Forum Debian Users Gang

grom120 · 2009-12-30 17:47:33

witam.

1. Od wczoraj zająłem sie poznawanie iptables, dziwi mnie 1 rzecz , zalozmy ze iptables dziala jako router , host 192.168.0.2 nawiazuje połączenie ze stroną www.onet.pl , tutaj maskarada (ew. SNAT) robi swoje adres 192.168.0.2 jest tlumaczony na 77.21.242.12 , ale gdy www.onet.pl wysyla pakiety do 77.21.242.12 , to skad iptables w lancuchu prerouting bedzie wiedziec ze pakiety maja trafic do 192.168.0.2 ??

2. czy otwierajac lancuch input i output w firewallu , kompy z LAN mogą sie łączyc do routera (na ktorym jest samba). ?

rulezdc · 2009-12-30 19:23:33

Jest coś takiego jak połączenia established i related, czyli ty wysyłając pakiet nawiązujesz połączenie i onet wysyła do ciebei pakiety w odpowiedzi :)

grom120 · 2009-12-30 20:28:16

no tak , ale ja nie mam tego włączonego a internet działa

janosik · 2009-12-30 23:38:47

tego nie wlaczasz ani nie wylaczasz, to jest automatycznie ustawiane we fladze co by kompy sie komunikowaly.tak dziala tcp/ip ze po handshake'u masz established i wtedy idzie wszystko po jednej trasie jako cale polaczenie.tzn. chyba gdzies tam rowniez mac jest dopisywany, zeby do odpowiedniej maszyny poszlo ;/
sorry troche sie zamotalem z tym wlaczaniem, ale z tego co wiem, to jest polityka domyslna,czyli jesli tego nie zadropujesz to established beda wpuszczane domyslnie :)

Ostatnio edytowany przez janosik (2009-12-30 23:48:26)

bercik · 2009-12-30 23:56:32

1. jest mechanizm zestawiania sesji TCP i z niego wynikaja "stany" pakietow/polaczen takiej jak NEW itd ...
2. jezeli uzywasz NAT determinuje to wlaczenie mechanizmu skledzenia pakietow (normalnie router nie musi pamietac ze host A nawiazal sesje TCP z hostem B, ale gdy jest NAT jest mu jakies elemet tej wiedzy potrzebny)
3. domyslna polityka jest wpuszczanie (a przy wlaczonym przekazywaniu pakietow) takze przepuszczanie wszystkiego

grom120 · 2009-12-31 00:46:43

Kod:

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -F
iptables -t nat -F

#polityka domyslna
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

#łaczenie się kompów z LAN z routerem
iptables -I INPUT -i eth0 -j ACCEPT

#przekierowanie portu
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 6112 -j DNAT --to 192.168.20.6:6112
iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 6112 -j DNAT --to 192.168.20.6:6112


#udostepnianie internetu
iptables -t nat -A POSTROUTING -s 192.168.20.0/24 -j MASQUERADE
iptables -A FORWARD -i eth0 -o ppp0 -s 192.168.20.0/24 -j ACCEPT
iptables -A FORWARD -i ppp0 -o eth0 -d 192.168.20.0/24 -j ACCEPT

edit : eth0 to interfejs LAN , ppp0 to interfejs WAN

oto mój skrypt firewalla ,wszystko ładnie działa ,rozumiem ze mimo ze otworzyłem łancuch FORWARD , to jest jeszcze NAT który mnie broni , czy da sie jeszcze jakos dodatkowo zabezpieczyc siec LAN ?

Ostatnio edytowany przez grom120 (2009-12-31 00:47:40)

Forum Debian Users Gang

Ogłoszenie

#1 2009-12-30 17:47:33

grom120 - Użytkownik

iptables , prosze o wyjasnienie paru kwestii ;p

#2 2009-12-30 19:23:33

rulezdc - Członek DUG

Re: iptables , prosze o wyjasnienie paru kwestii ;p

#3 2009-12-30 20:28:16

grom120 - Użytkownik

Re: iptables , prosze o wyjasnienie paru kwestii ;p

#4 2009-12-30 23:38:47

janosik - Członek DUG

Re: iptables , prosze o wyjasnienie paru kwestii ;p

#5 2009-12-30 23:56:32

bercik - Moderator Mamut

Re: iptables , prosze o wyjasnienie paru kwestii ;p

#6 2009-12-31 00:46:43

grom120 - Użytkownik

Re: iptables , prosze o wyjasnienie paru kwestii ;p

Kod:

Stopka forum