با سلام
امیدوارم همه دوستان خوب باشن.
سلام مخصوص به آقای باغومیان - کارگر - پیمان و .....
راستش من یک سوال دارم در مورد Iptables . من چطوری می تونم کاری کنم که فقط کاربران بتونن به بیرون با پورت 80-443 وصل بشن و بقیه به بیرون بسته باشه !!!!
من این کانفیگم رو میزارم اگر میشه راهنمایی کنین :
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 1 > /proc/sys/net/ipv4/conf/all/proxy_arp
echo 1 > /proc/sys/net/ipv4/ip_dynaddr
iptables -t nat -F
iptables -t filter -F
iptables -t mangle -F
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth1 -s 0/0 -d 0/0 -j ACCEPT
iptables -A INPUT -i lo -s 0/0 -d 0/0 -j ACCEPT
iptables -A POSTROUTING -t nat -s 172.16.1.0/24 -o eth0 -j SNAT --to-source 90.198.58.5
iptables -A POSTROUTING -t nat -s 172.16.2.0/24 -o eth0 -j SNAT --to-source 90.198.58.5
iptables -A PREROUTING -t nat -p tcp -s 172.16.1.0/24 --dport 80 -j REDIRECT --to-port 3128
iptables -A PREROUTING -t nat -p tcp -s 172.16.2.0/24 --dport 80 -j REDIRECT --to-port 3128
iptables -A INPUT -i eth0 -s 80.191.58.5 -j DROP
iptables -A INPUT -p udp -s 217.218.127.104 --source-port 53 -d 0/0 -j ACCEPT
iptables -A INPUT -p udp -s 217.218.127.105 --source-port 53 -d 0/0 -j ACCEPT
iptables -A INPUT -p udp -s 217.218.127.106 --source-port 53 -d 0/0 -j ACCEPT
iptables -A INPUT -p udp -s 217.218.155.104 --source-port 53 -d 0/0 -j ACCEPT
iptables -A INPUT -p udp -s 217.218.155.105 --source-port 53 -d 0/0 -j ACCEPT
iptables -A INPUT -p udp -s 217.218.155.105 --source-port 53 -d 0/0 -j ACCEPT
iptables -A INPUT -p udp -s 217.218.127.106 --source-port 53 -d 0/0 -j ACCEPT
iptables -A INPUT -p udp -s 192.9.9.3 --source-port 53 -d 0/0 -j ACCEPT
iptables -A INPUT -p udp -s 4.2.2.4 --source-port 53 -d 0/0 -j ACCEPT
iptables -A INPUT -p udp -s 195.146.32.65 --source-port 53 -d 0/0 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 -d 90.198.58.5 --dport 22 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 -d 90.198.58.5--dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 -d 172.16.1.2 --dport 22 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 -d 172.16.1.2 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 127.0.0.1/8 -d 0/0 --destination-port 20 --syn -j ACCEPT
iptables -A INPUT -p tcp -s 127.0.0.1/8 -d 0/0 --destination-port 21 --syn -j ACCEPT
iptables -A FORWARD -p tcp -s 127.0.0.1/8 -d 0/0 --destination-port 20 --syn -j ACCEPT
iptables -A FORWARD -p tcp -s 127.0.0.1/8 -d 0/0 --destination-port 21 --syn -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --dport 6881:6999 -j DROP
iptables -A OUTPUT -p tcp -o eth1 --dport 6881:6999 -j DROP
iptables -A FORWARD -p tcp -i eth1 --dport 6881:6999 -j DROP
iptables -A INPUT -p tcp -i eth1 --dport 4661:4662 -j DROP
iptables -A OUTPUT -p tcp -o eth1 --dport 4661:4662 -j DROP
iptables -A FORWARD -p tcp --dport 4661:4662 -j DROP
iptables -A INPUT -p udp -i eth1 --dport 4665 -j DROP
iptables -A OUTPUT -p udp -o eth1 --dport 4665 -j DROP
iptables -A FORWARD -p udp --dport 4665 -j DROP
iptables -A INPUT -p udp -i eth1 --dport 4665 -j DROP
iptables -A OUTPUT -p udp -o eth1 --dport 4665 -j DROP
iptables -A INPUT -p udp -i eth1 --dport 5737 -j DROP
iptables -A OUTPUT -p udp -o eth1 --dport 5737 -j DROP
iptables -A FORWARD -p udp --dport 5737 -j DROP
iptables -A INPUT -p udp -i eth1 --dport 1214 -j DROP
iptables -A OUTPUT -p udp -o eth1 --dport 1214 -j DROP
iptables -A FORWARD -p udp --dport 1214 -j DROP
iptables -A FORWARD -p tcp --dport 4661:4711 -j REJECT
iptables -A FORWARD -p udp --dport 4661:4711 -j REJECT
iptables -A INPUT -s 0/0 -d 0/0 -p udp -j DROP
iptables -A INPUT -s 0/0 -d 0/0 -p tcp --syn -j DROP
با تشکر از شما
خداحافظ
darklove
ارسال شده: یكشنبه، ۰۸ مهر ۱۳۸۶
کاربر دائمی سایت
عضو شده: پنجشنبه، ۲۱ مهر ۱۳۸۴
ارسالها: 310
موقعیت: Abhar
وضعیت: حاضر نیست
کد:
iptables -t filter -A INPUT -j DROP
iptables -t filter -A INPUT -s 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -s 192.168.0.0/24 -p tcp --dport 443 -j ACCEPT
_________________ لحظه ای پاک بزرگ دل به دریا زد رفت
alux
ارسال شده: یكشنبه، ۰۸ مهر ۱۳۸۶
ناظر انجمن
عضو شده: سه شنبه، ۲۴ شهریور ۱۳۸۳
ارسالها: 501
موقعیت: Tehran
وضعیت: حاضر نیست
INPUT اشتباست باید FORWARD باشه ...
در ضمن با این دو تا پرت شما عملا هیچ صفحه ای نمی تونید باز کنید
مهمان
ارسال شده: دوشنبه، ۰۹ مهر ۱۳۸۶
alux نوشته:
INPUT اشتباست باید FORWARD باشه ...
در ضمن با این دو تا پرت شما عملا هیچ صفحه ای نمی تونید باز کنید
با سلام
ببخشید بالاخره جواب درست چیه ؟؟ آقای علی ضا خان Alux عزیز و پیمان جان من چی کار کنم ؟؟؟؟
کدومش درست ؟؟؟
Emule
بای
darklove
ارسال شده: دوشنبه، ۰۹ مهر ۱۳۸۶
کاربر دائمی سایت
عضو شده: پنجشنبه، ۲۱ مهر ۱۳۸۴
ارسالها: 310
موقعیت: Abhar
وضعیت: حاضر نیست
Forward که کاری نداره
خودش میزاره
_________________ لحظه ای پاک بزرگ دل به دریا زد رفت
مهمان
ارسال شده: دوشنبه، ۰۹ مهر ۱۳۸۶
darklove نوشته:
Forward که کاری نداره
خودش میزاره
با سلام
پس هم FORWARD و هم FILTER????
یعنی مثلا :
iptables -t filter -A INPUT -j DROP
iptables -A INPUT -p tcp -i eth0 -s dns-servers --dport 53 -j ACCEPT
iptables -A INPUT -p udp -i eth0 -s dns-servers --dport 53 -j ACCEPT
iptables -t filter -A INPUT -s 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -s 192.168.0.0/24 -p tcp --dport 443 -j ACCEPT
ممنون میشم واضح جواب بدین
Emule
بای
مهمان
ارسال شده: دوشنبه، ۰۹ مهر ۱۳۸۶
Anonymous نوشته:
darklove نوشته:
Forward که کاری نداره
خودش میزاره
با سلام
پس هم FORWARD و هم FILTER????
یعنی مثلا :
iptables -t filter -A INPUT -j DROP
iptables -A INPUT -p tcp -i eth0 -s dns-servers --dport 53 -j ACCEPT
iptables -A INPUT -p udp -i eth0 -s dns-servers --dport 53 -j ACCEPT
iptables -t filter -A INPUT -s 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -s 192.168.0.0/24 -p tcp --dport 443 -j ACCEPT
ممنون میشم واضح جواب بدین
Emule
بای
اگه سیستمتون به عنوان یک فایروال عمل می کنه باید زنجیره forward رو دست کاری کنی.
iptables -P FORWARD DROP
iptables -A FORWARD -p tcp --dport 80 -s <internal_range> -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -s <internal_range> -j ACCEPT
iptables -A FORWARD -p tcp --dport 53 -s <internal_range> -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -s <internal_range> -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
سوالات دیگت رو هم به راحتی توی راهنماهای مختلف فارسی و انگلیسی که هست می تونی پیدا کنی
اگه سیستمتون به عنوان یک فایروال عمل می کنه باید زنجیره forward رو دست کاری کنی.
iptables -P FORWARD DROP
iptables -A FORWARD -p tcp --dport 80 -s <internal_range> -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -s <internal_range> -j ACCEPT
iptables -A FORWARD -p tcp --dport 53 -s <internal_range> -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -s <internal_range> -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
سوالات دیگت رو هم به راحتی توی راهنماهای مختلف فارسی و انگلیسی که هست می تونی پیدا کنی
با سلام
دوست عزیز من خیلی از شما ممنونم
خیلی لطف فرمودین.
darklove
ارسال شده: یكشنبه، ۱۵ مهر ۱۳۸۶
کاربر دائمی سایت
عضو شده: پنجشنبه، ۲۱ مهر ۱۳۸۴
ارسالها: 310
موقعیت: Abhar
وضعیت: حاضر نیست
دوست عزیز زحمت کشید
دستت درد نکنه
_________________ لحظه ای پاک بزرگ دل به دریا زد رفت
Linux is a registered trade mark of Linus Torvalds.
تمامی مطالب و مقالات این سایت تحت مجوز GNU FDL قرار دارند. بنابراین کپی و ایجاد تغییر در آنها مطابق شرایط این مجوز آزاد میباشد. یک نسخه از این مجوز را اینجا میتوانید برای خود دریافت نمایید.
سوالات پرسیده شده
جستجو
ثبت نام
ورود برای بررسی پیامهای خصوصی
ورود
