Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: PPPoE + DHCP  (Прочитано 2700 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн boxik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 14
    • Просмотр профиля
PPPoE + DHCP
« : 24 Октябрь 2013, 10:48:50 »
Здравствуйте. У меня такая проблема. У меня установлено ubuntu server 12.04. на нем установлен DHCP . 2 сетевушки 1 инет 2 локалка.
Мне нужно чтобы DHCP отдавал ip в локалку но при етом не давал интернет. после чего интернет появлялся только после соединения PPPoE.
С ubuntu я неделю все делал по мануалам просьба если есть оптимальное решение дать мануал по настройке. Заранее спасибо.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13746
    • Просмотр профиля
Re: PPPoE + DHCP
« Ответ #1 : 24 Октябрь 2013, 12:01:56 »
У Вас видимо кроме лимита трафика ещё и лимит на знаки препинания.
Настраивайте dhcp-сервер по его мануалу, какой именно сервер у Вас что-то не телепатиться.
Адресация локальной сети и шаринг интернета хоть и имеют общие моменты, но напрямую не зависят.
Поэтому после настройки локальной сети переходите к следующему этапу.
Как именно раздать интернет внутри локалки есть прикреплённая тема. Изучайте. В правилах netfilter у Вас будет отличаться только внешний интерфейс. А именно всесто eth0 пишите ppp0
(кстати, там же есть и заметка про DHCP)
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн boxik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 14
    • Просмотр профиля
Re: PPPoE + DHCP
« Ответ #2 : 24 Октябрь 2013, 18:58:07 »
Вы знаете, я задал вопрос про pppoe, и хотелось бы увидеть мануал по настройке: DHCP раздает по локалке без инета. PPPoE работает для того, чтобы привнести инет в локалку. Так работают обыкновенные провайдеры.
Установлено ubuntu server 12.04 LTE и DHCP isc-dhcp-server.
Если нет понятного мануала для новичка, то не буду тратить свое и ваше время. Спасибо.
З.Ы. Интересует именно то чтобы без PPPoE интернета в локалке не было. Запускаем PPPoE на клиенте, интернет заводиться.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13746
    • Просмотр профиля
Re: PPPoE + DHCP
« Ответ #3 : 24 Октябрь 2013, 19:38:08 »
Умножение изучается после изучения сложения. А интегралы и того позже.
То что Вы на Ubuntu неделю совершенно не оправдывает Вашей грамотности в плане построения сетей.

Вы знаете, я задал вопрос про pppoe, и хотелось бы увидеть мануал по настройке: DHCP раздает по локалке без инета.
PPPoE работает для того, чтобы привнести инет в локалку. Так работают обыкновенные провайдеры.
Видимо есть ещё необыкновенные.
Давайте Вы сначала поймёте, что за что отвечает, а потом перефразируйте Ваш вопрос. А то он звучит красиво, но, понимая значение аббревиатур, слышится неким бредом. Примерно как "приторная соль". Все слова правильные. но согласитесь - несуразица.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн boxik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 14
    • Просмотр профиля
Re: PPPoE + DHCP
« Ответ #4 : 24 Октябрь 2013, 19:54:12 »
Закройте тему пойду искать в др месте а то тут сильно умные люди отвечают на заданные вопросы уж не понять мне никак.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13746
    • Просмотр профиля
Re: PPPoE + DHCP
« Ответ #5 : 24 Октябрь 2013, 19:58:15 »
Удачи в раздаче интернета средствами DHCP. Жаль результатов нам не расскажете.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн boxik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 14
    • Просмотр профиля
Re: PPPoE + DHCP
« Ответ #6 : 25 Октябрь 2013, 07:48:51 »
настроил pppoe но при соединении выдает ошибку 734 протокол управления PPP-связью был прерван.
Что не так?
/etc/rc.local
iptables -F
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth0 -o eth0 -j REJECT
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
sudo pppoe-server -I eth1 -L 192.168.5.1 -R 192.168.5.10 -0 /etc/ppp/pppoe-server-options
sudo echo 1 > /proc/sys/net/ipv4/ip_forward
sudo sh /home/jc/inet
$iptables_dir -t nat -A POSTROUTING -o $inet_iface -j MASQUERADE
$iptables_dir -P INPUT ACCEPT
$iptables_dir -P FORWARD ACCEPT
$iptables_dir -P OUTPUT ACCEPT
exit 0

