Iptables

[Gall]

Наткнулся на такие грабли.
Есть комп с двумя сетевыми картами, подключен к двум маршрутизаторам (два канала инета).
Через iptables эти два канала сливаю в один.
Так вот. Комп на котором сливаю, нормально ходит в нет, через оба шлюза.
Пытаюсь подключить к нему третий комп, чтоб тоже ходил через оба канала, а он почему то ходит только через один шлюз.
Как это можно решить через iptables???
стучите ICQ 152856907

[Llama]

Ужос! Как ты с помощью iptables "сливаешь два канал в один" тут всем придстоит догадываться... Скорее всего тыт где-то прочитал шпаргалку, тупо скопировал не разобравшись а теперь вылазят косяки... Вобщем отправляемся читать: http://gazette.lrn.ru/rus/articles/index-lartc.html

[Victor Gr.]

У меня вопрос по теме Iptables

Хочу запретить все подключения к своему компьютеру из вне.
Подключен к Локальной Сети (10.*.*.*) и к инету через pptp-VPN-Solo.

На компьютере часто включены Apache2, MySQL, SQUID.
И Gajim, Firefox, X.

Хочу, чтобы никто не мог подключиться к Apache2, MySQL, SQUID кроме меня (127.0.0.1).

Можно попробовать самое просто: выкидывать все входящие, но будет ли работать gajim?

Буду благодарен )

[gotty]

с ЛЕМЪ БНОПНЯ ОН РЕЛЕ Iptables

уНВС ГЮОПЕРХРЭ БЯЕ ОНДЙКЧВЕМХЪ Й ЯБНЕЛС ЙНЛОЭЧРЕПС ХГ БМЕ.
оНДЙКЧВЕМ Й кНЙЮКЭМНИ яЕРХ (10.*.*.*) Х Й ХМЕРС ВЕПЕГ pptp-VPN-Solo.

мЮ ЙНЛОЭЧРЕПЕ ВЮЯРН БЙКЧВЕМШ Apache2, MySQL, SQUID.
х Gajim, Firefox, X.

уНВС, ВРНАШ МХЙРН МЕ ЛНЦ ОНДЙКЧВХРЭЯЪ Й Apache2, MySQL, SQUID ЙПНЛЕ ЛЕМЪ (127.0.0.1).

лНФМН ОНОПНАНБЮРЭ ЯЮЛНЕ ОПНЯРН: БШЙХДШБЮРЭ БЯЕ БУНДЪЫХЕ, МН АСДЕР КХ ПЮАНРЮРЭ gajim?

аСДС АКЮЦНДЮПЕМ )

/sbin/iptables -A INPUT -s ! 127.0.0.1 -m multiport -p tcp --destination-ports 80,3128,3306 -j REJECT

[Gall]

Скорее всего тыт где-то прочитал шпаргалку, тупо скопировал не разобравшись а теперь вылазят косяки...

Тупое копирование тут не катит.
Чтоб было более понятно, вот описание как это делать:http://tetro.net/misc/multilink.html
И вот как сделано у меня:

Код: Выделить всё

iptables -t mangle -N NEW_OUT_CONN
iptables -t mangle -A OUTPUT -o eth0 -m state --state NEW -j NEW_OUT_CONN
iptables -t mangle -A OUTPUT -m connmark --mark 0 -j ROUTE --gw 192.168.х.х1 --continue
iptables -t mangle -A OUTPUT -m connmark --mark 1 -j ROUTE --gw 192.168.х.х2 --continue

Поскольку все происходит в таблах, то и спрашиваю про таблы.
Мне нужно чтоб 192.168.х.х3 ходил через NEW_OUT_CONN, как и сам этот комп.

[Maxim Britov]

man iptables
hint: OUTPUT не подходит для Вашего x.x3
Видно Llama как всегда угадал

[Maxim Britov]

Victor Gr., см. лучше http://iptables-tutorial.frozentux.net/ ... orial.html
IMHO очень хорошее руководство, есть в Интернет перевод предыдущей версии, но та была существенно короче.
А по сути вопроса посоветую:
/sbin/iptables -P INPUT DROP
/sbin/iptables -A INPUT -m state ---state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT

[Danar]

Поможите народ... заблочить на скач. mp3 файла... и радио....
в Iptables
Есть доступ в инет, фаир. настроен.. но фильтрацию на mp3 - сделать умишка не хватает. (

С радио - я думаю это чистый блок радиостанций через их ip. (может подскажите др. способ т.к. этих станций довольно много и каждую банить... ну как-то... вроде и не грамотно.)

[Llama]

Danar, прозрачный squid в режиме transparent proxy настрой и на нем фильруй...

[Danar]

)) кул конечно а что с трафиком ? .... его заварачивать походу надо... на SQUID ( кажись.... и дальше рулить.....

[Llama]

Danar, ну таки да, надо заворачивать. Какэ то делается в разных системах как правило написано в доках по настройке "прозрачного" squid.
http://www.opennet.ru/base/net/transpar ... y.txt.html

[Danar]

это жесть
iptables -t nat -A PREROUTING -s 192.168.0.0/16 -d ! 192.168.0.1 -p tcp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081 -j REDIRECT --to-port 111
iptables -t nat -A PREROUTING -s 192.168.0.0/16 -d ! 192.168.0.1 -p udp -m multiport --dport 80,81,82,83,88,8000,8001,8002,8080,8081 -j REDIRECT --to-port 111
iptables -t nat -A PREROUTING -s 192.168.0.0/16 -d ! 192.168.0.1 -p tcp -m multiport --dport 8082,8083,8091,8100,8101,8102,8103,8080,8888,777 -j REDIRECT --to-port 111
iptables -t nat -A PREROUTING -s 192.168.0.0/16 -d ! 192.168.0.1 -p udp -m multiport --dport 8082,8083,8091,8100,8101,8102,8103,8080,8888,777 -j REDIRECT --to-port 111

а проще можно...

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -p tcp --dport 8081 -j REDIRECT --to-port 3128

[mallory]

Я каждый раз перезагружаясь смотрю на вывод iptables -L и вижу пару строчек типа DROP(было дело, ставил когда-то...). Сбрасываю iptables -F, сохраняю iptables-save. Больше ничего не изменяю. Но при следующей загрузке те два правила снова как ни в чем не бывало на месте. Почему снова воскресают?
ASPLinux 11

[avb]

mallory, iptables-save > /etc/sysconfig/iptables

или /etc/init.d/iptables save

[Tellurian]

Ужос! Как ты с помощью iptables "сливаешь два канал в один" тут всем придстоит догадываться... Скорее всего тыт где-то прочитал шпаргалку, тупо скопировал не разобравшись а теперь вылазят косяки... Вобщем отправляемся читать: http://gazette.lrn.ru/rus/articles/index-lartc.html

Llama, я заметил, что ЛАРТЦ у тебя любимая дока : постоянно туда всех отправляешь(меня тоже). Кста, реально произошло просветление после выкуривания....