The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Centos и iptables"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [ Отслеживать ]

"Centos и iptables"  +/
Сообщение от ksw email(ok) on 27-Апр-09, 11:38 
Недавно поставил CentOS  и решил раздать с него инет на комп с виндой. Правила iptables в Centos пишутся в /etc/sysconfig/iptables.
Пишу
-A RH-Firewall-1-IPTBALES -A POSTROUTING -t nat -o ppp0 -j MASQUERADE

iptables не хочет заводиться, ругается на -t

Помогите разобраться

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Centos и iptables"  +/
Сообщение от angra (ok) on 27-Апр-09, 11:50 
Открываем man iptables и видим:

IPTABLES(8)                                                         iptables 1.4.3.2                                                        IPTABLES(8)

NAME
       iptables - administration tool for IPv4 packet filtering and NAT

SYNOPSIS
       iptables [-t table] {-A|-D} chain rule-specification

Теперь сравниваем с той херней, что написал ты.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Centos и iptables"  +/
Сообщение от ksw email(ok) on 27-Апр-09, 12:24 
>[оверквотинг удален]
>
>NAME
>       iptables - administration tool for
>IPv4 packet filtering and NAT
>
>SYNOPSIS
>       iptables [-t table] {-A|-D} chain
>rule-specification
>
>Теперь сравниваем с той херней, что написал ты.

Ну напиши, как надо. По примерам в нете, все так пишут... Потерялся я че-то...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Centos и iptables"  +/
Сообщение от angra (ok) on 27-Апр-09, 12:29 
Знаешь, как то не тянет помогать в чем-то человеку, который признает, что на большее чем обезьянье копирование он не способен.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Centos и iptables"  +/
Сообщение от pacer (ok) on 27-Апр-09, 12:35 
>[оверквотинг удален]
>>IPv4 packet filtering and NAT
>>
>>SYNOPSIS
>>       iptables [-t table] {-A|-D} chain
>>rule-specification
>>
>>Теперь сравниваем с той херней, что написал ты.
>
>Ну напиши, как надо. По примерам в нете, все так пишут... Потерялся
>я че-то...

напиши в командной сторке: iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
затем дай команду service iptables save
и все!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Centos и iptables"  +/
Сообщение от ksw email(ok) on 27-Апр-09, 12:43 

>
>напиши в командной сторке: iptables -t nat -A POSTROUTING -o ppp0 -j
>MASQUERADE
>затем дай команду service iptables save
>и все!

Спасибо! Писал и так. Только не признает мой Centos команды service, вообще мало что признает, ifconfig тож не хочет выполнять...


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Centos и iptables"  +/
Сообщение от reader (ok) on 27-Апр-09, 12:54 
>
>>
>>напиши в командной сторке: iptables -t nat -A POSTROUTING -o ppp0 -j
>>MASQUERADE
>>затем дай команду service iptables save
>>и все!
>
>Спасибо! Писал и так. Только не признает мой Centos команды service, вообще
>мало что признает, ifconfig тож не хочет выполнять...

а если из под root и полный путь указывать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Centos и iptables"  +/
Сообщение от pacer (ok) on 27-Апр-09, 12:56 
>
>>
>>напиши в командной сторке: iptables -t nat -A POSTROUTING -o ppp0 -j
>>MASQUERADE
>>затем дай команду service iptables save
>>и все!
>
>Спасибо! Писал и так. Только не признает мой Centos команды service, вообще
>мало что признает, ifconfig тож не хочет выполнять...

тогда так: /etc/init.d/iptables save
скорее всего не нехочет выполнять, а не знает где находится команда.
Вводи полный путь, попробуй /sbin/ifconfig

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Centos и iptables"  +/
Сообщение от reader (ok) on 27-Апр-09, 12:43 
>Недавно поставил CentOS  и решил раздать с него инет на комп
>с виндой. Правила iptables в Centos пишутся в /etc/sysconfig/iptables.
>Пишу
>-A RH-Firewall-1-IPTBALES -A POSTROUTING -t nat -o ppp0 -j MASQUERADE
>
>iptables не хочет заводиться, ругается на -t
>
>Помогите разобраться

не нужно путать утилиту iptables и файл /etc/sysconfig/iptables.
последний заполняется в стиле iptables-save.

https://www.opennet.ru/docs/RUS/iptables/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Centos и iptables"  +/
Сообщение от ksw email(ok) on 27-Апр-09, 12:56 
>[оверквотинг удален]
>>-A RH-Firewall-1-IPTBALES -A POSTROUTING -t nat -o ppp0 -j MASQUERADE
>>
>>iptables не хочет заводиться, ругается на -t
>>
>>Помогите разобраться
>
>не нужно путать утилиту iptables и файл /etc/sysconfig/iptables.
>последний заполняется в стиле iptables-save.
>
>https://www.opennet.ru/docs/RUS/iptables/

Да уже напишите, как надо, как будет работать...


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Centos и iptables"  +/
Сообщение от Berlin on 27-Апр-09, 13:28 

>
>Да уже напишите, как надо, как будет работать...

iptables -A POSTROUTING -s 192.168.1.1/24 -o ppp0 -j MASQUERADE

Вот так будет точно работать, по простецкий.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Centos и iptables"  +/
Сообщение от ksw email(ok) on 27-Апр-09, 14:45 

>iptables -A POSTROUTING -s 192.168.1.1/24 -o ppp0 -j MASQUERADE
>
>Вот так будет точно работать, по простецкий.

