Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: Как записать правило в iptables от ipchains  (Прочитано 930 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн aviacliff

  • Автор темы
  • Участник
  • *
  • Сообщений: 100
    • Просмотр профиля
Имеется от ipchains правило

ipchains -A input -i $EXTERNAL_INTERFACE -p tcp ! -y -s $NAMESERVER_1 53 \
  -d $IPADDR $UNPRIVPORTS -j ACCEPT

Вопрос: Что здесь означает  -y и как это правило может выглядеть в iptables?
Напоминаю, "UBUNTU" переводится как "ЧЕЛОВЕЧНОСТЬ"

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28366
    • Просмотр профиля
Re: Как записать правило в iptables от ipchains
« Ответ #1 : 10 Апреля 2013, 00:46:28 »
Лучше скажите, что вы вообще хотите сделать...
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн aviacliff

  • Автор темы
  • Участник
  • *
  • Сообщений: 100
    • Просмотр профиля
Re: Как записать правило в iptables от ipchains
« Ответ #2 : 10 Апреля 2013, 11:10:29 »
Если можно так сказать, то данный вопрос относится к разделу файервола DNS-клиент 53 порт.
В Иyтернете есть фраза:
 
Цитировать
Запросы от клиента к серверу по протоколу TCP разрешены, если не прошли UDP-запросы.
Это встречается редко. Обычно клиенты используют TCP для передачи зон вторичному серверу от первичного. и если они не хакеры.

И приводится правило, которое я написал выше.

На современный лад думаю это будет выглядеть так ( если что поправьте):

$IPTABLES -A INPUT -p tcp -m tcp -i $INET_IFACE --dport $UNPRIVPORTS --sport 53 -j ACCEPT ! --syn
« Последнее редактирование: 10 Апреля 2013, 11:18:48 от aviacliff »
Напоминаю, "UBUNTU" переводится как "ЧЕЛОВЕЧНОСТЬ"

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28366
    • Просмотр профиля
Re: Как записать правило в iptables от ipchains
« Ответ #3 : 10 Апреля 2013, 14:33:56 »
Не проще ли разрешить обращения из локальной сети и не мучаться?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн aviacliff

  • Автор темы
  • Участник
  • *
  • Сообщений: 100
    • Просмотр профиля
Re: Как записать правило в iptables от ipchains
« Ответ #4 : 17 Апреля 2013, 09:05:20 »
Попробую воспользоваться советом!
Напоминаю, "UBUNTU" переводится как "ЧЕЛОВЕЧНОСТЬ"

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: Как записать правило в iptables от ipchains
« Ответ #5 : 17 Апреля 2013, 09:31:54 »
aviacliff, зачем вам доступ снаружи с порта 53 на непонятный порт этой машины?
Правило выглядит странно.
Обычно открывают доступ на определённые порт (порт назначения).
И когда речь заходит о доступе к DNS, то чаще всего, в качестве источника идёт локалка, а не инет.

Оффлайн aviacliff

  • Автор темы
  • Участник
  • *
  • Сообщений: 100
    • Просмотр профиля
Re: Как записать правило в iptables от ipchains
« Ответ #6 : 19 Апреля 2013, 18:07:39 »
Относительно странности не спорю.
Думаю что то здесь должно выглядеть следующим образом:

#  Цепочку  используем, когда необходимо разрешить прохождение пакетов, с определенных портов или адресов
   
   $IPTABLES -N com-allow
   $IPTABLES -F com-allow
   
   $IPTABLES -A com-allow -p udp -j ACCEPT
# Разрешаем входящие по DNS
  $IPTABLES -A INPUT -s $LAN -p udp --dport domain -j com-allow
# Правило для исходящего трафика DNS
$IPTABLES -A OUTPUT -p udp --dport domain -j com-allow


где LAN="192.168.19.0/24" # внутренняя сеть
Напоминаю, "UBUNTU" переводится как "ЧЕЛОВЕЧНОСТЬ"

 

Страница сгенерирована за 0.044 секунд. Запросов: 25.