Debian jako router

[marcin1982]

Poprawiłem zawartość.

[dedito]

Pokaż swoje regułki dla pakietów.

Kod: Zaznacz cały

iptables -nvL

Czy masz załączony forward pakietów?

Kod: Zaznacz cały

cat /proc/sys/net/ipv4/ip_forward

Pokaż jeszcze wynik komendy:

Kod: Zaznacz cały

ifconfig

[Only One]

Dla iptables -nvL Mam tak

Kod: Zaznacz cały

chain INPUT (policy ACCEPT 0  packets, 0 bytes)
pkts bytes target prot opt in out source destination

chain FORWARD (policy ACCEPT 0  packets, 0 bytes)
pkts bytes target prot opt in out source destination

chain OUTPUT (policy ACCEPT 0  packets, 0 bytes)
pkts bytes target prot opt in out source destination

dla cat /proc/sys/net/ipv4/ip_forward

Kod: Zaznacz cały

0

ifconfig
[/color]

Załącznik DSC_206oo6.jpg nie jest już dostępny

[Yampress]

Dziurawy firewall. Wszystko na ACCEPT. Równie dobrze możesz wywalić tego firewalla i ten sam efekt uzyskasz

[Only One]

co masz na myśli co powinienem zrobić bo tu nie chodzi o zabezbieczeniem tylko problem z polaczeniem się przez lan i udostepnienie internetu

moj plik firewall

Kod: Zaznacz cały

# wlaczenie w kernelu forwardowania 
/bin/echo 1 > /proc/sys/net/ipv4/ip_forward
#Ochrona przed atakiem typu Smurf
/bin/echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
#Nie aktceptujemy pakietow "source route"
/bin/echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
# Nie przyjmujemy pakietow ICMP rediect, ktore moga zmienic tablice routingu
/bin/echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
# Wlaczamy ochrone przed blednymi komunikatami ICMP error
/bin/echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
# Wlaczenie mechanizmu wykrywania oczywistych falszerstw 
# (pakiety znajdujace sie tylko tablicy routingu)
/bin/echo 65536 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max
/bin/echo 36024 > /proc/sys/net/ipv4/tcp_max_syn_backlog
# zwiekszenie rozmaru tablicy ARP
/bin/echo 1024 > /proc/sys/net/ipv4/neigh/default/gc_thresh1/
bin/echo 4096 > /proc/sys/net/ipv4/neigh/default/gc_thresh2
/bin/echo 8192 > /proc/sys/net/ipv4/neigh/default/gc_thresh3
# Blokada przed atakami typu SYN FLOODING
/bin/echo 1 > /proc/sys/net/ipv4/tcp_syncookies
# Właczenie proxy arp - dzieki temu serwer nie zdycha po kilku
/bin/echo 1 > /proc/sys/net/ipv4/conf/all/arp_filte
r# Zwiekszenie rozmiarutablic routingu
/bin/echo "18192" > /proc/sys/net/ipv4/route/max_size
# czyszczenie starych 
reguliptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -t mangle -F
iptables -t mangle -X
# ustawienie domyslnej polityki
iptables -P INPUT ACCEPTiptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPTiptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROPiptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP# utrzymanie polaczen nawiazanychiptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
# udostepniaie internetu w sieci lokalnej
iptables -t nat -A POSTROUTING -s 192.168.30.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.30.0/24 -j ACCEPT

moga być literowki bo przepisywalem ale jak najbardziej poprawnie mam w ogrinalnym pliku

[dedito]

To co masz w pliku automagicznie nie przeniesie się do regułek filtrowania.
Wyniki pokazane przez ciebie we wcześniejszej wiadomości wskazują, że nawet tego pliku nie uruchomiłeś.
Zacznij od najprostszych spraw:
- załącz forward pakietów

Kod: Zaznacz cały

echo 1 > /proc/sys/net/ipv4/ip_forward

lub zmień odpowiedni wpis w pliku /etc/sysctl.conf
- ustaw maskaradę

Kod: Zaznacz cały

iptables -t nat -A POSTROUTING -s 192.168.30.0/24 -j MASQUERADE

Jak to zadziała to zajmij się uszczelnieniem zapory.