Autor Téma: Firewall pomocí iptables pro dvě zařízení (Přečteno 2488 krát)

radeczech · « **kdy:** 28 Srpna 2006, 20:50:05 »

Připojuji se k síti střídavě pomocí wifi i klasického ethernetu. Abych se stále neopakoval, tak odkaz na nastavení mého firewallu je zde http://forum.ubuntu.cz/viewtopic.php?id=2875. Standardně mám nastaveno INET_IFACE="eth1", ale když se potřebuji připojit pomocí eth0, tak musím skript editovat a znovu spustil. Lze nějak zapsal, aby se pravidla nastavovala pro obě zařízení eth0, eth1 (INET_IFACE=",eth0, eth1")

Vím, že je možnost připsat do skriptu řádky s pravidly, kde navíc uvedu ještě eth0 vedle eth1, ale raději bych to měl uvedeno v úvodu a používal dál jen proměnou INET_IFACE. Díky

LS · « **Odpověď #1 kdy:** 29 Srpna 2006, 00:33:31 »

No, presne totez prave ted resim. Takze nejake mozne reseni me take zajima.

Tomáš "Piškot" Petera · « **Odpověď #2 kdy:** 29 Srpna 2006, 01:47:07 »

řešením je, alespoň myslím nastavením proměné INET_IFACE = "! lo". To by mělo nastavit pravidlo pro všechna rozhraní vyjma localhostu. Nemám teď jak to zcela vyzkoušet ale skript proběhne v pořádku. Když budou připojena obě zařízení současně neměl by to být problém, je jen třeba si pohrád s route tabulkou.

scippio · « **Odpověď #3 kdy:** 30 Srpna 2006, 04:41:25 »

Citace: radeczech

Připojuji se k síti střídavě pomocí wifi i klasického ethernetu. Abych se stále neopakoval, tak odkaz na nastavení mého firewallu je zde http://forum.ubuntu.cz/viewtopic.php?id=2875. Standardně mám nastaveno INET_IFACE="eth1", ale když se potřebuji připojit pomocí eth0, tak musím skript editovat a znovu spustil. Lze nějak zapsal, aby se pravidla nastavovala pro obě zařízení eth0, eth1 (INET_IFACE=",eth0, eth1") Vím, že je možnost připsat do skriptu řádky s pravidly, kde navíc uvedu ještě eth0 vedle eth1, ale raději bych to měl uvedeno v úvodu a používal dál jen proměnou INET_IFACE. Díky

neboli jak se píše v manu:

-i, --in-interface [!] name ( to samé i na -o )
Name of an interface via which a packet was received (only for packets entering the INPUT, FORWARD and PREROUTING chains). When the "!" argument is used before the interface name, the sense is inverted. If the interface name ends in a "+", then any interface which begins with this name will match. If this option is omitted, any interface name will match.

Tomáš "Piškot" Petera · « **Odpověď #4 kdy:** 30 Srpna 2006, 09:55:20 »

Iptables má skvělou dokumentaci, mimo jinné na rootu vyšlo pár dobrách článků. Doporučuju pročíst. S pravidly jde dostlova kouzlit

LS · « **Odpověď #5 kdy:** 30 Srpna 2006, 10:12:48 »

Super, diky za tipy. Tzn. pokud se nastavi

Kód: [Vybrat]

INET_IFACE="eth+"budou se pravidla tykat vsech eth rozhrani (eth0, eth1, ...)

Pro prirazeni pravidel vsem sitovym rozhranim vyjma lo by melo byt nastaveno

Kód: [Vybrat]

INET_IFACE="! lo"a pokud chcete filtrovaci pravidla aplikovat na vsechna sitova rozhrani vcetne lo, nastavte

Kód: [Vybrat]

INET_IFACE=""nemam moznost to ted vyzkouset, muze to nekdo potvrdit?

Tomáš "Piškot" Petera · « **Odpověď #6 kdy:** 30 Srpna 2006, 13:08:04 »

INET_IFACE="" bych nědělal. Nastavit DROP na local host může vyřadit spoustu služeb z provozu.

radeczech · « **Odpověď #7 kdy:** 31 Srpna 2006, 11:56:52 »

Docela koukám, jak je to snadné, proč si hrát s ostatními zařízeními, když stačí negovat vyjma povolených :-) INET_IFACE="! lo" se mi aplikuje přesně jak jsem chtěl -> všechny zařízení, která se mohou postupně připojit, kromě loopbacku...