Форум Академгородка, Новосибирск > домашний маршрутизатор
Помощь - Поиск - Пользователи - Календарь
Полная версия этой страницы: домашний маршрутизатор
Форум Академгородка, Новосибирск > Компьютеры и сети > Операционные системы > Unix
Sere]\[ka
06.12.2009, 17:37
Добрый вечер, решил собрать из старого железа домашний маршрутизатор. Собирал руководствуясь статьей http://www.gentoo.org/doc/ru/home-router-howto.xml. Однако теперь когда запускаю flylink он кричит что не может открыть порт. Я подразумеваю что это из-за
Код
Отбросим все TCP/UDP-пакеты, обращающиеся к привилегированным портам
# iptables -A INPUT -p TCP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP
# iptables -A INPUT -p UDP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP

хобы ведь на 411 порту сидят. Собственно вопрос, правильно я думаю? и если да то как открыть нужный порт(какие использует FlyLink?). Подразумеваю что это будет что то типа
Код
# iptables -A INPUT -p TCP --dport 411 -i ${LAN} -j ACCEPT

Поправте что не так.
ЗЫ если кто может обьясните разницу между -I и -A в синтаксисе iptables т.к. я думаю все поняли что в iptables я не особо...
Denri
06.12.2009, 23:35
-А - Add -добавить правило в конец цепочки
-I - Insert - встроить правило в цепочку. там еще надо указать строку куда именно встроить

Цитата
iptables -A INPUT -p TCP --dport 411 -i ${LAN} -j ACCEPT

все правильно, единственно может конфликтовать с предыдущим правилом где
Цитата
iptables -A INPUT -p TCP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP

так что если не заработает можно разбить его на 2:
Цитата
0:410
Цитата
412:1023
iDamir
07.12.2009, 9:57
при построении последовательности правил следует руководствоваться следующим принципом:
сначала разрешаем, что надо разрешить
потом запрещаем всё остальное.


Восполнение пробела в знаниях
longbow
23.01.2010, 6:55
Цитата(iDamir @ 07.12.2009, 9:57) *
при построении последовательности правил следует руководствоваться следующим принципом:
сначала разрешаем, что надо разрешить
потом запрещаем всё остальное.


Восполнение пробела в знаниях


не соглашусь:
1. block all =)
2. Потом открываем что надо.
iDamir
24.01.2010, 11:39
Народная примета: выполнение п.1 от longbow -- к дороге smile.gif
SunRabbit
24.01.2010, 13:18
Цитата(iDamir @ 24.01.2010, 12:39) *
Народная примета: выполнение п.1 от longbow -- к дороге smile.gif

ye.gif
Legioner
26.01.2010, 3:55
Цитата(longbow @ 23.01.2010, 6:55) *
1. block all =)
2. Потом открываем что надо.

улучшенный вариант:
1. разрешаем себя
2. блокаем всё
3. разрешаем всё, что надо
4. отменяем п.1 rolleyes.gif
crypt
26.01.2010, 21:41
Цитата(iDamir @ 24.01.2010, 11:39) *
Народная примета: выполнение п.1 от longbow -- к дороге smile.gif

^)

Четвертое Правило Легионера - это частный случай правила от Лонгбоу.
longbow
26.01.2010, 21:43
Цитата(iDamir @ 24.01.2010, 11:39) *
Народная примета: выполнение п.1 от longbow -- к дороге smile.gif

Что-то не припомню такой приметы
Сколько раз делал - никто меня не пробовал остановить
crypt
26.01.2010, 21:50
Цитата(longbow @ 26.01.2010, 21:43) *
Цитата(iDamir @ 24.01.2010, 11:39) *
Народная примета: выполнение п.1 от longbow -- к дороге smile.gif

Что-то не припомню такой приметы
Сколько раз делал - никто меня не пробовал остановить


Наверное, потому что не приходилось настраивать фвол по ssh.
longbow
26.01.2010, 21:53
Цитата(crypt @ 26.01.2010, 21:50) *
Цитата(longbow @ 26.01.2010, 21:43) *
Цитата(iDamir @ 24.01.2010, 11:39) *
Народная примета: выполнение п.1 от longbow -- к дороге smile.gif

Что-то не припомню такой приметы
Сколько раз делал - никто меня не пробовал остановить


Наверное, потому что не приходилось настраивать фвол по ssh.

как раз таки по ссх. Закрывается все, открывается ссх - потом все остальное по мере необходимости. Недостаток - возможность забыть открыть ссх.
crypt
26.01.2010, 22:02
Цитата(longbow @ 26.01.2010, 21:53) *
Цитата(crypt @ 26.01.2010, 21:50) *
Цитата(longbow @ 26.01.2010, 21:43) *
Цитата(iDamir @ 24.01.2010, 11:39) *
Народная примета: выполнение п.1 от longbow -- к дороге smile.gif

Что-то не припомню такой приметы
Сколько раз делал - никто меня не пробовал остановить


Наверное, потому что не приходилось настраивать фвол по ssh.

как раз таки по ссх. Закрывается все, открывается ссх - потом все остальное по мере необходимости. Недостаток - возможность забыть открыть ссх.


Ну, может, я правда чего-то недопонимаю про iptables. Если у тебя есть удаленная машина, может тебя не затруднит показать результат выполнения (вывод) комманд:

iptables -F; iptables -t nat -F; iptables -t mangle -F && iptables -P INPUT DROP && iptables -A INPUT -p TCP --dport $YOUR_SSH_PORT -j ACCEPT
Denri
26.01.2010, 23:06
Цитата(iDamir @ 07.12.2009, 10:57) *
при построении последовательности правил следует руководствоваться следующим принципом:
сначала разрешаем, что надо разрешить
потом запрещаем всё остальное.


Восполнение пробела в знаниях

в redhat именно так (дефолтные политики в ACCEPT)
а вот в сузе наоборот сделали (дефолтные политики в DROP)
кому как удобней
crypt
27.01.2010, 23:42
Цитата(Denri @ 26.01.2010, 23:06) *
в redhat именно так (дефолтные политики в ACCEPT)
а вот в сузе наоборот сделали (дефолтные политики в DROP)
кому как удобней


В RHEL? Из интереса проверил. Там при активированном FW все входящие соединения отправляются в цепочку, где в конце стоит --reject-with icmp-host-prohibited Возможно, сделали, чтобы запрет был более информативным, чем если просто iptables -P INPUT DROP
medvezai
11.05.2010, 15:26
Цитата(Denri @ 26.01.2010, 23:06) *
в redhat именно так (дефолтные политики в ACCEPT)

Пошли против Корана называется... еще и наплодили "пророков" типо longbow дабы нести тьму и зло в массы dry.gif
Для просмотра полной версии этой страницы, пожалуйста, пройдите по ссылке.
Русская версия IP.Board © 2001-2024 IPS, Inc.