Модераторы: powerfox, ZeeLax
  

Поиск:

Ответ в темуСоздание новой темы Создание опроса
> iptables + aptitude 
V
    Опции темы
student80
Дата 1.7.2009, 17:14 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Абучю рускаму язаку
**


Профиль
Группа: Awaiting Authorisation
Сообщений: 504
Регистрация: 18.4.2006

Репутация: 1
Всего: 7
в правилах iptables по умолчанию все запрещено.
вот кусок с настройками, разрешающими WWW и FTP
Код

$IPT -A OUTPUT -p tcp --dport 80 -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 443 -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 21 -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 20 -j ACCEPT

но когда даю команду
Код

sudo aptitude install elinks

то процесс скачки пакета останавливается на 0%
Цитата

user@proxy:/etc/iptables$ sudo aptitude install elinks
Reading package lists... Done
Building dependency tree
Reading state information... Done
Reading extended state information
Initializing package states... Done
Writing extended state information... Done
Reading task descriptions... Done
The following NEW packages will be installed:
  elinks elinks-data{a} libexpat1{a} libfsplib0{a} libidn11{a} liblua50{a}
  liblualib50{a} libperl5.10{a} libruby1.8{a}
0 packages upgraded, 9 newly installed, 0 to remove and 0 not upgraded.
Need to get 3785kB of archives. After unpacking 11.8MB will be used.
Do you want to continue? [Y/n/?] y
Writing extended state information... Done
Get:1 ftp://mirror.yandex.ru lenny/main libidn11 1.8+20080606-1 [141kB]
0% [1 libidn11 0/141kB 0%]

Почему не скачивается файл?
PM MAIL   Вверх
Imple
Дата 1.7.2009, 19:47 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
***


Профиль
Группа: Завсегдатай
Сообщений: 1546
Регистрация: 14.9.2007
Где: Алма-Ата

Репутация: 18
Всего: 87
А что насчет входящего трафика? Там тоже все запрещено? Дайте лучше полный список правил iptables.


--------------------
Не шалю, никого не трогаю, починяю сервер.
PM WWW ICQ Skype GTalk Jabber   Вверх
student80
Дата 2.7.2009, 07:45 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Абучю рускаму язаку
**


Профиль
Группа: Awaiting Authorisation
Сообщений: 504
Регистрация: 18.4.2006

Репутация: 1
Всего: 7
Код

#!/bin/sh

LAN_DEV="eth0"
LAN_IP="192.168.0.10"
LAN_NET="192.168.0.0/23"
WAN_DEV="eth1"
WAN_IP="192.168.254.2"
WAN_NET="192.168.254.0/30"
IPT="/sbin/iptables"
grayA="10.0.0.0/8"
grayB="172.16.0.0/12"
grayC="192.168.0.0/16"
grayCallow="192.168.254.0/30"
gateway="192.168.254.1"
lo_net="127.0.0.0/8"

#flush rules
$IPT -t mangle -F
$IPT -t filter -F
$IPT -t nat -F

#default action
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP

#admin access granted
$IPT -A INPUT -s 192.168.1.4 -j ACCEPT
$IPT -A OUTPUT -d 192.168.1.4 -j ACCEPT
$IPT -A INPUT -s 192.168.0.37 -j ACCEPT
$IPT -A OUTPUT -d 192.168.0.37 -j ACCEPT

#accept packets from right IPs
$IPT -A INPUT -i $LAN_DEV -s ! $LAN_NET -j DROP
$IPT -A INPUT -i $LAN_DEV -d ! $LAN_IP -j DROP
$IPT -A OUTPUT -o $LAN_DEV -s ! $LAN_IP -j DROP
$IPT -A OUTPUT -o $LAN_DEV -d ! $LAN_NET -j DROP
$IPT -A INPUT -i $WAN_DEV -s $grayA -j DROP
$IPT -A INPUT -i $WAN_DEV -s $grayB -j DROP
$IPT -A INPUT -i $WAN_DEV -s $grayC -j DROP
$IPT -A INPUT -i $WAN_DEV -s $lo_net -j DROP
$IPT -A INPUT -i $WAN_DEV -d ! $WAN_IP -j DROP
$IPT -A OUTPUT -o $WAN_DEV -s ! $WAN_IP -j DROP
$IPT -A OUTPUT -o $WAN_DEV -d $grayA -j DROP
$IPT -A OUTPUT -o $WAN_DEV -d $grayB -j DROP
$IPT -A OUTPUT -o $WAN_DEV -d $grayC -j DROP
$IPT -A OUTPUT -o $WAN_DEV -d $lo_net -j DROP

#SYN packets and SYN flag
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP

#allow ping
$IPT -A OUTPUT -p ICMP --icmp-type 8 -j ACCEPT

#allow traceroute
$IPT -A OUTPUT -p ICMP --icmp-type 30 -j ACCEPT

#allow DNS
$IPT -A OUTPUT -p tcp --dport 53 -j ACCEPT
$IPT -A OUTPUT -p udp --dport 53 -j ACCEPT

