| Zobacz poprzedni temat :: Zobacz następny temat |
| Autor |
Wiadomość |
butek
Użytkownik Forum
Dołączył: 28 Dec 2007
Posty: 191
Skąd: Sierpc
|
 Wysłany: Wed Mar 26, 2014 2:47 pm Temat postu: Apache na publicznym IP |
 |
|
Widzę apache w sieci lokalnej natomiast na publicznym IP nie . Co robić ? Na routerze port 80 jest udostępniony .
_________________
Mirosław Butajło |
|
| Powrót do góry |
|
 |
Roman Mor
Moderator
Dołączył: 12 Mar 2008
Posty: 722
Pomógł: 35
Skąd: WrocÅ‚aw
|
| Wysłany: Wed Mar 26, 2014 3:17 pm Temat postu: Re: Apache na publicznym IP |
|
|
| butek napisał: | | Na routerze port 80 jest udostÄ™pniony . |
Udostępniony czy przekierowany?
_________________
Pozdrawiam, RM |
|
| Powrót do góry |
|
|
Maciek
Administrator
Dołączył: 01 Nov 2004
Posty: 2225
Pomógł: 23
Skąd: z Księżyca
|
| Wysłany: Wed Mar 26, 2014 3:49 pm Temat postu: |
|
|
To bardzo istotna uwaga Romanie. 
Na routerze musi być zrobiony forward portu na IP maszyny z apaczem. Jednak to nie wszystko, jeśli na tej maszynie masz uruchomione jakieś reguły iptables, to trzeba otworzyć na niej port http. Odpowiednia reguła powinna być na początku, tuż po wstępnym czyszczeniu łańcuchów i ustaleniu reguły ogólnej INPUT. Zakładam, że jeśli te reguły istnieją, to mają INPUT ustawiony na DROP. Wtedy potrzebne jest coś w tym stylu:
iptables -A INPUT -p tcp -i $EXTIF --dport 80 -j ACCEPT
gdzie $EXTIF to interfejs WAN dla tego serwera, zwykle jest to pierwsza karta (eth0).
_________________
 Belfer.one.PL
Autorski Przewodnik Kulturalny |
|
| Powrót do góry |
|
|
butek
Użytkownik Forum
Dołączył: 28 Dec 2007
Posty: 191
Skąd: Sierpc
|
|
| Powrót do góry |
|
|
butek
Użytkownik Forum
Dołączył: 28 Dec 2007
Posty: 191
Skąd: Sierpc
|
| Wysłany: Thu Mar 27, 2014 8:05 am Temat postu: |
|
|
Po wpisaniu adresu publicznego wygląda że squid go blokuje
_________________
Mirosław Butajło |
|
| Powrót do góry |
|
|
Maciek
Administrator
Dołączył: 01 Nov 2004
Posty: 2225
Pomógł: 23
Skąd: z Księżyca
|
| Wysłany: Thu Mar 27, 2014 9:42 am Temat postu: |
|
|
Screena się nie da obejrzeć bez założenia konta, ale to nie jest potrzebne, wystarczy wpisać podany adres i zobaczy się to samo.
Domyślam się, ze ten serwer z apaczem jest jednocześnie bramą, na której działa też squid, aby wszyscy korzystali ze squida (niezależnie od ustawień) masz regułkę przekierowującą na squida i to ona jest źle skonstruowana.
Stawiam diamenty przeciw orzechom, że to jest Debian. 