Спасиб, мне сложнецкий и не надо. Вечером попробую... Только вот что-то не верится, по-моему, я так уже делал...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Centos и iptables"  +/
Сообщение от Berlin on 27-Апр-09, 16:03 
>
>>iptables -A POSTROUTING -s 192.168.1.1/24 -o ppp0 -j MASQUERADE
>>
>>Вот так будет точно работать, по простецкий.
>
>Спасиб, мне сложнецкий и не надо. Вечером попробую... Только вот что-то не
>верится, по-моему, я так уже делал...

Только ее надо прописать в цепочку *nat в файле /etc/sysconfig/iptables
-A POSTROUTING -s 192.168.1.1/24 -o ppp0 -j MASQUERADE

Или же просто дать такую команду из консоли:

iptables -t nat -A POSTROUTING -s 192.168.1.1/24 -o ppp0 -j MASQUERADE


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Centos и iptables"  +/
Сообщение от ksw email(ok) on 27-Апр-09, 16:18 

>Или же просто дать такую команду из консоли:
>
>iptables -t nat -A POSTROUTING -s 192.168.1.1/24 -o ppp0 -j MASQUERADE

В том и вся моя загвоздка, что дать такую команду из консоли невозможно - нет такой команды iptables. А /etc/sysconfig/iptables  будет ругаться на -t

Что значит цепочка *nat v /etc/sysconfig/iptables ?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Centos и iptables"  +/
Сообщение от Berlin on 27-Апр-09, 16:21 
>
>>Или же просто дать такую команду из консоли:
>>
>>iptables -t nat -A POSTROUTING -s 192.168.1.1/24 -o ppp0 -j MASQUERADE
>
>В том и вся моя загвоздка, что дать такую команду из консоли
>невозможно - нет такой команды iptables. А /etc/sysconfig/iptables  будет ругаться
>на -t
>
>Что значит цепочка *nat v /etc/sysconfig/iptables ?

Что значит нет такой команды?
Возможно путь к ней не прописан.
Тогда вводите вот так

/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.1/24 -o ppp0 -j MASQUERADE


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Centos и iptables"  +/
Сообщение от ksw email(ok) on 27-Апр-09, 16:39 

>>Что значит цепочка *nat v /etc/sysconfig/iptables ?
>
>Что значит нет такой команды?
>Возможно путь к ней не прописан.
>Тогда вводите вот так
>
>/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.1/24 -o ppp0 -j MASQUERADE

Спасибо. Попробую. Но по-моему(я запутался капитально), и такую команду не выполнить.. Понимает только /sbin/iptables-restore --.... Голова треснет как ...от обилия ненужной инфы, тонее, нужной, но либо для других дистров, либо для других версий iptables.
В любом случае благодарю за отзывчивость!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Centos и iptables"  +/
Сообщение от Junior (ok) on 27-Апр-09, 17:03 
>[оверквотинг удален]
>>Возможно путь к ней не прописан.
>>Тогда вводите вот так
>>
>>/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.1/24 -o ppp0 -j MASQUERADE
>
>Спасибо. Попробую. Но по-моему(я запутался капитально), и такую команду не выполнить.. Понимает
>только /sbin/iptables-restore --.... Голова треснет как ...от обилия ненужной инфы, тонее,
>нужной, но либо для других дистров, либо для других версий iptables.
>
>В любом случае благодарю за отзывчивость!

which iptables
укажет путь к iptables ( обычно /sbin/iptables или /usr/sbin/iptables)
и уже от того, что покажет, писать:
/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.1/24 -o ppp0 -j MASQUERADE
или
/usr/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.1/24 -o ppp0 -j MASQUERADE

А вообще правильно в начале сказали - сперва нужно читать документацию, причём, как я понимаю, не только Iptables Tutorial, но и купить книжки по управлению системой.
Такое впечателние, что Вас уговаривают делать ваше задание :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Centos и iptables"  +/
Сообщение от angra (ok) on 27-Апр-09, 17:34 
>which iptables
>укажет путь к iptables ( обычно /sbin/iptables или /usr/sbin/iptables)

Вынужден вас огорчить, но это не так. which ищет в PATH, а если бы iptables был в PATH, то он бы и так запустился и не было бы нужды писать полный путь. Проверить стандартные пути можно с помощью whereis.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Centos и iptables"  +/
Сообщение от Junior (ok) on 27-Апр-09, 17:38 
>>which iptables
>>укажет путь к iptables ( обычно /sbin/iptables или /usr/sbin/iptables)
>
>Вынужден вас огорчить, но это не так. which ищет в PATH, а
>если бы iptables был в PATH, то он бы и так
>запустился и не было бы нужды писать полный путь. Проверить стандартные
>пути можно с помощью whereis.

Да, точно, как-то упустил, но можно и через whereis или find
А вообще лучше добавить нормально пути в .profile :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Centos и iptables"  +/
Сообщение от Berlin on 27-Апр-09, 17:52 

>А вообще правильно в начале сказали - сперва нужно читать документацию, причём,
>как я понимаю, не только Iptables Tutorial, но и купить книжки
>по управлению системой.

