[student_rt]

Есть 10 машин с windosXP, на них открыты общие папки, и находятся в одной рабочей группе. Подключены к свичу, имеют адреса 192.168.1.x/24.

Так же, к свичу подключен роутер на RedHat.

 

В правилах iptables написано каким машинам можно в интернет.

Если всем машинам дать доступ в интернет, то все работает нормально. Но если его закрыть для всех, то машины не могут открыть рабочую группу, не видят ни себя ни других в сети.

Если закрывать для нескольких, то этот эффект проявляется, спонтанно.

 

Сеть гитабитная, карточки Realtek RTL8168/8111 PCI-E Gigabit.

Свич Allied Telesyn at-gs950/16

Брандмауэр windows отключен, стоит Касперский 6, его фаервол включен.

 

Iptables имеет следующий вид, с случае если в инет разрешено 4-м машинам 192.168.1.101 - 104, запрещаю доступ просто комментируя соответствующие строки.

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Lokkit-0-50-INPUT - [0:0]


-A INPUT -j RH-Lokkit-0-50-INPUT
-A FORWARD -j RH-Lokkit-0-50-INPUT 

-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 25 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 80 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 21 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 22 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 110 --syn -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 139 --syn -j ACCEPT 
...
-A RH-Lokkit-0-50-INPUT -s 192.168.1.0/24                      -j REJECT 

-I RH-Lokkit-0-50-INPUT -s 192.168.1.0/24 -d 192.168.1.1       -j ACCEPT
-I RH-Lokkit-0-50-INPUT -s 192.168.1.1                         -j ACCEPT
...
# Razreshit' mashinam v klasse v inet
-I RH-Lokkit-0-50-INPUT -s 192.168.1.101                       -j ACCEPT
-I RH-Lokkit-0-50-INPUT -s 192.168.1.102                       -j ACCEPT
-I RH-Lokkit-0-50-INPUT -s 192.168.1.103                       -j ACCEPT
-I RH-Lokkit-0-50-INPUT -s 192.168.1.104                       -j ACCEPT
...
-A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT
-A RH-Lokkit-0-50-INPUT -i eth1 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 0:1023 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 0:1023 -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 6000:6009 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 7100 --syn -j REJECT
COMMIT

*nat
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE 
COMMIT

[martin74]

жестко... А просто ставить для нужных машин нат, а не блокировать доступ на роутер - нельзя?

[PommeFritz]

а не стоит ли случаем на роутере самба, которая master browser ?

[user_anonymous]

Выкиньте свой файервол и доработайте напильником это:

 

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:allowed - [0:0]
:bad_tcp_packets - [0:0]
:forward_tcp_filter - [0:0]
:forward_udp_filter - [0:0]
:icmp_filter - [0:0]
:input_tcp_filter - [0:0]
:input_udp_filter - [0:0]
-A INPUT -p tcp -j bad_tcp_packets 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -s 127.0.0.1 -i lo -j ACCEPT 
-A INPUT -p tcp -j input_tcp_filter 
-A INPUT -p udp -j input_udp_filter 
-A INPUT -p icmp -j icmp_filter 
-A INPUT -j LOG --log-prefix "INPUT DROP: " 
-A FORWARD -p tcp -j bad_tcp_packets 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -o eth0 -j ACCEPT 
-A FORWARD -p tcp -j forward_tcp_filter 
-A FORWARD -p udp -j forward_udp_filter 
-A FORWARD -p icmp -j icmp_filter 
-A FORWARD -i eth1 -p gre -j ACCEPT 
-A FORWARD -j LOG --log-prefix "FORWARD DROP: " 
-A OUTPUT -j ACCEPT 
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT 
-A allowed -j DROP 
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset 
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP 

-A forward_tcp_filter -p tcp -m tcp --dport 21 -j allowed 
-A forward_tcp_filter -p tcp -m tcp --dport 22 -j allowed 
-A forward_tcp_filter -p tcp -m tcp --dport 25 -j allowed 
-A forward_tcp_filter -p tcp -m tcp --dport 110 -j allowed 
-A forward_tcp_filter -p tcp -m tcp --dport 443 -j allowed 
-A forward_tcp_filter -p tcp -m tcp --dport 5222 -j allowed 
-A forward_tcp_filter -p tcp -m tcp --dport 5190 -j allowed 
-A forward_tcp_filter -p tcp -m tcp --dport 1723 -j allowed 
-A forward_tcp_filter -j DROP 
-A forward_udp_filter -p udp -m udp --dport 53 -j ACCEPT 
-A forward_udp_filter -p udp -m udp --dport 27000:27041 -j ACCEPT 
-A forward_udp_filter -j DROP 
-A icmp_filter -s 192.168.1.0/255.255.255.0 -p icmp -m icmp --icmp-type 8 -j ACCEPT 
-A icmp_filter -p icmp -m icmp --icmp-type 8 -m limit --limit 8/sec --limit-burst 1 -j ACCEPT 
-A icmp_filter -p icmp -m icmp --icmp-type 8 -j DROP 
-A input_tcp_filter -s 127.0.0.1 -p tcp -m tcp --dport 3128 -j allowed 
-A input_tcp_filter -s 192.168.1.0/255.255.255.0 -p tcp -m tcp --dport 3128 -j allowed 
-A input_tcp_filter -p tcp -m tcp --dport 21 -j allowed 
-A input_tcp_filter -p tcp -m tcp --dport 22 -j allowed 
-A input_tcp_filter -p tcp -m tcp --dport 53 -j allowed 
-A input_tcp_filter -p tcp -m tcp --dport 25 -j allowed 
-A input_tcp_filter -p tcp -m tcp --dport 110 -j allowed 
-A input_tcp_filter -p tcp -m tcp --dport 80 -j allowed 
-A input_tcp_filter -p tcp -m tcp --dport 443 -j allowed 
-A input_tcp_filter -j DROP 
-A input_udp_filter -p udp -m udp --dport 53 -j ACCEPT 
-A input_udp_filter -j DROP 
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth0 -j MASQUERADE
COMMIT

Изменено 21 февраля, 2008 пользователем user_anonymous