Модераторы: powerfox, ZeeLax
  

Поиск:

Ответ в темуСоздание новой темы Создание опроса
> iptables-restore 
:(
    Опции темы
student80
Дата 7.2.2008, 13:13 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Абучю рускаму язаку
**


Профиль
Группа: Awaiting Authorisation
Сообщений: 504
Регистрация: 18.4.2006

Репутация: 1
Всего: 7
Здравствуйте.
Вот настраиваю комп и столкнулся с проблемой.
Из консоли ввожу правила iptables. Работает до перезагрузки.
Пишу файл /etc/network/iptables с этими же командами (первая строка файла #!/bin/sh)
в /etc/network/interfaces прописываю
pre-up iptables-restore /etc/network/iptables
не загружаются правила.
думал, может правила как-то не так записал. пробую на простом примере.
В файле /etc/network/iptables прописываю
Код

#!/bin/sh
echo 1 > /root/test

перезагружаюсь.
cat /root/test
No such file or directory
Значит не выполняются строки из этого файла.
Помогите, пожалуйста, разобраться, в чем дело.
PM MAIL   Вверх
JackYF
Дата 7.2.2008, 16:03 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


полуавантюрист
****


Профиль
Группа: Участник
Сообщений: 5814
Регистрация: 28.8.2004
Где: страна тысячи озё р

Репутация: 1
Всего: 162
Цитата(student80 @  7.2.2008,  12:13 Найти цитируемый пост)
iptables-restore

попробуй /sbin/iptables-restore, или где оно там лежит - попробуй полный путь указать.

pre-up на тот интерфейс ложишь, что надо? проверь лишний раз...


--------------------
Пожаловаться на меня как модератора можно здесь.
PM MAIL Jabber   Вверх
ZeeLax
Дата 7.2.2008, 17:30 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
****


Профиль
Группа: Модератор
Сообщений: 4388
Регистрация: 20.8.2006
Где: Алма-Ата

Репутация: 7
Всего: 88
Цитата(student80 @  7.2.2008,  16:13 Найти цитируемый пост)
Пишу файл /etc/network/iptables с этими же командами (первая строка файла #!/bin/sh)
в /etc/network/interfaces прописываю
pre-up iptables-restore /etc/network/iptables
не загружаются правила.

Зачем в первой строке #!/bin/sh?
Какой дистрибутив?
Разве iptables-restore принимает имена файлов, а не ждёт инфу на stdin?


--------------------
Utility is when you have one telephone, luxury is when you have two, opulence is when you have three — and paradise is when you have none.
— Doug Larson
PM MAIL WWW ICQ Skype Jabber   Вверх
Imple
Дата 8.2.2008, 07:19 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
***


Профиль
Группа: Завсегдатай
Сообщений: 1546
Регистрация: 14.9.2007
Где: Алма-Ата

Репутация: 18
Всего: 87
В стандарте так:

Сохранение правил iptables:
Код

iptables-save > /etc/firewall.conf

Восстановление правил iptables:
Код

cat /etc/firewall.conf | iptables-restore


Разместите эти команды в нужных вам местах.


--------------------
Не шалю, никого не трогаю, починяю сервер.
PM WWW ICQ Skype GTalk Jabber   Вверх
student80
Дата 11.2.2008, 13:19 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Абучю рускаму язаку
**


Профиль
Группа: Awaiting Authorisation
Сообщений: 504
Регистрация: 18.4.2006

Репутация: 1
Всего: 7
действительно, iptables-restore находится в /sbin. Тут я конечно сам должен был проверить это

Imple, как вы написали, все работает, даже хорошо работает smile
ZeeLax, я почему-то думал, что именно файл нужно указывать... поиск по гуглю мне так помог... а точнее примеры скриптов, которых в интернете полно, в них, кстати, и написано про первую строку... хотя может я не так все понял.

дистрибутив у меня Debian 4.0r1
но всё-равно не так я хотел сделать.
в файле, куда сохраняются настройки iptables, много чего-то понаписано.
вот пример
Код

# Generated by iptables-save v1.3.6 on Mon Feb 11 12:34:49 2008
*nat
:PREROUTING ACCEPT [154:8231]
:POSTROUTING ACCEPT [215:12885]
:OUTPUT ACCEPT [215:12885]
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -o ppp0 -j SNAT --to-source 195.122.238.115 
COMMIT
# Completed on Mon Feb 11 12:34:49 2008
# Generated by iptables-save v1.3.6 on Mon Feb 11 12:34:49 2008
*filter
:INPUT ACCEPT [17378:10285694]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [19256:10923646]
-A FORWARD -i 192.168.1.0/24 -o ppp0 -m state --state NEW,ESTABLISHED -j ACCEPT 
COMMIT
# Completed on Mon Feb 11 12:34:49 2008
# Generated by iptables-save v1.3.6 on Mon Feb 11 12:34:49 2008
*mangle
:PREROUTING ACCEPT [18277:10730826]
:INPUT ACCEPT [17995:10691110]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [20016:11339061]
:POSTROUTING ACCEPT [20091:11350516]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu 
COMMIT
# Completed on Mon Feb 11 12:34:49 2008