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13746
    • Просмотр профиля
Re: PPPoE + DHCP
« Ответ #7 : 25 Октябрь 2013, 08:26:33 »
Я только сейчас понял, что Вы хотите настроить PPPoE-сервер. Надо же... А в первом сообщении темы всё прозвучало совершенно в другом ракурсе.
Сразу видно, что Вы славно погуглили и  кое-что понастраивали почти не вникая, что ЭТО делает.
Итак. Я более чем уверен, что команды
$iptables_dir -t nat -A POSTROUTING -o $inet_iface -j MASQUERADE
$iptables_dir -P INPUT ACCEPT
$iptables_dir -P FORWARD ACCEPT
$iptables_dir -P OUTPUT ACCEPT

не выполняются ВООБЩЕ (если, конечно, rc.local полностью приведён). Почему? Попробуйте сами проанализировать и понять.
Хотя, вполне возможно, это предположение отменяется учитывая, что перед ними запускается секретный скрипт /home/jc/inet. Причём зачем Вы его запускаете через sudo непонятно. Нет... мне-то понятно - из-за отказа понимать Вами что происходит при выполнении конкретной команды.
Далее.
Для выяснения причины отказа в работе PPPoE-сервера необходимо смотреть не гипотетические команды, а реальное состояние сервера, ну и как настроен конкретно сам pppoe-сервер.
Итак, показываем
sudo iptables-save
cat /etc/ppp/pppoe-server-options
ну и по возможности содержимое секретного скрипта
cat /home/jc/inet
PS Кстати, Ваше условие, что интернет раздаётся только после установленияя PPPoE-сессии пока не удовлетворяется. Его может получить любой из локально сети, указавший Ваш сервер шлюзом по умолчанию.
« Последнее редактирование: 25 Октябрь 2013, 08:28:04 от fisher74 »
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн boxik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 14
    • Просмотр профиля
Re: PPPoE + DHCP
« Ответ #8 : 25 Октябрь 2013, 17:08:47 »
опять что-то не то накрутил, сервер завис пришлось заново переустанавливать. Я даже не знаю толком что за чем ставить DHCP потом PPPoe или наоборот :(
вы говорите что я не понимаю что пишу, ведь я новичок поэтому и спрашиваю мануал по установке DHCP+PPPoE
Ставлю DHCP у клиент компа появляется интернет - ступор - как настроить чтоб только PPPoE давал интернет.

Пользователь решил продолжить мысль 25 Октябрь 2013, 18:04:11:



http://www.bobgo.ru/pppoe-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80-%D0%BD%D0%B0-ubuntu-12-04-lts/

Все сделал в точности но PPPoE не конектиться. настроил по этому мануалу без DHCР, сразу после установки убунты и настройки сети в ручную.

отрывок из мануала
7. Создадим небольшой скрипт для настройки iptables:
sudo gedit /home/jc/inet
Пишем:

#!/bin/sh
#Переменные
iptables_dir=’/sbin/iptables’
inet_iface=eth0
#Собственно настройка iptables
#В POSTROUTING таблицы NAT разрешить маскарадинг на тот сетевой интерфейс, который смотрит в сеть провайдера (Интернет) (inet_iface)
$iptables_dir -t nat -A POSTROUTING -o $inet_iface -j MASQUERADE
# Политика по умолчанию – все разрешено (ACCEPT)
$iptables_dir -P INPUT ACCEPT
$iptables_dir -P FORWARD ACCEPT
$iptables_dir -P OUTPUT ACCEPT

после набора указанной команды мне пишет нет такого файла sudo gedit /home/jc/inet

Пользователь решил продолжить мысль 25 Октябрь 2013, 18:43:08:
Перепробовал все гайды по установке сервера PPPoE. Искал в гугле и в яндексе.Следуя инструкциям ничего не работает. Заработало только DHCP.

