forum.lissyara.su

Добавлено: **2010-08-27 8:14:34**

не могу найти откуда в дебиане iptables читает правила.
или не откуда не читает?

надо самому скрипт делать?

Добавлено: **2010-08-27 8:51:56**

ttys писал(а):не могу найти откуда в дебиане iptables читает правила.
или не откуда не читает?
надо самому скрипт делать?

Стартовый скрипт поглядите. В RH/Fedora/CentOS - это /etc/sysconfig/iptables.

Добавлено: **2010-08-27 9:01:29**

Andy писал(а): Стартовый скрипт поглядите. В RH/Fedora/CentOS - это /etc/sysconfig/iptables.

нету вообще sysconfig

Добавлено: **2010-08-27 10:07:43**

у меня просто через rc.local запускается
типа /bin/sh /etc/firewall.conf

Добавлено: **2010-08-27 10:23:01**

/var/lib/iptables/rules

Добавлено: **2010-08-27 10:24:09**

Larin писал(а):у меня просто через rc.local запускается
типа /bin/sh /etc/firewall.conf

в rc.local так?

Код: Выделить всё

iptables-restore </etc/firewall.conf

ну там с [ -x тратата] это само собой

Добавлено: **2010-08-27 10:25:15**

Hrafn писал(а):/var/lib/iptables/rules

это причём тут?
мне скрипт самому писАть? или как то есть стандартное решение?

Добавлено: **2010-08-27 10:27:11**

вопрос был

не могу найти откуда в дебиане iptables читает правила.

я написал откуда...
если вы сами не создадите, то вероятно только Пушкин

Добавлено: **2010-08-27 10:37:30**

Hrafn писал(а):вопрос был
не могу найти откуда в дебиане iptables читает правила.
я написал откуда...
если вы сами не создадите, то вероятно только Пушкин

у меня нету в /var/iptables

Добавлено: **2010-08-27 10:52:16**

Hrafn писал(а):
если вы сами не создадите, то вероятно только Пушкин

создаю после ребута iptables -L пустой (ну тоесть без моих правил)

Добавлено: **2010-08-27 11:55:13**

не в /var/iptables. а в /var/lib/iptables

Добавлено: **2010-08-27 12:04:11**

посмотрите также в файл /etc/network/if-up.d/iptables

Добавлено: **2010-08-27 12:12:43**

все руками, руками

Добавлено: **2010-08-27 12:12:51**

нашёл здесь

Код: Выделить всё

iptables-save > /etc/firewall.conf

Код: Выделить всё

echo "#!/bin/sh" > /etc/network/if-up.d/iptables 
echo "iptables-restore < /etc/firewall.conf" >> /etc/network/if-up.d/iptables 
chmod +x /etc/network/if-up.d/iptables

походу как я и думал надо самому скрипт загрузки делать

Добавлено: **2010-08-27 14:40:18**

find / -name rules-save

Добавлено: **2010-08-27 14:55:15**

Саша писал(а):find / -name rules-save

нету в дебиане этого

Добавлено: **2010-08-27 22:24:33**

Там есть опция save в /etc/init.d/iptables скрипте ? Если есть - смотри скрипт куда он пишет ...

Дело в том, что в Debian с некоторого времени отсутствует настройка iptables по умолчанию, равно, как и, скриптовая и конфигурационная поддержка.. Зато, поздже, можно установить любую желаемую из множества существующих, например - http://wiki.kartbuilding.net/index.php/ ... s_Firewall http://wiki.debian.org/Firewalls

В зависимости от того, какой фронтенд установлен, меняется и расположение файлов конфигурации, Если же используются самописные скрипты, тогда следует изучать их содержимое для установления местоположения конфигурации..

Добавлено: **2010-08-28 5:34:34**

Саша2 писал(а):Там есть опция save в /etc/init.d/iptables скрипте ? Если есть - смотри скрипт куда он пишет ...

