A.R.T.
Гость
|
|
« : 08-10-2009 13:59 » |
|
Здравствуйте. Помогите, пожалуйста, настроить firewall в Centos 5.2 через Webmin. Неясен принцип работы, я в Linux не очень, подхожу к настройкам как серверу ISA, но не очень-то и получается. Установлен Centos 5.2 с Asterisk, хочу опубликовать Asterisk наружу, но создать работающее правило не получается. Есть две сетевые eth0 и eth1. Первый смотрит внутрь, а второй наружу. Из внутренней сети и Интернета к серверу можно подключиться, но я хочу разграничить правила, применяемые к картам eth0 и eth1. Пробовал создать правила, чтоб снаружи пинг не проходил, без успешно. Спасибо.
p.s. в прикреплённом файле все роли, которые были и есть по умолчанию.
|
|
« Последнее редактирование: 09-10-2009 05:01 от Sel »
|
Записан
|
|
|
|
Sla
|
|
« Ответ #1 : 08-10-2009 14:05 » |
|
а в обход webmin? man iptables
покажи вывод в консоли iptables -L
|
|
|
Записан
|
Мы все учились понемногу... Чему-нибудь и как-нибудь.
|
|
|
RXL
|
|
« Ответ #2 : 08-10-2009 14:52 » |
|
Лучше - "iptables -L -nvx" и результат в студию.
Какие порты и протоколы использует Asterisk известно?
|
|
|
Записан
|
... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
|
|
|
A.R.T.
Гость
|
|
« Ответ #3 : 09-10-2009 04:23 » |
|
Всё что есть
Chain INPUT (policy ACCEPT 6 packets, 342 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT icmp -- eth1 * 0.0.0.0/0 0.0.0.0/0 icmp type 0 14 1884 DROP all -- eth1 * 0.0.0.0/0 0.0.0.0/0 8288 1256807 ACCEPT all -- eth0 * 0.0.0.0/0 0.0.0.0/0 84 11917 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x10/0x10 1 40 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED 3 246 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:53 dpts:1024:65535 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 3 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 0 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 4 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 11 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 12 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 1 60 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 1 60 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:9001 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:9080 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:4569 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:5000:5082 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:10000:20000 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:4445 2 120 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5038 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:123 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:69 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:9022
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 LOG all -- * eth1 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 7 prefix `BANDWIDTH_OUT:' 0 0 LOG all -- eth1 * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 7 prefix `BANDWIDTH_IN:'
Chain OUTPUT (policy ACCEPT 1745 packets, 517642 bytes) pkts bytes target prot opt in out source destination 0 0 LOG all -- * eth1 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 7 prefix `BANDWIDTH_OUT:'
Asterisk использует
udp dpts:5000:5082 udp dpts:10000:20000
|
|
|
Записан
|
|
|
|
RXL
|
|
« Ответ #4 : 09-10-2009 05:18 » |
|
A.R.T., в цепочке INPUT вторая строка - убери ее и добавь в конец. Правило то выполняются последовательно, а не параллельно. Не плохо бы вставить в начало -i lo -j ACCEPT.
Надеюсь, в таблицах mangle и raw ничего нет?
|
|
« Последнее редактирование: 09-10-2009 05:22 от RXL »
|
Записан
|
... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
|
|
|
A.R.T.
Гость
|
|
« Ответ #5 : 09-10-2009 06:17 » |
|
Это получается что правила которые есть сейчас будут отрабатывать только для eth0 А для eth1 надо создать правила выше
|
|
|
Записан
|
|
|
|
A.R.T.
Гость
|
|
« Ответ #6 : 09-10-2009 06:34 » |
|
RXL, eth0 вставил самый конец, создал правила drop для пинга и вставил выше eth1, но результата нет, eth1 пингуется Вот ещё, попробовал запретить пинг на eth0, результата отрицательный, пинг проходит.
|
|
« Последнее редактирование: 09-10-2009 06:51 от Sla »
|
Записан
|
|
|
|
Sla
|
|
« Ответ #7 : 09-10-2009 06:52 » |
|
A.R.T., покажи правило запрета пинга
|
|
|
Записан
|
Мы все учились понемногу... Чему-нибудь и как-нибудь.
|
|
|
A.R.T.