Линукс-машинку сделать роутером очень просто, вот одной командочкой. На сколько в этом случае необходимо знать Iptables Tutorial и читать книжки по управлению системой?
Не осилил я Iptables Tutorial, сколько раз порывался его почитать :)

Раньше с дуру читал все подряд, а сейчас понял, какая это глупость. Будет необходимость разберешься, а забивать голову всем подряд бессмысленно.


Все это мое имхо. Сорри что не так.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Centos и iptables"  +/
Сообщение от Junior (ok) on 27-Апр-09, 17:58 
>Линукс-машинку сделать роутером очень просто, вот одной командочкой. На сколько в этом
>случае необходимо знать Iptables Tutorial и читать книжки по управлению системой?

Ну как видно не так и просто, по крайней мере не всем :)
Мало сделать маскарад сетке во вне, нужно и защитить машину и сеть, убрать лишнее
из загрузки, обновлять и т.д.

>Не осилил я Iptables Tutorial, сколько раз порывался его почитать :)

Читать мало, там понять многое нужно, а не запоминать.

>Раньше с дуру читал все подряд, а сейчас понял, какая это глупость.
>Будет необходимость разберешься, а забивать голову всем подряд бессмысленно.

Когда каша в голове получается, обрывки данных, без всякой систематики.
Зачастую недостаток знания выливается в кошмарную и бесполезную работу,
а всё из-за простого незнания более логичных и коротких путей.

>Все это мое имхо. Сорри что не так.

Аналогично, правда из личного опыта. :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Centos и iptables"  +/
Сообщение от Berlin on 27-Апр-09, 18:21 
Согласен, если речь идет об офисной сети. И приходится в офисе выполнять функцию сисадмина.


Для домашней сети нет. Я приятелю 2 года назад поставил комп с CentOS 4.2 в кладовку.
Выполняет функцию роутера у него дома. Ничего не делалось вообще "ни обновлений, ни защиты машины и сети, ничего не убиралось лишнего из загрузки и т.д." И ничего все работает, уже вот несколько лет. И я бы хотел посмотреть, каким образом из-вне можно его поламать.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Centos и iptables"  +/
Сообщение от Junior (ok) on 27-Апр-09, 20:09 
>Согласен, если речь идет об офисной сети. И приходится в офисе выполнять
>функцию сисадмина.
>
>
>Для домашней сети нет. Я приятелю 2 года назад поставил комп с
>CentOS 4.2 в кладовку.
>Выполняет функцию роутера у него дома. Ничего не делалось вообще "ни обновлений,
>ни защиты машины и сети, ничего не убиралось лишнего из загрузки
>и т.д." И ничего все работает, уже вот несколько лет. И
>я бы хотел посмотреть, каким образом из-вне можно его поламать.

Знаете, как часто думают люди - "да что вирусы, я одним глазком гляну туда и назад".
Когда-то попадалась на глаза статистика скорости заражения ПК со свежей ОСью - порядка 7-8 минут пребывания в интернете. Сломать можно всё - ломать не строить :) Крайне ошибочное мнение, что раз "это просто хоумнет, то никому и не нужно ничего". Можете сами посмотреть на сайте центоса о закрытых дырках и исправленных проблемах за эти годы.
Другое дело вопрос критичности ущерба - это да, если кроме потерянного архива порнухи ничего страшнее нет, то это не идёт в сравнение с потерями корпоративной БД или дефейса или вандализма над корпоративным сайтом.
Впрочем каждый сам решает как ему ходить в дом терпимости - с презервативом или нет :)
А то, что нынешний инет ничем не безопаснее портового публичного дома - бесспорно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Centos и iptables"  +/
Сообщение от Berlin on 27-Апр-09, 20:42 
> Сломать можно всё - ломать не строить :)

Не пишите ерунду, если не разбираетесь.

Возьмите диск с центОС 4.2 установите минимальную конфигурацию необходимую для проброса траффика, воткните комп в локальную сеть и попробуйте его ломануть оттуда.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Centos и iptables"  +/
Сообщение от angra (ok) on 27-Апр-09, 18:26 
>Ну как видно не так и просто, по крайней мере не всем :)

Как вы думаете насколько поможет чтение книг обезьянке, которая даже одну строчку из man понять не может? Если существо больше чем на бездумное копирование не способно, то никакие книжки не помогут, он и в них будет искать только готовые команды и копипастить без попыток осмысления.

С остальным согласен, однако хочу добавить, что на практике умение читать по диагонали, выбирая за минуты нужную инфу из десятков тысяч строк доки/кода, не менее важно чем умение систематически усваивать материал. Эти умения очень хорошо дополняют друг друга.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Centos и iptables"  +/
Сообщение от Junior (ok) on 27-Апр-09, 20:02 
>[оверквотинг удален]
>Как вы думаете насколько поможет чтение книг обезьянке, которая даже одну строчку
>из man понять не может? Если существо больше чем на бездумное
>копирование не способно, то никакие книжки не помогут, он и в
>них будет искать только готовые команды и копипастить без попыток осмысления.
>
>
>С остальным согласен, однако хочу добавить, что на практике умение читать по
>диагонали, выбирая за минуты нужную инфу из десятков тысяч строк доки/кода,
>не менее важно чем умение систематически усваивать материал. Эти умения очень
>хорошо дополняют друг друга.

