---

Hej! Vi har et mærkeligt problem, vi har en maskine med 3 netkort i, de 2 af
kortene bliver brugt til dsl forbindelser og det 3. kort til vores klienter.
På firewallen/gatewayen kører der også squid

Vores script ser således ud:

IFI="eth3"

IPI="10.0.0.1"

IPI_NET="10.0.0.0/16"

NMI="24"

IFE1="eth0"

IFE2="eth1"

IPE1="192.168.1.2"

IPE2="172.16.1.174"

NWE1="192.168.0.0"

NWE2="172.16.0.0"

NME1="16"

NME2="16"

BRD1="192.168.255.255"

BRD2="172.16.255.255"

GWE1="192.168.1.1"

GWE2="172.16.0.1"

IPTABLES="/sbin/iptables"

UNPRIVPORTS="1024:65535"



echo "1" > /proc/sys/net/ipv4/ip_forward



$IPTABLES --flush

$IPTABLES -X

$IPTABLES -Z

$IPTABLES --delete-chain

$IPTABLES -t nat --flush

$IPTABLES -t nat --delete-chain

$IPTABLES -t mangle --flush

$IPTABLES -t mangle --delete-chain



$IPTABLES -A INPUT -i lo -j ACCEPT

$IPTABLES -A FORWARD -i lo -j ACCEPT

$IPTABLES -A OUTPUT -o lo -j ACCEPT



$IPTABLES --policy INPUT DROP

$IPTABLES --policy OUTPUT DROP

$IPTABLES --policy FORWARD DROP



# Regler for LAN

$IPTABLES -A OUTPUT -o $IFI -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A INPUT -i $IFI -m state --state NEW,ESTABLISHED,RELATED -j
ACCEPT



# Regler for wan

$IPTABLES -A INPUT -i $IFE1 -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A INPUT -i $IFE2 -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A OUTPUT -o $IFE1 -m state --state NEW,ESTABLISHED,RELATED -j
ACCEPT

$IPTABLES -A OUTPUT -o $IFE2 -m state --state NEW,ESTABLISHED,RELATED -j
ACCEPT



# Transperent proxy

$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 127.0.0.1:3128



# SNAT

$IPTABLES -t nat -A POSTROUTING -s $IPI_NET -j SNAT --to $IPE1

$IPTABLES -t nat -A POSTROUTING -s $IPI_NET -j SNAT --to $IPE2



# State

$IPTABLES -t filter -N keep_state

$IPTABLES -t filter -A keep_state -m state --state RELATED,ESTABLISHED -j
ACCEPT

$IPTABLES -t filter -A keep_state -j RETURN

$IPTABLES -t nat -N keep_state

$IPTABLES -t nat -A keep_state -m state --state RELATED,ESTABLISHED -j
ACCEPT

$IPTABLES -t nat -A keep_state -j RETURN





$IPTABLES -t nat -A PREROUTING -j keep_state

$IPTABLES -t nat -A POSTROUTING -j keep_state

$IPTABLES -t nat -A OUTPUT -j keep_state

$IPTABLES -t filter -A INPUT -j keep_state

$IPTABLES -t filter -A FORWARD -j keep_state

$IPTABLES -t filter -A OUTPUT -j keep_state



------

Vi er godt klar over der ikke er meget sikkerhed i den (endnu) men det er
for at udelukke regler der kan drille.

Selve firewallen kan godt tilgå Internettet, men vores klienter på lan'et
kan ikke, med mindre vi tvinger den til at bruge proxyen på firewallen.

Vi kan via tcpdump se at hvis vi laver en forespørgsel (fra klienten) på en
ekstern url (f.eks. www.dr.dk), laver klienten en forespørgsel til dns
(ligger eksternt) og der kommer et svar tilbage fra dns til vores eksterne
interface, men dette svar får vores klient (eller rettere sagt vores lan
interface) ikke. Så vores bud er at der er et problem med den interne
routning, men kan ikke lurer hvor problemet ligger da vi laver vores SNAT
transformering.

---

Hej John!

john wrote:

[snip - en masse firewall regler]

> Vi kan via tcpdump se at hvis vi laver en forespørgsel (fra klienten) på en
> ekstern url (f.eks. www.dr.dk), laver klienten en forespørgsel til dns
> (ligger eksternt) og der kommer et svar tilbage fra dns til vores eksterne
> interface, men dette svar får vores klient (eller rettere sagt vores lan
> interface) ikke. Så vores bud er at der er et problem med den interne
> routning, men kan ikke lurer hvor problemet ligger da vi laver vores SNAT
> transformering.

Som du selv er inde på, laver du igen maskerade, som du bliver nødt til.

Se her hvordan du gør:

   http://www.braindump.dk/dk/wiki/?wikipage=IpTables

--
Mvh. Bo
Linux! The choice of a GNU generation!

---

Den Thu, 24 Oct 2002 22:54:41 +0200 skrev Bo Simonsen:
>Hej John!
>
>john wrote:
>
>[snip - en masse firewall regler]
>
>> Vi kan via tcpdump se at hvis vi laver en forespørgsel (fra klienten) på en
>> ekstern url (f.eks. www.dr.dk), laver klienten en forespørgsel til dns
>> (ligger eksternt) og der kommer et svar tilbage fra dns til vores eksterne
>> interface, men dette svar får vores klient (eller rettere sagt vores lan
>> interface) ikke. Så vores bud er at der er et problem med den interne
>> routning, men kan ikke lurer hvor problemet ligger da vi laver vores SNAT
>> transformering.
>
>Som du selv er inde på, laver du igen maskerade, som du bliver nødt til.

SNAT og MASQUERADE er næsten det samme, SNAT er beregnet til fast IP,
og mere konfigurerbar, hvorimod MASQUERADE er beregnet til dynamisk
IP, og selvkonfigurerende.

Mvh
Kent
--
If you think about it, Windows XP is actually the OS that
started as "Microsoft OS/2 NT 3.0"

---

Kent Friis wrote:

> SNAT og MASQUERADE er næsten det samme, SNAT er beregnet til fast IP,
> og mere konfigurerbar, hvorimod MASQUERADE er beregnet til dynamisk
> IP, og selvkonfigurerende.

Begge 2 laver en maskerade. Jeg nævnte kun begrebet, og ikke et specifik
target.

--
Mvh. Bo
Linux! The choice of a GNU generation!

---

Den Thu, 24 Oct 2002 23:17:52 +0200 skrev Bo Simonsen:
>Kent Friis wrote:
>
>> SNAT og MASQUERADE er næsten det samme, SNAT er beregnet til fast IP,
>> og mere konfigurerbar, hvorimod MASQUERADE er beregnet til dynamisk
>> IP, og selvkonfigurerende.
>
>Begge 2 laver en maskerade. Jeg nævnte kun begrebet, og ikke et specifik
>target.

Han skrev i linien lige ovenover (det du klippede væk) at de laver
SNAT.

Mvh
Kent
--
If you think about it, Windows XP is actually the OS that
started as "Microsoft OS/2 NT 3.0"

---

Kent Friis wrote:

> Han skrev i linien lige ovenover (det du klippede væk) at de laver
> SNAT.

Undskyld, den overså jeg, troede han mente han skulle lave noget med
SNAT, men havde problemer med dette.


--
Mvh. Bo
Linux! The choice of a GNU generation!