| 0
- 04.09.2012 - 16:25
|
Есть шлюз на debian linux помогите с решением iptables, как сделать так что бы: 1) Все входящие соединения с WAN на LAN были закрыты 2) Доступ к удаленному рабочему столу через openvpn ОСУЩЕСТВЛЯЛСЯ ТОЛЬКО ПО MAC адресу 3) Подключить второго провайдера     | |
| 1
- 04.09.2012 - 17:30
|
1. Выкинуть дебизьяний шлюз наф 2. Купить за 1500 аппаратный д-линковский шлюз. Настроить требуемое через вебморду или прилагаемым к шлюзу мастером. | |
| 2
- 04.09.2012 - 18:26
| 1-Flukostat > за 1500 можно ченить из микротиков прикупить | |
| 3
- 04.09.2012 - 18:37
| одна малина | |
| 4
- 04.09.2012 - 21:02
| Я бы посоветовал смотреть не в сторону iptables (оно для начального уровня сурово), а к надстройке (точнее генератору правил) - Shorewall. | |
| Модератор 5
- 04.09.2012 - 22:04
| я бы посоветовал смотреть в сторону http://www.opennet.ru/docs/RUS/iptables/ , но автору надо чтобы оно само все настроилось, тут единственный вариант чтобы кто-то пришел и бесплатно все сделал. | |
| 6
- 05.09.2012 - 14:05
|
Спасибо всем за внимание к моей теме!!! Вот мое правило почему не работает доступ по MAC Как все запретить кроме того, что у меня сейчас работает =)), когда ставлю в iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP все перестает работать =))) #!/bin/sh iptables -F iptables -t nat -F iptables -X iptables -t nat -X iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP export LAN=eth2 export WAN=eth1 export WAN1=eth0 iptables -I INPUT 1 -i ${LAN** -j ACCEPT iptables -I INPUT 1 -i lo -j ACCEPT iptables -A INPUT -p UDP --dport bootps -i ${LAN** -j REJECT iptables -A INPUT -p UDP --dport domain -i ${LAN** -j REJECT iptables -A INPUT -p TCP -i ${LAN** -d 0/0 --dport 0:1023 -j DROP iptables -A INPUT -p UDP -i ${LAN** -d 0/0 --dport 0:1023 -j DROP iptables -I FORWARD -i ${LAN** -d x.x.x.x/255.255.255.0 -j DROP iptables -A FORWARD -i ${LAN** -s x.x.x.x/255.255.255.0 -j ACCEPT iptables -A FORWARD -i ${WAN** -d x.x.x.x/255.255.255.0 -j ACCEPT iptables -A FORWARD -i eth2 -o tun0 -s x.x.x.x -m mac --mac-source x:x:x:x:x:x -j ACCEPT #manager iptables -A FORWARD -i eth2 -o tun0 -s x.x.x.x -m mac --mac-source x:x:x:x:x:x -j ACCEPT #manager iptables -A FORWARD -i eth2 -o tun0 -s x.x.x.x -m mac --mac-source x:x:x:x:x:x -j ACCEPT #manager iptables -A FORWARD -i eth2 -o tun0 -s x.x.x.x -m mac --mac-source x:x:x:x:x:x -j ACCEPT #manager #iptables -A FORWARD -i tun0 -d x.x.x.x/255.255.255.0 -j ACCEPT iptables -A FORWARD -i tun1 -d x.x.x.x/255.255.255.0 -j ACCEPT iptables -A FORWARD -i ${WAN1** -d x.x.x.x/255.255.255.0 -j ACCEPT iptables -t nat -A POSTROUTING -o ${WAN** -j MASQUERADE iptables -t nat -A POSTROUTING -o ${WAN1** -j MASQUERADE iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE iptables -t nat -A POSTROUTING -o tun1 -j MASQUERADE iptables -t nat -A PREROUTING -s x.x.x.x/24 -p tcp -m multiport --dport 80 -j REDIRECT --to-port 3128 Заранее всем спасибо!!! | |
| 7
- 05.09.2012 - 15:26
| Вотпля, писанины-то сколько, читать лень. Аффтар,возьми вебморду, поставь в ней пару галок и не иссушай моск. | |
| 8
- 05.09.2012 - 17:38
| почему не работает доступ по MAC потому что tun разный политику безусловно в drop iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #export не нужен LAN=eth2 WAN=eth1 WAN1=eth0 WANIP0=1.2.3.4 WANIP1=2.3.4.5 INTIP0=3.4.5.6 INTNET0=1.2.3.0/24 # INPUT iptables -A INPUT -j ACCEPT -i lo iptables -A INPUT -j DROP -p tcp ! --syn -m state --state NEW iptables -A INPUT -j ACCEPT -i $LAN -m state --state ESTABLISHED,RELATED iptables -A INPUT -j ACCEPT -i $WAN -m state --state ESTABLISHED,RELATED iptables -A INPUT -j ACCEPT -i $WAN1 -m state --state ESTABLISHED,RELATED iptables -A INPUT -j ACCEPT -i $LAN -p tcp --syn --dport 22 #далее по потребностям # OUTPUT iptables -A OUTPUT -j ACCEPT -o lo iptables -A OUTPUT -j ACCEPT -o $LAN -s $INTIP0 iptables -A OUTPUT -j ACCEPT -o $WAN -s $WANIP0 iptables -A OUTPUT -j ACCEPT -o $WAN1 -s $WANIP1 # FORWARD #это для красоты iptables -A FORWARD -j DROP -s 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16 iptables -A FORWARD -j DROP -p tcp ! --syn -m state --state NEW iptables -A FORWARD -j DROP -p tcp -m state --state INVALID #/EndOfКрасота iptables -A FORWARD -j ACCEPT -i $tunX -o $LAN -d $INTNET0 -m state --state ESTABLISHED,RELATED iptables -A FORWARD -j ACCEPT -i $LAN -o $tunX -s $INTNET0 -m state --state ESTABLISHED,RELATED iptables -A FORWARD -j ACCEPT -i $LAN -o $tunX -s x.x.x.x -m max --mac-source x:x:x:x:x:x #tunX где X правильный номер, или $tun+ | |
| 9
- 05.09.2012 - 17:41
|
в последнем правиле очепятка "-m max"="-m mac" | |
| 10
- 11.09.2012 - 16:42
|
Не работает! =(( Наверное изначально не правильно сообщил: у меня сеть из 13 компов + 1 прозрачный прокси сервер на котором развернут шлюз(2ва VPN канала один из которых для удаленного рабочего стола к которому и нужен доступ по MAC; подключены два провайдера один стабильный, а другой для скачивания и всего остального, соответственно если один отвалится то переходит на другой) который должен быть закрыт из вне а и открыт доступ по своему ssh порту. | |
| 11
- 11.09.2012 - 16:46
|
При применении скрипта который выше происходит следующее: с сервера пингуется и интернет и компы в сети (хорошо!!), но с остальных компов сервер не пингуется и соответственно нет интернета | |
| 12
- 11.09.2012 - 17:11
|
логично, чё) По правилам выше, LAN-клиенты с определённым(и) MAC-адресами могут общаться только с VPN (очевидно там нет интернета), а также сервер нельзя пинговать вообще никому, только из LAN заходить по ssh (22й порт) =) Учитывая наличие прозрачного прокси (т.е. это REDIRECT дето в iptables и про него тоже не надо забывать), двух каналов (в режиме failover) и двух VPN-ов - правила как бы будут слегка иными. | |
| 13
- 11.09.2012 - 20:36
|
10-savR > Не работает! =(( если вы воспроизводили правила 1=1, то есть еще одна очепятка, очевидная для понимающих и незаметная для ничего незнающих везде где $tunX, знак доллара не нужен, т.е. tunX, tun0 tun1 и т.д. вместо X подставить правильную цифирь | |
| 14
- 12.09.2012 - 08:36
|
До MAC'ов я не дошел, т.к. решил сначала без них проверить доступ всех машин к интернету и к удаленке сделав во это: iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #export не нужен LAN=eth2 WAN=eth1 WAN1=eth0 WANIP0=1.2.3.4 WANIP1=2.3.4.5 INTIP0=3.4.5.6 INTNET0=1.2.3.0/24 # INPUT iptables -A INPUT -j ACCEPT -i lo iptables -A INPUT -j DROP -p tcp ! --syn -m state --state NEW iptables -A INPUT -j ACCEPT -i $LAN -m state --state ESTABLISHED,RELATED iptables -A INPUT -j ACCEPT -i $WAN -m state --state ESTABLISHED,RELATED iptables -A INPUT -j ACCEPT -i $WAN1 -m state --state ESTABLISHED,RELATED iptables -A INPUT -j ACCEPT -i $LAN -p tcp --syn --dport 22 #далее по потребностям # OUTPUT iptables -A OUTPUT -j ACCEPT -o lo iptables -A OUTPUT -j ACCEPT -o $LAN -s $INTIP0 iptables -A OUTPUT -j ACCEPT -o $WAN -s $WANIP0 iptables -A OUTPUT -j ACCEPT -o $WAN1 -s $WANIP1 # FORWARD #это для красоты iptables -A FORWARD -j DROP -s 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16 iptables -A FORWARD -j DROP -p tcp ! --syn -m state --state NEW iptables -A FORWARD -j DROP -p tcp -m state --state INVALID После применения ни у кого кроме сервера интернета не было! Может я тут напутал? WANIP0= ip первого провайдера WANIP1= ip второго провайдера INTIP0= ???? INTNET0=1.2.3.0/24 диапазон | |
| 15
- 24.05.2013 - 09:40
| тема закрыта | |
Интернет-форум Краснодарского края и Краснодара |