Пользователь решил продолжить мысль 25 Октябрь 2013, 19:35:12:
Я не понимаю я пишу все как написано в гайдах, но все равно не работает :(
« Последнее редактирование: 25 Октябрь 2013, 21:11:09 от boxik »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13746
    • Просмотр профиля
Re: PPPoE + DHCP
« Ответ #9 : 25 Октябрь 2013, 20:58:47 »
и зачем Вы этим гайдом сюда, извините, нагадили? Именно нагадили. Потому что кто-то будет искать решение той же задачи и будет наступать на ваши грабли, не поняв что это шлак.
Могли бы просто ссылку на него показать и сказать: вот по нему настраивал. А в результате у меня получились вот такие конфиги и вот такие логи и вот такие грабли.

То что у Вас DHCP работает это уже COOL. Теперь у меня возник вопрос. А собственно на хрена Вам PPPoE сервер? Вы провайдром решили стать? А то может просто сделать раздачу интернета нужным машинам да успокоиться?
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн boxik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 14
    • Просмотр профиля
Re: PPPoE + DHCP
« Ответ #10 : 25 Октябрь 2013, 21:07:58 »
Я с товарищем построил на тупых свичах сеть. У нас в локальной сети за 5 лет набралось 73 пк. У каждого свой интернет.
Но локалка без интернета, ето просто канал обмена. И задача запустить 1 канал в локалку в виде резервного. Если у кого то пропадает интернет то клиент тыкает на наше pppoe и получает интернет. Позже настроиться шейпинг но это потом, сейчас главное PPPoE поднять. С чем собственно я с товарищем бьюсь 10 дней уже.
« Последнее редактирование: 25 Октябрь 2013, 21:19:36 от boxik »

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13746
    • Просмотр профиля
Re: PPPoE + DHCP
« Ответ #11 : 25 Октябрь 2013, 21:38:35 »
отрывок из мануала
7. Создадим небольшой скрипт для настройки iptables:
sudo gedit /home/jc/inet
Пишем:

#!/bin/sh
...

после набора указанной команды мне пишет нет такого файла sudo gedit /home/jc/inet
Давайте я сделаю вид, что я телепат: в Вашей системе нет пользователя с логином jc

Пользователь решил продолжить мысль 25 Октябрь 2013, 21:44:09:
И снова хочу вернуться к математике: Вам надо сначала азбуку изучить, а потом уже романы писать.

Поработайте в системе, освойтесь в ней. изучите её постулаты. А уже потом можно пробовать начинать играть в админов.

P.S. Я не против помогать, но с детскими болезнями в виде незнания, что выполняют СТАНДАРТНЫЕ команды типа sudo, gedit, less, rm и т.п. и т.п., мы будем топать к намеченной цели долгими длинными зимними вечерами....
« Последнее редактирование: 25 Октябрь 2013, 21:44:54 от fisher74 »
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн boxik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 14
    • Просмотр профиля
Re: PPPoE + DHCP
« Ответ #12 : 25 Октябрь 2013, 22:22:07 »
неужели просто нельзя выложить настройки для "начинающих" и пусть люди пользуються. Зачем тогда мне спрашивать тут чтото и зачем тогда нужен форум. Вы что тут вообще делаете? помогаете новичкам? или просто так общак разводите? или я хз что вообще. Или вы денег хотите?
тогда так и скажите - настрою серв за N рублей пишите в приват. Какого ходить вокруг да около. Я пришел на форум за настройками, а просто поговорить мне и так есть с кем.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13746
    • Просмотр профиля
Re: PPPoE + DHCP
« Ответ #13 : 25 Октябрь 2013, 22:36:32 »
Для начинающего кого? Пользователя? Ему настройка pppoe сервера не нужна. А начинающий админ должен понимать основы построения сетей. А Вы даже не можете понять почему при создании файла у Вас система ругается на его отсутствие. Вы разобрались с этим? А ведь это проблема уровня пользователя.

