/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
Proxy / Iptables / routnings problem
Fra : john


Dato : 24-10-02 11:40

Hej! Vi har et mærkeligt problem, vi har en maskine med 3 netkort i, de 2 af
kortene bliver brugt til dsl forbindelser og det 3. kort til vores klienter.
På firewallen/gatewayen kører der også squid

Vores script ser således ud:

IFI="eth3"

IPI="10.0.0.1"

IPI_NET="10.0.0.0/16"

NMI="24"

IFE1="eth0"

IFE2="eth1"

IPE1="192.168.1.2"

IPE2="172.16.1.174"

NWE1="192.168.0.0"

NWE2="172.16.0.0"

NME1="16"

NME2="16"

BRD1="192.168.255.255"

BRD2="172.16.255.255"

GWE1="192.168.1.1"

GWE2="172.16.0.1"

IPTABLES="/sbin/iptables"

UNPRIVPORTS="1024:65535"



echo "1" > /proc/sys/net/ipv4/ip_forward



$IPTABLES --flush

$IPTABLES -X

$IPTABLES -Z

$IPTABLES --delete-chain

$IPTABLES -t nat --flush

$IPTABLES -t nat --delete-chain

$IPTABLES -t mangle --flush

$IPTABLES -t mangle --delete-chain



$IPTABLES -A INPUT -i lo -j ACCEPT

$IPTABLES -A FORWARD -i lo -j ACCEPT

$IPTABLES -A OUTPUT -o lo -j ACCEPT



$IPTABLES --policy INPUT DROP

$IPTABLES --policy OUTPUT DROP

$IPTABLES --policy FORWARD DROP



# Regler for LAN

$IPTABLES -A OUTPUT -o $IFI -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A INPUT -i $IFI -m state --state NEW,ESTABLISHED,RELATED -j
ACCEPT



# Regler for wan

$IPTABLES -A INPUT -i $IFE1 -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A INPUT -i $IFE2 -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A OUTPUT -o $IFE1 -m state --state NEW,ESTABLISHED,RELATED -j
ACCEPT

$IPTABLES -A OUTPUT -o $IFE2 -m state --state NEW,ESTABLISHED,RELATED -j
ACCEPT



# Transperent proxy

$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 127.0.0.1:3128



# SNAT

$IPTABLES -t nat -A POSTROUTING -s $IPI_NET -j SNAT --to $IPE1

$IPTABLES -t nat -A POSTROUTING -s $IPI_NET -j SNAT --to $IPE2



# State

$IPTABLES -t filter -N keep_state

$IPTABLES -t filter -A keep_state -m state --state RELATED,ESTABLISHED -j
ACCEPT

$IPTABLES -t filter -A keep_state -j RETURN

$IPTABLES -t nat -N keep_state

$IPTABLES -t nat -A keep_state -m state --state RELATED,ESTABLISHED -j
ACCEPT

$IPTABLES -t nat -A keep_state -j RETURN





$IPTABLES -t nat -A PREROUTING -j keep_state

$IPTABLES -t nat -A POSTROUTING -j keep_state

$IPTABLES -t nat -A OUTPUT -j keep_state

$IPTABLES -t filter -A INPUT -j keep_state

$IPTABLES -t filter -A FORWARD -j keep_state

$IPTABLES -t filter -A OUTPUT -j keep_state



------

Vi er godt klar over der ikke er meget sikkerhed i den (endnu) men det er
for at udelukke regler der kan drille.

Selve firewallen kan godt tilgå Internettet, men vores klienter på lan'et
kan ikke, med mindre vi tvinger den til at bruge proxyen på firewallen.

Vi kan via tcpdump se at hvis vi laver en forespørgsel (fra klienten) på en
ekstern url (f.eks. www.dr.dk), laver klienten en forespørgsel til dns
(ligger eksternt) og der kommer et svar tilbage fra dns til vores eksterne
interface, men dette svar får vores klient (eller rettere sagt vores lan
interface) ikke. Så vores bud er at der er et problem med den interne
routning, men kan ikke lurer hvor problemet ligger da vi laver vores SNAT
transformering.




