Kandu.dk - Iptables


/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Linux

#	Navn	Point
1	o.v.n.	11177
2	peque	7911
3	dk	4814
4	e.c	2359
5	Uranus	1334
6	emesen	1334
7	stone47	1307
8	linuxrules	1214
9	Octon	1100
10	BjarneD	875

Iptables - forward
Fra : Anders Lund

Dato : 01-01-03 22:34

Jeg har følgende iptables regler på min linux server. Som router mellem mit
lan og internettet.
Men hvis jeg bruger det som der er her, kan clienterne ikke få adgang til
internettet, men hvis jeg sætter FORWARD til accept virker det. Hvad er der
galt?

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# enable Masquerade and forwarding
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports on router for server/services
iptables -A INPUT -j ACCEPT -p tcp --dport 80
iptables -A INPUT -j ACCEPT -p tcp --dport 21
#iptables -A INPUT -j ACCEPT -p tcp --dport 20
iptables -A INPUT -j ACCEPT -i $LAN_NIC -p tcp --dport 22
iptables -A INPUT -j ACCEPT -i $LAN_NIC -p tcp --dport 3306
iptables -A INPUT -j ACCEPT -i $LAN_NIC -p udp --dport 137
iptables -A INPUT -j ACCEPT -i $LAN_NIC -p udp --dport 138
iptables -A INPUT -j ACCEPT -i $LAN_NIC -p tcp --dport 139

# STATE RELATED for router
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

--
Mvh
Anders Lund
AndersGED@zaim.dk
fjern geden fra min email adresse

Jesper Toft (01-01-2003)

Kommentar
Fra : Jesper Toft

Dato : 01-01-03 22:45

Anders Lund wrote:

> Jeg har følgende iptables regler på min linux server. Som router mellem
> mit lan og internettet.
> Men hvis jeg bruger det som der er her, kan clienterne ikke få adgang til
> internettet, men hvis jeg sætter FORWARD til accept virker det. Hvad er
> der galt?

> iptables -P FORWARD DROP
> iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -p icmp -j ACCEPT

/Jesper Toft

Anders Lund (01-01-2003)

Kommentar
Fra : Anders Lund

Dato : 01-01-03 23:27

"Jesper Toft" <news@bzImage.dk> skrev i en meddelelse
news:3e1361b0$0$182$edfadb0f@dread15.news.tele.dk...
> Anders Lund wrote:
> iptables -A FORWARD -p icmp -j ACCEPT

Åbner den ikke kun for at clienterne kan sende icmp pakker?

Jeg har selv fået mistanken til at det er denne det er galt med:
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
for hvorfor skulle der blive sendt noget i gemmen forward kanalen som ender
på serveren selv..

$LAN_NIC er serveren netkort der vender ind mod lokal netværket
$LAN_IP_NET er 192.168.0.1 og den gateway som clienterne bruger.

--
Mvh
Anders Lund
AndersGED@zaim.dk
fjern geden fra min email adresse

Jesper Toft (02-01-2003)

Kommentar
Fra : Jesper Toft

Dato : 02-01-03 00:00

Anders Lund wrote:

>> iptables -A FORWARD -p icmp -j ACCEPT
> Åbner den ikke kun for at clienterne kan sende icmp pakker?

Nej, Også for at de kan modtage dem.

> Jeg har selv fået mistanken til at det er denne det er galt med:
> iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET

Det er en accept, den skulle ikke få det til ikke at virke..

> for hvorfor skulle der blive sendt noget i gemmen forward kanalen som
> ender på serveren selv..

"Accepter al trafik der bliver forwardet fra lan_nic med source adressen
lan_ip_net"... Det er ikke sikkert det ender på serveren selv? Serveren
selv er bare sat på som source..

/Jesper Toft

Kent Friis (02-01-2003)

Kommentar
Fra : Kent Friis

Dato : 02-01-03 13:18

Den Wed, 1 Jan 2003 23:26:37 +0100 skrev Anders Lund:
>"Jesper Toft" <news@bzImage.dk> skrev i en meddelelse
>news:3e1361b0$0$182$edfadb0f@dread15.news.tele.dk...
>> Anders Lund wrote:
>> iptables -A FORWARD -p icmp -j ACCEPT
>
>Åbner den ikke kun for at clienterne kan sende icmp pakker?
>
>Jeg har selv fået mistanken til at det er denne det er galt med:
>iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
>for hvorfor skulle der blive sendt noget i gemmen forward kanalen som ender
>på serveren selv..
>
>$LAN_NIC er serveren netkort der vender ind mod lokal netværket
>$LAN_IP_NET er 192.168.0.1 og den gateway som clienterne bruger.

Enten skal du ændre det til at være hele nettet (192.168.0.0/24),
eller bare fjerne -s ... helt, og nøjes med -i ...

Mvh
Kent
--
You haven't seen _multitasking_ until you've seen Doom and
Quake run side by side

Kent Friis (02-01-2003)

Kommentar
Fra : Kent Friis

Dato : 02-01-03 13:17

Den Wed, 01 Jan 2003 22:44:58 +0100 skrev Jesper Toft:
>Anders Lund wrote:
>
>> Jeg har følgende iptables regler på min linux server. Som router mellem
>> mit lan og internettet.
>> Men hvis jeg bruger det som der er her, kan clienterne ikke få adgang til
>> internettet, men hvis jeg sætter FORWARD til accept virker det. Hvad er
>> der galt?
>
>> iptables -P FORWARD DROP
>> iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
>> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>
>iptables -A FORWARD -p icmp -j ACCEPT

Det burde ESTABLISHED,RELATED tage hånd om, så ICMP-trafik vedrørende
allerede godkendte connections kan komme igennem.

Mvh
Kent
--
Mails skrevet før 12:00 skal læses med det forbehold, at hjernen først
forventes at være færdig med at boote på det tidspunkt, og indholdet
derfor kan indeholde random data der tilfældigvis lå i den
uinitializerede cache.

Søg

Reklame

Statistik

Spørgsmål :	177554
Tips :	31968
Nyheder :	719565
Indlæg :	6408857
Brugere :	218888

Månedens bedste

Årets bedste

Sidste års bedste