Fórum Ubuntu CZ/SK

Ostatní => Ubuntu Server => Téma založeno: szucs 18 Května 2008, 10:08:21

Název: Problem si firewallom
Přispěvatel: szucs 18 Května 2008, 10:08:21
V tomto nastaveni mi nefunguje internet na klientoch.

modprobe ip_tables
modprobe ipt_REJECT
modprobe ipt_LOG
modprobe ipt_MASQUERADE
modprobe ip_nat_ftp
modprobe ip_nat_irc
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc

echo "1" &>/proc/sys/net/ipv4/ip_forward


iptables -F
iptables -t nat -F
iptables -X


iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP


iptables -A FORWARD -s 192.168.1.0/24 -o eth0 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/24 -m state --state ESTABLISHED,RELATED -i eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


Akonahle zmenim sekciu
ptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

na
ptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT,
tak to funguje.

Ale ja som chcel standardne vsetko zakazat a len postupne povolat, ako prve som chcel povolit maskaradu, ale bohuzial mi to nefunguje.

Název: Re: Problem si firewallom
Přispěvatel: Michal Kocián 18 Května 2008, 14:54:37
Nějakým záhadným způsobem jsem z toho vyvěštil, že se snažíš rozchodit něco jako router, gateway, či co ...

S iptables ti sice neporadím, ale Lukáš Svoboda na to napsal pěkný článek http://forum.ubuntu.cz/index.php?topic=3295.0
Je to sice konfigurace přes Firehol, ale je to super  :)
Název: Re: Problem si firewallom
Přispěvatel: szucs 18 Května 2008, 18:58:37
Dakujem ale ja mam v plane pouzivat IPTABLES, pretoze viem tak potom, ze  sa da v tom spravit aj dalsie veci.
Nemam  v umysle pouzivar firehol firestarter, lebo to asi nebudem mat tak pod kontrolu , ako IPTABLES.
Vychadzal som pri tvorbe svojho firewallu z prirucky systemoveho adminstratora VIX, aj z clankou na www.root.cz
Název: Re: Problem si firewallom
Přispěvatel: Michal Kocián 18 Května 2008, 19:03:32
Ok, taky se chci aspoň trochu naučit iptables, ale toho času co to spotřebuje :)
Název: Re: Problem si firewallom
Přispěvatel: Petr Merlin Vaněček 22 Května 2008, 21:26:59
Kód: [Vybrat]
iptables -A FORWARD -s 192.168.1.0/24 -o eth0 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/24 -m state --state ESTABLISHED,RELATED -i eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

síťovka s veřejnou IP je na eth0 ?
Upravil bych to taky trochu obecněji (zbytečně uvažovat další iface) a také si myslím, že je zbytečné jakkoliv uvažovat o odchozím trafficu (resp. uvažoval bych o něm až mi to bude chodit)

Kód: [Vybrat]
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Ty modprobe taky vpodstatě provádět nemusíte. Jen tak mimochodem, víte o tom, že kouzelnou trojkou
Kód: [Vybrat]
ptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

zakazujete i traffic na loopbacku, což už nikde dál neupravujete?