Kandu.dk - IP Tables


/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Linux

#	Navn	Point
1	o.v.n.	11177
2	peque	7911
3	dk	4814
4	e.c	2359
5	Uranus	1334
6	emesen	1334
7	stone47	1307
8	linuxrules	1214
9	Octon	1100
10	BjarneD	875

IP Tables
Fra : Brian Ipsen

Dato : 31-10-01 00:02

Hej!

Vil iptables med følgende:

iptables -A POSTROUTING -t nat -o $EXTERNAL_INTERFACE -j MASQUERADE

# Allow all traffic on internal interface
iptables -A INPUT -i $LOCAL_INTERFACE_1 -s $INTRANET -j ACCEPT
iptables -A OUTPUT -o $LOCAL_INTERFACE_1 -d $INTRANET -j ACCEPT

# Allow all traffic on external - if established from the inside
iptables -A INPUT -i $EXTERNAL_INTERFACE -p tcp ! --syn \
-d $IPADDR --destination-port $UNPRIVPORTS -j ACCEPT
iptables -A OUTPUT -o $EXTERNAL_INTERFACE -p tcp \
-s $IPADDR --source-port $UNPRIVPORTS \
-j ACCEPT

give uhæmmet adgang for interne klienter mod internettet (på TCP
protokollen)?? - $IPADDR er den eksterne IP adresse (og der er en hel
del flere regler end ovennævnte - jeg håber at ovenstående er nok til
at forstå spørgsmålet og evt. svare Meget Glad

/Brian

Rasmus Bøg Hansen (31-10-2001)

Kommentar
Fra : Rasmus Bøg Hansen

Dato : 31-10-01 00:40

Brian Ipsen wrote:

> Vil iptables med følgende:
>
> iptables -A POSTROUTING -t nat -o $EXTERNAL_INTERFACE -j MASQUERADE
>
> # Allow all traffic on internal interface
> iptables -A INPUT -i $LOCAL_INTERFACE_1 -s $INTRANET -j ACCEPT
> iptables -A OUTPUT -o $LOCAL_INTERFACE_1 -d $INTRANET -j ACCEPT
>
> # Allow all traffic on external - if established from the inside
> iptables -A INPUT -i $EXTERNAL_INTERFACE -p tcp ! --syn \
> -d $IPADDR --destination-port $UNPRIVPORTS -j ACCEPT
> iptables -A OUTPUT -o $EXTERNAL_INTERFACE -p tcp \
> -s $IPADDR --source-port $UNPRIVPORTS \
> -j ACCEPT
>
>
> give uhæmmet adgang for interne klienter mod internettet (på TCP
> protokollen)?? - $IPADDR er den eksterne IP adresse (og der er en hel
> del flere regler end ovennævnte - jeg håber at ovenstående er nok til
> at forstå spørgsmålet og evt. svare Meget Glad

Du sætter slet ikke regler for gennemgående trafik.

OUTPUT er pakker, der afsendes fra firewall-boksen og INPUT er pakker
til firewall-boksen.

Du skal have nogle regler i FORWARD-kæden, som er det sted pakker, der
passerer fra det interne net til intrernettet eller omvendt, passerer
igennem.

Rasmus

--
-- [ Rasmus 'Møffe' Bøg Hansen ] ---------------------------------------
I would never kill somebody
- unless they pissed me off!
-- Eric Cartman
--------------------------------- [ moffe at amagerkollegiet dot dk ] --

Brian Ipsen (31-10-2001)

Kommentar
Fra : Brian Ipsen

Dato : 31-10-01 07:28

On Wed, 31 Oct 2001 00:39:55 +0100, Rasmus Bøg Hansen
<moffespam@amagerkollegiet.dk> wrote:

>> Vil iptables med følgende:
>>
>> iptables -A POSTROUTING -t nat -o $EXTERNAL_INTERFACE -j MASQUERADE
>>
>> # Allow all traffic on internal interface
>> iptables -A INPUT -i $LOCAL_INTERFACE_1 -s $INTRANET -j ACCEPT
>> iptables -A OUTPUT -o $LOCAL_INTERFACE_1 -d $INTRANET -j ACCEPT
>>
>> # Allow all traffic on external - if established from the inside
>> iptables -A INPUT -i $EXTERNAL_INTERFACE -p tcp ! --syn \
>> -d $IPADDR --destination-port $UNPRIVPORTS -j ACCEPT
>> iptables -A OUTPUT -o $EXTERNAL_INTERFACE -p tcp \
>> -s $IPADDR --source-port $UNPRIVPORTS \
>> -j ACCEPT
>>
>>
>> give uhæmmet adgang for interne klienter mod internettet (på TCP
>> protokollen)?? - $IPADDR er den eksterne IP adresse (og der er en hel
>> del flere regler end ovennævnte - jeg håber at ovenstående er nok til
>> at forstå spørgsmålet og evt. svare Meget Glad

>
>Du sætter slet ikke regler for gennemgående trafik.
>
>OUTPUT er pakker, der afsendes fra firewall-boksen og INPUT er pakker
>til firewall-boksen.
>
>Du skal have nogle regler i FORWARD-kæden, som er det sted pakker, der
>passerer fra det interne net til intrernettet eller omvendt, passerer
>igennem.

Ups... Ok, der er også:

# Allow all internal packets out of our network.
iptables -A FORWARD -m state --state NEW -i $LOCAL_INTERFACE_1 \
-s $INTRANET -j ACCEPT

# Allow the associated packets with those connections back in.
iptables -A FORWARD -m state --state ESTABLISHED,RELATED \
-i $EXTERNAL_INTERFACE -s ! $INTRANET -j ACCEPT

/Brian

Rasmus Bøg Hansen (31-10-2001)

Kommentar
Fra : Rasmus Bøg Hansen

Dato : 31-10-01 11:02

Brian Ipsen wrote:

> # Allow all internal packets out of our network.
> iptables -A FORWARD -m state --state NEW -i $LOCAL_INTERFACE_1 \
> -s $INTRANET -j ACCEPT

Dette vil vist tillade nye forbindelser ud af huset men ikke
etablerede... Jeg ville erstatte NEW med NEW,ESTABLISHED,RELATED.

> # Allow the associated packets with those connections back in.
> iptables -A FORWARD -m state --state ESTABLISHED,RELATED \
> -i $EXTERNAL_INTERFACE -s ! $INTRANET -j ACCEPT

Bortset fra det, vil ovenstående tillade alle udgående forbindelser og
tillade svar at komme tilbage udefra.

Rasmus

--
-- [ Rasmus 'Møffe' Bøg Hansen ] ---------------------------------------
"Microsoft spel chekar worgs grate!"
--------------------------------- [ moffe at amagerkollegiet dot dk ] --

Søg

Reklame

Statistik

Spørgsmål :	177557
Tips :	31968
Nyheder :	719565
Indlæg :	6408885
Brugere :	218888

Månedens bedste

Årets bedste

Sidste års bedste