Лидеры рейтинга

ID: 259041

Алексеев Владимир Николаевич

Мастер-Эксперт

379

Россия, пос. Теплоозёрск, ЕАО


ID: 401284

Михаил Александров

Советник

378

Россия, Санкт-Петербург


ID: 401888

puporev

Профессор

216

Россия, Пермский край


ID: 405338

vovaromanov.jr

1-й класс

130


ID: 400669

epimkin

Профессионал

112


ID: 242862

Hunter7007

Мастер-Эксперт

30

Россия, Омск


ID: 137394

Megaloman

Мастер-Эксперт

26

Беларусь, Гомель


8.10.2

13.10.2021

JS: 2.10.2
CSS: 4.6.0
jQuery: 3.6.0
DataForLocalStorage: 2021-10-19 18:16:01-standard


Системное администрирование, установка и настройка Linux и UNIX-операционных систем.

Администратор раздела: Хватов Сергей (Академик)

Консультация онлайн # 108560

Раздел: Linux / UNIX
Автор вопроса: Владислав Олегович
Дата: 08.11.2007, 13:58 Консультация закрыта
Поступило ответов: 2

Здравствуйте уважаемые эксперты, укажите на ошибки пожалуйста.

1 Пытаюсь настроить iptables для десктопа,чтобы можно было браузером спокойно сёрфить www,нашёл много описаний настроек для серверов,но для простого десктопа увы нет!Для начала сделал следующее: iptables -P INPUT(OUTPUT,FORWARD) DROP ,далее добавил правило для браузера iptables -I INPUT 1 -p tcp -d localhost --sport http --dport http -j ACCEPT и iptables -I OUTPUT 1 -p tcp -s localhost --sport http --dport http -j ACCEPT.После временно разрешил весь udp трафик iptables -I INPUT 1 -p udp -d localhost -j ACCEPT и iptables -I OUTPUT 1 -p udp -s localhost -j ACCEPT ,после запускаю браузер пытаюсь куда-нибудь попасть - не получается,не могу понять где ошибка.....

2 Какое создать правило чтобы разрешить браузеру работать с https?
думал так, но правильно ли??:
iptables -I INPUT 1 -p tcp -d localhost --sport https --dport https -j ACCEPT
iptables -I OUTPUT 1 -p tcp -s localhost --sport https --dport https -j ACCEPT

3 и как создать правило для dns чтобы не разрешать весь udp трафик?

Заранее спасибо!!!

Ответ # 192707 от _beast
Здравствуйте, Владислав Олегович!

для http/https пишем так:

UNPRIPORT="1024:65535"
iptables -A OUTPUT -p tcp -m tcp -m multiport -o eth0 --sport $UNPRIPORT --dports 80,443 -j ACCEPT
iptables -A INPUT -p tcp -m tcp -m multiport -i eth0 --dport $UNPRIPORT --sports 80,443 -j ACCEPT ! --syn

для dns если правильно понял вопрос:

iptables -A OUTPUT -p udp -m udp -o eth0 --dport 67 --sport 68 -j ACCEPT
iptables -A INPUT -p udp -m udp -i eth0 --dport 68 --sport 67 -j ACCEPT

_beast

Посетитель
08.11.2007, 14:16
Ответ # 192714 от Владимир Медведев
В дополнение:
главная ошибка в том, что при установлении http-соединения порт назначения (удаленного сервера) 80-й (или "http"), а вот локальный порт выбирается системой случайно, обычно из верхнего диапазона (например, 58876).

Случаи, когда исходный порт и порт назначения совпадают, т.е. когда в одном правиле sport = dport, весьма редки.

Ну и дополнительно, в этом случае не стоит пользоваться именем хоста localhost в правилах, т.к. localhost=127.0.0.1, а внешнее соединение устанавливается с ip-адреса, прописанного в сетевом адаптере. Лучше использовать имя сетевого адаптера (как написано в примере beast).

Для лучшего понимания рекомендую при работающем интернете запустить команду "netstat --tcp -p -n" и посмотреть на список открытых соединений и номера портов.

Владимир Медведев

Посетитель
08.11.2007, 14:38
Мини-форум консультации # 108560
Нет сообщений в мини-форуме
Возможность оставлять сообщения в мини-форумах консультаций доступна только после входа в систему.
Воспользуйтесь кнопкой входа вверху страницы, если Вы зарегистрированы или пройдите простую процедуру регистрации на Портале.

Лучшие эксперты раздела

Асмик Гаряка

Советник

Рейтинг: 0

Роман Селиверстов

Советник

Рейтинг: 0

Valery N

Мастер-Эксперт

Рейтинг: 0

SAW

Студент

Рейтинг: 0

Хватов Сергей

Академик

Рейтинг: 0

var

7-й класс

Рейтинг: 0