Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2007-03-26 00:46:04
ls-l - 
Użytkownik
- ls-l
- Użytkownik
- Zarejestrowany: 2007-03-18
iptables
iptables -t nat -A POSTROUTING -o ppp0 -j SNAT -s 192.168.1.0/24 -d ! 192.168.1.0/24 --to 1.2.3.4
1.2.3.4 to IP zewnetrzne, jezeli takowego nie mam (moge nie miec?) to co tam powinienem wpisac?
chodzi mi o to ze router łączy się z innym serwerem w celu pobrania IP lokalnego i później ip wychodzace jest IP routera głównego, mój dostaje tylko IP lokalne i przez niego (a później główny) 3 kompy z podsieci łączą się z Internetem
mam nadzieje ze moj plan jest racjonalny
Offline
#2 2007-03-26 01:52:00
szewczyk - Stary wyjadacz :P
- szewczyk
- Stary wyjadacz :P
- Zarejestrowany: 2006-12-03
Re: iptables
jesli juz to :
Kod:
iptables -t nat -A POSTROUTING -s 192.168.0.2 -o $WAN -j SNAT --to $IPZEW
Offline
#3 2007-03-26 02:24:33
ls-l - Użytkownik
- ls-l
- Użytkownik
- Zarejestrowany: 2007-03-18
Re: iptables
dzieki przetestuje,
czy przy tak skonfigurowanym iptables bede mogl pozniej zrobic tunelowanie w celu dostepu do mojego serwera (podsieci) z zewnatrz?
Offline
#5 2007-03-30 21:46:02
ls-l - Użytkownik
- ls-l
- Użytkownik
- Zarejestrowany: 2007-03-18
Re: iptables
korzystam z
http://pl.wikipedia.org/wiki/Iptables
co w przypadku jezeli komputery w danej sieci dostaja dynamiczne IP, wiec serwer mojej podsieci tez takie dostanie. A co za tym idzie wydanie komendy:
iptables -A FORWARD -i eth0 -o ra0 -s 192.168.0.0/255.255.255.0 -d 0/0 -j ACCEPT
gdzie ra0 to IP zewnetrzny - mija sie z celem
Offline
#6 2007-03-30 23:14:19
szewczyk - Stary wyjadacz :P
- szewczyk
- Stary wyjadacz :P
- Zarejestrowany: 2006-12-03
Re: iptables
na forward zezwalasz w obie strony:
Kod:
iptables -t filter -A FORWARD -s 192.168.0.0/255.255.255.0 -d 0/0 -j ACCEPT iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.0/255.255.255.0 -j ACCEPT
a potem kolejne IP właczasz do maskarady :
Kod:
iptables -t nat -A POSTROUTING -o $WAN1 -s 192.168.0.2 -d 0/0 -j MASQUERADE iptables -t nat -A POSTROUTING -o $WAN1 -s 192.168.0.3 -d 0/0 -j MASQUERADE
Offline
#7 2007-04-01 19:37:42
ls-l - Użytkownik
- ls-l
- Użytkownik
- Zarejestrowany: 2007-03-18
Re: iptables
dzieki działa, ustawiłem tak jak jest w artykułach
czyli moj plik firwall wyglada tak:
# wlaczenie w kernelu forwardowania
echo 1 > /proc/sys/net/ipv4/ip_forward
# czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
# ustawienie polityki dzialania
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# zezwolenie nna laczenie sie z naszym zewnetrznym ip po ssh
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A INPUT -s 0/0 -d ip.ip.ip.ip -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d ip.ip.ip.ip -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -d ip.ip.ip.ip -p udp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d ip.ip.ip.ip -p udp --dport 22 -j ACCEPT
# polaczenia nawiazane
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
# udostepniaie internetu w sieci lokalnej
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
przy czym lekko zmienilem punkt:
Zapisujemy plik. Zamiast ip.ip.ip.ip wpisujemy IP zewnętrzne naszego serwera.
tam gdzie jest ip.ip.ip.ip wstawilem wewnetrzne IP routera czyli 10.0.1.1, w przeciwnym razie porty 22, 80 byly zablokowane dla komputerow podlaczonych do switcha (eth1), a nie chce otwierać jakichkolwiek portów na zewnątrz stąd nie wpisałem nic z ACCEPT dotyczącego IP zewnetrznego (tego co ma eth0).
Jednak zauważyłem z innego komputera że mam otwarte zewnetrzne porty 80, 21 (jakim cudem?!!) oraz pinga. Być może dlatego że wcześniej próbowalem innych tutoriali.
Jak mam teraz zablokować zewnetrzne porty podczas gdy wstawka (o ftp) do firewalla nic nei daje:
iptables -A INPUT -s 0/0 -d IP_ZEWNETRZNE -p tcp --dport 21 -j DROP
iptables -A OUTPUT -s 0/0 -d IP_ZEWNETRZNE -p tcp --dport 21 -j DROP
iptables -A INPUT -s 0/0 -d IP_ZEWNETRZNE -p udp --dport 21 -j DROP
iptables -A OUTPUT -s 0/0 -d IP_ZEWNETRZNE -p udp --dport 21 -j DROP
co gorsze po odinstalowaniu serwera ftp, caly czas jest ten port widoczny jako otwarty?!
prosze o pomoc
Offline
#8 2007-04-01 21:41:50
szewczyk - Stary wyjadacz :P
- szewczyk
- Stary wyjadacz :P
- Zarejestrowany: 2006-12-03
Re: iptables
zamiast :
[code]ptables -A INPUT -s 0/0 -d ip.ip.ip.ip -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d ip.ip.ip.ip -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -d ip.ip.ip.ip -p udp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d ip.ip.ip.ip -p udp --dport 22 -j ACCEPT[/
code]
daj :
[code]iptables -A INPUT -s ip.ip.ip.ip -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s ip.ip.ip.ip -p udp --dport 22 -j ACCEPT
[/code]
gdzie ip.ip.ip.ip to zaufany adres IP
OUTPUT masz na ACCEPT wiec reszta była zbędna
co do ftp :
[code]iptables -A INPUT -s 0/0 -d IP_ZEWNETRZNE -p tcp --dport 21 -j DROP
iptables -A OUTPUT -s 0/0 -d IP_ZEWNETRZNE -p tcp --dport 21 -j DROP
iptables -A INPUT -s 0/0 -d IP_ZEWNETRZNE -p udp --dport 21 -j DROP
iptables -A OUTPUT -s 0/0 -d IP_ZEWNETRZNE -p udp --dport 21 -j DROP
[/code]
polityke INPUT masz na DROP wiec regułki są troszkę zbędne ,przeskanuj porty programem nmap.
Offline
#9 2007-04-01 22:21:57
ls-l - Użytkownik
- ls-l
- Użytkownik
- Zarejestrowany: 2007-03-18
Re: iptables
dzieki za odpowiedz, faktycznie to będzie to..
tak zgadza sie skanowalem porty jakims windowym programem i wyszly otwarte ping i ftp
jeszcze jedna rzecz mnie dziwi:
jakim cudem mialem otwarty port 21 skoro nie ma nic o nim w pliku firewall??
a z pingiem to sa zwiazane te linijki bodajze
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
wiec tego nie otwierac?
Offline
#10 2007-04-02 00:01:16
szewczyk - Stary wyjadacz :P
- szewczyk
- Stary wyjadacz :P
- Zarejestrowany: 2006-12-03
Re: iptables
to jest ruch routera
Kod:
iptables -A INPUT -i lo -j ACCEPT iptables -A FORWARD -o lo -j ACCEPT
aby mozna było pingować router dopisz :
Kod:
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
Offline
#11 2007-04-02 11:15:22
ls-l - Użytkownik
- ls-l
- Użytkownik
- Zarejestrowany: 2007-03-18
Re: iptables
zanim skonfigurowalem iptables za pomoca artykulu
http://dug.net.pl/texty/masq.php
to przeszedlem konfiguracje z
http://pl.wikipedia.org/wiki/Iptables
gdzie kilka polecen spowodowalo otworzenie portu 21 oraz pinga ze świata na router...
Teraz mam problem bo nie moge portu 21 zablokowac np poleceniem
iptables -A INPUT -s 0/0 -d IPZEWNETRZNE -p tcp --dport 21 -j DROP
iptables -A OUTPUT -s 0/0 -d IPZEWNETRZNE -p tcp --dport 21 -j DROP
iptables -A INPUT -s 0/0 -d IPZEWNETRZNE -p udp --dport 21 -j DROP
iptables -A OUTPUT -s 0/0 -d IPZEWNETRZNE -p udp --dport 21 -j DROP
Mam wrazenie ze jezeli NIE otworzylem ftp poleceniem
iptables -A INPUT -s 0/0 -d IPZEWNETRZNE -p tcp --dport 21 -j ACCEPT
tylko tym:
iptables -A INPUT -i eth0 -p tcp -m state --state NEW -d 192.168.0.1 --dport 21 -j ACCEPT
to nie moge zamnkac tez i tym:
iptables -A INPUT -s 0/0 -d IPZEWNETRZNE -p tcp --dport 21 -j DROP
dalej nie wiem jak zamknąć port 21...
Offline
#12 2007-04-21 22:49:15
marcin78 - Użytkownik
- marcin78
- Użytkownik
- Zarejestrowany: 2006-11-15
Re: iptables
no dobra testuje firewalla z iptables , ale moze to dziwnie za brzmieć : gdzie można edytować iptables by wpisac dodatkowe reguły z pliku #!/bin/sh które mam i nie wiem jak je wprowadzić w konsoli
pozdrawiam
rozwiązane
Offline
#13 2007-04-24 17:44:58
marcin78 - Użytkownik
- marcin78
- Użytkownik
- Zarejestrowany: 2006-11-15
Re: iptables
rozwiązałem problem i dziękuje za pomoc :]
Offline