Гость
|
|
« Ответ #8 : 09-10-2009 06:58 » |
|
hain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 0 0 0 ACCEPT all -- eth1 * 0.0.0.0/0 0.0.0.0/0 79 5839 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x10/0x10 20 2109 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state ESTABLISHED 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:53 dpts:1024:65535 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 3 0 0 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 0 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 4 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 11 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 12 1 48 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 1 48 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:9001 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:9080 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:4569 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:5000:5082 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:10000:20000 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:4445 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5038 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:123 0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:69 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:9022 20 2840 ACCEPT all -- eth0 * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 LOG all -- * eth1 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 7 prefix `BANDWIDTH_OUT:' 0 0 LOG all -- eth1 * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 7 prefix `BANDWIDTH_IN:'
Chain OUTPUT (policy ACCEPT 135 packets, 58576 bytes) pkts bytes target prot opt in out source destination 0 0 LOG all -- * eth1 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 7 prefix `BANDWIDTH_OUT:'
|
|
|
Записан
|
|
|
|
Sla
|
|
« Ответ #9 : 09-10-2009 07:18 » |
|
разберись с типами icmp и покажи команду которой ты это правило создаешь, а не само правило
|
|
|
Записан
|
Мы все учились понемногу... Чему-нибудь и как-нибудь.
|
|
|
A.R.T.
Гость
|
|
« Ответ #10 : 09-10-2009 07:29 » |
|
Sla, все правила которые здесь есть, были по умолчанию А правила создаю через webmin
|
Rule.JPG (84.1 Кб - загружено 1115 раз.)
|
|
Записан
|
|
|
|
Sla
|
|
« Ответ #11 : 09-10-2009 07:32 » |
|
A.R.T., я не пользовался графическими утилитами и не могу сказать как это делается
ты попробуй создать правило из консоли. Поверь, получишь колоссальное удовольствие. Потому что поймешь весь механизм работы firewall'а
|
|
|
Записан
|
Мы все учились понемногу... Чему-нибудь и как-нибудь.
|
|
|
Sla
|
|
« Ответ #12 : 09-10-2009 07:37 » |
|
я, к сожалению, не знаю где у тебя прописываются правила, но, возможно, в /etc/rc.d/rc.firewall
покажи этот файл
|
|
|
Записан
|
Мы все учились понемногу... Чему-нибудь и как-нибудь.
|
|
|
A.R.T.
Гость
|
|
« Ответ #13 : 09-10-2009 08:25 » |
|
Sla , по пути /etc/rc.d файл rc.firewall отсутствует
все что есть /etc/rc.d/init.d /rc0.d /rc1.d /rc2.d до /rc6.d *rc *rc.local *rc.sysinit
|
|
|
Записан
|
|
|
|
Sla
|
|
« Ответ #14 : 09-10-2009 08:36 » |
|
я не гадалка, тем более Centoos под рукой не имею. /etc/sysconfig/iptables ?
man iptables и по идее, должно быть сказано, где лежат, или где должны лежать настройки.
|
|
|
Записан
|
Мы все учились понемногу... Чему-нибудь и как-нибудь.
|
|
|
A.R.T.