Так что начните с создания этого самого файла. Создайте его в конце концов с нужным содержимым. Выполните пункт 7 того гайда.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн boxik

  • Автор темы
  • Новичок
  • *
  • Сообщений: 14
    • Просмотр профиля
Re: PPPoE + DHCP
« Ответ #14 : 25 Октябрь 2013, 23:02:46 »
Раньше у меня не был установлен NAT. После его установки PPPoE настроилось только теперь есть проблема - С PPPoE нет интернета а без него есть интернет. как быть?

вот мой iptables-save


# Generated by iptables-save v1.4.12 on Fri Oct 25 22:11:20 2013
*nat
:PREROUTING ACCEPT [856:52340]
:INPUT ACCEPT [113:9523]
:OUTPUT ACCEPT [2544:155965]
:POSTROUTING ACCEPT [2544:155965]
:NAT_POSTROUTING_CHAIN - [0:0]
:NAT_PREROUTING_CHAIN - [0:0]
:POST_NAT_POSTROUTING_CHAIN - [0:0]
:POST_NAT_PREROUTING_CHAIN - [0:0]
-A PREROUTING -j NAT_PREROUTING_CHAIN
-A PREROUTING -j POST_NAT_PREROUTING_CHAIN
-A POSTROUTING -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A POSTROUTING -j NAT_POSTROUTING_CHAIN
-A POSTROUTING -s 192.168.10.0/24 ! -d 192.168.10.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -j POST_NAT_POSTROUTING_CHAIN
COMMIT
# Completed on Fri Oct 25 22:11:20 2013
# Generated by iptables-save v1.4.12 on Fri Oct 25 22:11:20 2013
*mangle
:PREROUTING ACCEPT [470604:517009326]
:INPUT ACCEPT [39376:41953571]
:FORWARD ACCEPT [431184:475053551]
:OUTPUT ACCEPT [30577:4587851]
:POSTROUTING ACCEPT [461718:479639474]
COMMIT
# Completed on Fri Oct 25 22:11:20 2013
# Generated by iptables-save v1.4.12 on Fri Oct 25 22:11:20 2013
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:BASE_FORWARD_CHAIN - [0:0]
:BASE_INPUT_CHAIN - [0:0]
:BASE_OUTPUT_CHAIN - [0:0]
:DMZ_FORWARD_IN_CHAIN - [0:0]
:DMZ_FORWARD_OUT_CHAIN - [0:0]
:DMZ_INET_FORWARD_CHAIN - [0:0]
:DMZ_INPUT_CHAIN - [0:0]
:DMZ_LAN_FORWARD_CHAIN - [0:0]
:DMZ_OUTPUT_CHAIN - [0:0]
:EXT_BROADCAST_CHAIN - [0:0]
:EXT_FORWARD_IN_CHAIN - [0:0]
:EXT_FORWARD_OUT_CHAIN - [0:0]
:EXT_ICMP_FLOOD_CHAIN - [0:0]
:EXT_INPUT_CHAIN - [0:0]
:EXT_MULTICAST_CHAIN - [0:0]
:EXT_OUTPUT_CHAIN - [0:0]
:FORWARD_CHAIN - [0:0]
:HOST_BLOCK_DROP - [0:0]
:HOST_BLOCK_DST - [0:0]
:HOST_BLOCK_SRC - [0:0]
:INET_DMZ_FORWARD_CHAIN - [0:0]
:INPUT_CHAIN - [0:0]
:INT_FORWARD_IN_CHAIN - [0:0]
:INT_FORWARD_OUT_CHAIN - [0:0]
:INT_INPUT_CHAIN - [0:0]
:INT_OUTPUT_CHAIN - [0:0]
:LAN_INET_FORWARD_CHAIN - [0:0]
:OUTPUT_CHAIN - [0:0]
:POST_FORWARD_CHAIN - [0:0]
:POST_INPUT_CHAIN - [0:0]
:POST_INPUT_DROP_CHAIN - [0:0]
:POST_OUTPUT_CHAIN - [0:0]
:RESERVED_NET_CHK - [0:0]
:SPOOF_CHK - [0:0]
:VALID_CHK - [0:0]
-A INPUT -j BASE_INPUT_CHAIN
-A INPUT -j INPUT_CHAIN
-A INPUT -j HOST_BLOCK_SRC
-A INPUT -j SPOOF_CHK
-A INPUT -i eth0 -j VALID_CHK
-A INPUT -i eth0 ! -p icmp -m state --state NEW -j EXT_INPUT_CHAIN
-A INPUT -i eth0 -p icmp -m state --state NEW -m limit --limit 60/sec --limit-burst 100 -j EXT_INPUT_CHAIN
-A INPUT -i eth0 -p icmp -m state --state NEW -j EXT_ICMP_FLOOD_CHAIN
-A INPUT -i eth1 -j INT_INPUT_CHAIN
-A INPUT -j POST_INPUT_CHAIN
-A INPUT -m limit --limit 1/sec -j LOG --log-prefix "AIF:Dropped INPUT packet: " --log-level 6
-A INPUT -j DROP
-A FORWARD -j BASE_FORWARD_CHAIN
-A FORWARD -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -j FORWARD_CHAIN
-A FORWARD -j HOST_BLOCK_SRC
-A FORWARD -j HOST_BLOCK_DST
