Sziasztok, On 04/14/2011 12:43 PM, Kosa Attila wrote:
A csomagszuro tartalma:
[...] *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] :LOintra - :LOinter - :icmpk - -A INPUT -i lo -j ACCEPT -A INPUT -p icmp -j icmpk -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -i IFintra -j LOintra -A INPUT -i IFinter -j LOinter -A INPUT -j LOG --log-prefix "INPUT DROP: " -A INPUT -j DROP -A FORWARD -j LOG --log-prefix "FORWARD DROP: " -A FORWARD -j DROP -A LOintra -p tcp --dport 53 -j ACCEPT -A LOintra -p udp --dport 53 -j ACCEPT -A LOintra -p tcp --dport ZORPKIFELE -j ACCEPT -A LOintra -j LOG --log-prefix "LOintra DROP: " -A LOintra -j DROP -A LOinter -p tcp --dport 22 -j ACCEPT -A LOinter -j LOG --log-prefix "LOinter DROP: " -A LOinter -j DROP -A icmpk -p icmp --icmp-type destination-unreachable -j ACCEPT -A icmpk -p icmp --icmp-type time-exceeded -j ACCEPT -A icmpk -p icmp --icmp-type parameter-problem -j ACCEPT -A icmpk -p icmp --icmp-type source-quench -j ACCEPT -A icmpk -p icmp --icmp-type echo-request -j ACCEPT -A icmpk -p icmp --icmp-type echo-reply -j ACCEPT -A icmpk -j LOG --log-prefix "Icmpk DROP: " -A icmpk -j DROP COMMIT
Egy dolog nem egeszen vilagos a mukodesben, a ZORPKIFELE valtozot tartalmazo szabaly. Ebbe ugyanis fel kell vennem az osszes portot, amit a zorpon keresztul akarok engedni (a fenti peldaban a 443-at), kulonben a LOintra agon eldobasra kerulnek a csomagok, nem jutnak el a zorp-hoz. Hogy kellene ezt "elegansabban" megoldani?
Meg tudod ugy oldani, hogy beteszel egy olyan szabalyt, ami minden olyan csomagot elfogad, amit a mangle tablaban divertaltal (azaz a Zorp-hoz fog kerulni): Azaz mondjuk a "-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT" szabaly utan beteszel valami ilyesmit: -A INPUT -m mark --mark 0x1/0x1 -j ACCEPT Termeszetesen itt sem kotelezo a 0x1 erteket hasznalni (peldaul ha mas dolgokra is hasznalsz markot egy bonyolultabb csomagszuro rulesetben). Arra kell csak figyelni, hogy a DIVERT chain-en, a TPROXY targetnel, a policy routing rule hozzaadasanal es itt, a mark ellenorzesenel is ugyanaz a mark ertek (bit) legyen beallitva illetve ellenorizve. -- KOVACS Krisztian