Routování po startu systému? [vyřešeno]

[antX]

Mohl by mi někdo poradit jak to mám udělat, aby mi Kubuntu routovalo net pro druhý počítač rovnou po startu?

Momentálně to totiž musím řešit tak že po každém startu musím v konsoli  napsat následující dva příkazy:

sudo iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

a

echo 1 > /proc/sys/net/ipv4/ip_forward

Určitě to bude mít nějaké triviální řešení, ale já jsem bezradný. Předem dík.

[LS]

Ulozte vsechny pozadovane prikazy do /etc/rc.local. Tento skript se spousti na konci startu kazdeho runlevelu s pravy roota.

[antX]

dík funguje to.

[LS]

vyreseno

[radeczech]

Znovu bych to s dovolením ještě otevřel. Mám problém se spouštěním skriptů po přihlášení (pro firewall). Když přidám do /etc/rc.local řádek s cestou na skript, který bych chtěl, aby se vykonal po přihlášení, tak mi pc nabootuje až po přihlašovací obrazovku a při pokusu se přihlásit mi pc neprojde přes vykonání příkazů z rc.local a zastaví se ve stavu, kdy lze hývat akorát s myší a nenaběhne dál prostředí... Když však spustím skript rc.local samostatně ručně, tak se bez problémů provede.

[Tomáš "Piškot" Petera]

To je divné, ale myslím že rc.local se dokončí dříve než přijde na řadu přihlašovací obrazovka, případně parelerně. Co je v tom skriptu ?

[radeczech]

jen napsaná cesta ke skriptu:
/home/radeczech/Linux/forum_iptables.sh

[Tomáš "Piškot" Petera]

A pod konzolí se nalogujete ?

[Tomáš "Piškot" Petera]

bwt nechybí ukončení exit 0  ?

[radeczech]

Vypsal jsem jen řádek, který jsem dopsal, exit 0 tak je... A spravím to tak, že se naloguji pod konzolí a zakomentuji daný řádek, pak mi zase vše jede v poho, zkoušel jsem vytvářet i symbolické linky podle nějakého jiného návodu pro spouštění pro konkrétní runlevel a zase se to zaseklo na tom samém místě, dokud jsem daný link nezrušil :-/

[Tomáš "Piškot" Petera]

Nečeká skript na něco ? Třeba na odezvu od uživatele ? Co sem hodit ten skript vyzkouším ho u sebe.

[radeczech]

ok výpis celého mého rc.local je:

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

## firewall
/home/radeczech/Linux/forum_iptables.sh

exit 0

[radeczech]

a skriptu forum_iptables.sh (upavený, co jsme taky už řešily, takže jede v poho):

#!/bin/sh

# ------------------------------------------------------------------------------
# nastaveni
# ------------------------------------------------------------------------------

# lokalni loopback rozhrani
LO_IP="127.0.0.1/32"

# vnejsi rozhrani (eth0, eth1)
INET_IFACE="eth1"

# cesta k programu iptables
IPTABLES="/sbin/iptables"

# logovani datagramu, ktere nejsou propusteny
LOGGING=1

# ------------------------------------------------------------------------------
# zakladni akce
# ------------------------------------------------------------------------------

# odstraneni pravidel
$IPTABLES -F
$IPTABLES -X

# implicitne jsou zakazany vsechny pakety
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP

# zakazani routovani paketu
echo "0" > /proc/sys/net/ipv4/ip_forward

# ------------------------------------------------------------------------------
# INPUT - prichozi pakety
# ------------------------------------------------------------------------------

# spojeni na lokalnim pocitaci
$IPTABLES -A INPUT -p ALL -s $LO_IP -j ACCEPT

# servisni pakety
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE --icmp-type echo-request -j ACCEPT
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE --icmp-type destination-unreachable -j ACCEPT

# ochrana proti ping of death, odfiltrovat pokusy o zahlceni icmp
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 5 -j ACCEPT

# pakety od navazanych spojeni jsou v poradku
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# odmitnuti auth serveru
$IPTABLES -A INPUT -p TCP --dport 113 -j REJECT --reject-with tcp-reset

# paket navazuje spojeni, ale nema nastaveny priznak SYN, pryc s nim
$IPTABLES -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

# ochrana pred ip spoofingem
for interface in /proc/sys/net/ipv4/conf/*/rp_filter; do
    echo "1" > ${interface}
done

$IPTABLES -N spoofing
$IPTABLES -A spoofing -s 192.168.0.0/16 -j DROP
$IPTABLES -A spoofing -s 172.16.0.0/12 -j DROP
$IPTABLES -A spoofing -s 10.0.0.0/8 -j DROP
$IPTABLES -A INPUT -i $INET_IFACE -j spoofing

# ochrana proti syn flooding, DoS utoku
$IPTABLES -N syn_flood
$IPTABLES -A INPUT -i $INET_IFACE -p tcp --syn -j syn_flood
$IPTABLES -A syn_flood -m limit --limit 1/s --limit-burst 5 -j RETURN
$IPTABLES -A syn_flood -j DROP

# ------------------------------------------------------------------------------
# logovani
# ------------------------------------------------------------------------------

if [ "$LOGGING" ]
then
    $IPTABLES -A INPUT -m limit --limit 12/h --limit-burst 5 -j LOG --log-prefix "INPUT DROP: " --log-level 6
    $IPTABLES -A OUTPUT -j LOG --log-prefix "OUTPUT DROP: "
fi

# ------------------------------------------------------------------------------
# OUTPUT - odchozi pakety
# ------------------------------------------------------------------------------

$IPTABLES -A OUTPUT -o $INET_IFACE -p tcp --dport 80 -j ACCEPT        #http
$IPTABLES -A OUTPUT -o $INET_IFACE -p tcp --dport 443 -j ACCEPT    #https
$IPTABLES -A OUTPUT -o $INET_IFACE -p tcp --dport 22 -j ACCEPT        #ssh
$IPTABLES -A OUTPUT -o $INET_IFACE -p tcp --dport 53 -j ACCEPT        #dns
$IPTABLES -A OUTPUT -o $INET_IFACE -p udp --dport 53 -j ACCEPT       #dns
$IPTABLES -A OUTPUT -o $INET_IFACE -p icmp -j ACCEPT              #icmp

[Tomáš "Piškot" Petera]

Hmm tak jsem to zkusil a taky to neběží pomůže jen kill programu
/usr/lib/bonobo-activation/bonobo-activation-server -activate -ior-output-fd=17
gnome pak naběhne, ale vypíše chybu

Při spouštění démona pro Nastavení GNOME nastala chyba.

Některé věci, jako například motivy, zvuky, nebo nastavení pozadí, nemusí fungovat správně.

Démon pro nastavení se restartoval příliš mnohokrát.

Poslední chybová zpráva byla:

System exception: IDL:Bonobo/GeneralError:1.0 : Potomek procesu neposkytl chybové hlášení, došlo k neznámé chybě

Prostředí GNOME se při vašem dalším přihlášení znovu pokusí démona pro nastavení spustit.

[Tomáš "Piškot" Petera]

Tak jsem zrušil drop odchozích paketů a naběhne v pořádku.

[radeczech]

Díky, ale chci mít pod kontrolou i odchozí spojení...

[Tomáš "Piškot" Petera]

tak založ nový příspěvek, tenhle už se týká jiného problému. Podle mě je chyba v bonobo serveru. Chtělo by to vyzkoušet. Pak třeba bude stačit najít port který chybí, nebo nastavit ten server.

[radeczech]

Ok, díky ti moc za rady...

[xkenny]

Mohl by mi někdo poradit jak to mám udělat aby mi kubuntu routovalo net pro druhý počítač rovnou po startu.
Momentálně to totiž musím řešit tak že po každém startu musím v konsoli  napsat následující dva příkazy:

sudo iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

a

echo 1 > /proc/sys/net/ipv4/ip_forward

Určitě to bude mít nějaké triviální řešení ale já jsem bezradný. Předem dík.

muzu se jeste zeptat jak mas nastaveny ty rozhrani eth0, eth1 a pak ten druhej pocitac ? jde mi o nastaveni ip adres a dns serveru ... sam se pokousim o stejnou vec na stejne distribuci ale jsem uplne bezradny ..

nebo mi posli nastaveni iptables ..

diky za kazdou radu

EDIT: problem vyresen .. sitova karta nepremava :-) ..

[Boris Filipovič]

Ulozte vsechny pozadovane prikazy do /etc/rc.local. Tento skript se spousti na konci startu kazdeho runlevelu s pravy roota.

nebo pro ip_forward povolit dany radek v /etc/sysctl.conf (IMHO cistejsi reseni)

b.f.