да не там такого скрипта

Добавлено: **2010-08-31 8:59:47**

дабы не создавать новую тему напишу здесь.
кусок из правил:

Код: Выделить всё

INET_IP="xxx.xxx.xxx.xxx"
INET_IFACE="eth0"

LAN_IP="192.168.1.254"
LAN_IP_RANGE="192.168.1.0/255.255.255.0"
LAN_IFACE="eth1"
LAN_IP1="192.168.2.254"
LAN_IP_RANGE1="192.168.2.0/255.255.255.0"
LAN1_IFACE="eth1"
LAN_IP2="10.1.1.254"
LAN_IP_RANGE2="10.1.1.0/255.255.255.0"
LAN2_IFACE="eth1"
LAN_IP3="10.2.1.254"
LAN_IP_RANGE3="10.2.1.0/255.255.255.0"
LAN3_IFACE="eth1"
...............................
$IPTABLES -A FORWARD -s $LAN_IPRANGE_2 -d ! $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A FORWARD -s $LAN_IPRANGE_3 -d ! $LAN_IP_RANGE -j ACCEPT

собственно вопрос:
это правильно или нет?
$IPTABLES -A FORWARD -s $LAN_IPRANGE_2 -d ! $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A FORWARD -s $LAN_IPRANGE_3 -d ! $LAN_IP_RANGE -j ACCEPT

или надо вместо ! $LAN_IP_RANDE указать INET_IP либо INET_IFACE?
тоесть:
$IPTABLES -A FORWARD -s $LAN_IPRANGE_2 -d $INET_IP -j ACCEPT
$IPTABLES -A FORWARD -s $LAN_IPRANGE_2 -o $INET_IFACE -j ACCEPT
ЗЫ: маршруты между сетями "LAN_IP_RANGE_2 LAN_IP_RANGE_3 LAN_IP_RANGE" не нужны

Добавлено: **2010-09-02 9:31:50**

ttys писал(а):собственно вопрос:
это правильно или нет?
$IPTABLES -A FORWARD -s $LAN_IPRANGE_2 -d ! $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A FORWARD -s $LAN_IPRANGE_3 -d ! $LAN_IP_RANGE -j ACCEPT

...

ЗЫ: маршруты между сетями "LAN_IP_RANGE_2 LAN_IP_RANGE_3 LAN_IP_RANGE" не нужны

У каждой цепочки правил iptables есть действие по умолчанию, т.н. политика. Это действие, которое будет применено, когда вся цепочка будет пройдена, а подходящего правила не будет найдено. Устанавливается примерно следующим образом:
iptables -P FORWARD ACCEPT # пропустить все пакеты
или
iptables -P FORWARD DROP # отбросить все пакеты

Исходя из этого и строится набор правил. Или вы запрещаете всё и пишите правила, которые явно разрешают прохождение пакета (iptables -A FORWARD your_condition_here -j ACCEPT). Или вы всё разрешаете и пишите правила, которые явно запрещают прохождение пакета (iptables -A FORWARD your_condition_here -j DROP).
=====
Если вы хотите явно порезать трафик из одной подсети в другую (бывает полезно даже когда политика "отбросить всё"), то так и напишите:

Код: Выделить всё

$IPTABLES -A FORWARD -s $LAN_IP_RANGE -d $LAN_IP_RANGE_2 -j DROP
$IPTABLES -A FORWARD -s $LAN_IP_RANGE -d $LAN_IP_RANGE_3 -j DROP
$IPTABLES -A FORWARD -s $LAN_IP_RANGE_2 -d $LAN_IP_RANGE -j DROP
$IPTABLES -A FORWARD -s $LAN_IP_RANGE_2 -d $LAN_IP_RANGE_3 -j DROP
$IPTABLES -A FORWARD -s $LAN_IP_RANGE_3 -d $LAN_IP_RANGE -j DROP
$IPTABLES -A FORWARD -s $LAN_IP_RANGE_3 -d $LAN_IP_RANGE_2 -j DROP

Добавлено: **2010-09-02 9:40:27**

ttys писал(а):собственно вопрос:
это правильно или нет?
$IPTABLES -A FORWARD -s $LAN_IPRANGE_2 -d ! $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A FORWARD -s $LAN_IPRANGE_3 -d ! $LAN_IP_RANGE -j ACCEPT
...
ЗЫ: маршруты между сетями "LAN_IP_RANGE_2 LAN_IP_RANGE_3 LAN_IP_RANGE" не нужны

Нет, т.к вы разрешаете прохождение пакетов. После "-j DROP" или "-j ACCEPT" просмотр цепочки завершается. Один из вариантов решения в предыдущем сообщении.

Добавлено: **2010-09-02 9:52:51**

спс уже разобрался

http://forum.lissyara.su/viewtopic.php? ... 99#p257799

forum.lissyara.su

Debian iptables

Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables

Re: Debian iptables