Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: iptables вопрос  (Прочитано 304 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн mavapo

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
iptables вопрос
« : 01 Март 2018, 10:40:01 »
Здравствуйте!
Никак не могу понять следующую строку для настройки маршрутизации (eth0 - интернет, eth1 - LAN 192.168.0.0/24):
#sudo iptables -A FORWARD -i eth0 -o eth1 -s 192.168.0.0/24 -m conntrack --ctstate NEW -j ACCEPT
Вроде -i eth0 это входящий для пакетов интерфейс, а -s 192.168.0.0/24 это сеть источника пакета. Как в eth0 может приходить пакет с ip-источника из диапазона 192.168.0.0/24? Вроде все пакеты будут приходить с белыми ip адресами источника?

Оффлайн obormot

  • Любитель
  • *
  • Сообщений: 64
    • Просмотр профиля
Re: iptables вопрос
« Ответ #1 : 01 Март 2018, 10:51:56 »
mavapo, попробутйе сначала это: https://ru.wikibooks.org/wiki/Iptables
Cразу оaдимном железок за 200k$ вы не станете, но "проникнетесь", как любил когда-то формулировать наш ув.fisher74.
Я, старый железячник и не менее старый виндузятник, некогда "проникся". И уверяю вас: правильно заданный вопрос - уже гарантия решения.
зы\
(Нажмите, чтобы показать/скрыть)
« Последнее редактирование: 01 Март 2018, 10:57:02 от obormot »

Оффлайн Дмитрий Бо

  • Погонщик серверов
  • Модератор раздела
  • Старожил
  • *
  • Сообщений: 3538
  • Я не техподдержка, я за порядком слежу
    • Просмотр профиля
    • LinkedIn
Re: iptables вопрос
« Ответ #2 : 01 Март 2018, 10:59:36 »
mavapo, может это реально неправильное правило?

Что говорят как минимум ip a и iptables-save?
Не опускай рук, а то пропустишь в бороду

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13730
    • Просмотр профиля
Re: iptables вопрос
« Ответ #3 : 01 Март 2018, 12:58:10 »
ИМХО, я полностью соглашусь с ТС и Дмитрий Бо - это правило не правильное.
Мало того, оно вредное, так как допускает атаку на локальную сеть.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн mavapo

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: iptables вопрос
« Ответ #4 : 01 Март 2018, 13:25:12 »
Благодарю за ответ. Хотел узнать не криво ли у меня настроено. Дело в том, что настройка такая работает и раздает интернет по локальной сети. Вот из этой статьи взято https://oss-it.ru/129 Я хотел разобраться подробно с настройками, что именно и как настроено. Эта команда создает в таблице filter правило для установки соединений, причем верное. В этом созданном правиле в filter нет упоминаний интерфейсов вообще. ip-маршруты тоже правильные, по умолчанию. Порядок интерфейсов в команде мне показался обратным. На конфигурацию вроде не влияет, как я увидел. Возник вопрос, не попутаны ли интерфейсы в команде местами и на что влияют и где это влияние посмотреть. А если не влияют, зачем вообще в команде прописываются. Буду дальше изучать как перенастроить с защитой сети по максимуму.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25755
    • Просмотр профиля
Re: iptables вопрос
« Ответ #5 : 01 Март 2018, 14:16:41 »
Присоединюсь к Дмитрий Бо, без информации судить о правильности вырванного из контекста правила невозможно.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.063 секунд. Запросов: 24.