_________________
Belfer.one.PL
Autorski Przewodnik Kulturalny |
|
| Powrót do góry |
|
|
butek
Użytkownik Forum
Dołączył: 28 Dec 2007
Posty: 191
Skąd: Sierpc
|
| Wysłany: Thu Mar 27, 2014 9:55 am Temat postu: |
|
|
| Kod: | fedora@linux-idez:~> cat zapora.txt
echo 1 > /proc/sys/net/ipv4/ip_forward
# czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
# ustawienie polityki dzialania
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 8074 -j DROP
iptables -A INPUT -p udp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p udp --dport 631 -j ACCEPT
iptables -A INPUT -p tcp --dport 631 -j ACCEPT
iptables -A INPUT -p udp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 4443 -j ACCEPT
iptables -A INPUT -p tcp --dport 4443 -j ACCEPT
#NFS
iptables -A OUTPUT -p tcp --dport 2049 -j ACCEPT
iptables -A OUTPUT -p udp --dport 2049 -j ACCEPT
iptables -A INPUT -p tcp --dport 2049 -j ACCEPT
iptables -A INPUT -p tcp --dport 2049 -j ACCEPT
#NFS
iptables -A OUTPUT -p tcp --dport 4045 -j ACCEPT
iptables -A OUTPUT -p udp --dport 4045 -j ACCEPT
iptables -A INPUT -p tcp --dport 4045 -j ACCEPT
iptables -A INPUT -p tcp --dport 4045 -j ACCEPT
#NIS yppasswdd
iptables -A OUTPUT -p tcp --dport 836 -j ACCEPT
iptables -A OUTPUT -p udp --dport 836 -j ACCEPT
iptables -A INPUT -p tcp --dport 836 -j ACCEPT
iptables -A INPUT -p tcp --dport 836 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 1110 -j ACCEPT
iptables -A OUTPUT -p udp --dport 1110 -j ACCEPT
iptables -A INPUT -p tcp --dport 1110 -j ACCEPT
iptables -A INPUT -p tcp --dport 1110 -j ACCEPT
#Portmap
iptables -A OUTPUT -p tcp --dport 111 -j ACCEPT
iptables -A OUTPUT -p udp --dport 111 -j ACCEPT
iptables -A INPUT -p tcp --dport 111 -j ACCEPT
iptables -A INPUT -p tcp --dport 111 -j ACCEPT
iptables -A INPUT -p tcp --dport 135 -j ACCEPT
iptables -A INPUT -p udp --dport 137 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 135 -j ACCEPT
iptables -A OUTPUT -p udp --dport 137 -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -i eth1 -s 172.23.198.0/24 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p tcp --dport 9400 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 9401 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 9402 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 9403 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 111 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 2049 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 631 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 135 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp --dport 137 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp --dport 138 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 139 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 445 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 3128 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp --dport 8080 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp --dport 3128 -m state --state NEW -j ACCEPT
#VPN !!!!
iptables -A INPUT -p udp --dport 1723 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 1723 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 1194 -m state --state NEW -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9400 -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9401 -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9402 -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9403 -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 111 -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 2049 -j ACCEPT
iptables -A INPUT -p tcp -s 172.23.198.0/24 --dport 631 -j ACCEPT
iptables -A FORWARD -p tcp -s 172.23.198.0/24 --dport 631 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 9400 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 9401 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 9402 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 9403 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 111 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 2049 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 631 -m state --state NEW -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p udp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p udp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p udp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p udp --dport 3128 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 631 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 8080 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p udp --dport 8080 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p udp --dport 8080 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 111 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 9400 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 2049 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 9401 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 9402 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 9403 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p udp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.0/24 -p udp --dport 3128 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 111 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9400 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 2049 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9401 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9402 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9403 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 631 -j ACCEPT
# polaczenia nawiazane
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
# udostepniaie internetu w sieci lokalnej
iptables -t filter -A FORWARD -s 172.23.198.0/255.255.255.0 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 172.23.198.0/255.255.255.0 -j ACCEPT
iptables -t nat -N MOODLE
iptables -t nat -N PREZI
iptables -t nat -A PREROUTING -s 172.23.198.1 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -j MOODLE
#Zmienić na 3128 SQUID
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -j MASQUERADE
iptables -t nat -A PREZI -d prezi.com -j ACCEPT
|
Tu jest mój iptables. . Rzeczywiście jest to debian. Squid chodzi na porcie 3128
| Kod: | | iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128 |
A powiesz co zmienić ?
P.S.
Już można czytać załączniki z mojego forum
_________________
Mirosław Butajło |
|
| Powrót do góry |
|
|
butek
Użytkownik Forum
Dołączył: 28 Dec 2007
Posty: 191
Skąd: Sierpc
|
| Wysłany: Thu Mar 27, 2014 4:57 pm Temat postu: |
|
|
Faktycznie problem był w firewallu.
Zmieniłem ustawienia w ports.conf
| Kod: | NameVirtualHost *:8080
Listen 8080
|
oraz
w pliku sites-available/default
| Kod: | <VirtualHost *:8080>
ServerAdmin webmaster@localhost
DocumentRoot /var/www
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /var/www>
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all
</Directory>
|
I widze apache na publicznym ip
ale próbowałem w /var/www założyć nowy katalog z inną zawartością
i strona ADRES/katalog nie działa
oczywiście zmieniłem konfigurację
| Kod: | <VirtualHost *:8080>
ServerAdmin webmaster@localhost
DocumentRoot /var/www/lms
<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>
<Directory /var/www/lms/>
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all
</Directory>
|
_________________
Mirosław Butajło |
|
| Powrót do góry |
|
|
Maciek
Administrator
Dołączył: 01 Nov 2004
Posty: 2225
Pomógł: 23
Skąd: z Księżyca
|
| Wysłany: Thu Mar 27, 2014 9:49 pm Temat postu: |
|
|
| Kod: | | iptables -t nat -A PREROUTING -i $INTIF -p tcp --dport 80 -j REDIRECT --to-port 3128 |
$INTIF to interfejs LAN, czyli wewnętrzny.
Twoja reguła:
| Kod: | | iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128 |
przekierowuje na squida wszystkie żądania dotyczące portu 80, także te z zewnątrz.
_________________
Belfer.one.PL
Autorski Przewodnik Kulturalny |
|
| Powrót do góry |
|
|
Maciek
Administrator
Dołączył: 01 Nov 2004
Posty: 2225
Pomógł: 23
Skąd: z Księżyca
|
| Wysłany: Thu Mar 27, 2014 10:24 pm Temat postu: |
|
|
No i jeszcze coś. Firewall. Odpaliłem sobie te regułki i zobacz:
| Kod: |
[root@builder maciek]# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT udp -- anywhere anywhere udp dpt:22
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT udp -- anywhere anywhere udp dpt:631
ACCEPT tcp -- anywhere anywhere tcp dpt:631
ACCEPT udp -- anywhere anywhere udp dpt:443
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:4443
ACCEPT tcp -- anywhere anywhere tcp dpt:4443
ACCEPT tcp -- anywhere anywhere tcp dpt:2049
ACCEPT tcp -- anywhere anywhere tcp dpt:2049
ACCEPT tcp -- anywhere anywhere tcp dpt:4045
ACCEPT tcp -- anywhere anywhere tcp dpt:4045
ACCEPT tcp -- anywhere anywhere tcp dpt:836
ACCEPT tcp -- anywhere anywhere tcp dpt:836
ACCEPT tcp -- anywhere anywhere tcp dpt:1110
ACCEPT tcp -- anywhere anywhere tcp dpt:1110
ACCEPT tcp -- anywhere anywhere tcp dpt:sunrpc
ACCEPT tcp -- anywhere anywhere tcp dpt:sunrpc
ACCEPT tcp -- anywhere anywhere tcp dpt:135
ACCEPT udp -- anywhere anywhere udp dpt:netbios-ns
ACCEPT tcp -- anywhere anywhere tcp dpt:8080
ACCEPT all -- 192.168.22.0/24 anywhere
ACCEPT icmp -- anywhere anywhere icmp echo-request
ACCEPT tcp -- anywhere anywhere tcp dpt:9400 state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:9401 state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:9402 state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:9403 state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:sunrpc state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:2049 state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:631 state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:135 state NEW
ACCEPT udp -- anywhere anywhere udp dpt:netbios-ns state NEW
ACCEPT udp -- anywhere anywhere udp dpt:netbios-dgm state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:netbios-ssn state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:445 state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:8080 state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:3128 state NEW
ACCEPT udp -- anywhere anywhere udp dpt:8080 state NEW
ACCEPT udp -- anywhere anywhere udp dpt:3128 state NEW
ACCEPT udp -- anywhere anywhere udp dpt:1723 state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:1723 state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:1194 state NEW
ACCEPT tcp -- 192.168.22.0/24 anywhere tcp dpt:631
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere builder tcp dpt:ssh
ACCEPT udp -- anywhere builder udp dpt:22
ACCEPT tcp -- anywhere builder tcp dpt:3128
ACCEPT udp -- anywhere builder udp dpt:3128
ACCEPT tcp -- anywhere builder tcp dpt:631
ACCEPT tcp -- anywhere builder tcp dpt:8080
ACCEPT udp -- anywhere builder udp dpt:8080
ACCEPT tcp -- anywhere builder tcp dpt:sunrpc
ACCEPT tcp -- anywhere builder tcp dpt:9400
ACCEPT tcp -- anywhere builder tcp dpt:2049
ACCEPT tcp -- anywhere builder tcp dpt:9401
ACCEPT tcp -- anywhere builder tcp dpt:9402
ACCEPT tcp -- anywhere builder tcp dpt:9403
ACCEPT tcp -- anywhere 192.168.22.0/24 tcp dpt:3128
ACCEPT udp -- anywhere 192.168.22.0/24 udp dpt:3128
ACCEPT tcp -- anywhere 192.168.22.0/24 tcp dpt:sunrpc
ACCEPT tcp -- anywhere 192.168.22.0/24 tcp dpt:9400
ACCEPT tcp -- anywhere 192.168.22.0/24 tcp dpt:2049
ACCEPT tcp -- anywhere 192.168.22.0/24 tcp dpt:9401
ACCEPT tcp -- anywhere 192.168.22.0/24 tcp dpt:9402
ACCEPT tcp -- anywhere 192.168.22.0/24 tcp dpt:9403
ACCEPT tcp -- anywhere builder tcp dpt:631
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
|
To jest tylko lista otwartych portów w łąńcuchu INPUT. Gdyby nie to, że masz router zabezpieczający ten serwer to twój serwer byłby najbardziej dziurawym Linuksem jaki widziałem. Pomijając już to, ze kolejność regułek jest mocno przypadkowa. A ten łańcuch INPUT to nawet nie jest połowa wszystkich portów wylistowanych w tej komendzie.
Oczywiście zmieniłem twoją pulę z LAN na swoją (192.168.22.0), a nazwa builder to nazwa mojego serwera (192.168.22.1). To taka uwaga na wypadek, gdybyś się dziwił, skąd inne numery.
Nie będę analizować linijki po linijce, bo zdążyłbyś przejść na emeryturę, zanim bym skończył. 
Ale...
Dlaczego masz otwarty port drukarki 631 na świat? Tam się mieści zarządzanie CUPSem, potencjalny haker mógłby ci włączyć drukowanie w pętli czegokolwiek, a ty byś się dziwił po każdym właczeniu drukarki i myślałbyś, ze zwariowała.
Po co por 22 jest otwarty zarówno w TCP, jak i UDP? To dotyczy zresztą wielu innych portów. UDP powinien być otwarty jedynie port nameda, o ile pełni jakieś funkcje. a reszta zamknięte. Mało jest programów działających na UDP.
W łańcuchu INPUT powinieneś otwierać tylko te porty, które odpowiadają usługom na serwerze. Czyli: masz serwer www, otwierasz port 80, nie masz serwera smtp, nie otwierasz portu 25.
Poniżej masz przykład tego jak wygląda prosty zestaw reguł na komputerze, który jest routerem i jednocześnie serwerem www.
| Kod: |
[root@szkola ~]# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
DROP tcp -- anywhere anywhere multiport dports 135,445
REJECT tcp -- anywhere anywhere tcp dpt:auth reject-with icmp-port-unreachable
REJECT tcp -- anywhere anywhere tcp dpt:1080 reject-with icmp-port-unreachable
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT icmp -- anywhere anywhere icmp echo-request limit: avg 1/sec burst 5
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere Komp_1 tcp dpt:3389
ACCEPT all -- anywhere anywhere
DROP tcp -- anywhere anywhere multiport dports 135,445
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
|
No i jeszcze zasady dotyczÄ…ce sieci lokalnej:
| Kod: |
[root@szkola ~]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- anywhere anywhere tcp dpt:3389 to:192.168.1.3:3389
REDIRECT tcp -- !Komp_1 anywhere tcp dpt:www redir ports 8080
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
|
W tym ostatnim zestawie widać, ze jest Komp_1 na którym jest uruchomiony RDP (3389) i zrobiony do niego forward, wszystkie żądania www są przekierowane na port 8080 (Dansguardian) oprócz Komp_1, bo to komputer nauczyciela.
Proste? Ano właśnie.
PS. Zobacz sobie jak został zrobiony firewall w NND.
http://repo.nnd.freesco.pl/iptables-1.3.4-15nnd.pkg.tar.gz
_________________
Belfer.one.PL
Autorski Przewodnik Kulturalny |
|
| Powrót do góry |
|
|
|
FAQ
Szukaj
Użytkownicy
Grupy
Rejestracja
Profil
Zaloguj się, by sprawdzić wiadomości
Zaloguj