Гость
|
|
« Ответ #15 : 09-10-2009 10:31 » |
|
содержимое iptables
Generated by iptables-save vl.2.11 on Tue Jul 18 22:20:07 2006 *nat :PREROUTING ACCEPT [8:408] :POSTROUTING ACCEPT [2:129] :OUTPUT ACCEPT [2:129] COMMIT # Completed on Tue Jul 18 22:20:07 2006 # Generated by iptables-save vl.2.11 on Tue Jul 18 22:20:07 2006 *mangle :PREROUTING ACCEPT [287:33378] :INPUT ACCEPT [287:33378] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [288:38355] :POSTROUTING ACCEPT [288:38355] COMMIT # Completed on Tue Jul 18 22:20:07 2006 # Generated by iptables-save vl.2.11 on Tue Jul 18 22:20:07 2006 «filter :FORWARD ACCEPT [0:0] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A FORWARD -o ethl -j LOG —log-level 7 —log-prefix BANDWIDTH_OUT: -A FORWARD -i ethl -j LOG —log-level 7 —log-prefix BANDUIDTH_IN: -A OUTPUT -o ethl -j LOG —log-level 7 —log-prefix BANDUIDTH_OUT: # Accept responses to our pings -A INPUT -p icmp -m icmp —icmp-type echo-reply -j DROP -A INPUT -i ethl -j ACCEPT # Accept traffic raith the ACK flag set -A INPUT -p tcp -m tcp —tcp-flags ACK ACK -j ACCEPT # Allow incoming data that is part of a connection we established -A INPUT -m state —state ESTABLISHED -j ACCEPT # Allow data that is related to existing connections -A INPUT -m state —state RELATED -j ACCEPT # Accept responses to DNS queries -A INPUT -p udp -m udp —dport 1024:65535 —sport 53 -j ACCEPT if Accept notifications of unreachable hosts -A INPUT -p icmp -m icmp —icmp-type destination-unreachable -j ACCEPT # Accept responses to our pings -A INPUT -p icmp -m icmp —icmp-type echo-reply -j DROP # Accept notifications to reduce sending speed -A INPUT -p icmp -m icmp —icmp-type source-quench -j ACCEPT # Accept notifications of lost packets -A INPUT -p icmp -m icmp —icmp-type time-exceeded -j ACCEPT H Accept notifications of protocol problems -A INPUT -p icmp -m icmp —icmp-type parameter-problem -j ACCEPT # Allow connections to our SSH server -A INPUT -p tcp -m tcp —dport ssh -j ACCEPT # Allow connections to our IDENT server -A INPUT -p tcp -m tcp —dport auth -j ACCEPT # Allow connections to our SSH server -A INPUT -p tcp -m tcp —dport 80 -j ACCEPT # Allow connections to our WEB server Allow connections to our UEB server -A INPUT -p tcp -m tcp —dport 443 -j ACCEPT # Allow connections to our Secure Web server -A INPUT -p tcp -m tcp —dport 21 -j ACCEPT # Allow connections to our FTP server -A INPUT -p tcp -m tcp —dport 9001 -j ACCEPT # Allow connections to our Uebmin server -A INPUT -p tcp -m tcp —dport 9080 -j ACCEPT # Allow connections to our Alternative web server -A INPUT -p udp -m udp —dport 4569 -j ACCEPT # Allow connections to our IAX server -A INPUT -p udp -m udp —dport 5000:5082 -j ACCEPT # Allow connections to our SIP server -A INPUT -p udp -m udp —dport 10000:20000 -j ACCEPT # Allow connections to our SIP-RTP server -A INPUT -p tcp -m tcp —dport 4445 -j ACCEPT # Allow connections to our FOP server -A INPUT -p tcp -m tcp —dport 5038 -j ACCEPT # Allow connections to NTP time server -A INPUT -p udp -m udp —dport 123 -j ACCEPT # Allow connections to our Alternative Web server -A INPUT -p udp -m udp —dport 69 -j ACCEPT # Allow connections to our Uebmin server -A INPUT -p tcp -m tcp —dport 9022 -j ACCEPT # Accept traffic from internal interfaces -A INPUT -i ethO -j ACCEPT COMMIT # Completed on Tue Jul 18 22:20:07 2006
|
|
|
Записан
|
|
|
|
RXL
|
|
« Ответ #16 : 09-10-2009 15:22 » |
|
Sla, CentOS - 100% копия RH Enterprise Linux. Т.е. все как в RedHat и клонах: /etc/sysconfig/... *nat :PREROUTING ACCEPT [8:408] :POSTROUTING ACCEPT [2:129] :OUTPUT ACCEPT [2:129] COMMIT
*mangle :PREROUTING ACCEPT [287:33378] :INPUT ACCEPT [287:33378] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [288:38355] :POSTROUTING ACCEPT [288:38355] COMMIT
*filter :FORWARD ACCEPT [0:0] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A FORWARD -o eth1 -j LOG —log-level 7 —log-prefix BANDWIDTH_OUT: -A FORWARD -i eth1 -j LOG —log-level 7 —log-prefix BANDWIDTH_IN: -A OUTPUT -o eth1 -j LOG —log-level 7 —log-prefix BANDWIDTH_OUT: -A INPUT -i lo -j ACCEPT -A INPUT -i eth1 -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -m icmp —icmp-type echo-reply -j REJECT --reject-with icmp-host-prohibited -A INPUT -p icmp -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp —dport ssh -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp —dport auth -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp —dport 80 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp —dport 443 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp —dport 9001 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp —dport 9080 -j ACCEPT -A INPUT -p udp -m state --state NEW -m udp —dport 5000:5082 -j ACCEPT -A INPUT -p udp -m state --state NEW -m udp —dport 10000:20000 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp —dport 4445 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp —dport 5038 -j ACCEPT -A INPUT -p udp -m state --state NEW -m udp —dport 123 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp —dport 9022 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT
Путаница "ethl" и "eth1".
