iptables (Не работает правило.)

Tokra · Сообщение **Tokra** » 25.01.2006 15:30

Всем доброго времени суток. I need a help. Есть такая задачка. Стоит сервак под Slackware+iptables. К нему подключены две сетки+внешний канал связи по которому, через ВПН, подключен еще один сервак, к которому тоже подключены 2 сетки.

Тунель поднят посредством iproute2 по протоколу gre.

Теперь сам вопрос. Мне надо что бы с удаленной стороны доступ имела только одна сетка.

Я добвил такое правило:
iptables -A INPUT -s 0/0 -j DROP - на всякий случай, что бы никто кроме нужной сетки не имел доступ.
iptables -A INPUT -s 192.168.52.0/24 -j ACCEPT - удаленная сеть которой разрешен доступ
iptables -A INPUT -s 192.168.53.0/24 -j ACCEPT - сетка1 с этой стороны
iptables -A INPUT -s 192.168.54.0/24 -j ACCEPT - сетка2 с этой стороны

iptables -A OUTPUT -d 0/0 -j DROP
iptables -A OUTPUT -d 192.168.52.0/24 -j ACCEPT.
iptables -A OUTPUT -d 192.168.53.0/24 -j ACCEPT
iptables -A OUTPUT -d 192.168.54.0/24 -j ACCEPT

После этого вообще нельзя куда-либо достучаться. Подскажите, где ошибся. В этом деле я полный чайник! Хотя от чтения HOWTO, уже голова пухнет!!!!!!

fufnf · Сообщение **fufnf** » 25.01.2006 16:13

iptables -A INPUT -s 0/0 -j DROP - на всякий случай, что бы никто кроме нужной сетки не имел доступ.

Убиваются все входящие пакеты. Вы, наверное, имели ввиду iptables -P INPUT DROP (аналогично OUTPUT)

Почему сеть 192,168,52,0/24 у Вас и удаленная и "сетка2" одновременно?!

И насколько я понял, вам нужно в качестве шлюза сервер использовать, тогда нужно с цепочкой FORWARD поработать.

Shura · Сообщение **Shura** » 25.01.2006 16:22

Срабатывает первое попавшееся правило. А у тебя первым правилом идет рубить все, вот он и рубит все. Поставь первое правило на последнее место.

Tokra · Сообщение **Tokra** » 25.01.2006 17:19

fufnf писал(а): ↑
25.01.2006 16:13
iptables -A INPUT -s 0/0 -j DROP - на всякий случай, что бы никто кроме нужной сетки не имел доступ.

Убиваются все входящие пакеты. Вы, наверное, имели ввиду iptables -P INPUT DROP (аналогично OUTPUT)

Почему сеть 192,168,52,0/24 у Вас и удаленная и "сетка2" одновременно?!

И насколько я понял, вам нужно в качестве шлюза сервер использовать, тогда нужно с цепочкой FORWARD поработать.

Политика по умолчанию как раз и стоит DROP. FORWARD есть, запыл здесь написать.

Shura писал(а): ↑
25.01.2006 16:22
Срабатывает первое попавшееся правило. А у тебя первым правилом идет рубить все, вот он и рубит все. Поставь первое правило на последнее место.

Я так понял, что если поставить это правило последним, то сначала будет проверяться вышеидущие. Если ниодно правило не подойдет, то будет выполняться iptables -A INPUT -s 0/0 -j DROP?

iptables -A INPUT -s 192.168.52.0/24 -i eth0 -j ACCEPT - В таком случаи доступ к данному интерфейсу будет разрешен только для сети 192.168.52.0/24 ?

fufnf · Сообщение **fufnf** » 25.01.2006 17:34

Политика по умолчанию как раз и стоит DROP.

Тогда какой смысл в iptables -A INPUT -s 0/0 -j DROP ?

iptables -A INPUT -s 192.168.52.0/24 -i eth0 -j ACCEPT - В таком случаи доступ к данному интерфейсу будет разрешен только для сети 192.168.52.0/24 ?

В таком случае разрешаются все пакеты с интерфейса eth0 из сети 192.168.52.0/24.

Tokra · Сообщение **Tokra** » 25.01.2006 17:40

Всем спасибо!

unixforum.org

iptables (Не работает правило.)

iptables

Re: iptables

Re: iptables

Re: iptables

Re: iptables

Re: iptables