Для того, чтобы прочесть и выбрать нужное, нужно понимать что нужно, а что нет.
А уж когда было бы понимание, то и таких топиков не было бы :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Centos и iptables"  +/
Сообщение от ksw (ok) on 28-Апр-09, 00:39 
Пока не получилось :(
Команды выполняются, правила записываются, сохраняются - интернета на винде нет пока.
Может, Samba,мож еще чего, но теперь уж как-нибудь доковыряю ;)
PS Хочу искренне поблагодарить за помощь всех, кто помогает разобраться, в особенности Berlin и Junior.
>angra и тебе спасибо за whereis. А твое поведение....твое дело...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Centos и iptables"  +/
Сообщение от Junior (ok) on 28-Апр-09, 06:09 
>Пока не получилось :(
>Команды выполняются, правила записываются, сохраняются - интернета на винде нет пока.
>Может, Samba,мож еще чего, но теперь уж как-нибудь доковыряю ;)
>PS Хочу искренне поблагодарить за помощь всех, кто помогает разобраться, в особенности
>Berlin и Junior.
>>angra и тебе спасибо за whereis. А твое поведение....твое дело...

echo "1" > /proc/sys/net/ipv4/ip_forward
?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Centos и iptables"  +/
Сообщение от angra (ok) on 28-Апр-09, 07:41 
Бонус за упорство, так конечно делать не стоит, но будет работать
#!/bin/bash
echo "1">/proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
iptables -I FORWARD 1 -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "Centos и iptables"  +/
Сообщение от reader (ok) on 28-Апр-09, 08:15 
а так же не забываем настройки у клиентов, прописать шлюз и DNS.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "Centos и iptables"  +/
Сообщение от ksw email(ok) on 28-Апр-09, 10:10 
>Бонус за упорство, так конечно делать не стоит, но будет работать
>#!/bin/bash
>echo "1">/proc/sys/net/ipv4/ip_forward
>echo "1" > /proc/sys/net/ipv4/ip_dynaddr
>iptables -I FORWARD 1 -j ACCEPT
>iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Я так понимаю-это скрипт. И куды ж его писать? В каком-нить файле или в командной строке?
Вообще, форвард я где-то выставлял =1 ...не помню путь, а сейчас на работе

Шлюз и DNS выставлены. На виндах-то приходилось сетку настраивать.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "Centos и iptables"  +/
Сообщение от Berlin on 28-Апр-09, 10:17 
>Я так понимаю-это скрипт. И куды ж его писать? В каком-нить файле
>или в командной строке?

Просто введите эти 4-ре команды, одну за другой в командной строке.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. "Centos и iptables"  +/
Сообщение от ksw email(ok) on 28-Апр-09, 10:24 
>>Я так понимаю-это скрипт. И куды ж его писать? В каком-нить файле
>>или в командной строке?
>
>Просто введите эти 4-ре команды, одну за другой в командной строке.

A #!/bin/bash


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "Centos и iptables"  +/
Сообщение от reader (ok) on 28-Апр-09, 10:37 
>>>Я так понимаю-это скрипт. И куды ж его писать? В каком-нить файле
>>>или в командной строке?
>>
>>Просто введите эти 4-ре команды, одну за другой в командной строке.
>
>A #!/bin/bash

и это тоже можно, хуже уже не будет.

все разжевали, осталось только вместо вас все это сделать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

34. "Centos и iptables"  +/
Сообщение от angra (ok) on 28-Апр-09, 10:55 
>Я так понимаю-это скрипт. И куды ж его писать? В каком-нить файле
>или в командной строке?

Да как вам будет удобно. Если не лень каждый раз эти команды набирать, то можно и в консоли, но лучше создать текстовый файлик любым невиндовым(иначе придется еще и окончания строк менять) редактором, записать в него эти строки(с #!/bin/bash в первой), потом из консоли сделать chmod +x имя_файла, дабы сделать его исполнимым.
В любом случае все это будет работать только от рута, а не простого пользователя.

P.S. что еще я мог забыть? :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

35. "Centos и iptables"  +/
Сообщение от reader (ok) on 28-Апр-09, 11:04 
>[оверквотинг удален]
>
>Да как вам будет удобно. Если не лень каждый раз эти команды
>набирать, то можно и в консоли, но лучше создать текстовый файлик
>любым невиндовым(иначе придется еще и окончания строк менять) редактором, записать в
>него эти строки(с #!/bin/bash в первой), потом из консоли сделать chmod
>+x имя_файла, дабы сделать его исполнимым.
>В любом случае все это будет работать только от рута, а не
>простого пользователя.
>
>P.S. что еще я мог забыть? :)

запускать его из под root, после каждой загрузки или перезагрузки машины :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

36. "Centos и iptables"  +/
Сообщение от ksw email(ok) on 28-Апр-09, 11:14 
>[оверквотинг удален]
>
>Да как вам будет удобно. Если не лень каждый раз эти команды
>набирать, то можно и в консоли, но лучше создать текстовый файлик
>любым невиндовым(иначе придется еще и окончания строк менять) редактором, записать в
>него эти строки(с #!/bin/bash в первой), потом из консоли сделать chmod
>+x имя_файла, дабы сделать его исполнимым.
>В любом случае все это будет работать только от рута, а не
>простого пользователя.
>
>P.S. что еще я мог забыть? :)

