inSaNE: Разъясните по фаерволлу, будьте любезны.

11 сообщений / 0 new
Последнее сообщение
Гость
inSaNE: Разъясните по фаерволлу, будьте любезны.

Здравствуйте, уважаемые лузеры (всмысле lusers, not loosers!) :-P

Поставил SAMS на Mandriva 2009. SAMS уже функционирует замечательно. Проблема в следующем. Необходимо чтобы работала почта и аська. Через Mandriva Control Center не получилось настроить совместный доступ в интернет. Итак и эдак пробовали с разными сетевухами - все время пишет "в системе не обнаружен сетевой адаптер", хотя все интерфейсы настроены и работают. Пришлось вбить:

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE

После этого из локалки начинает пинговаться внешка, работает аська и почта из Outlook. Но при этом, конечно же, в Интернет можно начинать ходить без всякого прокси. Пытался воспользоваться файерволом, открывая порты 5190, 25, 110 и применяя защиту к eth0 (в интернет), но безуспешно, после применения аська и почта не работают, сайты из локалки не пингуются. Вообще не до конца понял как пользоваться файерволом через mmc? Он позволяет указать какие сервисы доступны из Интернет. А наоборот? Как создавать правила какие сервисы могут получать доступ в Интернет, а какие нет? Почему это не доступно из графической оболочки настройки? Объясните пожалуйста как заблокировать доступ в интернет по http, разрешая его только через прокси, и при этом оставить работать аську и почту?

ps. Ранее работал "совместный доступ", потому как-то с проблемами не сталкивался. А как он отказал - вручную не могу настроить. Начал изучать iptables, чую без них не обойтись. Буду благодарен, если подскажите решение, сам могу дойти не быстро, но ведь тем не менее все должно работать, а посему не хочется, чтоб какой-нить умник в обход прокси съел кучу трафика, пока я разберусь.

WhiteDragon (не проверено)

а что с днс?

inSaNE (не проверено)

DNS-сервер не настроен - у клиентов явно указаны DNS провайдера.

Luter (не проверено)

лови простейший пример
<div class='indent'>
[root@gateway ~]# iptables-save
# Generated by iptables-save v1.4.0 on Tue Feb 24 15:23:19 2009
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [8232454:3830169345]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -p tcp -m tcp --dport 80 -j REJECT --reject-with icmp-port-unreachable #blokiruem 80 port
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -o eth0 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Tue Feb 24 15:23:19 2009
# Generated by iptables-save v1.4.0 on Tue Feb 24 15:23:19 2009
*nat
:PREROUTING ACCEPT [1815337:489051973]
:POSTROUTING ACCEPT [3734:582113]
:OUTPUT ACCEPT [272320:17302216]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Tue Feb 24 15:23:19 2009
</div>
<span class='smallblacktext'>[ Редактирование 25.02.2009 - 18:58:53 ]</span>

Luter (не проверено)

eth0 - смотрит в мир

WhiteDragon (не проверено)

[quote=inSaNE]DNS-сервер не настроен - у клиентов явно указаны DNS провайдера.[/quote]
а доступ к нему кто прописывать будет в таком случае?

WhiteDragon (не проверено)

[quote=Luter]лови простейший пример [/quote]
такие простейшие примеры должны гореть в аду

dennica (не проверено)

[quote=WhiteDragon][quote=Luter]лови простейший пример [/quote]
такие простейшие примеры должны гореть в аду[/quote]
А чем тебе не пример? Кинь проще. Мне все понравилось, кроме зашарпенной крякозябры. )

Luter (не проверено)

[quote=WhiteDragon][quote=inSaNE]DNS-сервер не настроен - у клиентов явно указаны DNS провайдера.[/quote]
а доступ к нему кто прописывать будет в таком случае?[/quote]

а он там не запрещен )

inSaNE (не проверено)

Luter: Спасибо, тезка, за исправленный коммент с кракозябрами, это правило и оказалось судьбоносным!
Все, теперь без прокси не забалуешь, я спокоен, и можно дальше вникать в цепочки.
Всем спасибо за участие! Тема может быть закрыта.

<span class='smallblacktext'>[ Редактирование 26.02.2009 - 08:55:39 ]</span>

Luter (не проверено)

неза что я так сам боролся за работу через прокси а то умников много ...
кто галочку умеет убирать а осовная масса сидит на 80 порту посему все туда...
вот еще для размышления
-A PREROUTING -d ! $IP_GW -i eth0 -p tcp -m tcp --dport 3128 -j REDIRECT --to-ports 8080
-A PREROUTING [-s ! $хост_которому_можно_без_прокси]-d ! $IP_GW -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080

RSS-материал