iptables (проблема с фильтрами)

[d_i_v]

eth0 192.168.0.251/255.255.255.0
eth1 X.X.X.X внешний динамический
eth2 192.168.0.3/255.255.255.0
eth3 X.X.X.X внешний динамический
ip разрулил теперь по умолчанию используется eth1 для внешки , все что приходит на eth3 тудаже и уходит.

Код: Выделить всё

cat /proc/version
Linux version 2.6.18.2 (root@gate) (gcc version 3.3.5 (Debian 1:3.3.5-13)) #3 Sat Nov 11 19:28:24 MSK 2006

Код: Выделить всё

iptables --version
iptables v1.3.6

прописываю ему:

Код: Выделить всё

-A INPUT -i eth3 -p TCP -m multiport --destination-port 1:79,81:109,111:442,444:1023,3128,3306,8000:8007,9999 -j REJECT --reject-with tcp-reset
-A INPUT -i eth3 -j ULOG

тестирую пробую подключиться с внешней сети к eth3 по ssh, ftp и прочее ... все работает! фильтров как будто нет.
меняю -j REJECT на -j DROP ситуация не меняется.

Подскажите плиз где искать?.

[(asper]

Подскажите плиз где искать?.

Ну например сдесь

Код: Выделить всё

iptables -L
#или
iptables -L -n -v

Смысл посмотреть другие правила и политики по умолчанию

[d_i_v]

Подскажите плиз где искать?.

Ну например сдесь

Код: Выделить всё

iptables -L
#или
iptables -L -n -v

Смысл посмотреть другие правила и политики по умолчанию

Вопрос с повестки дня снят видемо зведы сегодня встали на место и все заработало! че было не знаю... ниче не трогал-)

[d_i_v]

Код: Выделить всё

-A INPUT -i eth3 -p TCP -m multiport --destination-port 1:79,81:109,111:442,444:1023,3128,3306,8000:8007,9999 -j REJECT --reject-with tcp-reset
-A INPUT -i eth3 -j ULOG

Злощастный iptables не дает покоя ...
подскажите что будет логировать улог при данном построении????

[Olden Gremlin]

Код: Выделить всё

-A INPUT -i eth3 -p TCP -m multiport --destination-port 1:79,81:109,111:442,444:1023,3128,3306,8000:8007,9999 -j REJECT --reject-with tcp-reset
-A INPUT -i eth3 -j ULOG

Злощастный iptables не дает покоя ...
подскажите что будет логировать улог при данном построении????

вообще-то ulog помимо всяких других разностей может все записывать в mysql таблицу.
достаточно организовать таблицу примерно такой структуры:

Код: Выделить всё

CREATE TABLE `ulog` (
  `id` int(10) unsigned NOT NULL auto_increment,
  `raw_mac` varchar(80) default NULL,
  `oob_time_sec` int(10) unsigned default NULL,
  `oob_time_usec` int(10) unsigned default NULL,
  `oob_prefix` varchar(32) default NULL,
  `oob_mark` int(10) unsigned default NULL,
  `oob_in` varchar(32) default NULL,
  `oob_out` varchar(32) default NULL,
  `ip_saddr` int(10) unsigned default NULL,
  `ip_daddr` int(10) unsigned default NULL,
  `ip_protocol` tinyint(3) unsigned default NULL,
  `ip_tos` tinyint(3) unsigned default NULL,
  `ip_ttl` tinyint(3) unsigned default NULL,
  `ip_totlen` int(10) unsigned default NULL,
  `ip_ihl` tinyint(3) unsigned default NULL,
  `ip_csum` smallint(5) unsigned default NULL,
  `ip_id` smallint(5) unsigned default NULL,
  `ip_fragoff` smallint(5) unsigned default NULL,
  `tcp_sport` smallint(5) unsigned default NULL,
  `tcp_dport` smallint(5) unsigned default NULL,
  `tcp_seq` int(10) unsigned default NULL,
  `tcp_ackseq` int(10) unsigned default NULL,
  `tcp_window` smallint(5) unsigned default NULL,
  `tcp_urg` tinyint(4) default NULL,
  `tcp_urgp` smallint(5) unsigned default NULL,
  `tcp_ack` tinyint(4) default NULL,
  `tcp_psh` tinyint(4) default NULL,
  `tcp_rst` tinyint(4) default NULL,
  `tcp_syn` tinyint(4) default NULL,
  `tcp_fin` tinyint(4) default NULL,
  `udp_sport` smallint(5) unsigned default NULL,
  `udp_dport` smallint(5) unsigned default NULL,
  `udp_len` smallint(5) unsigned default NULL,
  `icmp_type` tinyint(3) unsigned default NULL,
  `icmp_code` tinyint(3) unsigned default NULL,
  `icmp_echoid` smallint(5) unsigned default NULL,
  `icmp_echoseq` smallint(5) unsigned default NULL,
  `icmp_gateway` int(10) unsigned default NULL,
  `icmp_fragmtu` smallint(5) unsigned default NULL,
  `pwsniff_user` varchar(30) default NULL,
  `pwsniff_pass` varchar(30) default NULL,
  `ahesp_spi` int(10) unsigned default NULL,
  `datetime` timestamp NOT NULL default CURRENT_TIMESTAMP on update CURRENT_TIMESTAMP,
  PRIMARY KEY  (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=koi8u;

Дальше разбираем поля и наслаждаемся жизнью
А правила лучше перерисовать в другом порядке:

Код: Выделить всё

-A INPUT -i eth3 -p TCP -m multiport --destination-port 1:79,81:109,111:442,444:1023,3128,3306,8000:8007,9999 -j ULOG
-A INPUT -i eth3 -p TCP -m multiport --destination-port 1:79,81:109,111:442,444:1023,3128,3306,8000:8007,9999 -j REJECT --reject-with tcp-reset

[d_i_v]

да не поверите он даже заносит туда чего-то -) Мне интересно при такой постановке весь входящий трафик будет логироваться .. или не весь??
Если улог стоит выше rejact?

[Olden Gremlin]

да не поверите он даже заносит туда чего-то -) Мне интересно при такой постановке весь входящий трафик будет логироваться .. или не весь??
Если улог стоит выше rejact?

если ты работаеш сам, или хочеш отслеживать двух-трех-четырех клиентов, то вобщем-то весь... иначе - идут затыки и потери (:
есть соображения, что не ulog, а mysql в этом случае не успевает, но... не вступая в идеологическую борьбу хоче спросить - а какая БД быстрее?

[d_i_v]

если ты работаеш сам, или хочеш отслеживать двух-трех-четырех клиентов, то вобщем-то весь... иначе - идут затыки и потери (:
есть соображения, что не ulog, а mysql в этом случае не успевает, но... не вступая в идеологическую борьбу хоче спросить - а какая БД быстрее?

работаю сам мне построутинга нет.
понятие быстроты довольно-тики относительное(смотря какие объемы надо использовать), для данной ситуации наверное быстрей будет записывать в файл, хотя mysql удобнее в использовании хотя может быть я и не прав!