Страница 1 из 2
Iptables
Добавлено: 15 янв 2006, 04:39
Gall
Наткнулся на такие грабли.
Есть комп с двумя сетевыми картами, подключен к двум маршрутизаторам (два канала инета).
Через iptables эти два канала сливаю в один.
Так вот. Комп на котором сливаю, нормально ходит в нет, через оба шлюза.
Пытаюсь подключить к нему третий комп, чтоб тоже ходил через оба канала, а он почему то ходит только через один шлюз.
Как это можно решить через iptables???
стучите ICQ 152856907
Добавлено: 15 янв 2006, 14:53
Llama
Ужос! Как ты с помощью iptables "сливаешь два канал в один" тут всем придстоит догадываться... Скорее всего тыт где-то прочитал шпаргалку, тупо скопировал не разобравшись а теперь вылазят косяки... Вобщем отправляемся читать:
http://gazette.lrn.ru/rus/articles/index-lartc.html
Добавлено: 15 янв 2006, 18:21
Victor Gr.
У меня вопрос по теме Iptables
Хочу запретить все подключения к своему компьютеру из вне.
Подключен к Локальной Сети (10.*.*.*) и к инету через pptp-VPN-Solo.
На компьютере часто включены Apache2, MySQL, SQUID.
И Gajim, Firefox, X.
Хочу, чтобы никто не мог подключиться к Apache2, MySQL, SQUID кроме меня (127.0.0.1).
Можно попробовать самое просто: выкидывать все входящие, но будет ли работать gajim?
Буду благодарен )
Добавлено: 15 янв 2006, 18:43
gotty
Victor Gr. писал(а):с ЛЕМЪ БНОПНЯ ОН РЕЛЕ Iptables
уНВС ГЮОПЕРХРЭ БЯЕ ОНДЙКЧВЕМХЪ Й ЯБНЕЛС ЙНЛОЭЧРЕПС ХГ БМЕ.
оНДЙКЧВЕМ Й кНЙЮКЭМНИ яЕРХ (10.*.*.*) Х Й ХМЕРС ВЕПЕГ pptp-VPN-Solo.
мЮ ЙНЛОЭЧРЕПЕ ВЮЯРН БЙКЧВЕМШ Apache2, MySQL, SQUID.
х Gajim, Firefox, X.
уНВС, ВРНАШ МХЙРН МЕ ЛНЦ ОНДЙКЧВХРЭЯЪ Й Apache2, MySQL, SQUID ЙПНЛЕ ЛЕМЪ (127.0.0.1).
лНФМН ОНОПНАНБЮРЭ ЯЮЛНЕ ОПНЯРН: БШЙХДШБЮРЭ БЯЕ БУНДЪЫХЕ, МН АСДЕР КХ ПЮАНРЮРЭ gajim?
аСДС АКЮЦНДЮПЕМ )
/sbin/iptables -A INPUT -s ! 127.0.0.1 -m multiport -p tcp --destination-ports 80,3128,3306 -j REJECT
Добавлено: 15 янв 2006, 18:47
Gall
Llama писал(а):Скорее всего тыт где-то прочитал шпаргалку, тупо скопировал не разобравшись а теперь вылазят косяки...
Тупое копирование тут не катит.
Чтоб было более понятно, вот описание как это делать:
http://tetro.net/misc/multilink.html
И вот как сделано у меня:
Код: Выделить всё
iptables -t mangle -N NEW_OUT_CONN
iptables -t mangle -A OUTPUT -o eth0 -m state --state NEW -j NEW_OUT_CONN
iptables -t mangle -A OUTPUT -m connmark --mark 0 -j ROUTE --gw 192.168.х.х1 --continue
iptables -t mangle -A OUTPUT -m connmark --mark 1 -j ROUTE --gw 192.168.х.х2 --continue
Поскольку все происходит в таблах, то и спрашиваю про таблы.
