Нужен ли для ядра 2.6.х пакет ipchains? Мне кажется, что нет, но думаю спрошу
более опытных.
Просто заметил, что он у меня видимо установился по умолчанию при инсталляции
системы. Установлен также iptables, но про этот пакет вопросов нет.
Заранее благодарен!
Serja wrote:
Нужен ли для ядра 2.6.х пакет ipchains? Мне кажется, что нет, но думаю спрошу
более опытных.
Просто заметил, что он у меня видимо установился по умолчанию при инсталляции
системы. Установлен также iptables, но про этот пакет вопросов нет.
Заранее благодарен!
Насколько я знаю
Sergey V. Spiridonov wrote:
Sergey V. Spiridonov wrote:
Orehov Pasha wrote:
Ладно, в 2.4 ядре сломали атомарное чтение-очистку ipchains
там не только атомарность чтения-очистки сломали, просто атомарность
чтения не соблюдается. Что хорошо видно в случае
Правило х
Правила ~ 10k штук
Правило
Orehov Pasha, Mon, Jul 21, 2003 06:28:07 +0200:
Ладно, в 2.4 ядре сломали атомарное чтение-очистку ipchains
А кто-нибудь знает, в 2.4.21 iptables -Z -L нормально работает?
кстати, ipchains там никто не собирается чинить? Чтобы инициировать этот
процесс куда писать?
На [EMAIL PROTECTED], Cc
Sergey V. Spiridonov wrote:
Orehov Pasha wrote:
Ладно, в 2.4 ядре сломали атомарное чтение-очистку ipchains
А кто-нибудь знает, в 2.4.21 iptables -Z -L нормально работает?
кстати, ipchains там никто не собирается чинить? Чтобы инициировать
этот процесс куда писать?
По результатам моих
Orehov Pasha wrote:
Ладно, в 2.4 ядре сломали атомарное чтение-очистку ipchains
А кто-нибудь знает, в 2.4.21 iptables -Z -L нормально работает?
кстати, ipchains там никто не собирается чинить? Чтобы инициировать этот
процесс куда писать?
По результатам моих последних экспериментов, в 2.4.21
Denis A. Kulgeyko wrote:
А зачем писать их все руками?
Когда-то был написан один, а в дальнейшем все остальные писались с него
исправлениями под конкретные нужды. ;)
Надо было очень быстро поставить firewall'ы на несколько хостов.
Там одна RH7.x была, так я посмотрел на тот default'ный
Привет, коллеги.
On Fri, Mar 14, 2003 at 09:33:39PM +0200, Dmitry Korotkov wrote:
A kakim obrazom organizovat' sleduyuschee perenapravlenie na 2.2.x ?
(ipchains)
nuzhno vse pakety iz seti 192.168.0.0/24 iduschie naruzhu na port 80
(ispol'zuetsya maskarad)
perenapravlyat' na
Hello Oleg P. Philon,
и одно правило в iptables:
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
Будь осторожен - перенаправляй только для внутреннего интерфейса.
А то я сделал сначала для всех, так Apache перестал работать.
фишка его вопроса была
AN
AN Похоже то что нужно?
Думается мне, что товарищу хотелось сделать transparent proxy.
Я это понял. Ведь ничего не мешает представить перед этим правило
ipchains, кидающее все проходящие пакеты на локальный адрес.
И если прокси стоит не на этой-же машине, то отправлять пакетики туда или с
то-же самое с помошью iptables.
Once you wrote about ipchains, в догонку к iptables:
А каким образом организовать следующее перенаправление на 2.2.x ? (ipchains)
нужно все пакеты из сети 192.168.0.0/24 идущие наружу на порт 80
(используется маскарад)
перенаправлять на машину с кэш-сервером
portfw -a -P tcp -L 1.2.3.4 8080 -R 192.168.1.1 80
AN
AN Похоже то что нужно?
Думается мне, что товарищу хотелось сделать transparent proxy.
AN Чуть дальше там пример, как сделать то-же самое с помошью iptables.
AN
AN Once you wrote about ipchains, в догонку к iptables:
А каким образом организовать
А каким образом организовать следующее
перенаправление на 2.2.x ? (ipchains)
нужно все пакеты из сети 192.168.0.0/24 идущие
наружу на порт 80 (используется маскарад)
перенаправлять на машину с кэш-сервером на
определенный IP с портом 3128
какие могут быть варианты ?