#allow WWW and FTP
$IPT -A OUTPUT -p tcp --dport 80 -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 443 -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 21 -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 20 -j ACCEPT

#accept established connections
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

ESTABLISHED и RELATED разрешены

Это сообщение отредактировал(а) student80 - 2.7.2009, 07:46
PM MAIL   Вверх
Imple
Дата 2.7.2009, 09:01 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
***


Профиль
Группа: Завсегдатай
Сообщений: 1546
Регистрация: 14.9.2007
Где: Алма-Ата

Репутация: 18
Всего: 87
Еще пожалуйста дайте вывод ifconfig


--------------------
Не шалю, никого не трогаю, починяю сервер.
PM WWW ICQ Skype GTalk Jabber   Вверх
student80
Дата 2.7.2009, 09:25 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Абучю рускаму язаку
**


Профиль
Группа: Awaiting Authorisation
Сообщений: 504
Регистрация: 18.4.2006

Репутация: 1
Всего: 7
Код

eth0      Link encap:Ethernet  HWaddr 00:1f:c6:c0:24:91
          inet addr:192.168.0.10  Bcast:192.168.1.255  Mask:255.255.254.0
          inet6 addr: fe80::21f:c6ff:fec0:2491/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1580027 errors:0 dropped:0 overruns:0 frame:0
          TX packets:562112 errors:0 dropped:0 overruns:0 carrier:1
          collisions:0 txqueuelen:1000
          RX bytes:115605761 (110.2 MiB)  TX bytes:151403751 (144.3 MiB)
          Memory:dffc0000-e0000000

eth1      Link encap:Ethernet  HWaddr 00:50:ba:ca:65:30
          inet addr:192.168.254.2  Bcast:192.168.254.3  Mask:255.255.255.252
          inet6 addr: fe80::250:baff:feca:6530/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:6224 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5367 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1689346 (1.6 MiB)  TX bytes:403909 (394.4 KiB)
          Interrupt:17 Base address:0xc800

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
PM MAIL   Вверх
Imple
Дата 2.7.2009, 12:04 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
***


Профиль
Группа: Завсегдатай
Сообщений: 1546
Регистрация: 14.9.2007
Где: Алма-Ата

Репутация: 18
Всего: 87
Понятно. Скорее всего не отрабатывает FTP в активном режиме. Его второе соединение не матчится как RELATED.

Попробуйте выполнить эту комманду и попробовать еще раз:
Код
modprobe nf_conntrack_ftp



--------------------
Не шалю, никого не трогаю, починяю сервер.
PM WWW ICQ Skype GTalk Jabber   Вверх
student80
Дата 2.7.2009, 12:53 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Абучю рускаму язаку
**


Профиль
Группа: Awaiting Authorisation
Сообщений: 504
Регистрация: 18.4.2006

Репутация: 1
Всего: 7
заработало smile
значит модуль nf_conntrack_ftp не подгружается.
а где прописывается, что его загружать?
PM MAIL   Вверх
Imple
Дата 2.7.2009, 13:59 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
***


Профиль
Группа: Завсегдатай
Сообщений: 1546
Регистрация: 14.9.2007
Где: Алма-Ата

Репутация: 18
Всего: 87
/etc/modules.
Не забывайте отмечать вопрос решенным.


--------------------
Не шалю, никого не трогаю, починяю сервер.
PM WWW ICQ Skype GTalk Jabber   Вверх
  
 Ответ в темуСоздание новой темы Создание опроса
Правила форума "Linux/UNIX: Администрирование"
ZeeLax
Imple
nerezus
 Этот форум предназначен для решения вопросов по администрации *n?x-систем, в частности по настройке сложных сетей и обслуживанию серверного оборудования.

  • Вы должны соблюдать правила форума.
  • Помните: какой вопрос, такой и ответ. Прежде чем задать вопрос прочитайте вот эту статью на форуме CIT.
  • Оскорблять запрещается.
  • Религиозные войны в Религиозных войнах.
  • Общение "просто так" в Клубе юнуксоидов. В отличие от многих других разделов, здесь разрешается сдержанно оффтопить и юморить в тему.

За интересные статьи, находки, решения, программы и просто реальную помощь будут ставиться + в репу).


В данный момент этот раздел модерируют nerezus, nickless, powerfox, pythonwin, Imple и ZeeLax. Если вы хотите помочь нам, пишите в ПМ и мы обсудим.

Спасибо. И use UNIX or die; С уважением, nerezus, nickless, powerfox, pythonwin, Imple, ZeeLax.
 
0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема | Администрирование *NIX систем | Следующая тема »

Подписаться на тему | Подписка на этот форум | Скачать/Распечатать тему


 




[ Время генерации скрипта: 0.0918 ]   [ Использовано запросов: 22 ]   [ GZIP включён ]


Реклама на сайте     Информационное спонсорство

 
 По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности     Powered by Invision Power Board(R) 1.3 © 2003  IPS, Inc.