можно ли сделать так. в файл настроек я прописываю сам правила (не с помощью iptables-save), чтобы все содержимое файла было такого типа
Код

#маскарадим
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth1 -j MASQUERADE
#форвардим
iptables -A FORWARD -i 10.0.0.0/24 -p tcp -o eth1 -j ACCEPT
#закрываем
iptables -A INPUT -j DROP

знаю, что можно так сделать, поскольку на одной машине так видел, но не запомнил, как это настраивается.
PM MAIL   Вверх
Imple
Дата 11.2.2008, 15:29 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
***


Профиль
Группа: Завсегдатай
Сообщений: 1546
Регистрация: 14.9.2007
Где: Алма-Ата

Репутация: 18
Всего: 87
Просто пишите скрипт на bash'е, и добавьте его в автозагрузку...

Создаете и делаете выполняемым файл... к примеру:
Код

touch /etc/rc.firewall
chmod +x /etc/rc.firewall


Редактируете его, вносите в него комманды очистки фильтра и добавления нужных правил... 
Код

#!/bin/sh

#очищаем
iptables -F -t filter
iptables -F -t nat
iptables -F -t mangle

#маскарадим
iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth1 -j MASQUERADE
#форвардим
iptables -A FORWARD -i 10.0.0.0/24 -p tcp -o eth1 -j ACCEPT


Добавляете этот файл в автозагрузку (если дебиан/убунту то так):...
Код

echo ". /etc/rc.d/rc.firewall" >> /etc/rc.local


Все. При надобности вносите изменения в файл, и запускаете его.
Код

/bin/sh /etc/rc.firewall



--------------------
Не шалю, никого не трогаю, починяю сервер.
PM WWW ICQ Skype GTalk Jabber   Вверх
student80
Дата 12.2.2008, 19:23 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Абучю рускаму язаку
**


Профиль
Группа: Awaiting Authorisation
Сообщений: 504
Регистрация: 18.4.2006

Репутация: 1
Всего: 7
Imple, заработало smile спасибо!
только не пойму почему происходит так
Код

sudo echo "/etc/network/iptables" > "/etc/rc.local"

выдает Permission denied, а если под рутом залогиниться, то прописывает.
В /etc/sudoers пользователь прописан
admin ALL=ALL

и может у кого-нибудь есть пример настроек шлюза?
закрытие/открытие портов, форвардинг, нат - это я всё прописал, но там должны быть еще настройки для loopback, icmp и каких-то неопознанных пакетов.
PM MAIL   Вверх
  
 Ответ в темуСоздание новой темы Создание опроса
Правила форума "Linux/UNIX: Администрирование"
ZeeLax
Imple
nerezus
 Этот форум предназначен для решения вопросов по администрации *n?x-систем, в частности по настройке сложных сетей и обслуживанию серверного оборудования.

  • Вы должны соблюдать правила форума.
  • Помните: какой вопрос, такой и ответ. Прежде чем задать вопрос прочитайте вот эту статью на форуме CIT.
  • Оскорблять запрещается.
  • Религиозные войны в Религиозных войнах.
  • Общение "просто так" в Клубе юнуксоидов. В отличие от многих других разделов, здесь разрешается сдержанно оффтопить и юморить в тему.

За интересные статьи, находки, решения, программы и просто реальную помощь будут ставиться + в репу).


В данный момент этот раздел модерируют nerezus, nickless, powerfox, pythonwin, Imple и ZeeLax. Если вы хотите помочь нам, пишите в ПМ и мы обсудим.

Спасибо. И use UNIX or die; С уважением, nerezus, nickless, powerfox, pythonwin, Imple, ZeeLax.
 
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема | Администрирование *NIX систем | Следующая тема »

Подписаться на тему | Подписка на этот форум | Скачать/Распечатать тему


 




[ Время генерации скрипта: 0.0754 ]   [ Использовано запросов: 21 ]   [ GZIP включён ]


Реклама на сайте     Информационное спонсорство

 
 По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности     Powered by Invision Power Board(R) 1.3 © 2003  IPS, Inc.