Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2013-07-03 16:03:36
matiss - Użytkownik
- matiss
- Użytkownik
- Zarejestrowany: 2013-07-03
Problem z IPTABLES
Na początek witam wszystkich,
mam następujący problem, zrobiłem sobie wirtualne środowisko:
- Router (Debian) ma 6 interfejsów (nas będą interesować 3), na eth0 jest Internet, na eth1 jest LAN, na eth5 DMZ
- komputer (XP) - podłączony do eth1
- serwer www i dns (Debian) - podłączony do eth5
Na routerze mam ustawione przekierowanie, jeśli coś przyjdzie na jego "publiczny adres" (eth0) robi przekierowanie na 80 i 53 do serwera w DMZ. O ile z zewnątrz (od strony eth0) mogę się dostać po publicznym adresie, o tyle XP, może dostać się do www tylko po jego wewnętrznym adresie (tym którym jest podłączony do eth5), czyli krótko mówiąc, przekierowanie działa z zewnątrz, ale nie działa z Lanu, i nie wiem dlaczego :/
Dołączam listing mojej zapory:
Kod:
#!/bin/bash echo "1" >/proc/sys/net/ipv4/ip_forward iptables -F iptables -X iptables -F -t nat iptables -X -t nat ###DOMYSLNE### #iptables -P INPUT DROP iptables -P INPUT ACCEPT iptables -P FORWARD DROP #iptables -P FORWARD ACCEPT ###FIREWALL### #z uwagi na to ze wszystkie sieci powinny miec dostep do tych samych uslug #adres zrodlowy zawiera wszystkie podsieci iptables -A FORWARD -d 10.0.0.0/21 -m state --state ESTABLISHED,RELATED -j ACCEPT ###DOSTEP DO ROUTERA TYLKO PO SSH iptables -A INPUT -d 192.168.111.137 -p tcp --dport 22 -j ACCEPT ####NAT#### iptables -t nat -A POSTROUTING -s 10.0.0.0/21 -d 0/0 -j MASQUERADE #ze wzgledu na brak dostepu do publicznej adresacji powyzsza linijka zostala #stworzona do testow, w srodowisku rzeczywistym nalezy je zakomentowac i odkomentowac ponizsze linie #iptables -t nat -A POSTROUTING -s 10.0.1.0/26 -o eth0 -j SNAT --to 88.220.77.193 #iptables -t nat -A POSTROUTING -s 10.0.2.0/28 -o eth0 -j SNAT --to 88.220.77.193 #iptables -t nat -A POSTROUTING -s 10.0.3.0/25 -o eth0 -j SNAT --to 88.220.77.193 #iptables -t nat -A POSTROUTING -s 10.0.4.0/25 -o eth0 -j SNAT --to 88.220.77.193 #iptables -t nat -A POSTROUTING -s 10.0.5.8/29 -o eth0 -j SNAT --to 88.220.77.193 ###SIECI nie moga miec dostepu do siebie nawzajem, poza www, ftp i dns iptables -A FORWARD -s 10.0.0.0/21 -d 10.0.5.0/28 -p tcp --dport 80 -j ACCEPT #http iptables -A FORWARD -s 10.0.0.0/21 -d 10.0.5.0/28 -p udp --dport 53 -j ACCEPT #http iptables -A FORWARD -s 10.0.0.0/21 -d 10.0.5.0/28 -p tcp --dport 20:21 -j ACCEPT #http ##SIEC GOSCIE iptables -A FORWARD -s 10.0.1.0/26 -d 10.0.2.0/28 -j REJECT iptables -A FORWARD -s 10.0.1.0/26 -d 10.0.3.0/25 -j REJECT iptables -A FORWARD -s 10.0.1.0/26 -d 10.0.4.0/25 -j REJECT iptables -A FORWARD -s 10.0.1.0/26 -d 10.0.5.8/29 -j REJECT ##SIEC PRACOWNICY iptables -A FORWARD -s 10.0.2.0/28 -d 10.0.1.0/26 -j REJECT iptables -A FORWARD -s 10.0.2.0/28 -d 10.0.3.0/25 -j REJECT iptables -A FORWARD -s 10.0.2.0/28 -d 10.0.4.0/25 -j REJECT iptables -A FORWARD -s 10.0.2.0/28 -d 10.0.5.8/29 -j REJECT ##SIEC KONF PARTER iptables -A FORWARD -s 10.0.3.0/25 -d 10.0.2.0/28 -j REJECT iptables -A FORWARD -s 10.0.3.0/25 -d 10.0.1.0/26 -j REJECT iptables -A FORWARD -s 10.0.3.0/25 -d 10.0.4.0/25 -j REJECT iptables -A FORWARD -s 10.0.3.0/25 -d 10.0.5.8/29 -j REJECT ##SIEC KONF PIETRO iptables -A FORWARD -s 10.0.4.0/25 -d 10.0.2.0/28 -j REJECT iptables -A FORWARD -s 10.0.4.0/25 -d 10.0.1.0/26 -j REJECT iptables -A FORWARD -s 10.0.4.0/25 -d 10.0.3.0/25 -j REJECT iptables -A FORWARD -s 10.0.4.0/25 -d 10.0.5.8/29 -j REJECT ##DMZ iptables -A FORWARD -s 10.0.5.8/29 -d 10.0.2.0/28 -j REJECT iptables -A FORWARD -s 10.0.5.8/29 -d 10.0.1.0/26 -j REJECT iptables -A FORWARD -s 10.0.5.8/29 -d 10.0.3.0/25 -j REJECT iptables -A FORWARD -s 10.0.5.8/29 -d 10.0.4.8/25 -j REJECT ###reguly zezwalajace#### iptables -A FORWARD -s 10.0.0.0/21 -p tcp --dport 443 -j ACCEPT #https iptables -A FORWARD -s 10.0.0.0/21 -p udp --dport 53 -j ACCEPT #dns iptables -A FORWARD -s 10.0.0.0/21 -p tcp --dport 20:21 -j ACCEPT #ftp iptables -A FORWARD -s 10.0.0.0/21 -p tcp --dport 25 -j ACCEPT #pop3 iptables -A FORWARD -s 10.0.0.0/21 -p tcp --dport 110 -j ACCEPT #pop3s iptables -A FORWARD -s 10.0.0.0/21 -p tcp --dport 25 -j ACCEPT #smtp iptables -A FORWARD -s 10.0.0.0/21 -p tcp --dport 465 -j ACCEPT #smtps iptables -A FORWARD -s 10.0.0.0/21 -p tcp --dport 143 -j ACCEPT #imap iptables -A FORWARD -s 10.0.0.0/21 -p tcp --dport 993 -j ACCEPT #imaps ###REGULY ZEZWALAJACE NA DOSTEP DO USLUG W DMZ iptables -A FORWARD -d 10.0.5.12 -p tcp --dport 80 -j ACCEPT #http iptables -A FORWARD -s 10.0.5.12 -p tcp --sport 80 -j ACCEPT #http iptables -A FORWARD -d 10.0.5.12 -p tcp --dport 20:21 -j ACCEPT #ftp iptables -A FORWARD -s 10.0.5.12 -p tcp --sport 20:21 -j ACCEPT #ftp iptables -A FORWARD -d 10.0.5.12 -p udp --dport 53 -j ACCEPT #dns iptables -A FORWARD -s 10.0.5.12 -p udp --sport 53 -j ACCEPT #dns iptables -A FORWARD -d 10.0.5.12 -p tcp --dport 3389 -j ACCEPT #mstsc iptables -A FORWARD -s 10.0.5.12 -p tcp --sport 3389 -j ACCEPT #mstsc ####PRZEKIEROWANIA#### iptables -t nat -A PREROUTING -i eth0 -d 192.168.111.137 -p tcp --dport 80 -j DNAT --to-destination 10.0.5.12:80 iptables -t nat -A PREROUTING -i eth0 -d 192.168.111.137 -p tcp --dport 20 -j DNAT --to-destination 10.0.5.12:20 iptables -t nat -A PREROUTING -i eth0 -d 192.168.111.137 -p tcp --dport 21 -j DNAT --to-destination 10.0.5.12:21 iptables -t nat -A PREROUTING -i eth0 -d 192.168.111.137 -p udp --dport 53 -j DNAT --to-destination 10.0.5.12:53 iptables -t nat -A PREROUTING -i eth0 -d 192.168.111.137 -p tcp --dport 3389 -j DNAT --to-destination 10.0.5.12:3389
Dzięki za pomoc
Offline
#2 2013-07-03 18:07:19
matiss - Użytkownik
- matiss
- Użytkownik
- Zarejestrowany: 2013-07-03
Re: Problem z IPTABLES
Ok nieistotne głupi błąd, niepotrzebnie w przekierowaniach wskazałem interfejs, temat można zamknąć
Offline