-A FORWARD -i eth0 -j EXT_FORWARD_IN_CHAIN
-A FORWARD -o eth0 -j EXT_FORWARD_OUT_CHAIN
-A FORWARD -i eth1 -j INT_FORWARD_IN_CHAIN
-A FORWARD -o eth1 -j INT_FORWARD_OUT_CHAIN
-A FORWARD -j SPOOF_CHK
-A FORWARD -i eth1 -o eth1 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j LAN_INET_FORWARD_CHAIN
-A FORWARD -j POST_FORWARD_CHAIN
-A FORWARD -m limit --limit 1/min --limit-burst 3 -j LOG --log-prefix "AIF:Dropped FORWARD packet: " --log-level 6
-A FORWARD -j DROP
-A OUTPUT -j BASE_OUTPUT_CHAIN
-A OUTPUT -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A OUTPUT -j OUTPUT_CHAIN
-A OUTPUT -j HOST_BLOCK_DST
-A OUTPUT -f -m limit --limit 3/min -j LOG --log-prefix "AIF:Fragment packet: " --log-level 6
-A OUTPUT -f -j DROP
-A OUTPUT -o eth0 -j EXT_OUTPUT_CHAIN
-A OUTPUT -o eth1 -j INT_OUTPUT_CHAIN
-A OUTPUT -j POST_OUTPUT_CHAIN
-A OUTPUT -j ACCEPT
-A BASE_FORWARD_CHAIN -m state --state ESTABLISHED -j ACCEPT
-A BASE_FORWARD_CHAIN -p tcp -m state --state RELATED -m tcp --dport 1024:65535 -j ACCEPT
-A BASE_FORWARD_CHAIN -p udp -m state --state RELATED -m udp --dport 1024:65535 -j ACCEPT
-A BASE_FORWARD_CHAIN -p icmp -m state --state RELATED -j ACCEPT
-A BASE_FORWARD_CHAIN -i lo -j ACCEPT
-A BASE_INPUT_CHAIN -m state --state ESTABLISHED -j ACCEPT
-A BASE_INPUT_CHAIN -p tcp -m state --state RELATED -m tcp --dport 1024:65535 -j ACCEPT
-A BASE_INPUT_CHAIN -p udp -m state --state RELATED -m udp --dport 1024:65535 -j ACCEPT
-A BASE_INPUT_CHAIN -p icmp -m state --state RELATED -j ACCEPT
-A BASE_INPUT_CHAIN -i lo -j ACCEPT
-A BASE_OUTPUT_CHAIN -m state --state ESTABLISHED -j ACCEPT
-A BASE_OUTPUT_CHAIN -o lo -j ACCEPT
-A EXT_BROADCAST_CHAIN -p tcp -m tcp --dport 0:1023 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:PRIV TCP broadcast: " --log-level 6
-A EXT_BROADCAST_CHAIN -p udp -m udp --dport 0:1023 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:PRIV UDP broadcast: " --log-level 6
-A EXT_BROADCAST_CHAIN -p tcp -m tcp --dport 1024:65535 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:UNPRIV TCP broadcast: " --log-level 6
-A EXT_BROADCAST_CHAIN -p udp -m udp --dport 1024 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:UNPRIV UDP broadcast: " --log-level 6
-A EXT_BROADCAST_CHAIN -j DROP
-A EXT_FORWARD_IN_CHAIN -j VALID_CHK
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 3 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-unreachable flood: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 3 -j POST_INPUT_DROP_CHAIN
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 11 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-time-exceeded fld: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 11 -j POST_INPUT_DROP_CHAIN
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 12 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-param-problem fld: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 12 -j POST_INPUT_DROP_CHAIN
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-request(ping) fld: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 8 -j POST_INPUT_DROP_CHAIN
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 0 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-reply(pong) flood: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 0 -j POST_INPUT_DROP_CHAIN
