[Решено]iptables, закрыть некоторым все порты, кроме..

gard	# 10 лет, 3 месяца назад
Темы: 66 Сообщения: 1167 Участник с: 15 декабря 2009	Привет всем! Встала задача на работе закрыть для диапазона адресов в сети все порты, кроме жизненно важных, то есть 53,80,443,123. Насчет 123го пока не уверен, это нужно для ntp. Делаю вроде все верно, но что-то не работат оно. Вот выдержка из конфига iptables: #!/bin/bash IPT="iptables" LO_IF="lo" LAN_IF="lan" CRP_IF="crp" PPP_IF="ppp0" LO_IP="127.0.0.1" LAN_IP="192.168.2.1" CORP_IP="172.16.10.2" LAN_IP_RANGE="192.168.2.0/24" FROM_STUDENTS="--src-range 192.168.2.30-192.168.2.254" ....... #Цепочка FORWARD - транзитные пакеты, идущие по PREROUTING->FORWARD->POSTROUTING в обе стороны $IPT -A FORWARD -p tcp -j tcp_validate $IPT -A FORWARD -p icmp -i $PPP_IF -j icmp_validate $IPT -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT #Специальное правило для студентов, разрешены только 53,80,123,443 порты $IPT -A FORWARD -p udp -i $LAN_IF -o $PPP_IF -m iprange $FROM_STUDENTS -m multiport --destination-port 53,123 -j ACCEPT $IPT -A FORWARD -p tcp -i $LAN_IF -o $PPP_IF -m iprange $FROM_STUDENTS -m multiport --destination-port 53,80,443 -j ACCEPT $IPT -A FORWARD -p udp -i $LAN_IF -o $PPP_IF -m iprange $FROM_STUDENTS -j LOG --log-level debug --log-prefix ": " $IPT -A FORWARD -p udp -i $LAN_IF -o $PPP_IF -m iprange $FROM_STUDENTS -j DROP $IPT -A FORWARD -p all -i $LAN_IF -s $LAN_IP_RANGE -j ACCEPT По логике схема такая: 1) Разрешаются сразу уже связанные и установленные соединения (ответы) 2) Пакеты, идущие через роутер наружу от студентов на нужные порты - разрешаются 3) Все остальное, идущее от студентов наружу - запрещается (это точка остановки для пакетов от нерадивого студента). 4) Разрешается всей подсети идти наружу. И вот что же я наблюдаю. Ради эксперимента ставлю на студенческом компьютере pidgin, который соединяется на порт 5222, и пиджин прекрасно соединяется. Подскажите люди добрые, где у меня ошибка. =) ps: Предвидя обвинения в ущемлении прав студентов, скажу зачем я это делаю. Наверное все слышали про WarFace - новый онлайн шутер. Дак вот офигевшие студенты приходят на учебу и запросто по 5 человек враз на нашем 2х мегабитном канале начинают качать варфейс и обновления для него, что вылечилось сквидом. Но ради пресечения подобного безобразия было решено еще и обезопасить себя от торрентов со стороны студентов.

# 10 лет, 3 месяца назад

Сообщения: 1167

Участник с: 15 декабря 2009

Привет всем!
Встала задача на работе закрыть для диапазона адресов в сети все порты, кроме жизненно важных, то есть 53,80,443,123. Насчет 123го пока не уверен, это нужно для ntp. Делаю вроде все верно, но что-то не работат оно. Вот выдержка из конфига iptables:

#!/bin/bash
IPT="iptables"
LO_IF="lo"
LAN_IF="lan"
CRP_IF="crp"
PPP_IF="ppp0"
LO_IP="127.0.0.1"
LAN_IP="192.168.2.1"
CORP_IP="172.16.10.2"
LAN_IP_RANGE="192.168.2.0/24"
FROM_STUDENTS="--src-range 192.168.2.30-192.168.2.254"
.......
#Цепочка FORWARD - транзитные пакеты, идущие по PREROUTING->FORWARD->POSTROUTING в обе стороны
$IPT -A FORWARD -p tcp -j tcp_validate
$IPT -A FORWARD -p icmp -i $PPP_IF -j icmp_validate
$IPT -A FORWARD -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
#Специальное правило для студентов, разрешены только 53,80,123,443 порты
$IPT -A FORWARD -p udp -i $LAN_IF -o $PPP_IF -m iprange $FROM_STUDENTS -m multiport --destination-port 53,123 -j ACCEPT
$IPT -A FORWARD -p tcp -i $LAN_IF -o $PPP_IF -m iprange $FROM_STUDENTS -m multiport --destination-port 53,80,443 -j ACCEPT
$IPT -A FORWARD -p udp -i $LAN_IF -o $PPP_IF -m iprange $FROM_STUDENTS -j LOG --log-level debug --log-prefix ": "
$IPT -A FORWARD -p udp -i $LAN_IF -o $PPP_IF -m iprange $FROM_STUDENTS -j DROP
$IPT -A FORWARD -p all -i $LAN_IF -s $LAN_IP_RANGE -j ACCEPT

По логике схема такая:
1) Разрешаются сразу уже связанные и установленные соединения (ответы)
2) Пакеты, идущие через роутер наружу от студентов на нужные порты - разрешаются
3) Все остальное, идущее от студентов наружу - запрещается (это точка остановки для пакетов от нерадивого студента).
4) Разрешается всей подсети идти наружу.

И вот что же я наблюдаю. Ради эксперимента ставлю на студенческом компьютере pidgin, который соединяется на порт 5222, и пиджин прекрасно соединяется. Подскажите люди добрые, где у меня ошибка. =)

ps: Предвидя обвинения в ущемлении прав студентов, скажу зачем я это делаю. Наверное все слышали про WarFace - новый онлайн шутер. Дак вот офигевшие студенты приходят на учебу и запросто по 5 человек враз на нашем 2х мегабитном канале начинают качать варфейс и обновления для него, что вылечилось сквидом. Но ради пресечения подобного безобразия было решено еще и обезопасить себя от торрентов со стороны студентов.

gard	# 10 лет, 3 месяца назад
Темы: 66 Сообщения: 1167 Участник с: 15 декабря 2009	Все, видать глаза уже замылились, протокол то не тот указал, проблема решена. =)