появляется список компьтеров сети провайдера

[fisher74]

можно, но не нужно.

Не согласен. Если демон должен "дышать" в правильные интерфейсы, то пусть туда и дышит. Зачем ему слушать ненужные интерфейсы? Это лишняя зазубрина на безопасности.
Netfilter должен выполнять задачи, с которыми не в силах бороться демон.
Исключительно моё ИМХО. Как минимум - не повредит.

[AnrDaemon]

fisher74, если бы это ограничивало ПРИВЯЗКУ демона к интерфейсу, я бы с вами согласился.
Но это только ограничивает ответы демона на конкретных интерфейсах, а вяжется он всё равно на все.

[fisher74]

Netfilter должен выполнять задачи, с которыми не в силах бороться демон.

Что я написал не так?

[AnrDaemon]

Думаю, у нас тут выходит идеологический спор
Предлагаю либо завязать, либо перенестись в отдельный топик.

[crazy_user]

Согласен, настройка iptables - необходимый шаг. Я сам обычно только на неё и полагаюсь, а не "распределяю блокировки по конфигам демонов". Только вот топикстартер никак с ней не справляется (опыта очевидно маловато), поэтому пусть хотя бы тут блокировка будет для начала.

так и есть. в Linux-системах я новичок. в основном по виндовым серверам... + тяжело все делать по удаленке...

[crazy_user]

Кстати, нужно же кроме задания interfaces раскомментировать ещё один:

Код: [Выделить]

bind interfaces only = yes
Она следующая за этим параметром.

спасибо. помогло. разбираюсь дальше с iptables. а то правило(обнаруженное в конфиге) -A FORWARD -i eth0 -o eth1 -j REJECT "рубит" доступ к локальным ресурсам провайдера..

[Karl500]

Прошу прощения, но разве демон имеет какое-либо отношение к "появляется список компьютеров сети провайдера"? К доступности локальных ресурсов в сети провайдера - да, но не к списку компьютеров сети провайдера.
Если не ошибаюсь, "штатно" пакет samba (и, соответственно, демоны) вообще не ставились (по крайней мере, в 10.04 desktop), при этом доступ по протоколу smb в наутилусе был, нет?

[crazy_user]

Прошу прощения, но разве демон имеет какое-либо отношение к "появляется список компьютеров сети провайдера"? К доступности локальных ресурсов в сети провайдера - да, но не к списку компьютеров сети провайдера.
Если не ошибаюсь, "штатно" пакет samba (и, соответственно, демоны) вообще не ставились (по крайней мере, в 10.04 desktop), при этом доступ по протоколу smb в наутилусе был, нет?

самба доставлялась, насколько я помню.

[koshev]

Прошу прощения, но разве демон имеет какое-либо отношение к "появляется список компьютеров сети провайдера"? К доступности локальных ресурсов в сети провайдера - да, но не к списку компьютеров сети провайдера.

В этом случае наоборот. Умолчабельно демон слушет все интерфейсы. Допускаю, что как раз samba, через LLMNR вполне может объявить себя master browser для сетей на eth0 и eth1, поскольку маршрутизации между сетями нет (a из темы ясно, что samba установлена на пограничном оборудовании), то вполне случается, что "список компьютеров сети провайдера" есть но ресусов нет. Более точно скажут логи демона.

[crazy_user]

Прошу прощения, но разве демон имеет какое-либо отношение к "появляется список компьютеров сети провайдера"? К доступности локальных ресурсов в сети провайдера - да, но не к списку компьютеров сети провайдера.

В этом случае наоборот. Умолчабельно демон слушет все интерфейсы. Допускаю, что как раз samba, через LLMNR вполне может объявить себя master browser для сетей на eth0 и eth1, поскольку маршрутизации между сетями нет (a из темы ясно, что samba установлена на пограничном оборудовании), то вполне случается, что "список компьютеров сети провайдера" есть но ресусов нет. Более точно скажут логи демона.

были и компы провайдера и ресурсы. после правки конфига самбы - только ресурсы+инет. не могу пока побороть iptables.. не могу нормально закрыть доступ снаружи..

[koshev]

Я под словом ресурсы имел ввиду smb-ресурсы (шары) в сети. А Вы?

не могу нормально закрыть доступ снаружи..

Покажите как Вы их закрываете,а мы подскажем.

[crazy_user]

Я под словом ресурсы имел ввиду smb-ресурсы (шары) в сети. А Вы?

не могу нормально закрыть доступ снаружи..

Покажите как Вы их закрываете,а мы подскажем.