 
 
Bo Simonsen (24-10-2002)
Kommentar
Fra : Bo Simonsen


Dato : 24-10-02 21:55

Hej John!

john wrote:

[snip - en masse firewall regler]

> Vi kan via tcpdump se at hvis vi laver en forespørgsel (fra klienten) på en
> ekstern url (f.eks. www.dr.dk), laver klienten en forespørgsel til dns
> (ligger eksternt) og der kommer et svar tilbage fra dns til vores eksterne
> interface, men dette svar får vores klient (eller rettere sagt vores lan
> interface) ikke. Så vores bud er at der er et problem med den interne
> routning, men kan ikke lurer hvor problemet ligger da vi laver vores SNAT
> transformering.

Som du selv er inde på, laver du igen maskerade, som du bliver nødt til.

Se her hvordan du gør:

   http://www.braindump.dk/dk/wiki/?wikipage=IpTables

--
Mvh. Bo
Linux! The choice of a GNU generation!


Kent Friis (24-10-2002)
Kommentar
Fra : Kent Friis


Dato : 24-10-02 22:02

Den Thu, 24 Oct 2002 22:54:41 +0200 skrev Bo Simonsen:
>Hej John!
>
>john wrote:
>
>[snip - en masse firewall regler]
>
>> Vi kan via tcpdump se at hvis vi laver en forespørgsel (fra klienten) på en
>> ekstern url (f.eks. www.dr.dk), laver klienten en forespørgsel til dns
>> (ligger eksternt) og der kommer et svar tilbage fra dns til vores eksterne
>> interface, men dette svar får vores klient (eller rettere sagt vores lan
>> interface) ikke. Så vores bud er at der er et problem med den interne
>> routning, men kan ikke lurer hvor problemet ligger da vi laver vores SNAT
>> transformering.
>
>Som du selv er inde på, laver du igen maskerade, som du bliver nødt til.

SNAT og MASQUERADE er næsten det samme, SNAT er beregnet til fast IP,
og mere konfigurerbar, hvorimod MASQUERADE er beregnet til dynamisk
IP, og selvkonfigurerende.

Mvh
Kent
--
If you think about it, Windows XP is actually the OS that
started as "Microsoft OS/2 NT 3.0"

Bo Simonsen (24-10-2002)
Kommentar
Fra : Bo Simonsen


Dato : 24-10-02 22:18

Kent Friis wrote:

> SNAT og MASQUERADE er næsten det samme, SNAT er beregnet til fast IP,
> og mere konfigurerbar, hvorimod MASQUERADE er beregnet til dynamisk
> IP, og selvkonfigurerende.

Begge 2 laver en maskerade. Jeg nævnte kun begrebet, og ikke et specifik
target.

--
Mvh. Bo
Linux! The choice of a GNU generation!


Kent Friis (24-10-2002)
Kommentar
Fra : Kent Friis


Dato : 24-10-02 22:24

Den Thu, 24 Oct 2002 23:17:52 +0200 skrev Bo Simonsen:
>Kent Friis wrote:
>
>> SNAT og MASQUERADE er næsten det samme, SNAT er beregnet til fast IP,
>> og mere konfigurerbar, hvorimod MASQUERADE er beregnet til dynamisk
>> IP, og selvkonfigurerende.
>
>Begge 2 laver en maskerade. Jeg nævnte kun begrebet, og ikke et specifik
>target.

Han skrev i linien lige ovenover (det du klippede væk) at de laver
SNAT.

Mvh
Kent
--
If you think about it, Windows XP is actually the OS that
started as "Microsoft OS/2 NT 3.0"

Bo Simonsen (25-10-2002)
Kommentar
Fra : Bo Simonsen


Dato : 25-10-02 13:49

Kent Friis wrote:

> Han skrev i linien lige ovenover (det du klippede væk) at de laver
> SNAT.

Undskyld, den overså jeg, troede han mente han skulle lave noget med
SNAT, men havde problemer med dette.


--
Mvh. Bo
Linux! The choice of a GNU generation!


Søg
Reklame
Statistik
Spørgsmål : 177577
Tips : 31968
Nyheder : 719565
Indlæg : 6409068
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste