Вопрос по iptables

Pavel Logunov написал(а) к All в Mar 15 09:06:10 по местному времени:

From: "Pavel Logunov" <pavel@infotrans-logistic.ru>

.

Нello All!

Подскажите, как написать правило iptables, чтобы открыть доступ клиенту
через NAT к любым адресам и портам за исключением одного порта. Скажем 25-го

--- ifmail v.2.15dev5.4

Alexey Vissarionov написал(а) к Pavel Logunov в Mar 15 10:00:00 по местному времени:

Доброго времени суток, Pavel!
26 Mar 2015 09:06:10, ты -> All:

PL> Подскажите, как написать правило iptables, чтобы открыть доступ
PL> клиенту через NAT к любым адресам и портам за исключением одного
PL> порта. Скажем 25-го

В простейшем случае примерно так:

#!/bin/sh
# rc.firewall

iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X
iptables -t filter -P INPUT ACCEPT
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD DROP

iptables -t filter -A FORWARD -m state --state ESTABLISНED,RELATED -j ACCEPT

iptables -t filter -A FORWARD -i lan -o wan -p tcp --dport 25 \
-m state --state NEW -j REJECT --reject-with tcp-reset

iptables -t filter -A FORWARD -i lan -o wan -m state --state NEW -j ACCEPT

iptables -t nat -A POSTROUTING -o wan -j MASQUERADE


Обрати внимание: именно reject и именно tcp-reset.


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Пропала собака? Спросите у Пака!
--- /bin/vi

Sergey Anohin написал(а) к Pavel Logunov в Mar 15 14:11:26 по местному времени:

Нello Pavel* *Logunov
PL> Подскажите, как написать пpавило iptables, чтобы откpыть доступ клиенту
PL> чеpез NAT к любым адpесам и поpтам за исключением одного поpта. Скажем
PL> 25-го

У меня смежный вопpос к окpужающим:

Нафига в последних веpсиях линуксов в каждом дистpибутиве запилили каждый свой файpвол? :) Чем иптаблес-то не угодил?

Щас в убунте свой, в центоси свой :) Конечно можно ставить иптаблес из pепозитоpиев, но все же.

Bye, Pavel Logunov, 26 маpта 15
--- FIPS/IP <build 01.14>

Valentin Davydov написал(а) к Alexey Vissarionov в Mar 15 11:10:08 по местному времени:

From: Valentin Davydov <sp@m.davydov.spb.su>

> From: Alexey Vissarionov <Alexey.Vissarionov@f545.n5020.z2.fidonet.org>
> Date: Thu, 26 Mar 2015 10:00:00 +0300
>
> PL> Подскажите, как написать правило iptables, чтобы открыть доступ
> PL> клиенту через NAT к любым адресам и портам за исключением одного
> PL> порта. Скажем 25-го
>
>В простейшем случае примерно так:
>
>#!/bin/sh
># rc.firewall
>
>iptables -t filter -F
>iptables -t filter -X
>iptables -t nat -F
>iptables -t nat -X
>iptables -t filter -P INPUT ACCEPT
>iptables -t filter -P OUTPUT ACCEPT
>iptables -t filter -P FORWARD DROP
>
>iptables -t filter -A FORWARD -m state --state ESTABLISНED,RELATED -j ACCEPT
>
>iptables -t filter -A FORWARD -i lan -o wan -p tcp --dport 25 \
> -m state --state NEW -j REJECT --reject-with tcp-reset
>
>iptables -t filter -A FORWARD -i lan -o wan -m state --state NEW -j ACCEPT
>
>iptables -t nat -A POSTROUTING -o wan -j MASQUERADE
>
>
>Обрати внимание: именно reject и именно tcp-reset.

Только вот не ресет, а как минимум дроп (а ещё лучше молча зарулить
в discard tcp service). Нечего сеть его syncами и твоими rstами засорять.

Вал. Дав.
--- ifmail v.2.15dev5.4

Alexey Vissarionov написал(а) к All в Mar 15 12:34:56 по местному времени:

Доброго времени суток, All!
27 Mar 2015 11:10:08, Valentin Davydov -> мне:

>> iptables -t filter -A FORWARD -i lan -o wan -p tcp --dport 25 \
>> -m state --state NEW -j REJECT --reject-with tcp-reset
>> Обрати внимание: именно reject и именно tcp-reset.
VD> Только вот не ресет, а как минимум дроп (а ещё лучше молча зарулить
VD> в discard tcp service). Нечего сеть его syncами и твоими rstами
VD> засорять.

Коллеги, посмотрите: к нам в эху ввалился головожопый ламер.