Cпасибо, вроде ничего не забыл ;)
Но разве команда /sbin/service iptables save не делает вышепривенные строки исполняемыми
при каждой загрузке?
Вообще, вчера заметил, что /sbin/service iptables save сохранил изменения в /etc/sysconfig/iptables , а в самом /etc/sysconfig/iptables-save эти изменения не зафиксировались. А /sbin/iptables -L выдает данные именно файла iptables-save


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

37. "Centos и iptables"  +/
Сообщение от reader (ok) on 28-Апр-09, 11:33 
>[оверквотинг удален]
>>него эти строки(с #!/bin/bash в первой), потом из консоли сделать chmod
>>+x имя_файла, дабы сделать его исполнимым.
>>В любом случае все это будет работать только от рута, а не
>>простого пользователя.
>>
>>P.S. что еще я мог забыть? :)
>
>Cпасибо, вроде ничего не забыл ;)
>Но разве команда /sbin/service iptables save не делает вышепривенные строки исполняемыми
>при каждой загрузке?

она сохраняет текущие правила в /etc/sysconfig/iptables
и если указано что iptables должен запускаться при загрузке и скрипты не менялись, то правила из /etc/sysconfig/iptables будут загружаться автоматом.
>Вообще, вчера заметил, что /sbin/service iptables save сохранил изменения в /etc/sysconfig/iptables ,
>а в самом /etc/sysconfig/iptables-save эти изменения не зафиксировались. А /sbin/iptables -L
>выдает данные именно файла iptables-save

/sbin/iptables -L выдаст текущие правила на экран

какая тема следующего занятия?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

38. "Centos и iptables"  +/
Сообщение от ksw email(ok) on 28-Апр-09, 11:46 
>>[оверквотинг удален]
>
>/sbin/iptables -L выдаст текущие правила на экран
>
>какая тема следующего занятия?

Ну ,вероятно, поэтому интернета и не было - /sbin/iptables -L как раз и не показывал маскарадинга, т.е. файл iptables не запускается у меня при загрузке...
А я как раз после каждого изменения делал релоад.
Кстати, это
echo "1">/proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
я вчера выполнял,а форвардинг правил на =1
Вечером попробую "рецепт" от angra

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

39. "Centos и iptables"  +/
Сообщение от reader (ok) on 28-Апр-09, 12:24 
>>>[оверквотинг удален]
>>
>>/sbin/iptables -L выдаст текущие правила на экран
>>
>>какая тема следующего занятия?
>
>Ну ,вероятно, поэтому интернета и не было - /sbin/iptables -L как раз
>и не показывал маскарадинга, т.е. файл iptables не запускается у меня
>при загрузке...

не удивительно, в таком виде показывается таблица фильтров, а таблица nat - /sbin/iptables -L -t nat

>А я как раз после каждого изменения делал релоад.

service iptables reload вызывает загрузку правил из /etc/sysconfig/iptables
и если изменения делались из командной строки и не сохранялись через service iptables save, то эти изменения благополучно терялись.

>Кстати, это
>echo "1">/proc/sys/net/ipv4/ip_forward
>echo "1" > /proc/sys/net/ipv4/ip_dynaddr
>я вчера выполнял,а форвардинг правил на =1
>Вечером попробую "рецепт" от angra

удачи

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

40. "Centos и iptables"  +/
Сообщение от ksw (ok) on 29-Апр-09, 08:32 
Ну хз .... Не идет инет. Извините за отнятое время
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

41. "Centos и iptables"  +/
Сообщение от sn (??) on 30-Апр-09, 14:01 
Забей :)


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

42. "Centos и iptables"  +/
Сообщение от ksw email(ok) on 05-Май-09, 10:12 
>Забей :)

Да забил. Почти. Тока интересно: почему через squid инет заходит, а через iptables - нет...


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

43. "Centos и iptables"  +/
Сообщение от reader (ok) on 05-Май-09, 10:29 
>>Забей :)
>
>Да забил. Почти. Тока интересно: почему через squid инет заходит, а через
>iptables - нет...

если действительно интересно, то показывайте вывод c CentOS:
ifconfig
route -n
iptables-save
cat /proc/sys/net/ipv4/ip_forward
свои белые адреса подмените, но так что бы логика не нарушилась.

и что прописано у клиента.
адреса DNS и шлюза, route print, ipconfig с win.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

44. "Centos и iptables"  +/
Сообщение от ksw email(ok) on 05-Май-09, 10:56 
>[оверквотинг удален]
>
>если действительно интересно, то показывайте вывод c CentOS:
>ifconfig
>route -n
>iptables-save
>cat /proc/sys/net/ipv4/ip_forward
>свои белые адреса подмените, но так что бы логика не нарушилась.
>
>и что прописано у клиента.
>адреса DNS и шлюза, route print, ipconfig с win.