Мне нужно чтоб 192.168.х.х3 ходил через NEW_OUT_CONN, как и сам этот комп.
Добавлено: 16 янв 2006, 10:53
Maxim Britov
man iptables
hint: OUTPUT не подходит для Вашего x.x3
Видно Llama как всегда угадал
Добавлено: 16 янв 2006, 11:18
Maxim Britov
Victor Gr., см. лучше
http://iptables-tutorial.frozentux.net/ ... orial.html
IMHO очень хорошее руководство, есть в Интернет перевод предыдущей версии, но та была существенно короче.
А по сути вопроса посоветую:
/sbin/iptables -P INPUT DROP
/sbin/iptables -A INPUT -m state ---state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
блок mp3 и радио ( - через iptables...
Добавлено: 06 фев 2006, 16:15
Danar
Поможите народ... заблочить на скач. mp3 файла... и радио....
в Iptables
Есть доступ в инет, фаир. настроен.. но фильтрацию на mp3 - сделать умишка не хватает. (
С радио - я думаю это чистый блок радиостанций через их ip. (может подскажите др. способ т.к. этих станций довольно много и каждую банить... ну как-то... вроде и не грамотно.)
Добавлено: 06 фев 2006, 16:26
Llama
Danar, прозрачный squid в режиме transparent proxy настрой и на нем фильруй...
Добавлено: 06 фев 2006, 16:55
Danar
)) кул конечно а что с трафиком ? .... его заварачивать походу надо... на SQUID ( кажись.... и дальше рулить.....
Добавлено: 06 фев 2006, 17:14
Llama
Danar, ну таки да, надо заворачивать. Какэ то делается в разных системах как правило написано в доках по настройке "прозрачного" squid.
http://www.opennet.ru/base/net/transpar ... y.txt.html
Добавлено: 06 фев 2006, 18:06
Danar
это жесть
iptables -t nat -A PREROUTING -s 192.168.0.0/16 -d ! 192.168.0.1 -p tcp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081 -j REDIRECT --to-port 111
iptables -t nat -A PREROUTING -s 192.168.0.0/16 -d ! 192.168.0.1 -p udp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081 -j REDIRECT --to-port 111
iptables -t nat -A PREROUTING -s 192.168.0.0/16 -d ! 192.168.0.1 -p tcp -m multiport --dport 8082,8083,8091,8100,8101,8102,8103,8080,8888,777 -j REDIRECT --to-port 111
iptables -t nat -A PREROUTING -s 192.168.0.0/16 -d ! 192.168.0.1 -p udp -m multiport --dport 8082,8083,8091,8100,8101,8102,8103,8080,8888,777 -j REDIRECT --to-port 111
а проще можно...
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -p tcp --dport 8081 -j REDIRECT --to-port 3128
Добавлено: 09 окт 2006, 20:15
mallory
Я каждый раз перезагружаясь смотрю на вывод iptables -L и вижу пару строчек типа DROP(было дело, ставил когда-то...). Сбрасываю iptables -F, сохраняю iptables-save. Больше ничего не изменяю. Но при следующей загрузке те два правила снова как ни в чем не бывало на месте. Почему снова воскресают?
ASPLinux 11
Добавлено: 10 окт 2006, 12:47
avb
mallory, iptables-save > /etc/sysconfig/iptables
или /etc/init.d/iptables save
Добавлено: 11 окт 2006, 09:21
Tellurian
Llama писал(а):Ужос! Как ты с помощью iptables "сливаешь два канал в один" тут всем придстоит догадываться... Скорее всего тыт где-то прочитал шпаргалку, тупо скопировал не разобравшись а теперь вылазят косяки... Вобщем отправляемся читать:
http://gazette.lrn.ru/rus/articles/index-lartc.html
Llama, я заметил, что ЛАРТЦ у тебя любимая дока
: постоянно туда всех отправляешь(меня тоже). Кста, реально произошло просветление после выкуривания....