|
Linux 7.2
На серваке 2 сетевухи, одна с локальным IP (192.168.0.1 - eth1), другая с реальным IP (197.128.11.14 - eth0). Необходимо чтоб локальными компы с адресами 192.168.0.2, 192.168.0.3 - не смогли выйти в инет, но при этом в локальной сети работали, остальным - разрешены любые передвижения (по сетки и в инете) |
Guest
А разве это не настройка по-умолчанию ? |
НЕТ!
|
Цитата:
Добавлено: Как минимум - что Вам нужно настроить - сеть, файервол, прокси ? |
Да это прямая дорога k ipchains ))
|
Или iptables :)
|
Я знаю что нужен iptables или ipchains. Кто может написать конкретный пример!!!???
|
хм... что то типа того:
-A forward -s 192.168.0.2/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j DENY -A forward -s 192.168.0.3/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j DENY -A forward -s 192.168.0.0/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j MASQ ...кстати в иннете полно Цитата:
Добавлено: это для ipchains |
|
Друзья, не сочтите за идиота, но раз взялись, обьясните доконца.
Как я понял, пишутся команды типа: -A forward -s 192.168.0.2/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j DENY -A forward -s 192.168.0.3/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j DENY где: ACCEPT: принять пакет DENY: уничтожить REJECT: отвергнуть, т.е. уничтожить и послать квитанцию отправителю в виде ICMP-пакета, если, конечно, отвергаемый пакет сам не был ICMP. MASQ: замаскарадить пакет - допустимо только в пересылочной цепочке и только если ядро было скомпилировано с поддержкой маскарадинга REDIRECT: переадресовать пакет на определенный порт локальной машины, независимо от того, куда он был отправлен (прозрачное проксирование). Допустимо только во входной цепочке. Номер порта указывается после ключевого слова REDIRECT. RETURN: вызывает прекращение дальнейших проверок в цепочке и применение к пакету политики цепочки. 1) Могу ли я эти команды (-A forward -s 192.168.0.2/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j DENY -A forward -s 192.168.0.3/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j DENY ) записать в отдельный файл? 2) Если да, то как правильно пишутся команды в файле? 3) Как линукс заставить обращаться к этому файлу во время работы? Большое спасибо. |
1)Да конечно,
2) #!/bin/sh ipchains -A forward -s 192.168.0.2/255.255.255.0 -d 0.0.0.0/0.0.0.0 -j DENY 3) Прописать его в одну из rc'шек. После инициализации сети Но для этого нужен ipchains. У меня его не было, мне пришлось пересобирать ядро. Проверить есть ли он у тебя можно так: ipchains -LM [s]Исправлено: Bugs, 11:33 15-03-2003[/s] |
Bugs - отлично, но начиная с Linux 2.4 используется уже iptables (хотя и ipchains тоже можно использовать). По какому принципу построится файл работающий с iptables?
|
Вообщето наооборот, отказались от iptables, по моему, я знаю только ipchains
|
Привет.
Так iptables or ipchains в kernel 2.4. Обидно что придется компильть ядро. |
Тебе в любом случае ядро пересобирать, т.к. они обы выключены по умолчанию...
|
Bugs
От iptables никто не отказывался. Если ядро 2.4 - лучше iptables (ipchains с ядром 2.4 не полностью фунлциональное) Если 2.2 - тогда ipchains |
glassMonk прав ruslandh, "наблюдается постепенная тенденция внедрения iptables, как замена ipchains на нывых (с 2.4) ядрах" (с) %о))) непомню кто, просто запомнилось фраза своей навороченью!
Bugs , насчёт по-умолчанию... :о/ это зависит от Дистра, так в последних RH там как раз по умолчанию и chains и tables включены! |
Guest 193.111.11.*
можно прописать в rc.* как и предлогалось, т.е. Цитата:
так вот, ну и добавить в автозапуск, ...тока в файле можно не писать команды, т.е. Цитата:
|
Я тут уже начал читать
http://gazette.linux.ru.net/rus/arti...-tutorial.html да iptables штука очень навароченная. Севот всем кто еще не знает что это, быстро читать. |
| Время: 22:24. |
Время: 22:24.
© OSzone.net 2001-