настройка iptables нужна помощь.

TROLL_ · Эксперт

система debian 4
есть сервер с одной сетевой.
необходимо пробростить 80,81,110,25,443 порты
оставить для использования с определенного адреса порты 9999,10000

сделал так:

запретил все.
разрешил все на l0
разрешил на eth0 и на протоколе TCP порты 80,81,110,25,443
как для входящих так и исходящих пакетов.

и все равно могу ходить на 10000 порт. как правильно делать?
если кто заинтересовался и может помочь могу конфиг кинуть.

Arkan · Гуру

any to any 192.168.1.5:9999
any to any 192.168.1.5:10000
all deny any to any 9999
all deny any to any 10000
ну и примерно чтото в таком духе
полные правила как писать уже подсказать я немогу но задавай разрешить с определенного IP по определенномк порту черед двоеточие (если у тебя в текстовом формате а не в какойнибудь графической оболочке

sn00p · Форумчанин

Покажи конфиг )

def · Гость

Пооффтоплю.

Задача: на порту коммутатора транк. Надо в debian-4 разобрать виланы и раздать по виртуальным машинам (тоже debian). Кто-нибудь что-нибудь подобное делал?

weer · Гуру Предупреждений : 2

def
тоже поофтоплю Smile

а нафига такое извращение надо? я так понимаю транк используется с целью повышения полосы пропускания.
с трудом представляю чего такого может крутиться на виртуальным машинах на таких скоростях. да еще и обрабатываться чтобы все это успевало.

и вообще - что мешает разбить транк на обычные линки?

def · Гость

weer · Гуру Предупреждений : 2

def
бр. понял прогнал. просто термин trunk много где фигурирует. ночью мне чего то показалось что речь идет о link agregation Smile

я конечно опыта подобного рода дел не имел. но насколько знаю каждый vlan из транка в любом случае и на любой оси выглядит как сетевой интерфейс. или его можно заставить так выглядеть.
итого получаем, что надо сделать бридж между сетевым интерфейсом от vlan и сетевым интерфейсом от виртуальной машины

weer · Гуру Предупреждений : 2

я ту еще подумал ....
надо чтобы vlan был прямо до виртуальной машины. так? или не так?

Dadly · Начинающий

По поводу транка, если не ошибаюсь, на обоих сторонах тип интерфейса должен стоять транк, тип инкапсуляции должен совпадать. Дальше создаешь сабинтерфейсы и на них вешаешь IP адреса. Вроде такая идеология была....

Arkan · Гуру

Крындец конечно
ну впринципе каждый курит свою траву
зачем усложнять себе жизнь ???

def · Гость

ph0enix · Форумчанин

def
По-моему будет достаточно создать на хосте нужные интерфейсы (eth0.X) и сделать брижд между eth0.X и tunX. Собственно природа tunX может зависить от способа виртуализации: для qemu это будет именно tunX созданный через vde. Для vmware какие-то свои подкрутки, OpenVZ вообще AFAIK умеет хостовые интерфейсы прокидывать в VE.

def · Гость

ph0enix,
Интерфейсы сделал, как раз на "хосте", среда виртуализации - openvz, так что, действительно, передать в VE нет никаких сложностей. Сложность в том, что мне на порт еще влан не пришел Smile

Как сделают, продолжу ковыряться.

TROLL_ · Эксперт

weer
def
Arkan

в случае приобретения аппаратного файр-ла, есть ли необходимость настроивать программный?

Arkan · Гуру

Основное всеравно придется

только кстати накалякал
topic19069

hmitry · Форумчанин

google://FireHol

еще вручную ковырять в iptables ... тьфу на него.