Форум русскоязычного сообщества Ubuntu


Автор Тема: как ограничить доступ  (Прочитано 941 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн mos

  • Автор темы
  • Новичок
  • *
  • Сообщений: 38
    • Просмотр профиля
как ограничить доступ
« : 01 Декабря 2009, 10:58:24 »
прошу помочь разобраться ногами не пинать т.к пока что начитываюсь) всяк информации и на практике ничего не реализовано
у меня 2 вопроса по настройке шлюза
OS ubuntu server 8.04
eth0 LAN 192.168.0.0
eth1 - идет на циску. 192.168.218.0. внешний статика
eth2 - идет на ADSL роутер. Роутер раздает инет сетке. 192.168.1.0 внешний динамика
понятно что на серваке я просто прописываю в resolv.conf днс от 2 ух провайдеров и всё должно работать.

есть 2 провайдера со статикой и с дин IP но безлимитный.
со статики идет подключение по впн(организованной циской) к главному офису в городе М.
задача когда юзеры в RDP подключались к IP 10.10.253.3 (город М) подключение шло через eth1
а все остальное перенаправлялось через eth2. в том числе и для самого сервера. чтоб он понимал сам для себя что ходить через eth1 только по адресу 10.10.253.3
чтоб не возникло разочерований во время обновленния и установки новых пакетов.
можно ли сие дело организовать с помошью iptables? а главное как
30 марта 2009 г
мой первый запуск Ubuntu

Оффлайн Mam(O)n

  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: как ограничить доступ
« Ответ #1 : 01 Декабря 2009, 11:03:36 »
Это к маршрутам относится. Нужно сделать так, чтобы через eth1 был один единственный маршрут к 10.10.253.3/32 через gw циски. И дефолтный маршрут через eth2.

Оффлайн mos

  • Автор темы
  • Новичок
  • *
  • Сообщений: 38
    • Просмотр профиля
Re: как ограничить доступ
« Ответ #2 : 01 Декабря 2009, 11:14:11 »
ммм т.е  маршруты будут следующие ?
route add -host 10.10.253.3 gw 192.168.218.1 netmask 255.255.255.0 eth2
route add -net 0.0.0.0 gw 192.168.1.50 netmask 255.255.255.0 eth1
route add -net 192.168.0.0 netmask 255.255.255.0 eth0
30 марта 2009 г
мой первый запуск Ubuntu

Оффлайн Mam(O)n

  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: как ограничить доступ
« Ответ #3 : 01 Декабря 2009, 11:38:17 »
точнее:

route add -host 10.10.253.3 gw 192.168.218.1 eth2
route add default gw 192.168.1.50 eth1


Пользователь решил продолжить мысль 01 Декабря 2009, 09:58:34:
Да, и еще забыл, про дефолтные в сети, если я правильно понял:

route add -net 192.168.218.0/24 eth2
route add -net 192.168.1.0/24 eth1
route add -net 192.168.0.0/24 eth0
« Последнее редактирование: 01 Декабря 2009, 12:00:22 от Mam(O)n »

Оффлайн mos

  • Автор темы
  • Новичок
  • *
  • Сообщений: 38
    • Просмотр профиля
Re: как ограничить доступ
« Ответ #4 : 04 Декабря 2009, 22:27:35 »
Мамон спасибо
но мне говорил что этого недостаточно и надо прописывать прокидку для пользователей в нате

еще разок проскочим
eth2 Local
eth1 LAN ADSL ROUTER
eth0 LAN CISCO
interfaces
(Нажмите, чтобы показать/скрыть)


resolv conf
nameserver 195.38.33.2
nameserver 195.38.33.3
route -n
(Нажмите, чтобы показать/скрыть)


IPTABLES

#!/bin/sh

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! eth2 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i eth2 -o eth1 -j ACCEPT

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

iptables -A FORWARD -i eth1 -o eth1 -j REJECT
# iptables -t nat -A PREROUTING -i eth1 -d ! 192.168.10.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.10.100:3128