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 4 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-source-quench fld: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m icmp --icmp-type 4 -j POST_INPUT_DROP_CHAIN
-A EXT_ICMP_FLOOD_CHAIN -p icmp -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP(other) flood: " --log-level 6
-A EXT_ICMP_FLOOD_CHAIN -p icmp -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 0 -m limit --limit 6/hour --limit-burst 1 -j LOG --log-prefix "AIF:Port 0 OS fingerprint: " --log-level 6
-A EXT_INPUT_CHAIN -p udp -m udp --dport 0 -m limit --limit 6/hour --limit-burst 1 -j LOG --log-prefix "AIF:Port 0 OS fingerprint: " --log-level 6
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 0 -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p udp -m udp --dport 0 -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p tcp -m tcp --sport 0 -m limit --limit 6/hour -j LOG --log-prefix "AIF:TCP source port 0: " --log-level 6
-A EXT_INPUT_CHAIN -p udp -m udp --sport 0 -m limit --limit 6/hour -j LOG --log-prefix "AIF:UDP source port 0: " --log-level 6
-A EXT_INPUT_CHAIN -p tcp -m tcp --sport 0 -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p udp -m udp --sport 0 -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p udp -m udp --sport 67 --dport 68 -j ACCEPT
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 4444 -j ACCEPT
-A EXT_INPUT_CHAIN -p udp -m udp --dport 53 -j ACCEPT
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth scan? (UNPRIV): " --log-level 6
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 0:1023 ! --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth scan? (PRIV): " --log-level 6
-A EXT_INPUT_CHAIN -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -d 255.255.255.255/32 -j EXT_BROADCAST_CHAIN
-A EXT_INPUT_CHAIN -d 224.0.0.0/4 -j EXT_MULTICAST_CHAIN
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 0:1023 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:PRIV TCP packet: " --log-level 6
-A EXT_INPUT_CHAIN -p udp -m udp --dport 0:1023 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:PRIV UDP packet: " --log-level 6
-A EXT_INPUT_CHAIN -p tcp -m tcp --dport 1024:65535 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:UNPRIV TCP packet: " --log-level 6
-A EXT_INPUT_CHAIN -p udp -m udp --dport 1024:65535 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:UNPRIV UDP packet: " --log-level 6
-A EXT_INPUT_CHAIN -p igmp -m limit --limit 1/min -j LOG --log-prefix "AIF:IGMP packet: " --log-level 6
-A EXT_INPUT_CHAIN -j POST_INPUT_CHAIN
-A EXT_INPUT_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-request: " --log-level 6
-A EXT_INPUT_CHAIN -p icmp -m icmp ! --icmp-type 8 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-other: " --log-level 6
-A EXT_INPUT_CHAIN -p tcp -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p udp -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p igmp -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -p icmp -j POST_INPUT_DROP_CHAIN
-A EXT_INPUT_CHAIN -m limit --limit 1/min -j LOG --log-prefix "AIF:Other connect: " --log-level 6
-A EXT_INPUT_CHAIN -j POST_INPUT_DROP_CHAIN
-A EXT_MULTICAST_CHAIN -p tcp -m tcp --dport 0:1023 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:PRIV TCP multicast: " --log-level 6