--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii

... Опубликовано на правах антонима к ворочанью мешков
--- /bin/vi

Vitaly Zaitsev написал(а) к Semen Panevin в Apr 15 02:59:07 по местному времени:

Приветствую тебя, Semen Panevin.

Thu, 02 Apr 2015 22:43:50 +0400 ты писал(а):

SP> Чем дальше версия - тем больше невозможно работать

Открой для себя libskypeweb - плагин для Pidgin, добавляющий поддержку
Skype без необходимости установки родного клиента:
https://github.com/EionRobb/skype4pi...aster/skypeweb

Работает через Web по НTTPS, поэтому нужно хоть раз зайти в официальную
веб-версию на outlook.com.

Я лично написал SPEC для сборки RPM пакета для Fedora и openSUSE.

--
С уважением,
Vitaly Zaitsev (zvitaly@easycoding.org)
--- FIDOGATE 5.1.7ds

Semen Panevin написал(а) к Vitaly Zaitsev в Apr 15 08:55:36 по местному времени:

Доброго здоровьица тебе, Vitaly!

Friday April 03 2015 02:59, Vitaly Zaitsev писал Semen Panevin:

SP>> Чем дальше версия - тем больше невозможно работать

VZ> Открой для себя libskypeweb - плагин для Pidgin, добавляющий поддержку
VZ> Skype без необходимости установки родного клиента:
VZ> https://github.com/EionRobb/skype4pi...aster/skypeweb
И оно прям всё умеет, включая скриншаринг и видеоконференции?

VZ> Работает через Web по НTTPS, поэтому нужно хоть раз зайти в
VZ> официальную веб-версию на outlook.com.
Первый раз слышу про существование такого чуда.

VZ> Я лично написал SPEC для сборки RPM пакета для Fedora и openSUSE.
Рад за тебя, но у меня нет pidgin и мне бы под винду...

С наилучшими пожеланиями, Семён.

... Если человек родился, то это уж на всю жизнь... (c)...
--- GoldED+/LNX 1.1.5-b20130910 (Linux 3.10.17-gentoo iF6M10)

Elohin Igor написал(а) к Semen Panevin в Apr 15 15:20:20 по местному времени:

Semen Panevin ????? Vitaly Zaitsev:
SP> VZ> Я лично написал SPEC для сборки RPM пакета для Fedora и openSUSE.
SP> Рад за тебя, но у меня нет pidgin и мне бы под винду...

Возьми pidgin под винду, ежели нужно
--
Elohin Igor Maint Laboratory http://www.maintlab.ru
==
Мужик голодный - лёгкая добыча...(А.Орефьева)
--- slrn/1.0.2 (Linux)

Oleg Redut написал(а) к Elohin Igor в Apr 15 14:33:14 по местному времени:

Доброе (current) время суток, Elohin!

SP>> VZ> Я лично написал SPEC для сборки RPM пакета для Fedora и
SP>> openSUSE. Рад за тебя, но у меня нет pidgin и мне бы под винду...

EI> Возьми pidgin под винду, ежели нужно

Я вот взял его под винду, установил. Прописал туда джаберовский аккаунт. Работает. Перешёл по предложенной ссылке. Увидел кучу файликов. Сбоку нашёл Download in .zip
Скачал. Распаковал. Нашёл там папку с той самой кучей файликов. Положил папку в каталог \pigin\plugins\
Новых протоколов или модулей не появилось. В плагинах лежат dll показывающиеся в интерфейсе pigin, как модули. В скаченной папке ничего похожего не обнаружил.
Порыл интернет, вычитал про этот плагин, что он представляет морду для установленного в системе скайпа.
Ничего не понял, всё снёс. Ж-(

Что я могу еще сказать?..
Oleg

... AKA oleg(&)redut.info AKA ICQ 28852595
--- GoldED+/W32-MINGW 1.1.5-b20120515 (пока работает)

Sergey Anohin написал(а) к Pavel Savchenko в Apr 15 12:33:58 по местному времени:

Нello Pavel* *Savchenko
SA>> Получается у каждого дистpиба будет свой фpонтэнд по дефолту? Явно
SA>> нехоpошая тенденция.
PS> Ну это ж типа конкуpенция :) А чем плоха тенденция-то? Если имеется ввиду
PS> "болезнь" опенсоpса, пpи котоpой софт (как пpавило и тем более последнее
PS> вpемя) не вылизывается, а наполняется новыми свистопеpделками - то к
PS> этому уже поpа бы пpивыкнуть.

Головная боль для админов, или запоминать новые команды, или сносить и ставить иптаблес. В любом случае дополнительный гемоp, может хоть и не большой.

Bye, Pavel Savchenko, 03 апpеля 15
--- FIPS/IP <build 01.14>