|
|
« Последнее редактирование: 12-10-2009 07:03 от RXL »
|
Записан
|
... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
|
|
|
A.R.T.
Гость
|
|
« Ответ #17 : 12-10-2009 05:06 » |
|
Это просто опечатка
Generated by iptables-save vl.2.11 on Tue Jul 18 22:20:07 2006 *nat :PREROUTING ACCEPT [8:408] :POSTROUTING ACCEPT [2:129] :OUTPUT ACCEPT [2:129] COMMIT # Completed on Tue Jul 18 22:20:07 2006 # Generated by iptables-save vl.2.11 on Tue Jul 18 22:20:07 2006 *mangle :PREROUTING ACCEPT [287:33378] :INPUT ACCEPT [287:33378] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [288:38355] :POSTROUTING ACCEPT [288:38355] COMMIT # Completed on Tue Jul 18 22:20:07 2006 # Generated by iptables-save vl.2.11 on Tue Jul 18 22:20:07 2006 «filter :FORWARD ACCEPT [0:0] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A FORWARD -o eth1 -j LOG —log-level 7 —log-prefix BANDWIDTH_OUT: -A FORWARD -i eth1 -j LOG —log-level 7 —log-prefix BANDUIDTH_IN: -A OUTPUT -o eth1 -j LOG —log-level 7 —log-prefix BANDUIDTH_OUT:
# Accept responses to our pings -A INPUT -p icmp -m icmp —icmp-type echo-reply -j DROP # Accept traffic from internal interfaces -A INPUT -i eth1 -j ACCEPT # Accept traffic raith the ACK flag set -A INPUT -p tcp -m tcp —tcp-flags ACK ACK -j ACCEPT # Allow incoming data that is part of a connection we established -A INPUT -m state —state ESTABLISHED -j ACCEPT # Allow data that is related to existing connections -A INPUT -m state —state RELATED -j ACCEPT # Accept responses to DNS queries -A INPUT -p udp -m udp —dport 1024:65535 —sport 53 -j ACCEPT # Accept notifications of unreachable hosts -A INPUT -p icmp -m icmp —icmp-type destination-unreachable -j ACCEPT # Accept responses to our pings -A INPUT -p icmp -m icmp —icmp-type echo-reply -j DROP # Accept notifications to reduce sending speed -A INPUT -p icmp -m icmp —icmp-type source-quench -j ACCEPT # Accept notifications of lost packets -A INPUT -p icmp -m icmp —icmp-type time-exceeded -j ACCEPT # Accept notifications of protocol problems -A INPUT -p icmp -m icmp —icmp-type parameter-problem -j ACCEPT # Allow connections to our SSH server -A INPUT -p tcp -m tcp —dport ssh -j ACCEPT # Allow connections to our IDENT server -A INPUT -p tcp -m tcp —dport auth -j ACCEPT # Allow connections to our SSH server -A INPUT -p tcp -m tcp —dport 80 -j ACCEPT # Allow connections to our WEB server Allow connections to our UEB server -A INPUT -p tcp -m tcp —dport 443 -j ACCEPT # Allow connections to our Secure Web server -A INPUT -p tcp -m tcp —dport 21 -j ACCEPT # Allow connections to our FTP server -A INPUT -p tcp -m tcp —dport 9001 -j ACCEPT # Allow connections to our Uebmin server -A INPUT -p tcp -m tcp —dport 9080 -j ACCEPT # Allow connections to our Alternative web server -A INPUT -p udp -m udp —dport 4569 -j ACCEPT # Allow connections to our IAX server -A INPUT -p udp -m udp —dport 5000:5082 -j ACCEPT # Allow connections to our SIP server -A INPUT -p udp -m udp —dport 10000:20000 -j ACCEPT # Allow connections to our SIP-RTP server -A INPUT -p tcp -m tcp —dport 4445 -j ACCEPT # Allow connections to our FOP server -A INPUT -p tcp -m tcp —dport 5038 -j ACCEPT # Allow connections to NTP time server -A INPUT -p udp -m udp —dport 123 -j ACCEPT # Allow connections to our Alternative Web server -A INPUT -p udp -m udp —dport 69 -j ACCEPT # Allow connections to our Uebmin server -A INPUT -p tcp -m tcp —dport 9022 -j ACCEPT # Accept traffic from internal interfaces -A INPUT -i eth0 -j ACCEPT COMMIT
|
|
« Последнее редактирование: 12-10-2009 06:30 от A.R.T. »
|
Записан
|
|
|
|
RXL
|
|
« Ответ #18 : 12-10-2009 06:04 » |
|
A.R.T., я тебя уже не понимаю - файрвол надо настроить или что?
|
|
|
Записан
|
... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
|
|
|
A.R.T.
Гость
|
|
« Ответ #19 : 12-10-2009 06:43 » |
|
RXL , Это сервер ip Телефонии на Asteriske . Мне надо настроить Фаервол так чтоб через eth 1 могли подключаться снаружи только SIP телефоны , чтоб этот сервер был максимально закрыт и безопасен. Проблема в том что когда создаю правила, они не работают, может я не правильно понимаю принцип работы Linuxa к примеру создал правила для запрета пинга выше eth1 но пинги проходят.
|
|
« Последнее редактирование: 12-10-2009 06:48 от A.R.T. »
|
Записан
|
|
|
|
RXL
|
|
« Ответ #20 : 12-10-2009 06:52 » |
|
|
|
|
Записан
|
... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
|
|
|
A.R.T.
Гость
|
|
« Ответ #21 : 12-10-2009 06:57 » |
|
Сейчас попробую
|
|
|
Записан
|
|
|
|
RXL
|
|
« Ответ #22 : 12-10-2009 07:00 » |
|
Помести это в конфиг и выполни service iptables restart.
Покажи: cat /etc/sysconfig/iptables-config Только оборачивай текст тегами [code] [/code]
|
|
|
Записан
|
... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
|
|
|
A.R.T.
Гость
|
|
« Ответ #23 : 12-10-2009 08:42 » |
|
Содержимое: /sysconfig/iptables-config # Load additional iptables modules (nat helpers} # Default: -none- # Space separated list of nat helpers (e.g. 'ip_nat_ftp ip_nat_irc'), which # are loaded after the firewall rules are applied. Options for the helpers are # stored in /etc/modprobe.conf. IP TABLES MODULES ="ip_cоnntrack_netbiоs_ns"
# Unload modules on restart and stop # Value: yes| no, default: yes # This option has to be 'yes' to get to a sane state for a firewall # restart or stop. Only set to 'no' if there are problems unloading netfilter # modules. IPTABLES_MODULES_UNLOAD="yes"
# Save current firewall rules on stop. # Value: yes| no, default: no # Saves all firewall rules to /etc/sysconfig/iptables if firewall gets stopped # (e.g. on system shutdown) . IPTABLES_SAVE_O [M S-N_STOP="no"
# Save current firewall rules on restart. # Value: yes| no, default: no # Save (and restore) rule and chain counter. # Value: yes| no, default: no # Save counters for rules and chains to /etc/sysconfig/iptables if # 'service iptables save1 is called or on stop or restart if SAVE_ON_STOP or # SAVE_ON_RESTART is enabled. IP TABLES_SAVE_COUNTER="no"
# Numeric status output # Value: yes| no, default: yes # Print IP addresses and port numbers in numeric format in the status output. IPTABLES_STATUS_NUMERIС="уеs"
# Verbose status output # Value: yes| no, default: yes # Print info about the number of packets and bytes plus the "input-" and # "outputdevice" in the status output. IP TABLES_STATUS_VERBOSE ="no"
# Status output with numbered lines # Value: yes| no, default: yes # Print a counter/number for every rule in the status output. IP TABLES_STATUS_LINENUHBERS="yes"
Попробовал вот этот вариант https://forum.shelek.ru/index.php/topic,22046.msg216230.html#msg216230 результата нет
|
|
|
Записан
|
|
|
|
RXL
|
|
« Ответ #24 : 12-10-2009 08:46 » |
|
Слушай, это безобразие какое-то: у тебя терминал на правильную кодировку настроен? Так работать не возможно... Постоянные сбои какие-то и мусор в тексте. Часом не Hypertermnal используешь? Выбрось эту дрянь! Качай putty - он фриварный.
|
|
|
Записан
|
... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
|
|
|
A.R.T.
