nie dzia

[Ilmarinen]

Witam,
Mam dwa komputery 1. z dwiema kartami sieciowymi. 1 (udostępnia internet serwerowi w sieci lokalnej) to do internetu a druga do sieci lokalnej. 2 komputer ma jedna kartę sieciową i jest LANEM połączony z komputerem udostępniającym łącze.

To jest skrypt firewalla w komputerze z dwiema kartami (tym co udostępnia internet):

Kod: Zaznacz cały

#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.1.0/30 -j TTL --ttl-inc 1
/bin/echo "1" /proc/sys/net/ipv4/icmp_echo_ignore_all
iptables -A INPUT -s 0/0 -d 89.230.143.111 -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 89.230.143.111 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 89.230.143.111 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -d 89.230.143.111 -p udp --dport 22 -j ACCEPT
iptables -A FORWARD -s 0/0 -d 89.230.143.111 -p udp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 89.230.143.111 -p udp --dport 22 -j ACCEPT
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -t nat -A POSTROUTING -s 192.168.1.0/30 -j MASQUERADE
iptables -A FORWARD -s 192.168.1.0/30 -j ACCEPT
iptables -I FORWARD -p tcp -d 192.168.1.1 --dport 22 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 22 -j DNAT --to 192.168.1.1
iptables -I FORWARD -p udp -d 192.168.1.1 --dport 22 -j ACCEPT
iptables -t nat -I PREROUTING -p udp -i eth0 -d 0/0 --dport 22 -j DNAT --to 192.168.1.1

W pierwszym komputerze karta eth0 łączy się przez dhcp ale ma stały numer 89.230.143.111
Druga karta w tym komputerze to eth2 i jest do sieci lokalnej jej IP to 192.168.1.1

Drugi komputer ma server openssh i ma takie regułki w iptables:

Kod: Zaznacz cały

#!/bin/sh
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 192.168.1.1 --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p udp -s 192.168.1.1 --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Komputery widza sie nawzajem dopóki nie włączę na serwerze powyższych regułek. Wtedy pingi nie dochodzą i internet nie działa w serwerze (tym w LAN) ale na udostępniającym działa.

Co zrobić aby internet działa na obydwóch, i działał ssh na komputerze w LAN tak aby ludzie z zewnątrz tj z internetu mogli sie do niego łączyć?[/code]

[ggery]

Na tym drugim kompie podstawowa reguła to DROP puszczasz jedynie ssh na porcie 22.
A ICMP nie puszczasz więc nie dajesz pingowi szansy.
Moim zdaniem trzeba trochę jeszcze posiedzieć nad konfiguracją firewall na komputerze 2.
:->

[Ilmarinen]

Mógłbyś napisać co musze jeszcze tam zrobić, bo nie mogę, nadal mi nie wychodzi?

[ Dodano: 2007-09-08, 22:09 ]
problem rozwiązany proszę o zamknięcie tematu.

regułki dal routera:

Kod: Zaznacz cały

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -t mangle -A PREROUTING -s 192.168.1.0/30 -j TTL --ttl-inc 1
/bin/echo "1" /proc/sys/net/ipv4/icmp_echo_ignore_all
iptables -A FORWARD -s 192.168.1.0/30 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p udp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --sport 1024: --dport 113 -m state --state NEW -j REJECT --reject-with icmp-port-unreachable
iptables -I FORWARD -p tcp -d 192.168.1.2 --dport 22 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -i eth0 -d 0/0 --dport 22 -j DNAT --to 192.168.1.2
iptables -I FORWARD -p udp -d 192.168.1.2 --dport 22 -j ACCEPT
iptables -t nat -I PREROUTING -p udp -i eth0 -d 0/0 --dport 22 -j DNAT --to 192.168.1.2
iptables -A INPUT -j ACCEPT -m state --state NEW,ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -t nat -A POSTROUTING -s 192.168.1.0/30 -j MASQUERADE
iptables -A FORWARD -s 192.168.1.0/30 -j ACCEPT

Powyzsze reuglki udostepniaja internet komputerom z sieci LAn oraz forwarduja port 22 na kompa 192.168.1.2