Старожил
Сообщения: 178
Благодарности: 4
|
Профиль
|
Отправить PM
| Цитировать
По первому вопросу: нет этого не хватит - это только начало и конец скриптов чтобы небыло проблем с LO - интерфейса обратной петли 127.0.0.1 в линуксе и доступ всеи DMZ-внутренней сети между двумя серверами- сети. Плюс маскарадинг сети... скрываем внутреннюю сеть от посторонних глаз...
Где стоит <поцокано> идут твои правила на сервисы машины.. например www ftp и тд что должно работать...
Обязатьльно нужно разрешить и icmp протокол например:
#------------------------------------------------------------------
# ICMP
#------------------------------------------------------------------
#------------------------------------------------------------------
# (4) *Source_Quench
# * * *incoming & outgoing requests to slow down (flow control)
-A INPUT *-i eth0 -p icmp -s any/0 --icmp-type 4 -d 10.0.0.254 -j ACCEPT
-A OUTPUT -o eth0 -p icmp -s 10.0.0.254 --icmp-type 4 -d any/0 -j ACCEPT
# ISP
-A INPUT *-i eth1 -p icmp -s any/0 --icmp-type 4 -d XXX.XXX.XXX.XXX -j ACCEPT
-A OUTPUT -o eth1 -p icmp -s XXX.XXX.XXX.XXX --icmp-type 4 -d any/0 -j ACCEPT
#------------------------------------------------------------------
# (12) Parameter_Problem
# * * *incoming & outgoing error messages
-A INPUT *-i eth0 -p icmp -s any/0 --icmp-type 12 -d 10.0.0.254 -j ACCEPT
-A OUTPUT -o eth0 -p icmp -s 10.0.0.254 --icmp-type 12 -d any/0 -j ACCEPT
# ISP
-A INPUT *-i eth1 -p icmp -s any/0 --icmp-type 12 -d XXX.XXX.XXX.XXX -j ACCEPT
-A OUTPUT -o eth1 -p icmp -s XXX.XXX.XXX.XXX --icmp-type 12 -d any/0 -j ACCEPT
#------------------------------------------------------------------
# (3) *Dest_Unreachable, Service_Unavailable
# * * *incoming & outgoing size negotiation, service or
# * * *destination unavailability, final traceroute response
-A INPUT *-i eth0 -p icmp -s any/0 --icmp-type 3 -d 10.0.0.254 -j ACCEPT
-A OUTPUT -o eth0 -p icmp -s 10.0.0.254 --icmp-type 3 -d any/0 -j ACCEPT
# ISP
-A INPUT *-i eth1 -p icmp -s any/0 --icmp-type 3 -d XXX.XXX.XXX.XXX -j ACCEPT
-A OUTPUT -o eth1 -p icmp -s XXX.XXX.XXX.XXX --icmp-type 3 -d any/0 -j ACCEPT
#------------------------------------------------------------------
# (11) Time_Exceeded
# * * *incoming & outgoing time out conditions,
# * * *also intermediate TTL response to traceroutes
-A INPUT *-i eth0 -p icmp -s any/0 --icmp-type 11 -d 10.0.0.254 -j ACCEPT
-A OUTPUT -o eth0 -p icmp -s 10.0.0.254 --icmp-type 11 -d any/0 -j ACCEPT
# ISP
-A INPUT *-i eth1 -p icmp -s any/0 --icmp-type 11 -d XXX.XXX.XXX.XXX -j ACCEPT
-A OUTPUT -o eth1 -p icmp -s XXX.XXX.XXX.XXX --icmp-type 11 -d any/0 -j ACCEPT
#------------------------------------------------------------------
# (8) Echo Request
# (0) Echo Reply
# allow outgoing pings to anywhere
-A OUTPUT -o eth0 -p icmp -s 10.0.0.254 --icmp-type 8 -d any/0 -j ACCEPT
-A INPUT *-i eth0 -p icmp -s any/0 --icmp-type 0 -d 10.0.0.254 -j ACCEPT
# allow incoming pings from trusted hosts
-A INPUT *-i eth0 -p icmp -s any/0 --icmp-type 8 -d 10.0.0.254 -j ACCEPT
-A OUTPUT -o eth0 -p icmp -s 10.0.0.254 --icmp-type 0 -d any/0 -j ACCEPT
# ISP
# allow outgoing pings to anywhere
-A OUTPUT -o eth1 -p icmp -s XXX.XXX.XXX.XXX --icmp-type 8 -d any/0 -j ACCEPT
-A INPUT *-i eth1 -p icmp -s any/0 --icmp-type 0 -d XXX.XXX.XXX.XXX -j ACCEPT
# allow incoming pings from trusted hosts
-A INPUT *-i eth1 -p icmp -s any/0 --icmp-type 8 -d XXX.XXX.XXX.XXX -j ACCEPT
-A OUTPUT -o eth1 -p icmp -s XXX.XXX.XXX.XXX --icmp-type 0 -d any/0 -j ACCEPT
Чтобы ходили пинги и т.д были ответы твоего сервера...
Это встовляешь где <поцокано> - потом все вместе в файл
/etc/sysconfig/iptables
и перезапускаешь ipTables
/etc/rc.d/init.d/iptables restart
1. Где стоит XXX.XXX... - напиши свои IP и 10.0.0..... ip внутренней сети DMZ...
2. Учти что данный кусок дает права доступа только lo, внутренней сети на твою машину и ответам сервака на пинг и тд на управляющую часть протокола tcp/ip - icmp.
А тебе еще необходимо разрешить как минимум ходить telnet(или SSH что предпочтительней), DNS,WWW, FTP... и тд...
Иначе не будет доступа в инет основных служб и вашей сети к ним... Т.Е доступа к ресурсам инета...
PS
[offtopic]
Если необходимо подробнее стучись в асю... ибо это и так много... и далее приватный разговор по настройке Linux
[/offtopic]
Или пости сюда будем делать по шагам... с перерывами...
[s]Исправлено: sergleo, 17:31 16-09-2003[/s]
|
|
-------
Best regard`s SergLeo
Отправлено: 16:17, 16-09-2003
| #6
|