-A EXT_MULTICAST_CHAIN -p udp -m udp --dport 0:1023 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:PRIV UDP multicast: " --log-level 6
-A EXT_MULTICAST_CHAIN -p tcp -m tcp --dport 1024:65535 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:UNPRIV TCP multicast: " --log-level 6
-A EXT_MULTICAST_CHAIN -p udp -m udp --dport 1024 -m limit --limit 6/min --limit-burst 2 -j LOG --log-prefix "AIF:UNPRIV UDP multicast: " --log-level 6
-A EXT_MULTICAST_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-multicast-request: " --log-level 6
-A EXT_MULTICAST_CHAIN -p icmp -m icmp ! --icmp-type 8 -m limit --limit 12/hour --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-multicast-other: " --log-level 6
-A EXT_MULTICAST_CHAIN -j DROP
-A HOST_BLOCK_DROP -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "AIF:Blocked host(s): " --log-level 6
-A HOST_BLOCK_DROP -j DROP
-A INT_INPUT_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 20/sec --limit-burst 100 -j ACCEPT
-A INT_INPUT_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-request: " --log-level 6
-A INT_INPUT_CHAIN -p icmp -m icmp --icmp-type 8 -j DROP
-A INT_INPUT_CHAIN -j ACCEPT
-A LAN_INET_FORWARD_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 20/sec --limit-burst 100 -j ACCEPT
-A LAN_INET_FORWARD_CHAIN -p icmp -m icmp --icmp-type 8 -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "AIF:ICMP-request: " --log-level 6
-A LAN_INET_FORWARD_CHAIN -p icmp -m icmp --icmp-type 8 -j DROP
-A LAN_INET_FORWARD_CHAIN -p tcp -j ACCEPT
-A LAN_INET_FORWARD_CHAIN -p udp -j ACCEPT
-A LAN_INET_FORWARD_CHAIN -j ACCEPT
-A POST_INPUT_DROP_CHAIN -j DROP
-A SPOOF_CHK -s 192.168.10.0/24 -i eth1 -j RETURN
-A SPOOF_CHK -s 192.168.10.0/24 -m limit --limit 3/min -j LOG --log-prefix "AIF:Spoofed packet: " --log-level 6
-A SPOOF_CHK -s 192.168.10.0/24 -j POST_INPUT_DROP_CHAIN
-A SPOOF_CHK -j RETURN
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth XMAS scan: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth XMAS-PSH scan: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth XMAS-ALL scan: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth FIN scan: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth SYN/RST scan: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth SYN/FIN scan?: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -m limit --limit 3/min -j LOG --log-prefix "AIF:Stealth Null scan: " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,ACK,URG -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-option 64 -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "AIF:Bad TCP flag(64): " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-option 128 -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "AIF:Bad TCP flag(128): " --log-level 6
-A VALID_CHK -p tcp -m tcp --tcp-option 64 -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -p tcp -m tcp --tcp-option 128 -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -m state --state INVALID -j POST_INPUT_DROP_CHAIN
-A VALID_CHK -f -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "AIF:Fragment packet: "
-A VALID_CHK -f -j DROP
COMMIT
# Completed on Fri Oct 25 22:11:20 2013

« Последнее редактирование: 25 Октябрь 2013, 23:13:31 от boxik »

 

Страница сгенерирована за 0.059 секунд. Запросов: 24.