Официальный форум ООО НПП  

Вернуться   Официальный форум ООО НПП "ТЕНЕТ" > Технические вопросы > Настройки операционных систем и программ

Ответ
 
Опции темы Опции просмотра
Старый 02.02.2011, 19:26 Вверх   #11
yurmax
Частый пользователь
 
Аватар для yurmax
 
Сообщений: 288
Репутация: 27
По умолчанию

тут гдето обсуждали настройки igmpproxy и не раз.
yurmax вне форума   Ответить с цитированием
Старый 18.09.2014, 13:49 Вверх   #12
korvin
Новичок
 
Сообщений: 9
Репутация: 10
По умолчанию

Цитата:
Сообщение от yurmax Посмотреть сообщение
про настройку dhcp в dnsmasq пару слов напиши, так вроде кошерно.

только INET_IP="ваш внешний ip" не совсем гуд.
я бы сразу заменил чтобы сделать универсальный скрипт для тех у кого постоянный и динамический.
разницы никакой, ни по удобству, ни по секурности, ни по кошерности.

меняем
$cmd -t nat -A POSTROUTING -s $LAN_IP_RANGE -o $INET_IFACE -j SNAT --to-source $INET_IP
на
$cmd -t nat -A POSTROUTING -s $LAN_IP_RANGE -j MASQUERADE

и

$cmd -t nat -A PREROUTING -p tcp -d $INET_IP --dport 6888 -j DNAT --to-destination 192.168.0.2:6888
на
$cmd -t nat -A PREROUTING -p tcp --dport 6888 -j DNAT --to 192.168.0.2:6888

и убираем $INET_IP нафиг с пляжа

ЗЫ

лишнее, они и так по дефолту на eth0 ходят.
смотри route -n

ЗЫЫ
порт торрента оставил бы по умолчанию 6881.
так и клиент не надо перенастраивать.
Код:
$cmd  -I FORWARD -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1500 -j TCPMSS --clamp-mss-to-pmtu -o ppp0
Еще вот такую строчку надо бы добавить..
А то при таких правилах у меня некоторые сайты не открывались..
instagram.com, olx.ua и еще с пяток..
korvin вне форума   Ответить с цитированием
Старый 20.09.2014, 01:40 Вверх   #13
Asavah
Пользователь
 
Сообщений: 41
Репутация: 11
По умолчанию

Acumen
Уважаемый,в ваших правилах iptables ОГРОМНЫЙ косяк в безопасности,
собственно:

Код:
$cmd -P FORWARD ACCEPT
# Разрешаем ходить пакетам между интерфесом ppp0
$cmd -A FORWARD -i ppp0 -j ACCEPT
FORWARD и INPUT по умолчанию надо дропать, ВЕСЬ, и разрешать только что нужно/можно:
пример для FORWARD:
то что прилетает на LAN ифейс - можно всё
Код:
iptables -A FORWARD -i $LAN -j ACCEPT
для всех ифейсов - RELATED,ESTABLISHED можно,
Код:
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate INVALID -j DROP
также ессно надо отдельно разрешать NEW для проброшенных портов (торрент итп).

за это надо бить по рукам, причём сильно,
просьба если не владеете материей не вводить в заблуждение людей такой извините за прямоту - криворукостью
с вашим недофаерволлом МОЖНО попасть в лан сеть снаружи.

Код:
# Точно не скажу что делают эти правила, но по ходу отбрасывает все ошибочные пакеты
$cmd -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$cmd -A INPUT -m state --state INVALID -j DROP
ну так разберитесь прежде чем постить - lartc.org в помощь.
объяснять state/ctstate просто лень.

второй косяк:
у системы должно быть ТРИ интерфейса -
LAN (понятно)
MAN - DHCP client для "локалки" тенета, его тоже нужно натить, также он нужен для мультикаста IPTV (на него igmpproxy вешаем)
WAN - собссно ppp для pppoe


Код:
# Устанавливаем стндартные политики для фильтра
$cmd -P INPUT DROP
$cmd -P OUTPUT ACCEPT
$cmd -P FORWARD ACCEPT
надо так:
Код:
# Устанавливаем стандартные политики для фильтра
$cmd -P INPUT DROP
$cmd -P OUTPUT ACCEPT
$cmd -P FORWARD DROP
Код:
# Устанавливаем стндартные политики для таблицы NAT
$cmd -t nat -P PREROUTING ACCEPT
$cmd -t nat -P POSTROUTING ACCEPT
$cmd -t nat -P OUTPUT ACCEPT
это вообще не нужно, по умолчанию политики таблицы nat и так в ACCEPT

короче косяков у вас больше чем правильных вещей.
мне правильно писать это дело лениво, пусть спецы тенета инструкцию с картинками рисуют, они за это деньги получают.

ваша попытка похвальна, но я всё таки бы посоветовал воздержатся от подобных инструкций так как
вы можете ввести в заблуждение других начинающих линуксоидов.

я попросил бы модераторов форума удалить данные правила из первого поста ввиду того что грамотность оных недотягивает даже до 3-ечки и содержит дыру в безопасности.

ЗЫ:
Цитата:
Автор 'Acumen'
Спасибо за внимание, авторские права на данную статью присуцтвуют так что НЕТ плагиату )).
Мдяяя .... авторские права за неправильно написанный файрволл скопированный неизвестно откуда неразобравшись даже в основных принципах работы iptables это 5+

korvin
да, клампинг надо делать обязательно, ибо у нас на PPPoE MTU 1492
правильно делается так:
mss указывать не надо, ядро само знает что на данном интерфейсе творится,
делать это надо только на выходе в WAN, посему надо указать ppp интерфейс

Код:
iptables -A FORWARD -o $INET_IFACE -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Последний раз редактировалось Asavah; 20.09.2014 в 01:58. Причина: ЗЫ
Asavah вне форума   Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Вкл.

Быстрый переход


Часовой пояс GMT +2, время: 04:29.


Powered by vBulletin®
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd.