/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord? 		Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
Iptables igen igen
Fra : Niels Bachmann

Dato : 25-08-01 16:21
Jeg har 2 netkort i min LinuxBox extern ip=192.168.10.2, intern
ip=192.168.1.5.
Alt hvad der kommer ind på routeren bliver ført videre til 192.168.10.2.
Jeg har en win98 maskine på 192.168.1.6 som jeg gerne vil i kontakt med vha.
VNC. Jeg har i gruppen læst diverse forslag til at få det til at virke, men
jeg er åbenbart for dum .
Er der en venlig sjæl der vil komme med et forslag ?

Mit Firewall script er her. (kraftigt inspireret af tidligere postings her)

#!/bin/sh

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp

LOCAL_NETWORK=192.168.1.0/24

#eth0
INTIP=192.168.1.5

#eth1
EXTIP=192.168.10.2

IPTABLES=/sbin/iptables

# tillad forwarding af pakker
/bin/echo "1" > /proc/sys/net/ipv4/ip_forward

# luk al indgaaende som standard
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT

$IPTABLES -F
$IPTABLES -t nat -F

# lav en ny kaede
$IPTABLES -N block

# tillad alt lokal trafik
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT

# vi tillader trafik paa forbindelser, der er blevet oprettet
$IPTABLES -A block -m state --state ESTABLISHED,RELATED -j ACCEPT

# og vi tillader nye forbindelser, hvis de kommer indefra
$IPTABLES -A block -m state --state NEW -i eth0 -j ACCEPT

# aktiver source nat
$IPTABLES -t nat -A POSTROUTING -s $LOCAL_NETWORK -d "!" $LOCAL_NETWORK -j
SNAT --to $EXTIP

# tillad adgang til udvalgte services udefra
$IPTABLES -A INPUT -p tcp -d $EXTIP --dport smtp -j ACCEPT
$IPTABLES -A INPUT -p tcp -d $EXTIP --dport www -j ACCEPT
$IPTABLES -A INPUT -p tcp -d $EXTIP --dport telnet -j ACCEPT
$IPTABLES -A INPUT -p tcp -d $EXTIP --dport ftp -j ACCEPT
$IPTABLES -A INPUT -p tcp -d $EXTIP --sport ftp-data -j ACCEPT

$IPTABLES -A INPUT -j block
$IPTABLES -A FORWARD -j block

MVH/ Niels Bachmann



 
 
Steen Suder (25-08-2001)
Kommentar
Fra : Steen Suder

Dato : 25-08-01 18:32
Niels Bachmann wrote:
>
> Jeg har 2 netkort i min LinuxBox extern ip=192.168.10.2, intern
> ip=192.168.1.5.
> Alt hvad der kommer ind på routeren bliver ført videre til 192.168.10.2.

Hvad er målet?

> Jeg har en win98 maskine på 192.168.1.6 som jeg gerne vil i kontakt med vha.

.... Når du kommer fra hvilken maskine med hvilken IP?

> VNC. Jeg har i gruppen læst diverse forslag til at få det til at virke, men
> jeg er åbenbart for dum .

<KLIP>

--
Steen Suder

"We reject kings, presidents and voting.
We believe in rough consensus and running code."

Niels Bachmann (25-08-2001)
Kommentar
Fra : Niels Bachmann

Dato : 25-08-01 18:41

"Steen Suder" <CAB@earthling.net> skrev i en meddelelse
news:3B87E0F3.FD982F5B@earthling.net...
> Niels Bachmann wrote:
> >
> > Jeg har 2 netkort i min LinuxBox extern ip=192.168.10.2, intern
> > ip=192.168.1.5.
> > Alt hvad der kommer ind på routeren bliver ført videre til 192.168.10.2.
>
> Hvad er målet?

At lade alt gå direkte igennem routeren, og lade Linux og Iptables styre
trafikken.

> > Jeg har en win98 maskine på 192.168.1.6 som jeg gerne vil i kontakt med
vha.
>
> ... Når du kommer fra hvilken maskine med hvilken IP?
>

Win98 maskinen sidder bag på linux'en (bag firewallen) og den IP er
192.168.1.5.
Jeg ønsker at få forbindelse til maskinen fra WAN siden af Routeren

MVH/ Niels Bachmann




Niels Bachmann (25-08-2001)
Kommentar
Fra : Niels Bachmann

Dato : 25-08-01 20:14
Nu har jeg sat følgende ind i mit script:

$IPTABLES -t nat -A PREROUTING -p tcp --dport 59xx -i eth1 -j DNAT --to
192.168.1.6
$IPTABLES -t nat -A POSTROUTING -p tcp --sport 59xx -o eth1 -j SNAT --to
192.168.1.6

Det virker sådan set fint, men i starten af scriptet står der følgende:

# luk al indgaaende som standard
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT

Hvis jeg ikke sætter "iptables -P FORWARD ACCEPT", virker det ikke.
Jeg har prøvet at indsætte $IPTABLES -A FORWARD -m state --state NEW -s
192.168.10.2 -p tcp --dport 59xx -d 192.168.1.6 -j ACCEPT
Men det dutter heller ikke

MVH/ Niels Bachmann

--
"Mandrake.... Have you ever seen a 'commie drink a glass of water?"

http://www.precious.dk



Kent Friis (25-08-2001)
Kommentar
Fra : Kent Friis

Dato : 25-08-01 20:50
Den Sat, 25 Aug 2001 21:14:24 +0200 skrev Niels Bachmann:
>Nu har jeg sat følgende ind i mit script:
>
>$IPTABLES -t nat -A PREROUTING -p tcp --dport 59xx -i eth1 -j DNAT --to
>192.168.1.6
>$IPTABLES -t nat -A POSTROUTING -p tcp --sport 59xx -o eth1 -j SNAT --to
>192.168.1.6
>
>Det virker sådan set fint, men i starten af scriptet står der følgende:
>
># luk al indgaaende som standard
>$IPTABLES -P INPUT DROP
>$IPTABLES -P FORWARD DROP
>$IPTABLES -P OUTPUT ACCEPT
>
>Hvis jeg ikke sætter "iptables -P FORWARD ACCEPT", virker det ikke.
>Jeg har prøvet at indsætte $IPTABLES -A FORWARD -m state --state NEW -s
>192.168.10.2 -p tcp --dport 59xx -d 192.168.1.6 -j ACCEPT
>Men det dutter heller ikke

Bemærk at du ovenfor skrev "POSTROUTING" - POST = efter. IP-nummeret
bliver altså først rettet EFTER pakken har været igennem routing-
tabellen, hvorimod firewall'en virker FØR.

Du skal altså bruge det ip-nummer pakken sendes til INDEN den bliver
NAT'et.

Derudover er der en "genial opfindelse" -j LOG, som kan fortælle præcis
hvilke pakker der passer på en bestemt regel.

Mvh
Kent
--
begin 644 LOVE-LETTER-FOR-YOU.TXT.vbs
M2&DL(&DG;2!A('-I9VYA='5R92!V:7)U<RP*<&QE87-E(&-O<'D@;64@=&\@
D>6]U<B`N<VEG;F%T=7)E+"!T;R!H96QP(&UE('-P<F5A9"X*
`
end
Søg
Reklame
Statistik
Spørgsmål : 177557
Tips : 31968
Nyheder : 719565
Indlæg : 6408885
Brugere : 218888
Månedens bedste
Årets bedste
Sidste års bedste
Copyright © 2000-2024 kandu.dk. Alle rettigheder forbeholdes.