service_globax_linux_iptables [ВиКи компании СТВ]

Что и как нужно открывать?

Существует несколько вариантов настройки фаервола для работы через глобакс.
Простейшая настройка подразумевает открытие портов, используемых глобаксом в уже настроеном фаерволе. Для этого нам необходимо открыть на исходящем интерфейсе (например ppp0 для GPRS или eth0 если эзернет) порт 1111 на адреса 195.10.212.10(11) для старого транспондера (IntelSat904, транспондер №1) и 195.10.212.28(30) для нового (IntelSat904, транспондер №2):

#открываем исходящий канал для соединения глобакса с сервером iptables -A OUTPUT -o ppp0 -d 195.10.212.10 -p udp –dport 1111 -j ACCEPT iptables -A OUTPUT -o ppp0 -d 195.10.212.11 -p udp –dport 1111 -j ACCEPT iptables -A OUTPUT -o ppp0 -d 195.10.212.28 -p udp –dport 1111 -j ACCEPT iptables -A OUTPUT -o ppp0 -d 195.10.212.30 -p udp –dport 1111 -j ACCEPT

Так же надо открыть входящие пакеты для ответов по спутнику (например с интерфейса dvb0_0) на ваш ip-адрес (который вы можете узнать из ЛК, например, 192.168.100.100) и ваш порт глобакса (можно посмотреть в конфиге глобакса, задается директивой «port=», например, 4100) и по земле.
#открываем трафик со спутника от сервера глобакс iptables -A INPUT -i dvb0_0 -d 192.168.100.100 -p udp –dport 4100 -j ACCEPT #открываем для ответов сервера глобакс по наземному каналу iptables -A INPUT -i ppp0 -s 195.10.212.10 -p udp –dport 4100 -j ACCEPT iptables -A INPUT -i ppp0 -s 195.10.212.11 -p udp –dport 4100 -j ACCEPT iptables -A INPUT -i ppp0 -s 195.10.212.28 -p udp –dport 4100 -j ACCEPT iptables -A INPUT -i ppp0 -s 195.10.212.30 -p udp –dport 4100 -j ACCEPT

Простейшая настройка фаервола

Представим простейший набор правил который позволяет обеспечить работу глобакса и запрещает любой другой трафик в том числе и наземный:

#!/bin/bash
EARTH_IFACE="ppp0"
DVB_IFACE="dvb0_0"
DVB_IP="192.168.100.100"
GLOBAX_PORT="4100"
IPTABLES="/sbin/iptables"

#разрешаем трафик через loopback
${IPTABLES} -A INPUT -i lo -d 127.0.0.1 -s 127.0.0.1 -j ACCEPT
#открываем трафик со спутника от сервера глобакс
${IPTABLES} -A INPUT -i ${DVB_IFACE} -d ${DVB_IP} -p udp --dport ${GLOBAX_PORT} -j ACCEPT
#открываем для ответов сервера глобакс по наземному каналу
${IPTABLES} -A INPUT -i ${EARTH_IFACE} -s 195.10.212.10 -p udp --dport ${GLOBAX_PORT} -j ACCEPT
${IPTABLES} -A INPUT -i ${EARTH_IFACE} -s 195.10.212.11 -p udp --dport ${GLOBAX_PORT} -j ACCEPT
${IPTABLES} -A INPUT -i ${EARTH_IFACE} -s 195.10.212.28 -p udp --dport ${GLOBAX_PORT} -j ACCEPT
${IPTABLES} -A INPUT -i ${EARTH_IFACE} -s 195.10.212.30 -p udp --dport ${GLOBAX_PORT} -j ACCEPT
#закрываем на входе все остальное
${IPTABLES} -A INPUT -j DROP

#разрешаем трафик через loopback
${IPTABLES} -A OUTPUT -o lo -d 127.0.0.1 -s 127.0.0.1 -j ACCEPT
#открываем исходящий канал для соединения глобакса с сервером
${IPTABLES} -A OUTPUT -o ${EARTH_IFACE} -d 195.10.212.10 -p udp --dport ${GLOBAX_PORT} -j ACCEPT
${IPTABLES} -A OUTPUT -o ${EARTH_IFACE} -d 195.10.212.11 -p udp --dport ${GLOBAX_PORT} -j ACCEPT
${IPTABLES} -A OUTPUT -o ${EARTH_IFACE} -d 195.10.212.28 -p udp --dport ${GLOBAX_PORT} -j ACCEPT
${IPTABLES} -A OUTPUT -o ${EARTH_IFACE} -d 195.10.212.30 -p udp --dport ${GLOBAX_PORT} -j ACCEPT
#закрываем на выходе все остальное
${IPTABLES} -A OUTPUT -j DROP

P.S.: Если вы собираетесь раздавать интернет в сеть по eth0 - не забудьте настроить iptables ;)