собственно вопрос с такими настройками будет работать прокидка на 10.10.253.3 ) просто щас проверить не могу офис в городе М толи отпал толи отключен на ночь....
PS до настройки iptables работало. поставил перестало. погуглил не нашел. домой пора... загрузился с винды там тоже 10.10.253.3 не работает хотя в инет с циски ходит
30 марта 2009 г
мой первый запуск Ubuntu

Оффлайн Mam(O)n

  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: как ограничить доступ
« Ответ #5 : 05 Декабря 2009, 19:19:28 »
но мне говорил что этого недостаточно и надо прописывать прокидку для пользователей в нате
ага, точно. Либо на циске маршрутизацию настраивать либо маскардить на Ubuntu. Пойдём вторым путём:
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
iptables -A FORWARD -i eth2 -o eth0 -j ACCEPT

auto eth0
iface eth0 inet static
        address 192.168.218.100
        netmask 255.255.255.0
        broadcast 192.168.218.255
        network 192.168.218.0
        gateway 192.168.218.1
Лучше убери дефолтный маршрут, от греха подальше.

зы. Текущий конфиг iptables конечно не фонтан, но работать будет.

Оффлайн mos

  • Автор темы
  • Новичок
  • *
  • Сообщений: 38
    • Просмотр профиля
Re: как ограничить доступ
« Ответ #6 : 05 Декабря 2009, 21:08:54 »
thx
немного не понятен смысл не фонтан в плане безопасности или он корявый ) как мои пальцы  ;D
если первое то щас стоит задача как можно быстрее поднять сервак и отказаться от винды.
пооффтопим Сыпится она а остоваться на винде сыкотно.
осталось проверить связь до главного офиса и поставить сквид с htb антивирусник
танцы с бубном и самба готова )
на счет масс рассылки в разные темы сорри) неадекватен :uglystupid2:  :D
30 марта 2009 г
мой первый запуск Ubuntu

Оффлайн Mam(O)n

  • Старожил
  • *
  • Сообщений: 5855
    • Просмотр профиля
Re: как ограничить доступ
« Ответ #7 : 05 Декабря 2009, 21:33:57 »
При
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
это
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i ! eth2 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth2 -o eth1 -j ACCEPT
теряет какой-либо смысл. Все порты открыты и форвардинг разрешен в любом варианте, кроме eth1 <=> eth1.

Оффлайн mos

  • Автор темы
  • Новичок
  • *
  • Сообщений: 38
    • Просмотр профиля
Re: как ограничить доступ
« Ответ #8 : 07 Декабря 2009, 14:55:18 »
взял готовый скрипт

#Разрешим пропуск трафика через шлюз
sysctl -w net.ipv4.ip_forward="1"

#Установим политики по умолчанию для цепочек в DROP, запретив все соединения кроме тех, которые будут разрешены
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

#Разрешим входящие соединения на маршрутизатор с внутренней сети
iptables -A INPUT -i eth0 --source 192.168.10.0/24 --match state --state NEW,ESTABLISHED -j ACCEPT

#Разрешим маршрутизатору отвечать компьютерам во внутренней сети
iptables -A OUTPUT -o eth0 --destination 192.168.10.0/24 --match state --state NEW,ESTABLISHED -j ACCEPT


#Разрешим перенаправление пакетов из внутренней сети во внешнюю для установки соединений и установленных соединений:
iptables -A FORWARD -i eth0 --source 192.168.10.0/24 --destination 0.0.0.0/0 --match state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 --source 192.168.10.0/24 --destination 10.10.253.3 --match state --state NEW,ESTABLISHED -j ACCEPT

#Разрешим перенаправление пакетов из интернета во внутреннюю сеть только для установленных соединений
iptables -A FORWARD -i eth2 --destination 192.168.10.0/24 --match state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 --destination 192.168.10.0/24 --match state --state ESTABLISHED -j ACCEPT

заработает ?
« Последнее редактирование: 07 Декабря 2009, 15:32:36 от mos »
30 марта 2009 г
мой первый запуск Ubuntu

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28329
    • Просмотр профиля
Re: как ограничить доступ
« Ответ #9 : 07 Декабря 2009, 19:17:11 »
Попробуй?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.037 секунд. Запросов: 23.