Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » Dzielenie netu na 2 interfejsy poprzez Firestartera lub inny firewall
#1 2009-11-27 20:02:22
Huk - 
Smoleńsk BULWA!
- Huk
- Smoleńsk BULWA!
- Zarejestrowany: 2006-11-08
Dzielenie netu na 2 interfejsy poprzez Firestartera lub inny firewall
Witam wszystkich.
Obecnie w routerze własnej roboty posiadam radiówkę którą dzielę sobie necik. Iptables zostały skonfigurowane poprzez Firestartera - teraz muszę dołożyć zwykłą sieciówkę - no i problem, ponieważ Firestarter umożliwia dzielenie netu tylko na jedno urządzenie (obecnie wlan0), a przynajmniej ja nie wiem w jaki sposób ustawić dzielenie na kilka urządzeń.
Pytanie oczywiste: w jaki sposób podzielić łącze na oba urządzenia zachowując przy tym firewall - ewentualnie jak jakimś innym programem skonfigurować iptables i podzielić net na oba urządzenia?
Z góry dzięki za informacje.
Offline
#2 2009-11-29 00:18:27
Huk - Smoleńsk BULWA!
- Huk
- Smoleńsk BULWA!
- Zarejestrowany: 2006-11-08
Re: Dzielenie netu na 2 interfejsy poprzez Firestartera lub inny firewall
Widze że za pomoca firestartera nie da raczej rady - próbuję za pomocą "czystego" iptables.
Samo rozdzielenie netu się udaje poprzez:
Kod:
iptables --table nat --append POSTROUTING --out-interface ppp0 -j MASQUERADE iptables --append FORWARD --in-interface wlan0 -j ACCEPT iptables --append FORWARD --in-interface eth0 -j ACCEPT
Ale ponad to nie wiem co dalej.
Jak na razie "konfiguracja" firewalla wygląda tak:
Kod:
iptables -F iptables -t nat -F iptables -t mangle -F iptables -X iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -P INPUT DROP
1.Nie mam pojęcia czy takie coś jest bezpieczne czy też nie - jak to sprawdzić?
2.Kolejny problem - czy ktoś mógłby mi powiedzieć w jaki sposób otworzyć konkretny port w iptables dla konkretnego IP? Chodzi mi o taki port na którym mógłby "nadawać" dowolny protokół, jest mi to potrzebne aby po tym porcie puścić strumień transkodowany przez VLC do HTTP na port 8080.
Z góry dzięki za wszelkie info.
Offline
#3 2009-11-29 01:11:34
urug - Członek DUG
Re: Dzielenie netu na 2 interfejsy poprzez Firestartera lub inny firewall
Na biurku taka konfiguracja spokojnie wystarczy. Co do drugiego, to nie da się przepuścić dowolnego protokołu. Dodaj sobie np.
Kod:
iptables -A INPUT -p TCP --dport 8080 -s IP_KTORE_MOZE_SIE_LACZYC -j ACCEPT
i to samo tylko dla UDP, jeśli potrzebujesz.
Ostatnio edytowany przez urug (2009-11-29 01:12:17)
Pozdrawiam, Tomek
Offline
#4 2009-11-29 14:14:51
Huk - Smoleńsk BULWA!
- Huk
- Smoleńsk BULWA!
- Zarejestrowany: 2006-11-08
Re: Dzielenie netu na 2 interfejsy poprzez Firestartera lub inny firewall
Dzięki Urug - udało mi się "rozwinąć" skrypt do czegoś takiego:
Kod:
iptables -F iptables -t nat -F iptables -t mangle -F iptables -X iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -P INPUT DROP iptables -A INPUT -p TCP --dport 8080 -s 192.168.0.0 -j ACCEPT iptables -t nat -A PREROUTING -p tcp --dport 6881:6889 -j DNAT --to-destination 192.168.1.3 iptables -A FORWARD -s 192.168.1.3 -p tcp --dport 6881:6889 -j ACCEPT iptables --table nat --append POSTROUTING --out-interface ppp0 -j MASQUERADE iptables --append FORWARD --in-interface wlan0 -j ACCEPT iptables --append FORWARD --in-interface eth0 -j ACCEPT iptables -A INPUT --source 192.168.1.3 -j ACCEPT iptables -A INPUT --source 192.168.1.2 -j ACCEPT iptables -A INPUT --source 192.168.2.2 -j ACCEPT
W zasadzie to pytanie do znawców jak bezpieczne jest to coś?
Założenia miałem takie aby nikt ze świata zewnętrznego nie mógł się standardowo połączyć do serwera ani kompów w sieci, poza tymi z którymi się komunikuję - czy powyższy skrypt spełnia takie założenia?? (Moje wątpliwości wynikają ze skryptu jaki generuje standardowo Firestarter który ma 400 linii różnych reguł :p).
Poza bezpieczeństwem jeszcze 2 pytanka:
1.Jak widać tutaj:
Kod:
iptables -t nat -A PREROUTING -p tcp --dport 6881:6889 -j DNAT --to-destination 192.168.1.3 iptables -A FORWARD -s 192.168.1.3 -p tcp --dport 6881:6889 -j ACCEPT
forward'uje sobie porty do Bittorenta - tutaj pytanie, czy da się w jakiś sposób prze forwardować zakres portów do zakresu ip? (tak aby w zależności od tego ile kompów pobiera przez torrenta rożne porty były przydzielone dynamicznie do rożnych kompów, coś w stylu:
"Otwórz porty 6881-6889 dla ip 192.168.1.2-192.168.1.10"
2.Czy reguła ACCEPT dla FORWARD jest bezpieczna, czy powinienem kombinować żeby jakoś dropować przekierowywane pakiety poza wybranym przeze mnie BitTorentem (próbowałem dopisać iptables -P FORWARD DROP - ale wtedy nic nie chciało chodzić - pewnie jest to jakis durny błąd z mojej strony)?
Z góry dzięki za info.
Offline
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » Dzielenie netu na 2 interfejsy poprzez Firestartera lub inny firewall