Вечером только смогу.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

45. "Centos и iptables"  +/
Сообщение от ksw (ok) on 05-Май-09, 19:55 
Ipconfig


Подключение по локальной сети - Ethernet адаптер:

        DNS-суффикс этого подключения . . :
        IP-адрес  . . . . . . . . . . . . : 192.168.1.3
        Маска подсети . . . . . . . . . . : 255.0.0.0
        Основной шлюз . . . . . . . . . . : 192.168.1.2

Teredo Tunneling Pseudo-Interface - туннельный адаптер:

        DNS-суффикс этого подключения . . :
        IP-адрес  . . . . . . . . . . . . : fe80::5445:5245:444f%4
        Основной шлюз . . . . . . . . . . :

Automatic Tunneling Pseudo-Interface - туннельный адаптер:

        DNS-суффикс этого подключения . . :
        IP-адрес  . . . . . . . . . . . . : fe80::5efe:192.168.1.3%2
        Основной шлюз . . . . . . . . . . :


Route print


C:\Documents and Settings\Admin>route print
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 11 d8 f7 fe cd ...... Marvell Yukon 88E8053 PCI-E Gigabit Ethernet C
troller - ╠шэшяюЁЄ яырэшЁют∙шър яръхЄют
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.2     192.168.1.3       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
        192.0.0.0        255.0.0.0      192.168.1.3     192.168.1.3       20
      192.168.1.3  255.255.255.255        127.0.0.1       127.0.0.1       20
    192.168.1.255  255.255.255.255      192.168.1.3     192.168.1.3       20
        224.0.0.0        240.0.0.0      192.168.1.3     192.168.1.3       20
  255.255.255.255  255.255.255.255      192.168.1.3     192.168.1.3       1
Основной шлюз:         192.168.1.2
===========================================================================
Постоянные маршруты:
  Отсутствует
ifconfig

eth0      Link encap:Ethernet  HWaddr 00:18:E7:15:9A:EF  
          inet addr:192.168.1.2  Bcast:192.255.255.255  Mask:255.0.0.0
          inet6 addr: fe80::218:e7ff:fe15:9aef/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1900 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1806 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:662763 (647.2 KiB)  TX bytes:239933 (234.3 KiB)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:2086 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2086 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:3488384 (3.3 MiB)  TX bytes:3488384 (3.3 MiB)

peth0     Link encap:Ethernet  HWaddr FE:FF:FF:FF:FF:FF  
          inet6 addr: fe80::fcff:ffff:feff:ffff/64 Scope:Link
          UP BROADCAST RUNNING NOARP  MTU:1500  Metric:1
          RX packets:1974 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2007 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:669796 (654.0 KiB)  TX bytes:265810 (259.5 KiB)
          Interrupt:21 Base address:0xe000

ppp0      Link encap:Point-to-Point Protocol  
          inet addr:95.83.39.248  P-t-P:95.83.32.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:659 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1281 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:421599 (411.7 KiB)  TX bytes:152229 (148.6 KiB)

vif0.0    Link encap:Ethernet  HWaddr FE:FF:FF:FF:FF:FF  
          inet6 addr: fe80::fcff:ffff:feff:ffff/64 Scope:Link
          UP BROADCAST RUNNING NOARP  MTU:1500  Metric:1
          RX packets:1806 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1900 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:239933 (234.3 KiB)  TX bytes:662763 (647.2 KiB)

virbr0    Link encap:Ethernet  HWaddr 00:00:00:00:00:00  
          inet addr:192.168.122.1  Bcast:192.168.122.255  Mask:255.255.255.0
          inet6 addr: fe80::200:ff:fe00:0/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:96 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 b)  TX bytes:15844 (15.4 KiB)

xenbr0    Link encap:Ethernet  HWaddr FE:FF:FF:FF:FF:FF  
          UP BROADCAST RUNNING NOARP  MTU:1500  Metric:1
          RX packets:211 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:35315 (34.4 KiB)  TX bytes:0 (0.0 b)

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
95.83.32.1      0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
192.168.122.0   0.0.0.0         255.255.255.0   U     0      0        0 virbr0
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth0
192.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 eth0
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0


iptables-save в этот раз не устанавливал(со времени начала ветки я уже debian ставил - и там с iptables потерпел фиаско, теперь опять стоит centos
Cхема такая- adsl-модем - свитч - два компа, на каждом по одной сетевухе.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

46. "Centos и iptables"  +/
Сообщение от reader (ok) on 05-Май-09, 21:59 
на win машине должен быть прописан DNS.
Маска подсети на ней и на eth0 измените на 255.255.255.0

на centos , как и говорилось раньше, из командной строки:

echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr

iptables -A INPUT -j ACCEPT
iptables -A FORWARD -j ACCEPT
iptables -A OUTPUT -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp+ -j MASQUERADE

если заработает, тогда
service iptables save

если не заработает, то покажите вывод
cat /proc/sys/net/ipv4/ip_forward
cat /proc/sys/net/ipv4/ip_dynaddr
route -n
iptables-save

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

47. "Centos и iptables"  +/
Сообщение от ksw (ok) on 06-Май-09, 21:38 
>
>если не заработает, то покажите вывод
>cat /proc/sys/net/ipv4/ip_forward
>cat /proc/sys/net/ipv4/ip_dynaddr
>route -n
>iptables-save

cat /proc/sys/net/ipv4/ip_forward
1

cat /proc/sys/net/ipv4/ip_dynaddr
1

/sbin/route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
95.83.32.1      0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.122.0   0.0.0.0         255.255.255.0   U     0      0        0 virbr0
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth0
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0

iptables-save как я упоминал выше не устанавливал, привожу /etc/sysconfig/iptables


# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 137 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 138 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 139 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 445 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT


на win в свойствах tcp/ip прописан в качестве dns 192.168.1.2 (комп с линем)
ЗЫ squid пашет ....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

48. "Centos и iptables"  +/
Сообщение от reader (ok) on 07-Май-09, 11:50 
>[оверквотинг удален]
> 0      0    
>    0 eth0
>0.0.0.0         0.0.0.0  
>      0.0.0.0    
>    U     0  
>    0      
> 0 ppp0
>
>iptables-save как я упоминал выше не устанавливал, привожу /etc/sysconfig/iptables
>

iptables-save ставится вместе с пакетом iptables, так что, как говорилось раньше, ищите и указывайте полный путь или укажите пути для поиска в PATH
>

попробуем обойтись файлом /etc/sysconfig/iptables,
добавьте в начало файла
#
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
#
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o ppp+ -j MASQUERADE
>[оверквотинг удален]
>-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
>-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
>-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
>-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22
>-j ACCEPT
>-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 137
>-j ACCEPT
>-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 138
>-j ACCEPT

-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 53
-j ACCEPT
>[оверквотинг удален]
>-j ACCEPT
>-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80
>-j ACCEPT
>-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443
>-j ACCEPT
>-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25
>-j ACCEPT
>-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
>COMMIT
>

после изменения /etc/sysconfig/iptables, перезапустите iptables
/etc/init.d/iptables restart
>
>на win в свойствах tcp/ip прописан в качестве dns 192.168.1.2 (комп с
>линем)

а на 192.168.1.2 DNS настраивали и запускали?
на win для проверки работы dns:
nslookup opennet.ru
должны увидеть его ip, если не увидите то до поднятия своего DNS, в свойствах tcp/ip  пропишите DNS провайдера и после настройки iptables, имена должны нормально разрешаться
>ЗЫ squid пашет ....

при прописывании в браузере работать через прокси, разрешением адресов занимается прокси, в вашем случае наверно использовался DNS провайдера.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

49. "Centos и iptables"  +/
Сообщение от ksw (ok) on 07-Май-09, 19:57 
/etc/init.d/iptables restart
Сбрасываются правила брандмауэра:                          [  OK  ]
Политика цепочек брандмауэра устанавливается в ACCEPT: filt[  OK  ]
Выгружаются модули                                         [  OK  ]
Применяются правила брандмауэра iptables: Bad argument `*nat'
Error occurred at line: 11
Try `iptables-restore -h' or 'iptables-restore --help' for more information.
                                                           [ СБОЙ ]
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

50. "Centos и iptables"  +/
Сообщение от ksw (ok) on 07-Май-09, 22:28 
На Win прописал DNS провайдера.
На CentOS выполнил /sbin/service iptables save
После этого появился файл iptables.save в /etc/sysconfig
Ввел из командной строки
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr

iptables -A INPUT -j ACCEPT
iptables -A FORWARD -j ACCEPT
iptables -A OUTPUT -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp+ -j MASQUERADE

Ввел /sbin/service iptables save
Правила брандмауэра сохраняются в /etc/sysconfig/iptables: [  OK  ]
Ввел /etc/init.d/iptables restart
Сбрасываются правила брандмауэра:                          [  OK  ]
Политика цепочек брандмауэра устанавливается в ACCEPT: nat [  OK  ]
Выгружаются модули                                         [  OK  ]
Применяются правила брандмауэра iptables:                  [  OK  ]
Загружаются дополнительные модули iptables: ip_conntrack_ne[  OK  ]

Вывожу /etc/sysconfig/iptables


# Generated by iptables-save v1.3.5 on Thu May  7 21:58:20 2009
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o ppp+ -j MASQUERADE
COMMIT
# Completed on Thu May  7 21:58:20 2009
# Generated by iptables-save v1.3.5 on Thu May  7 21:58:20 2009
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [422:83331]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A INPUT -j ACCEPT
-A FORWARD -j RH-Firewall-1-INPUT
-A FORWARD -j ACCEPT
-A OUTPUT -j ACCEPT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p esp -j ACCEPT
-A RH-Firewall-1-INPUT -p ah -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 137 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 138 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Thu May  7 21:58:20 2009

Вывожу /etc/sysconfig/iptables.save

# Generated by iptables-save v1.3.5 on Thu May  7 21:54:21 2009
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [421:83255]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p esp -j ACCEPT
-A RH-Firewall-1-INPUT -p ah -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 137 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 138 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Thu May  7 21:54:21 2009

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

52. "Centos и iptables"  +/
Сообщение от reader (ok) on 08-Май-09, 00:04 
>[оверквотинг удален]
>-j ACCEPT
>-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80
>-j ACCEPT
>-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 443
>-j ACCEPT
>-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 25
>-j ACCEPT
>-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
>COMMIT
># Completed on Thu May  7 21:54:21 2009

и какой из них используется при загрузки системы?
ищите iptables-save и тогда увидите текущие правила.
/etc/sysconfig/iptables уже близок к тому чтобы выпускать win в инет.
добавте правила для DNS, как писал выше (то что с --dport 53).