похоже, что ipmasqadmin
Зуев Денис Александрович wrote:
Привет!
Я правильно понимаю, что iptables - это более рулезная замена ipchains,
но при этом не исключается использование ipchains? Дело в том, что у
Они не могут работать одновременно, по отдельности - без проблем (в
ядрах 2.4.*)
меня стоит ужасный Мандрейк
.EB162EB8
ЗДА Subject: ipchains
ЗДА X-MimeOLE: Produced By Microsoft Exchange V6.0.6249.0
ЗДА content-class: urn:content-classes:message
ЗДА Date: Wed, 29 Jan 2003 10:11:45 +0500
ЗДА Message-ID: [EMAIL PROTECTED]
ЗДА X-MS-Has-Attach:
ЗДА X-MS-TNEF-Correlator:
ЗДА Thread-Topic: ipchains
ЗДА Thread-Index
On 2003.01.29 at 12:01:45 +0600, Ilya Palagin wrote:
Зуев Денис Александрович wrote:
Привет!
Я правильно понимаю, что iptables - это более рулезная замена ipchains,
но при этом не исключается использование ipchains? Дело в том, что у
Они не могут работать одновременно, по отдельности
совместимости между
ipchains в 2.2 и 2.4. Впрочем woody умеет и с тем и с другим
ядром работать.
Victor Wagner wrote:
...
Да, разве? А мне не удалось обеспечить маскарадинг активного ftp
с использованием ipchains. На 2.2 работало, на 2.4 перестало.
Просто после загрузки ipchains.o ip_conntrack.o не грузился.
Я, честно говоря, не помню процесс перетаскивания своего
firewall-скрипта с 2.2
свои ржавых 1/20 часть Убитого американского Енота. :)
Я для firewall'ов (а в свое время пришлось писать их немало, все на линухе, в
основном woody/2.4.x) долго искал хороший инструмент для автоматизации.
Потому как писать _все_ правила ipchains/iptables руками
Нашел - называется ferm.
Перловый
) долго искал хороший инструмент для автоматизации.
Потому как писать _все_ правила ipchains/iptables руками
VW А зачем писать их все руками?
VW В конце концов, это обычные юниксовые команды, вызывающиеся из
VW shell-овского скрипта.
VW Я генерирую из биллинговой базы файлик вида
VW block такой-то
А зачем писать их все руками?
Когда-то был написан один, а в дальнейшем все остальные писались с него
исправлениями под конкретные нужды. ;)
Надо было очень быстро поставить firewall'ы на несколько хостов.
Там одна RH7.x была, так я посмотрел на тот default'ный шкрыпт для firewall'а
такой-то-IP http
После чего этот файлик включается командой source в скрипт инициализации
файрволла. А в том определены shell-функции block, allow, disallow etc.
Данная система позволяет мнговенно вернуться к ipchains, если мне вдруг
зачем-то понадобилось перегрузить машину с 2.2 ядром
On 2003.01.29 at 13:36:39 +0200, Denis A. Kulgeyko wrote:
Впрочем ferm в набор рекомендуемых ВМЕСТО /etc/init.d/iptables
инструментов вполне себе входит.
Большой минус - медленно генерит правила. Потому как perl.
При загрузке хоста это время может оказаться критично.
И еще один - если
ipchains, если мне вдруг
зачем-то понадобилось перегрузить машину с 2.2 ядром.
Просто скрипт посмотрит на uname -r и в зависимости от того, 2.2 оно или
2.4 определит другие функции.
а зачем нужна биллинговая база в простых случаях? особенно на машине где
откат на 2.2 не предполагается.
А я
наличии групп адресов с разным уровнем доступа),
есть ли
способ проверить ядро на прохождение tcp пакета с адреса A порт B
через интерфейс eth0 на адрес C порт D через интерфейс eth1? В ipchains
есть check,
в iptables его нет.
Hi, debian-russian ...
1) не объяснят ли старшие братья необходимость
соответсвия 2.2.x - ipchains
2.4.x - iptables
2) буду благодарен за поправки - пакет проходит через цепочки в
таком порядке input (src: 192.168.0.0/24) - forward - output
итого в
Здравствуйте,
On Fri, Aug 30, 2002 at 11:09:43AM +0400, devi wrote:
1) не объяснят ли старшие братья необходимость
соответсвия 2.2.x - ipchains
2.4.x - iptables
в 2.4.x есть в том числе и ipchains, то надо ядро скомпилировать с именно
его поддержкой.
2) буду
сорри ...
Original Message
Subject: Re: ipchains questions ... очень горит !!!
Date: Fri, 30 Aug 2002 12:45:24 +0500
From: Tumyp S. Sattaroff [EMAIL PROTECTED]
To: Elena Egorova [EMAIL PROTECTED]
References: [EMAIL PROTECTED]
[EMAIL PROTECTED]
Elena Egorova wrote:
А как
On 2002.08.30 at 11:09:43 +0400, devi wrote:
Hi, debian-russian ...
1) не объяснят ли старшие братья необходимость
соответсвия 2.2.x - ipchains
2.4.x - iptables
Необходимости - нет. Можно в ядро 2.4.х скомпилить с ipchains.
Но есть польза. Рекомендую почитать
Hi, Tumyp,
Friday, August 30, 2002, 11:48:22 AM, you wrote:
TSS И еще бы я добавил
TSS ipchains -A input -i lo -j ACCEPT
TSS ipchains -A output -i lo -j ACCEPT
TSS и еще
TSS ipchains -A input -s 0/0 -d 0/0 -p icmp -j ACCEPT
TSS то бишь разрешить работать loopback устройству (кто нас изнутри
Добрый день!
На вашем сайте написано, что ipchains существует только для версий
2.2.X . При попытке запустить под ядром 2.4.18 ipchains говорит о
несовместимости с ядром. Как это можно поправить?
--
С уважением,
Олег Микитенко[EMAIL PROTECTED]
On Mon, 5 Aug 2002 17:31:19 +0400
нКЕЦ лХЙХРЕМЙН [EMAIL PROTECTED] wrote:
2.2.X . При попытке запустить под ядром 2.4.18 ipchains говорит о
несовместимости с ядром. Как это можно поправить?
Поддержка ipchains в ядре включена? Соотв. модуль загружен,
если собрано в модуле?
--
jabber
Здравствуйте
Что порекомендуете использовать для подсчета трафика через ipchains -
необходимо сохранить корректную работу настроенного firewall с парой десятков
правил
Имеет ли смысл делать свой счетчик и где можно почитать о принципах работы
подобной программы ? - какие правила добавлять в
On Thu, 16 May 2002, Dmitry Ponyatov wrote:
Что порекомендуете использовать для подсчета трафика через ipchains -
необходимо сохранить корректную работу настроенного firewall с парой десятков
правил
Посмотрите на пекет ipac/ipac-ng.
--
ICQ UIN# 3159256
VEL-RIPE
--
To UNSUBSCRIBE, email
Привет!
Где можно прописать статические роутинги, а также настройки ipchains?
Что-то таких мест при беглом изучении я не нашёл, пришлось писать
скипты самому, и файлы с конфигами ложить в /etc/network/
И ещё, что-то типа rc.local где-то есть?
Что, и правда нет этого в идеологии дебиановских
On Thu, Apr 19, 2001 at 04:02:00PM +0600, Igor Goldenberg wrote:
Привет!
Где можно прописать статические роутинги, а также настройки ipchains?
Что-то таких мест при беглом изучении я не нашёл, пришлось писать
скипты самому, и файлы с конфигами ложить в /etc/network/
И ещё, что-то типа
Привет!
On Thu, Apr 19, 2001 at 02:55:51PM +0300, Andrey Ivashchenko wrote:
И ещё, что-то типа rc.local где-то есть?
Для сетевых настроек: /etc/init.d/network
Опять таки самому создавать?
master:/var/ftp/debian/dists# zgrep etc/init.d/network Contents-i386.gz
etc/init.d/networking
On Thu, Apr 19, 2001 at 06:15:02PM +0600, Igor Goldenberg wrote:
Привет!
On Thu, Apr 19, 2001 at 02:55:51PM +0300, Andrey Ivashchenko wrote:
И ещё, что-то типа rc.local где-то есть?
Для сетевых настроек: /etc/init.d/network
Опять таки самому создавать?
Hello, Igor!
Igor Goldenberg wrote:
Где можно прописать статические роутинги, а также настройки ipchains?
Что-то таких мест при беглом изучении я не нашёл, пришлось писать
скипты самому, и файлы с конфигами ложить в /etc/network/
В текущем unstable пакет ipchains (1.3.10-8) проработан на
Alexey Mahotkin [EMAIL PROTECTED] writes:
Смею все же заметить, что коммерческая тайна, которой заправляют админы, не
способные прочитать чуть ли не первый приходящий в голову документ про
настройку ipchains (даже чуть ли не прогрепать этот документ), должна
стОить где-то в районе $0, то бишь
про
настройку ipchains (даже чуть ли не прогрепать этот документ), должна
стОить где-то в районе $0, то бишь ответом себя можно и не утруждать...
