| imho.ws |
|
|
20.02.2008, 16:43
|
# 1 |
|
Guest
Сообщения: n/a
|
Работа iptables
Есть 10 машин с windosXP, на них открыты общие папки, и находятся в одной рабочей группе. Подключены к свичу, имеют адреса 192.168.1.x/24.
Так же, к свичу подключен роутер на RedHat. В правилах iptables написано каким машинам можно в интернет. Если всем машинам дать доступ в интернет, то все работает нормально. Но если его закрыть для всех, то машины не могут открыть рабочую группу, не видят ни себя ни других в сети. Если закрывать для нескольких, то этот эффект проявляется, спонтанно. Сеть гитабитная, карточки Realtek RTL8168/8111 PCI-E Gigabit. Свич Allied Telesyn at-gs950/16 Брандмауэр windows отключен, стоит Касперский 6, его фаервол включен. Iptables имеет следующий вид, с случае если в инет разрешено 4-м машинам 192.168.1.101 - 104, запрещаю доступ просто комментируя соответствующие строки. Код:
*filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Lokkit-0-50-INPUT - [0:0] -A INPUT -j RH-Lokkit-0-50-INPUT -A FORWARD -j RH-Lokkit-0-50-INPUT -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 25 --syn -j ACCEPT -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 21 --syn -j ACCEPT -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 22 --syn -j ACCEPT -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 110 --syn -j ACCEPT -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 139 --syn -j ACCEPT ... -A RH-Lokkit-0-50-INPUT -s 192.168.1.0/24 -j REJECT -I RH-Lokkit-0-50-INPUT -s 192.168.1.0/24 -d 192.168.1.1 -j ACCEPT -I RH-Lokkit-0-50-INPUT -s 192.168.1.1 -j ACCEPT ... # Razreshit' mashinam v klasse v inet -I RH-Lokkit-0-50-INPUT -s 192.168.1.101 -j ACCEPT -I RH-Lokkit-0-50-INPUT -s 192.168.1.102 -j ACCEPT -I RH-Lokkit-0-50-INPUT -s 192.168.1.103 -j ACCEPT -I RH-Lokkit-0-50-INPUT -s 192.168.1.104 -j ACCEPT ... -A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT -A RH-Lokkit-0-50-INPUT -i eth1 -j ACCEPT -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 0:1023 --syn -j REJECT -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --syn -j REJECT -A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 0:1023 -j REJECT -A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j REJECT -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 6000:6009 --syn -j REJECT -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 7100 --syn -j REJECT COMMIT *nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE COMMIT |
|
20.02.2008, 22:33
|
# 2 | |
|
мод
IMHO Кодер-200(6,7,8) Регистрация: 29.03.2003
Адрес: Saint-Petersburg, Russia
Пол: Male
Сообщения: 2 734
    |
Цитата:
Мастер-браузер в сети находится на Линуксовой машиен полагаю, Самба?
__________________
Я делаю Линукс! Присоединяйтесь к свободным людям! Связаться со мной всегда можно по джабберу: Hubbitus@jabber.ru Pahan-Hubbitus. |
|
|
|
03.03.2008, 18:11
|
# 3 | |
|
Guest
Сообщения: n/a
|
Цитата:
Проверил сниффером commview, все машины постоянно обрашаются к broadcast адресу 192.168.1.255. Добавил такие правила : Код:
-I RH-Lokkit-0-50-INPUT -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT -I RH-Lokkit-0-50-INPUT -s 192.168.1.0/24 -d 192.168.1.255 -j ACCEPT А эффект этот проявляется еще вот так - когда одна из машин перестает нормально видить сеть, то можно на ней через поиск найти любую другую, длится это дольше чем обычно. Если на ней есть общий ресурс, а на других он подключен как сетевой диск, то он остается роботоспособным. Если я вытаскиваю кабель роутера из свича, то сеть на этой машине сразу не востананавливается, она начинает полноценно работать только после перезагрузки. |
|
|
19.03.2008, 00:05
|
# 4 |
|
Newbie
Регистрация: 02.02.2003
Адрес: Днепропетровск
Пол: Male
Сообщения: 18
|
Слишком странно. Ну не может обозревание сети в Windows зависеть от шлюза и файрвола на нем. Скорее всего виновата таки случайно взявшаяся на нем самба, которая стала мастер-браузером.
netstat -an -A inet с шлюза покажи. )
__________________
Debian GNU/Linux sid
|
|
|
