собираетесь?

Одним словом я сбросил все правила в UFW, что инет стал торомозить от его работы.
Как мне просто закрыть опасные порты в iptables?

[AnrDaemon]

Ясно, с вами общаться бесполезно. Ответов вы не читаете.

[Userboy]

Ясно, с вами общаться бесполезно. Ответов вы не читаете.

Это вы мне?

[ea2982]

сеть 1 и 3 не как не связано только через сеть 3

через 2 видимо...

Нужно именно forward? Может просто маршрутизацию раскурить?

сори поправил


маршруты про бывал
делал так

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

шлюз сеть 1
ip route 10.20.0.0/16 dev eth0 src 10.10.3.254
ip route 10.30.0.0/16 dev eht0 src 10.10.3.254
шлюз сеть 2
ip route 10.10.0.0/16 dev eth0 src 10.20.3.254
ip route 10.30.0.0/16 dev eht0 src 10.20.3.254
шлюз сеть 3
ip route 10.10.0.0/16 dev eth0 src 10.30.3.254
ip route 10.20.0.0/16 dev eht0 src 10.30.3.254


Но все равно из сеть 1 пинг на шлюз 10.20.3.254 проходит, а на 10.30.3.254 нет
Из сеть 2 пинг проходит на оба шлюза 10.10.3.254 b 10.30.3.254
Из сеть 3 пинг на шлюз 10.20.3.254 проходит, а на 10.10.3.254 нет

куда копать не знаю?


Если с маршрутизацией разберусь не будет ль проблем когда я настрою iptables на политику по умолчанию в DROP


Сори если офф топик

[AnrDaemon]

ea2982, создайте отдельный топик с вашей проблемой наконец.
Пользователь решил продолжить мысль 04 Апреля 2013, 01:02:23:А здесь всё потрите. Ибо ваша проблема сюда никак не относится.

[Userboy]

Доброго. У меня вопрос: как я смогу в iptables контролировать трафик/скорость? Т.е если будет, например, 50 активных пользователей в локалке, и кто-то врубит торрент на всю, смогу ли я его "наити"? Ну или если не наити, то хотя бы видеть, кто куда чего и сколько тянет?

https://forum.ubuntu.ru/index.php?topic=135410.0