Склоняюсь пред Вашим талантом финансиста, в кои-то вЕки дана высокая оценка
коммерческой тайны в моей домашней сети. Благодарю.
На 99% прав Pavel
Позвольте поинтересоваться, зачем же Вы желаете запретить echo-requests?
Если Вы сообщите мне достаточно веский довод в пользу запрещения этих ICMP
сообщений, то, безусловно, я скажу Вам, как это сделать, но, признаться, я
Количество компьютеров, работающих в 3 часа ночи, может представлять
--- Daniel Ginsburg [EMAIL PROTECTED] wrote:
On Wed, Apr 11, 2001 at 11:13:43PM +0400, George Sergeyev wrote:
ëÁË ÐÒÁ×ÉÌØÎÏ ÂÕÄÅÔ Ú×ÕÞÁÔØ ÚÁËÌÉÎÁÎÉÅ ÄÌÑ ipchains ver 1.3.9,
ÚÁÐÒÅÝÁÀÝÅÅ ÐÒÉÅÍ icmp echo-request ÐÁËÅÔÏ× ÉÚ ÎÅÎÁÄÅÖÎÏÊ ÞÁÓÔÉ ÓÅÔÉ.
âÅÚÒÅÚÕÌØÔÁÔÎÏ ÐÅÒÅÐÒÏÂÏ×ÁÌ ÍÎÏÖÅÓÔ×Ï
On Thu, 12 Apr 2001, Alexey Vyskubov wrote:
Hi,
В принципе есть патчи для 2.2.x ядер (добавляют что-то типа опции
TCP_STEALTH) которая позволяет *полностью* скрывать компьютер в сети (вроде
даже порты сканировать будет бесполезно) - ну и в частности echo-requests
подавить.
Этот патч входит в
компьютеров, работающих в 3 часа ночи, может представлять
AV собой коммерческую тайну.
Смею все же заметить, что коммерческая тайна, которой заправляют админы, не
способные прочитать чуть ли не первый приходящий в голову документ про
настройку ipchains (даже чуть ли не прогрепать этот документ), должна
Как правильно будет звучать заклинание для ipchains ver 1.3.9, запрещающее
прием icmp echo-request пакетов из ненадежной части сети. Безрезультатно
перепробовал множество комбинаций. (1002-я ночь)
On Wed, Apr 11, 2001 at 11:13:43PM +0400, George Sergeyev wrote:
Как правильно будет звучать заклинание для ipchains ver 1.3.9,
запрещающее прием icmp echo-request пакетов из ненадежной части сети.
Безрезультатно перепробовал множество комбинаций. (1002-я ночь)
Позвольте поинтересоваться
Привет всем!
Ситуация простая: случайно снес скрипт, с настройками ipchains.
Они остались в ядре и видны по ipchains -L.
Вопрос такой: как их правильно задампить, что-бы потом меньше ручками
возиться?
Андрей
ipchains-save /etc/ipchains
ну и конечно
ipchains-restore /etc/ipchains
On Mon, 19 Mar 2001, news-gw wrote:
Привет всем!
Ситуация простая: случайно снес скрипт, с настройками ipchains.
Они остались в ядре и видны по ipchains -L.
Вопрос такой: как их правильно задампить, что-бы потом меньше
On Mon, 19 Mar 2001, news-gw wrote:
Привет всем!
Ситуация простая: случайно снес скрипт, с настройками ipchains.
Они остались в ядре и видны по ipchains -L.
Вопрос такой: как их правильно задампить, что-бы потом меньше ручками
возиться?
ipchains-save file_with_dump
потом
ipchains-restore
Помоему не так. Ни один уважающий себя маршрутизатор не будет
маршрутизировать пакеты для запрещенных адресов, а именно таковые
стоят у тебя в сетке.
Любой маршрутизатор будет маршрутизировать все, что ему скажут. А адреса
192.168.x.x не запрещенные, а приватные.
Я
Hi debian-russian!
если оффтопик, то сорри
в серваке две сетевухи, одна 195.46.*.* (eth0) другая 192.168.0.* (eth1)
как я понимаю, если маскарад настроен так:
ipchains -A forward -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i eth0 -j MASQ
то в случае если я в инете пропишу шлюзом 195.46.*.* - то
в серваке две сетевухи, одна 195.46.*.* (eth0) другая 192.168.0.* (eth1)
как я понимаю, если маскарад настроен так:
ipchains -A forward -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i eth0 -j MASQ
то в случае если я в инете пропишу шлюзом 195.46.*.* - то есть мою eth0,
то смогу увидеть 192.168.0
в серваке две сетевухи, одна 195.46.*.* (eth0) другая 192.168.0.* (eth1)
как я понимаю, если маскарад настроен так:
ipchains -A forward -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i eth0 -j MASQ
то в случае если я в инете пропишу шлюзом 195.46.*.* - то есть мою eth0,
то смогу увидеть
Помоему не так. Ни один уважающий себя маршрутизатор не будет
маршрутизировать пакеты для запрещенных адресов, а именно таковые
стоят у тебя в сетке.
Любой маршрутизатор будет маршрутизировать все, что ему скажут. А адреса
192.168.x.x не запрещенные, а приватные.
Я не буду
Igor Mikhailov wrote:
On Mon, 9 Oct 2000, Dmitry Maevsky wrote:
В каком бы файлике было правильно прописать правила для ipchains, если
хост имеет постоянное кабельное соединение с инетом?
2'a варианта /etc/init.d/networks или самому сделать
/etc/init.d/ipchains а потом update-rc.d
On Tue, 10 Oct 2000, Igor Mikhailov wrote:
From: Igor Mikhailov [EMAIL PROTECTED]
Subject: Re: ipchains
On Mon, 9 Oct 2000, Dmitry Maevsky wrote:
В каком бы файлике было правильно прописать правила для ipchains, если
хост имеет постоянное кабельное соединение с инетом?
2'a варианта
On Tue, 10 Oct 2000, Victor Wagner wrote:
В каком бы файлике было правильно прописать правила для ipchains, если
хост имеет постоянное кабельное соединение с инетом?
2'a варианта /etc/init.d/networks или самому сделать
/etc/init.d/ipchains а потом update-rc.d ipchains default (вроде
А аналога rc.local (в RH) нету?
Нету, и слава богу - либо уж sysV style, либо BSD style.
А есть ли стандартный способ сделать загрузку в дебиане BSD style?
Я знаю, что есть в Debian какой-то пакет, который позволяет
делать конверт из кучи файлов System V в одиночный файл, а затем
Igor Mikhailov wrote:
В каком бы файлике было правильно прописать правила для ipchains, если
хост имеет постоянное кабельное соединение с инетом?
2'a варианта /etc/init.d/networks или самому сделать
/etc/init.d/ipchains а потом update-rc.d ipchains default (вроде так
On Mon, 9 Oct 2000, Dmitry Maevsky wrote:
В каком бы файлике было правильно прописать правила для ipchains, если
хост имеет постоянное кабельное соединение с инетом?
2'a варианта /etc/init.d/networks или самому сделать
/etc/init.d/ipchains а потом update-rc.d ipchains default (вроде так)
А
В каком бы файлике было правильно прописать правила для ipchains, если
хост имеет постоянное кабельное соединение с инетом?
С наилучшими пожеланиями,
Игорь Михайлов.
--
Key fingerprint = 31C3 0B0B 5FF2 FE45 8D64 718D 5BA2 80CC 7B77 88DD
а чем народ пользуется для конфигурирования ipchains? я попробовал
fwctl, но он меня не устроил по ряду причин :( или придется все
описывать руками?
PS: используется Potato и kernel 2.2.17
--
Konstantin Kubatkin
KK4501-RIPE, Kherson, TriLogiC Group
Fido: 2:468/[EMAIL PROTECTED]
Konstantin Kubatkin wrote:
а чем народ пользуется для конфигурирования ipchains? я попробовал
fwctl, но он меня не устроил по ряду причин :( или придется все
описывать руками?
Руки - самый правильный UI в мире! :)
__
Dmitry Maevsky
On Wed, Sep 27, 2000 at 10:34:32AM +0300, Konstantin Kubatkin wrote:
а чем народ пользуется для конфигурирования ipchains? я попробовал
fwctl, но он меня не устроил по ряду причин :( или придется все
описывать руками?
PS: используется Potato и kernel 2.2.17
Привет.
Я использую ipmasq
65 matches
Mail list logo