или не откуда не читает?
![Smile :smile:](./../images/smilies/smile.gif)
надо самому скрипт делать?
Модератор: weec
Стартовый скрипт поглядите. В RH/Fedora/CentOS - это /etc/sysconfig/iptables.ttys писал(а):не могу найти откуда в дебиане iptables читает правила.
или не откуда не читает?![]()
надо самому скрипт делать?
нету вообще sysconfigAndy писал(а): Стартовый скрипт поглядите. В RH/Fedora/CentOS - это /etc/sysconfig/iptables.
в rc.local так?Larin писал(а):у меня просто через rc.local запускается
типа /bin/sh /etc/firewall.conf
Код: Выделить всё
iptables-restore </etc/firewall.conf
это причём тут?Hrafn писал(а):/var/lib/iptables/rules
я написал откуда...не могу найти откуда в дебиане iptables читает правила.
у меня нету в /var/iptablesHrafn писал(а):вопрос быля написал откуда...не могу найти откуда в дебиане iptables читает правила.
если вы сами не создадите, то вероятно только Пушкин
создаю после ребута iptables -L пустой (ну тоесть без моих правил)Hrafn писал(а):
если вы сами не создадите, то вероятно только Пушкин
Код: Выделить всё
iptables-save > /etc/firewall.conf
Код: Выделить всё
echo "#!/bin/sh" > /etc/network/if-up.d/iptables
echo "iptables-restore < /etc/firewall.conf" >> /etc/network/if-up.d/iptables
chmod +x /etc/network/if-up.d/iptables
да не там такого скриптаСаша2 писал(а):Там есть опция save в /etc/init.d/iptables скрипте ? Если есть - смотри скрипт куда он пишет ...
Код: Выделить всё
INET_IP="xxx.xxx.xxx.xxx"
INET_IFACE="eth0"
LAN_IP="192.168.1.254"
LAN_IP_RANGE="192.168.1.0/255.255.255.0"
LAN_IFACE="eth1"
LAN_IP1="192.168.2.254"
LAN_IP_RANGE1="192.168.2.0/255.255.255.0"
LAN1_IFACE="eth1"
LAN_IP2="10.1.1.254"
LAN_IP_RANGE2="10.1.1.0/255.255.255.0"
LAN2_IFACE="eth1"
LAN_IP3="10.2.1.254"
LAN_IP_RANGE3="10.2.1.0/255.255.255.0"
LAN3_IFACE="eth1"
...............................
$IPTABLES -A FORWARD -s $LAN_IPRANGE_2 -d ! $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A FORWARD -s $LAN_IPRANGE_3 -d ! $LAN_IP_RANGE -j ACCEPT
У каждой цепочки правил iptables есть действие по умолчанию, т.н. политика. Это действие, которое будет применено, когда вся цепочка будет пройдена, а подходящего правила не будет найдено. Устанавливается примерно следующим образом:ttys писал(а):собственно вопрос:
это правильно или нет?
$IPTABLES -A FORWARD -s $LAN_IPRANGE_2 -d ! $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A FORWARD -s $LAN_IPRANGE_3 -d ! $LAN_IP_RANGE -j ACCEPT
...
ЗЫ: маршруты между сетями "LAN_IP_RANGE_2 LAN_IP_RANGE_3 LAN_IP_RANGE" не нужны
Код: Выделить всё
$IPTABLES -A FORWARD -s $LAN_IP_RANGE -d $LAN_IP_RANGE_2 -j DROP
$IPTABLES -A FORWARD -s $LAN_IP_RANGE -d $LAN_IP_RANGE_3 -j DROP
$IPTABLES -A FORWARD -s $LAN_IP_RANGE_2 -d $LAN_IP_RANGE -j DROP
$IPTABLES -A FORWARD -s $LAN_IP_RANGE_2 -d $LAN_IP_RANGE_3 -j DROP
$IPTABLES -A FORWARD -s $LAN_IP_RANGE_3 -d $LAN_IP_RANGE -j DROP
$IPTABLES -A FORWARD -s $LAN_IP_RANGE_3 -d $LAN_IP_RANGE_2 -j DROP
Нет, т.к вы разрешаете прохождение пакетов. После "-j DROP" или "-j ACCEPT" просмотр цепочки завершается. Один из вариантов решения в предыдущем сообщении.ttys писал(а):собственно вопрос:
это правильно или нет?
$IPTABLES -A FORWARD -s $LAN_IPRANGE_2 -d ! $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A FORWARD -s $LAN_IPRANGE_3 -d ! $LAN_IP_RANGE -j ACCEPT
...
ЗЫ: маршруты между сетями "LAN_IP_RANGE_2 LAN_IP_RANGE_3 LAN_IP_RANGE" не нужны