пробовал вот так, после чего вырубает инет, но есть ресурсы

(Нажмите, чтобы показать/скрыть)

*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A FORWARD -o eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_OUT:
-A FORWARD -i eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_IN:
-A OUTPUT -o eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_OUT:
-A INPUT -i eth0 -j LOG --log-level 7 --log-prefix BANDWIDTH_IN:
#--
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -j ACCEPT
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT
-A FORWARD -j REJECT

COMMIT
# Completed on Fri Dec 28 15:40:08 2012
# Generated by iptables-save v1.4.12 on Fri Dec 28 15:40:08 2012
*mangle
:PREROUTING ACCEPT [2853:213161]
:INPUT ACCEPT [2131:176312]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1949:168898]
:POSTROUTING ACCEPT [1971:174343]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Fri Dec 28 15:40:08 2012
# Generated by iptables-save v1.4.12 on Fri Dec 28 15:40:08 2012
*nat
:PREROUTING ACCEPT [3:207]
:INPUT ACCEPT [3:207]
:OUTPUT ACCEPT [3:207]
:POSTROUTING ACCEPT [3:207]
-A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j MASQUERADE
COMMIT
# Completed on Fri Dec 28 15:40:08 2012

до этого было -A FORWARD -i eth0 -o eth1 -j REJECT
при этом не было ресурсов провайдера. Провайдер предоставялет доступ к своим вебсерверам в подсети 10.х.х.х и фтп

[koshev]

Хотя бы как-то так 

(Нажмите, чтобы показать/скрыть)

*filter

Код: (bash) [Выделить]

:FORWARD DROP [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -d $destination_wanip/32** -m tcp -m multiport --dports 80,443 -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i eth0 -j LOG --log-level 7 --log-prefix "BANDWIDTH_IN: "
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -s 192.168.0.0/24 -j ACCEPT
-A FORWARD -o eth0 -j LOG --log-level 7 --log-prefix "BANDWIDTH_OUT: "
-A FORWARD -i eth0 -j LOG --log-level 7 --log-prefix "BANDWIDTH_IN: "
-A OUTPUT -o eth0 -j LOG --log-level 7 --log-prefix "BANDWIDTH_OUT: "
COMMIT
# Completed on Fri Dec 28 15:40:08 2012
# Generated by iptables-save v1.4.12 on Fri Dec 28 15:40:08 2012
*mangle
:PREROUTING ACCEPT [2853:213161]
:INPUT ACCEPT [2131:176312]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1949:168898]
:POSTROUTING ACCEPT [1971:174343]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Fri Dec 28 15:40:08 2012
# Generated by iptables-save v1.4.12 on Fri Dec 28 15:40:08 2012
*nat
:PREROUTING ACCEPT [3:207]
:INPUT ACCEPT [3:207]
:OUTPUT ACCEPT [3:207]
:POSTROUTING ACCEPT [3:207]
-A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j MASQUERADE
COMMIT
# Completed on Fri Dec 28 15:40:08 2012** - Внешний IP-адрес

[crazy_user]

Хотя бы как-то так 

(Нажмите, чтобы показать/скрыть)

*filter

Код: (bash) [Выделить]

:FORWARD DROP [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -d $destination_wanip/32** -m tcp -m multiport --dports 80,443 -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i eth0 -j LOG --log-level 7 --log-prefix "BANDWIDTH_IN: "
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -s 192.168.0.0/24 -j ACCEPT
-A FORWARD -o eth0 -j LOG --log-level 7 --log-prefix "BANDWIDTH_OUT: "
-A FORWARD -i eth0 -j LOG --log-level 7 --log-prefix "BANDWIDTH_IN: "
-A OUTPUT -o eth0 -j LOG --log-level 7 --log-prefix "BANDWIDTH_OUT: "
COMMIT
# Completed on Fri Dec 28 15:40:08 2012
# Generated by iptables-save v1.4.12 on Fri Dec 28 15:40:08 2012
*mangle
:PREROUTING ACCEPT [2853:213161]
:INPUT ACCEPT [2131:176312]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1949:168898]
:POSTROUTING ACCEPT [1971:174343]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Fri Dec 28 15:40:08 2012
# Generated by iptables-save v1.4.12 on Fri Dec 28 15:40:08 2012
*nat
:PREROUTING ACCEPT [3:207]
:INPUT ACCEPT [3:207]
:OUTPUT ACCEPT [3:207]
:POSTROUTING ACCEPT [3:207]
-A POSTROUTING -s 192.168.0.0/24 ! -d 192.168.0.0/24 -j MASQUERADE
COMMIT
# Completed on Fri Dec 28 15:40:08 2012** - Внешний IP-адрес

спасибо за помощь.
-A INPUT -d 10.0.0.0/32 -m tcp -m multiport --dports 80,443 -j ACCEPT
не проходит с командой -m

[fisher74]

потому что KT315 опечатался и там -protocol должно быть. Вы уж не обессудьте, ведь все мы человеки.