/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
Iptables - forward
Fra : Anders Lund


Dato : 01-01-03 22:34

Jeg har følgende iptables regler på min linux server. Som router mellem mit
lan og internettet.
Men hvis jeg bruger det som der er her, kan clienterne ikke få adgang til
internettet, men hvis jeg sætter FORWARD til accept virker det. Hvad er der
galt?





iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# enable Masquerade and forwarding
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports on router for server/services
iptables -A INPUT -j ACCEPT -p tcp --dport 80
iptables -A INPUT -j ACCEPT -p tcp --dport 21
#iptables -A INPUT -j ACCEPT -p tcp --dport 20
iptables -A INPUT -j ACCEPT -i $LAN_NIC -p tcp --dport 22
iptables -A INPUT -j ACCEPT -i $LAN_NIC -p tcp --dport 3306
iptables -A INPUT -j ACCEPT -i $LAN_NIC -p udp --dport 137
iptables -A INPUT -j ACCEPT -i $LAN_NIC -p udp --dport 138
iptables -A INPUT -j ACCEPT -i $LAN_NIC -p tcp --dport 139

# STATE RELATED for router
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT



--
Mvh
Anders Lund
AndersGED@zaim.dk
fjern geden fra min email adresse



 
 
Jesper Toft (01-01-2003)
Kommentar
Fra : Jesper Toft


Dato : 01-01-03 22:45

Anders Lund wrote:

> Jeg har følgende iptables regler på min linux server. Som router mellem
> mit lan og internettet.
> Men hvis jeg bruger det som der er her, kan clienterne ikke få adgang til
> internettet, men hvis jeg sætter FORWARD til accept virker det. Hvad er
> der galt?

> iptables -P FORWARD DROP
> iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -p icmp -j ACCEPT

/Jesper Toft


Anders Lund (01-01-2003)
Kommentar
Fra : Anders Lund


Dato : 01-01-03 23:27

"Jesper Toft" <news@bzImage.dk> skrev i en meddelelse
news:3e1361b0$0$182$edfadb0f@dread15.news.tele.dk...
> Anders Lund wrote:
> iptables -A FORWARD -p icmp -j ACCEPT

Åbner den ikke kun for at clienterne kan sende icmp pakker?

Jeg har selv fået mistanken til at det er denne det er galt med:
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
for hvorfor skulle der blive sendt noget i gemmen forward kanalen som ender
på serveren selv..

$LAN_NIC er serveren netkort der vender ind mod lokal netværket
$LAN_IP_NET er 192.168.0.1 og den gateway som clienterne bruger.



--
Mvh
Anders Lund
AndersGED@zaim.dk
fjern geden fra min email adresse



Jesper Toft (02-01-2003)
Kommentar
Fra : Jesper Toft


Dato : 02-01-03 00:00

Anders Lund wrote:

>> iptables -A FORWARD -p icmp -j ACCEPT
> Åbner den ikke kun for at clienterne kan sende icmp pakker?

Nej, Også for at de kan modtage dem.

> Jeg har selv fået mistanken til at det er denne det er galt med:
> iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET

Det er en accept, den skulle ikke få det til ikke at virke..

> for hvorfor skulle der blive sendt noget i gemmen forward kanalen som
> ender på serveren selv..

"Accepter al trafik der bliver forwardet fra lan_nic med source adressen
lan_ip_net"... Det er ikke sikkert det ender på serveren selv? Serveren
selv er bare sat på som source..

/Jesper Toft


Kent Friis (02-01-2003)
Kommentar
Fra : Kent Friis


Dato : 02-01-03 13:18

Den Wed, 1 Jan 2003 23:26:37 +0100 skrev Anders Lund:
>"Jesper Toft" <news@bzImage.dk> skrev i en meddelelse
>news:3e1361b0$0$182$edfadb0f@dread15.news.tele.dk...
>> Anders Lund wrote:
>> iptables -A FORWARD -p icmp -j ACCEPT
>
>Åbner den ikke kun for at clienterne kan sende icmp pakker?
>
>Jeg har selv fået mistanken til at det er denne det er galt med:
>iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
>for hvorfor skulle der blive sendt noget i gemmen forward kanalen som ender
>på serveren selv..
>
>$LAN_NIC er serveren netkort der vender ind mod lokal netværket
>$LAN_IP_NET er 192.168.0.1 og den gateway som clienterne bruger.

Enten skal du ændre det til at være hele nettet (192.168.0.0/24),
eller bare fjerne -s ... helt, og nøjes med -i ...

Mvh
Kent
--
You haven't seen _multitasking_ until you've seen Doom and
Quake run side by side

Kent Friis (02-01-2003)
Kommentar
Fra : Kent Friis


Dato : 02-01-03 13:17

Den Wed, 01 Jan 2003 22:44:58 +0100 skrev Jesper Toft:
>Anders Lund wrote:
>
>> Jeg har følgende iptables regler på min linux server. Som router mellem
>> mit lan og internettet.
>> Men hvis jeg bruger det som der er her, kan clienterne ikke få adgang til
>> internettet, men hvis jeg sætter FORWARD til accept virker det. Hvad er
>> der galt?
>
>> iptables -P FORWARD DROP
>> iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
>> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>
>iptables -A FORWARD -p icmp -j ACCEPT

Det burde ESTABLISHED,RELATED tage hånd om, så ICMP-trafik vedrørende
allerede godkendte connections kan komme igennem.

Mvh
Kent
--
Mails skrevet før 12:00 skal læses med det forbehold, at hjernen først
forventes at være færdig med at boote på det tidspunkt, og indholdet
derfor kan indeholde random data der tilfældigvis lå i den
uinitializerede cache.

Søg
Reklame
Statistik
Spørgsmål : 177557
Tips : 31968
Nyheder : 719565
Indlæg : 6408868
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste