Kandu.dk - iptables / gateway


/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Linux

#	Navn	Point
1	o.v.n.	11177
2	peque	7911
3	dk	4814
4	e.c	2359
5	Uranus	1334
6	emesen	1334
7	stone47	1307
8	linuxrules	1214
9	Octon	1100
10	BjarneD	875

iptables / gateway
Fra : Marcus Brofeldt

Dato : 17-09-02 20:47

Hej NG,

Efter mangt og megen læsning vedr. iptables er jeg ikke blevet en døjt
klogere (nok pga. min manglende forstand på netværk).

Jeg har et script her (hovedsageligt hugget fra andre scripts), som jeg
skal have lidt mere forstand på. (Skal udelukkende agere gateway -
firewall må komme senere)

echo 0 > /proc/sys/net/ipv4/ip_forward

iptables --flush
iptables --table nat --flush
iptables --delete-chain
iptables --table nat --delete-chain

iptables --append FORWARD --in-interface eth0 -j ACCEPT
iptables --table nat --append POSTROUTING --out-interface eth1 -j MASQUERADE

echo 1 > /proc/sys/net/ipv4/ip_forward

Altså "echo 0 > /proc/sys/net/ipv4/ip_forward" betyder luk for ip
forwarding.

"iptables --flush
iptables --table nat --flush
iptables --delete-chain
iptables --table nat --delete-chain" betyder slet tidligere regler yada
yada osv.

"iptables --append FORWARD --in-interface eth0 -j ACCEPT" den forstår jeg
ikke.
"iptables --table nat --append POSTROUTING --out-interface eth1 -j
MASQUERADE" ditto.

Nogen der har lyst til at hjælpe? Hvad skal være internt og hvad er
eksternt osv osv?

--
MarcusBrofeldt
kamikaze@yifan.net

Gunner Poulsen (18-09-2002)

Kommentar
Fra : Gunner Poulsen

Dato : 18-09-02 00:03

Direkte hjælpe kan jeg måske ikke.

Men jeg kan lægge et andet eksempel oven i dem du kender.
Programmet Guidedog som jeg beskæftiger mig en del med (se
http://www.gnuskole.dk/router/) laver dette script der laver
masquerading også af FTP og IRC.
Her er eksemplet:
--------------------------
#!/bin/sh
## [Guidedog]
# DO NOT EDIT!
# This script was generated by "Guidedog" by Simon Edwards
# http://www.simonzone.com/software/guidedog/ This script requires Linux
# kernel 2.4.x and iptables.
#
# [Description]
#
# [Config]
# DISABLED=0
# ROUTING=1
# MASQUERADE=1
# MASQUERADEFTP=1
# MASQUERADEIRC=1
# [End]

# Real code starts here
# If you change the line below then also change the # DISABLED line above.
DISABLE_GUIDEDOG=0
if [ $DISABLE_GUIDEDOG -eq 0 ]; then
# Set the path
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/sbin
if test -z $GUIDEDOG_VERBOSE; then
GUIDEDOG_VERBOSE=0
fi;
logger -p auth.info -t guidedog Configuring routing now.
[ $GUIDEDOG_VERBOSE -eq 1 ] && echo "Resetting routing rules."
# Shut down routing
echo 0 > /proc/sys/net/ipv4/ip_forward 2> /dev/null
iptables -t nat -P PREROUTING DROP
iptables -t nat -P POSTROUTING DROP
iptables -t nat -P OUTPUT DROP
# Delete any existing chains
iptables -t nat -F
iptables -t nat -X
# Enable/disable routing
[ $GUIDEDOG_VERBOSE -eq 1 ] && echo "Enabling routing."
echo 1 > /proc/sys/net/ipv4/ip_forward 2> /dev/null
[ $GUIDEDOG_VERBOSE -eq 1 ] && echo "Loading kernel modules."
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_nat_irc
[ $GUIDEDOG_VERBOSE -eq 1 ] && echo "Inserting masquerade rules."
iptables -t nat -N fromprivate
# Packets from the private IP range to another private IP range are
untouched.
iptables -t nat -A fromprivate -d 192.168.0.0/16 -j ACCEPT
iptables -t nat -A fromprivate -d 172.16.0.0/12 -j ACCEPT
iptables -t nat -A fromprivate -d 10.0.0.0/8 -j ACCEPT
# Packets that get here are from the private address range
# and are trying to get out to the internet. We NAT them.
iptables -t nat -A fromprivate -j MASQUERADE

# Siphon off any packets that are from the private IP range.
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -j fromprivate
iptables -t nat -A POSTROUTING -s 172.16.0.0/12 -j fromprivate
iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -j fromprivate
# packets that get here can just hit the default policy.
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
[ $GUIDEDOG_VERBOSE -eq 1 ] && echo "Finished."
fi;

--
Aktiv i projektet Gnuskole http://www.gnuskole.dk

Michael Andreasen (18-09-2002)

Kommentar
Fra : Michael Andreasen

Dato : 18-09-02 10:18

"Marcus Brofeldt" <kamikaze@yifan.net> wrote in message
news:3d87869c$0$64177$edfadb0f@dspool01.news.tele.dk...
> Hej NG,
>
> Efter mangt og megen læsning vedr. iptables er jeg ikke blevet en døjt
> klogere (nok pga. min manglende forstand på netværk).
>
> Jeg har et script her (hovedsageligt hugget fra andre scripts), som jeg
> skal have lidt mere forstand på. (Skal udelukkende agere gateway -
> firewall må komme senere)

http://freshmeat.net/search/?q=agt§ion=projects

Har hjulpet mig meget - og er en af årsagerne til at jeg idag har en
velfungerende firewall/router

Mvh
Michael Andreasen

Søg

Reklame

Statistik

Spørgsmål :	177557
Tips :	31968
Nyheder :	719565
Indlæg :	6408868
Brugere :	218888

Månedens bedste

Årets bedste

Sidste års bedste