после того как добьетесь что бы они стали текущими (можно с помощью iptables-restore < /etc/sysconfig/iptables ), win должна работать в инете.
правда по безопасности правила полный отстой, но сейчас главное что бы заработало, а уж исправлять будете потом.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

51. "Centos и iptables"  +/
Сообщение от reader (ok) on 07-Май-09, 23:32 
>[оверквотинг удален]
> ]
>Применяются правила брандмауэра iptables: Bad argument `*nat'
>Error occurred at line: 11
>Try `iptables-restore -h' or 'iptables-restore --help' for more information.
>            
>          
>          
>          
>          
>   [ СБОЙ ]

это скорей всего из-за пропущенных
COMMIT
перед
*nat
и
*filter

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

53. "Centos и iptables"  +/
Сообщение от Странгер on 08-Май-09, 13:17 
>Недавно поставил CentOS  и решил раздать с него инет на комп
>с виндой. Правила iptables в Centos пишутся в /etc/sysconfig/iptables.
>Пишу
>-A RH-Firewall-1-IPTBALES -A POSTROUTING -t nat -o ppp0 -j MASQUERADE
>
>iptables не хочет заводиться, ругается на -t
>
>Помогите разобраться

попробуй так
-A RH-Firewall-1-IPTBALES -A POSTROUTING -t nat -p all -o ppp0 -j MASQUERADE

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

54. "Centos и iptables"  +/
Сообщение от ksw (ok) on 11-Май-09, 13:35 
Какая-то непосильная тема - что только не делал - нет не заходит. Переставил систему -
iptables-save
/sbin/iptables-save
# Generated by iptables-save v1.3.5 on Mon May 11 13:14:10 2009
*filter
:INPUT ACCEPT [13:966]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [17:1434]
-A FORWARD -j ACCEPT
COMMIT
# Completed on Mon May 11 13:14:10 2009
# Generated by iptables-save v1.3.5 on Mon May 11 13:14:10 2009
*nat
:PREROUTING ACCEPT [34:3694]
:POSTROUTING ACCEPT [22:1187]
:OUTPUT ACCEPT [22:1187]
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Mon May 11 13:14:10 2009
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

55. "Centos и iptables"  +/
Сообщение от reader (ok) on 12-Май-09, 11:52 
>[оверквотинг удален]
>COMMIT
># Completed on Mon May 11 13:14:10 2009
># Generated by iptables-save v1.3.5 on Mon May 11 13:14:10 2009
>*nat
>:PREROUTING ACCEPT [34:3694]
>:POSTROUTING ACCEPT [22:1187]
>:OUTPUT ACCEPT [22:1187]
>-A POSTROUTING -s 192.168.1.0/255.255.255.0 -o ppp0 -j MASQUERADE
>COMMIT
># Completed on Mon May 11 13:14:10 2009

по идее, этих правил достаточно, что бы выпустить другие машины, если конечно в таблице mangle ничего не блокируется.

если про
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
не забыли и на win все правильно прописано ( IP, маска, DNS, шлюз ), то нужно слушать что происходит на интерфейсах при обращении с win

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

56. "Centos и iptables"  +/
Сообщение от reader (ok) on 12-Май-09, 12:01 
>[оверквотинг удален]
>
>по идее, этих правил достаточно, что бы выпустить другие машины, если конечно
>в таблице mangle ничего не блокируется.
>
>если про
>echo "1" > /proc/sys/net/ipv4/ip_forward
>echo "1" > /proc/sys/net/ipv4/ip_dynaddr
>не забыли и на win все правильно прописано ( IP, маска, DNS,
>шлюз ), то нужно слушать что происходит на интерфейсах при обращении
>с win

может еще модули попробовать подгрузить

insmod ip_conntrack_pptp
insmod ip_nat_pptp

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

57. "Centos и iptables"  +/
Сообщение от ksw (ok) on 12-Май-09, 20:35 
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr - не забывал :)
c загрузкой модулей проблемы :
/sbin/insmod ip_conntrack_pptp
insmod: can't read 'ip_conntrack_pptp': No such file or directory
где-то еще видел /sbin/modprobe - попробовал - инет не идет.


Что значит "нужно слушать что происходит на интерфейсах при обращении с win "?
И как проверить , загрузились ли модули?

PS Reader, Вашему терпению пою хвалебную песнь!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

58. "Centos и iptables"  +/
Сообщение от reader (ok) on 13-Май-09, 00:02 
>echo "1" > /proc/sys/net/ipv4/ip_forward
>echo "1" > /proc/sys/net/ipv4/ip_dynaddr - не забывал :)
>c загрузкой модулей проблемы :
> /sbin/insmod ip_conntrack_pptp
>insmod: can't read 'ip_conntrack_pptp': No such file or directory
>где-то еще видел /sbin/modprobe - попробовал - инет не идет.

во , уже прогресс , про полный путь уже запомнили :)

возможно в Вашем дистрибутиве этих модулей нет, а вот понадобятся они или нет - хз

>
>
>Что значит "нужно слушать что происходит на интерфейсах при обращении с win
>"?

есть tcpdump, в графике - wireshark ( кстати и для win существует версия ), с помощью которых можно смотреть что приходит и уходит на интерфейсах, вот и нужно посмотреть win машина вообще то обращается.

>И как проверить , загрузились ли модули?

lsmod - загруженные модули

>
>PS Reader, Вашему терпению пою хвалебную песнь!

вообще то я не напрягаюсь, Ваши вопросы много раз описывались в статьях и обсуждались на форумах, так что при правильном использовании ключевых слов в поисковике, ответ Вы бы получили гораздо быстрей.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру