Portál AbcLinuxu, 14. července 2025 12:09


Dotaz: iptables-pravidla

17.4.2004 10:08 Lajbo
iptables-pravidla
Přečteno: 175×
Odpovědět | Admin
Ahoj, videl jsem tu diskuzi o iptables a jedna vec mi uz dlouho neda spat:-(
Mam vsechno zakazane a povoleno mam pouze :

iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT

Ale nemohu z routeru pingat ven.Jde to jen kdyz povolim ping dovnitr:

iptables -A INPUT -i eth0 -p icmp -j ACCEPT

Nevite v cem to je? Uz jsem cetl kupu clanku-viz. root.cz, ale stale mi to nedochazi:-( Diky moc za cenou radu, Lajbo
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

17.4.2004 10:10 Lajbo
Rozbalit Rozbalit vše Re: iptables-pravidla
Odpovědět | | Sbalit | Link | Blokovat | Admin
Samozrejme to patri ty pravidla takhle:-)

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
17.4.2004 10:31 Yeti
Rozbalit Rozbalit vše Re: iptables-pravidla
Pokud tohle je jediné, co je povolené (tj. policy je DROP), tak ten ping ven sice projde, ale neprojde zpět odpověď na něj -- jak by taky mohla? (Kromě toho povolení -p icmp -j ACCEPT není žádné povolení echo-request neco echo-reply, to je povolení ICMP sakumprásk.)
17.4.2004 11:14 Lajbo
Rozbalit Rozbalit vše Re: iptables-pravidla
Aha:-) Ano, policy je DROP. Ale jeste jeden dotaz, kdyz povolim jen ping z nejakeho rozmezi IPecek(venkovnich) na me-na router a zbytek bude prave policy DROP a budu chtit pingovat z routeru na nejake IP(verejne)(ktere nema povoleno pingat dovnitr), pujde mi to???
17.4.2004 12:44 Yeti
Rozbalit Rozbalit vše Re: iptables-pravidla
Pokud si uděláš jasno v tom, co povoluješ ;-)

Ping pošle paket ICMP typu echo-request a odpověď na něj je ICMP typu echo-reply. Pravidla můžeš nastavit pro každý typ ICMP paketu zvlášť (--icmp-type) ... takže ,povolení pingu` může znamenat N různých věcí. Pro přijímání odpovědi na pingy je nejlepší povolit příchozí pakety typu echo-reply (a možná dokonce stačí ve stavu RELATED, nevím teď, jesti tohle umí conntrack_icmp taky poznat).
17.4.2004 13:14 Lajbo
Rozbalit Rozbalit vše Re: iptables-pravidla
Jo tak. Uz asi vim, neco jsem uz cetl v man. A jeste jedna vecicka:
Musim pokazde (resp. napsat do firewallu) zavadeni modulu- ikdyz jsem to uz jednou napsal, ale mezi tim casto restartuji(zapinam a vypinam) router nebo si to nejak pamatuje?
modprobe ip_tables
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ip_MASQUERADE
17.4.2004 13:46 jm
Rozbalit Rozbalit vše Re: iptables-pravidla
iptables-save
17.4.2004 16:00 Ljabo
Rozbalit Rozbalit vše Re: iptables-pravidla
A to je co?
17.4.2004 16:47 jm
Rozbalit Rozbalit vše Re: iptables-pravidla
man iptables-save

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.