[Comm] Вопрос к специалистам по Iptables
Aleks Silin
=?iso-8859-1?q?my=5Fmail_=CE=C1_gala=2Enet?=
Вт Ноя 4 16:00:54 MSK 2003
On Fri, 31 Oct 2003 16:26:22 +0300
"Mikhailov Vladimir" <himik_vovan на mail.ru> wrote:
> Добрый день,
> Хочу сразу оговориться в Дштгч я новичок, это что бы вы ногами меня сильно не пинали.
Я то же не совсем специалист :) но может моя помощь не окажеться лишней.... :)
> У меня есть две подсетки (eth0 10.0.0.x и eth1 172.16.28.x) и соединение по pppt с интернетом.
> Задача следующая: Пользователям подсети 10.0.0.х разрешить все , а пользователям 172.16.28.х разрешить только пользоваться самбой (172.16..28.10) и apache (172.16.28.10) и еще что бы apach, bind и ssh были видны из интернета.
> Мой внешний ip 82.73.165.25
> Следующим образом прописан IPTABLES
> # Generated by iptables-save v1.2.6a on Fri Oct 31 10:55:47 2003
> *filter
> :INPUT ACCEPT [1906:216218]
> :FORWARD ACCEPT [105813:50822459]
> :OUTPUT ACCEPT [897403:1022613538]
> -A INPUT -s 172.16.28.0/255.255.255.0 -d 10.0.0.1 -p tcp -m tcp --dport 445 -j ACCEPT
> -A INPUT -s 172.16.28.0/255.255.255.0 -d 10.0.0.1 -p tcp -m tcp --dport 138 -j ACCEPT
> -A INPUT -s 172.16.28.0/255.255.255.0 -d 10.0.0.1 -p tcp -m tcp --dport 139 -j ACCEPT
Здесь вместо -d 10.0.0.0 надо поставить -d 172.16.28.10 при условии, что samba слушает на интерфейсе eth1
> -A INPUT -i eth0 -j ACCEPT
> -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
> -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
> -A INPUT -i ppp0 -p tcp -m tcp --dport 53 -j ACCEPT
> -A INPUT -i ppp0 -p udp -m udp --dport 53 -j ACCEPT
> -A INPUT -p tcp -m tcp --sport 1723 -j ACCEPT
> -A INPUT -p 47 -j ACCEPT
> -A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
> -A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
> -A INPUT -i eth1 -j REJECT --reject-with icmp-port-unreachable
> -A INPUT -i ppp0 -j REJECT --reject-with icmp-port-unreachable
> COMMIT
> # Completed on Fri Oct 31 10:55:47 2003
> # Generated by iptables-save v1.2.6a on Fri Oct 31 10:55:47 2003
> *nat
> :PREROUTING ACCEPT [38676:5311586]
> :POSTROUTING ACCEPT [4000:561175]
> :OUTPUT ACCEPT [3997:561031]
> -A POSTROUTING -s 10.0.0.0/255.255.255.0 -o eth1 -j SNAT --to-source 172.16.28.10
> -A POSTROUTING -s 10.0.0.0/255.255.255.0 -o ppp0 -j SNAT --to-source 82.73.165.25
> COMMIT
> # Completed on Fri Oct 31 10:55:47 2003
> Подскажите почему ползователи подсети не видят самбу и apach (в тоже время bind и ssh работают)
А апач слушает на eth1? Можно поставить местами -j LOG и смотреть что где режется.
Можно tcpdump -i eth1 посмотреть что куда идет...
--
С уважением, Силин А.В.
my_mail на gala.net
Подробная информация о списке рассылки community