Форум русскоязычного сообщества Ubuntu


Автор Тема: Полностью раздельные сети с прокинутым портом.  (Прочитано 306 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн dragomir-onishhenko@yande

  • Автор темы
  • Новичок
  • *
  • Сообщений: 38
    • Просмотр профиля
Господа, доброго дня!
Хотел попросить у Вас помощи:
есть сервер на бунте, iptables не настраивал, в чем сильно ошибся. На сервере АД. Необходимо разделить 2 сетевых интерфейса полностью, но прокинуть таки один порт для рдп из другой сети. Прокинуть его надо на комп в сети.
Сначала полагал все закрыть, а открыть только то, что нужно. Но испугало меня АД Samba4\Kerberos\Bind9.9 ибо какие порты и протоколы он слушает выяснять на живую очень не хотелось бы.
Собственно вопрос: могу ли я с помощью iptables полностью разделить сети не закрывая ничего, но прокинуть один протокол?
FORWARD DROP?
FORWARD -i eth1 -p 3389 --to-destination xx.xx.2.20:3389


Пользователь добавил сообщение 22 Апрель 2016, 19:45:13:
Я несколько занервничал, обнаружив сегодня в сети дыру размером с дом.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26062
    • Просмотр профиля
Да.
С одной поправкой - обратный трафик тоже надо разрешить.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн dragomir-onishhenko@yande

  • Автор темы
  • Новичок
  • *
  • Сообщений: 38
    • Просмотр профиля
То есть output для порта в интерфейсе 1?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26062
    • Просмотр профиля
То есть conntrack ESTABLISHED,RELATED.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн dragomir-onishhenko@yande

  • Автор темы
  • Новичок
  • *
  • Сообщений: 38
    • Просмотр профиля
То бишь полностью скрипт приблизительно так:

iptables -P FORWARD DROP
iptables -A FORWARD -i eth1 -p 3389 --to-destination xx.xx.2.20:3389
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

Верно? Я уточняю, потому как сервер рабочий - не хотелось выключить его из сети...

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26062
    • Просмотр профиля
Вообще-то в обратном порядке.
Правила нужно писать от часто используемых к редко.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн dragomir-onishhenko@yande

  • Автор темы
  • Новичок
  • *
  • Сообщений: 38
    • Просмотр профиля
Oк, написал так:
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth2 -o eth1 -d xx.xx.2.23 -p tcp --dport 3389 -j ACCEPT
iptables -P FORWARD DROP
iptables -A -i eth2 -o eth1 FORWARD -j DROP
iptables -A -i eth1 -o eth2 FORWARD -j DROP

В итоге пинги проходят даже, хотя, как я понял, что я закрыл любой форвардинг с одного иф на другой.
Хотя, вероятно - я ничего не понял. Моя голова отказывается почему-то это понять.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Анализ работы netfilter правильно проводить опираясь исключительно на ПОЛНЫЙ список загруженных правил, а не список последних команд загружающих часть правил.
К примеру, если до Вашего вмешательства в списке правил уже было что-то типа
*filter
-A FORWARD -p tcp -j ACCEPT
то все Ваши команды не принесут ожидаемого эффекта, так как всё будет разрешено уже на первом же правиле.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26062
    • Просмотр профиля
После третьего правила 4 и 5 бессмысленны.
А дальше смотрите iptables-save, смотрите на карту, думайте…
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
После третьего правила 4 и 5 бессмысленны.
полностью поддерживаю, но мне кажется ТС их уже от непонимания происходящего вводил
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн dragomir-onishhenko@yande

  • Автор темы
  • Новичок
  • *
  • Сообщений: 38
    • Просмотр профиля
Господа, спасибо, именно оттого и вводил.
Но...я правда забыл сохранить таблички.
До этих правил ничего не было.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
"Нет, сынок, это фантастика" ©
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн dragomir-onishhenko@yande

  • Автор темы
  • Новичок
  • *
  • Сообщений: 38
    • Просмотр профиля
Все бывает:)
Спасибо за помощь:)

 

Страница сгенерирована за 0.079 секунд. Запросов: 25.