Вопрос по настройке iptables [Версия для КПК]

Показать полную графическую версию : Вопрос по настройке iptables

zarathushtra

19-06-2003, 01:32

Привет всем,
В чем собственно дело, все тачки в локалке имеют доступ в инет, а вот сам шлюз попасть туда не может после загрузки данного кофига.
Как сделать так, чтобы шлюз тоже имел доступ в инет, но без потери в безопастности?
Конфиг прилагаю:  
exec
echo 0 > /proc/sys/net/ipv4/ip_forward
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -j LOG -i eth1 \! -s 172.168.1.0/24
iptables -A INPUT -j DROP -i eth1 \! -s 172.168.1.0/24
iptables -A INPUT -j DROP -i \! lo -s 127.0.0.0/255.0.0.0
iptables -A INPUT -j ACCEPT -i lo
iptables -A INPUT -m state --state ESTABLISHED,RELATED  -i eht0 -p \! icmp -j ACCEPT
iptables -A INPUT -m state --state NEW -i eth0 -j DROP
iptables -A INPUT -j ACCEPT -p all -i eth1 -s 172.168.1.0/24
iptables -t nat -A POSTROUTING -o eth0  -j MASQUERADE
iptables -A INPUT -j ACCEPT -p icmp -i eth0 --icmp-type echo-reply -d 192.168.10.104
iptables -A INPUT -j ACCEPT -p icmp -i eth0 --icmp-type echo-request -d 192.168.10.104
iptables -A INPUT -j ACCEPT -p icmp -i eth0 --icmp-type destination-unreachable -d 192.168.10.104
echo 1 > /proc/sys/net/ipv4/ip_forward
exit 0
----------------------------------
Заранее спасибо.

JeweL

23-06-2003, 11:48

попробуй добавить в конце правило
iptables -A INPUT -j LOG --log-prefix "DROPPED in INPUT: "
и посмотри что будет в логах

Nigon

23-06-2003, 18:32

zarathushtra
C iptables всерьез не работал, но посоветую прочитать вот это:
http://www.mycomp.com.ua/article.php?id=5184

Neon

03-09-2003, 13:37

У меня происходит такая же ерунда
а когда пишу iptables -A INPUT -j ACCEPT -i eth0 -p all
то все работает...
смотрю логи: droped in:lo -s 127.0.0.1 -d 127.0.0.1
что там нужно прописать ?

JeweL

03-09-2003, 13:50

Neon
127.0.0.0/8 (в т.ч. 127.0.0.1) - интерфейс lo, а не eth0
идея ясна?

Neon

03-09-2003, 14:13

iptables -A INPUT -j ACCEPT -i lo -p all -s 127.0.0.0/8 -d 127.0.0.0/8
не работает
пробовал:
iptables -A INPUT -j ACCEPT -i eth0 -p all -s 0/0 -d 127.0.0.0/8 - не пускает
iptables -A INPUT -j ACCEPT -i eth0 -p all - все отлично работает, но зачем тогда firewall
есть еще какието мысли ?

JeweL

03-09-2003, 14:36

непонятно что вы хотите сделать, но это должно работать:
iptables -A OUTPUT -j ACCEPT -s 127.0.0.1 -p all
iptables -A INPUT -j ACCEPT -i lo -p all

смысла 2 и 3 правил не вижу

ps. поищите на opennet.ru "Iptables Tutorial 1.1.14"