Fórum Ubuntu CZ/SK
Ostatní => Ubuntu Server => Téma založeno: szucs 18 Května 2008, 10:08:21
-
V tomto nastaveni mi nefunguje internet na klientoch.
modprobe ip_tables
modprobe ipt_REJECT
modprobe ipt_LOG
modprobe ipt_MASQUERADE
modprobe ip_nat_ftp
modprobe ip_nat_irc
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
echo "1" &>/proc/sys/net/ipv4/ip_forward
iptables -F
iptables -t nat -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A FORWARD -s 192.168.1.0/24 -o eth0 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/24 -m state --state ESTABLISHED,RELATED -i eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Akonahle zmenim sekciu
ptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
na
ptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT,
tak to funguje.
Ale ja som chcel standardne vsetko zakazat a len postupne povolat, ako prve som chcel povolit maskaradu, ale bohuzial mi to nefunguje.
-
Nějakým záhadným způsobem jsem z toho vyvěštil, že se snažíš rozchodit něco jako router, gateway, či co ...
S iptables ti sice neporadím, ale Lukáš Svoboda na to napsal pěkný článek http://forum.ubuntu.cz/index.php?topic=3295.0
Je to sice konfigurace přes Firehol, ale je to super :)
-
Dakujem ale ja mam v plane pouzivat IPTABLES, pretoze viem tak potom, ze sa da v tom spravit aj dalsie veci.
Nemam v umysle pouzivar firehol firestarter, lebo to asi nebudem mat tak pod kontrolu , ako IPTABLES.
Vychadzal som pri tvorbe svojho firewallu z prirucky systemoveho adminstratora VIX, aj z clankou na www.root.cz
-
Ok, taky se chci aspoň trochu naučit iptables, ale toho času co to spotřebuje :)
-
iptables -A FORWARD -s 192.168.1.0/24 -o eth0 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/24 -m state --state ESTABLISHED,RELATED -i eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
síťovka s veřejnou IP je na eth0 ?
Upravil bych to taky trochu obecněji (zbytečně uvažovat další iface) a také si myslím, že je zbytečné jakkoliv uvažovat o odchozím trafficu (resp. uvažoval bych o něm až mi to bude chodit)
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Ty modprobe taky vpodstatě provádět nemusíte. Jen tak mimochodem, víte o tom, že kouzelnou trojkou
ptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
zakazujete i traffic na loopbacku, což už nikde dál neupravujete?