Гость
|
|
« Ответ #25 : 12-10-2009 09:15 » |
|
Использую Putty, но файли редактирую черес mc А в Putty можно как-то посмотрет содержимое файла ? прим. etc/sysconfig/ iptables-config
|
|
« Последнее редактирование: 12-10-2009 09:42 от A.R.T. »
|
Записан
|
|
|
|
RXL
|
|
« Ответ #26 : 12-10-2009 11:30 » |
|
Аналогично: использую туже ОС, тот же терминал и тот же редактор.
cat /etc/sysconfig/iptables-config
Рекомендую сперва: 1. В mc переключиться на консоль. 2. Нажать Enter несколько раз, чтобы отличить вывод команды от мусора.
|
|
|
Записан
|
... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
|
|
|
A.R.T.
Гость
|
|
« Ответ #27 : 12-10-2009 11:54 » |
|
Вот что есть # Load additional iptables modules (nat helpers) # Default: -none- # Space separated list of nat helpers (e.g. 'ip_nat_ftp ip_nat_irc'), which # are loaded after the firewall rules are applied. Options for the helpers are # stored in /etc/modprobe.conf. IPTABLES_MODULES="ip_conntrack_netbios_ns"
# Unload modules on restart and stop # Value: yes|no, default: yes # This option has to be 'yes' to get to a sane state for a firewall # restart or stop. Only set to 'no' if there are problems unloading netfilter # modules. IPTABLES_MODULES_UNLOAD="yes"
# Save current firewall rules on stop. # Value: yes|no, default: no # Saves all firewall rules to /etc/sysconfig/iptables if firewall gets stopped # (e.g. on system shutdown). IPTABLES_SAVE_ON_STOP="no"
# Save current firewall rules on restart. # Value: yes|no, default: no # Saves all firewall rules to /etc/sysconfig/iptables if firewall gets # restarted. IPTABLES_SAVE_ON_RESTART="no"
# Save (and restore) rule and chain counter. # Value: yes|no, default: no # Save counters for rules and chains to /etc/sysconfig/iptables if # 'service iptables save' is called or on stop or restart if SAVE_ON_STOP or # SAVE_ON_RESTART is enabled. IPTABLES_SAVE_COUNTER="no"
# Numeric status output # Value: yes|no, default: yes # Print IP addresses and port numbers in numeric format in the status output. IPTABLES_STATUS_NUMERIC="yes"
# Verbose status output # Value: yes|no, default: yes # Print info about the number of packets and bytes plus the "input-" and # "outputdevice" in the status output. IPTABLES_STATUS_VERBOSE="no"
# Status output with numbered lines # Value: yes|no, default: yes # Print a counter/number for every rule in the status output. IPTABLES_STATUS_LINENUMBERS="yes"
|
|
|
Записан
|
|
|
|
RXL
|
|
« Ответ #28 : 12-10-2009 12:32 » |
|
Если samba пользоваться не будешь, то замени IPTABLES_MODULES="ip_conntrack_netbios_ns"на IPTABLES_MODULES=""
Пробовал? Расскажи свои действия.
|
|
|
Записан
|
... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
|
|
|
A.R.T.
Гость
|
|
« Ответ #29 : 13-10-2009 04:22 » |
|
1. IPTABLES_MODULES="" поменял
2. Скопировал код в текстовый редактор, сохранил под именем iptables, скопировал на сервак, отредактировал и переписал файл iptables на серваке.
Но при рестарте сервиса ругается: Flushing firewall rules: [ OK ] Setting chains to policy ACCEPT: filter mangle nat [ OK ] Unloading iptables modules: [ OK ] Applying iptables firewall rules: Error occurred at line: 19 Try `iptables-restore -h' or 'iptables-restore --help' for more information. Bad argument `.log-level' [FAILED]
|
|
|
Записан
|
|
|
|
|