Strona 1 z 2
ustawienie Debiana Lenny do routowania
: 14 października 2008, 13:41
autor: lopsi
Chciałbym zrobić router dla swojej sieci zrobiłem według instrukcji z dug.net.pl i mam błąd przy restarcie firewalla:
Może napisze co zrobiłem źle.
Kod: Zaznacz cały
#wlaczenie w kernelu forwardowania
echo 1 > /proc/sys/net/ipv4/ip_forward
# czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
# ustawienie polityki dzialania
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# zezwolenie nna laczenie sie z naszym zewnetrznym ip po ssh
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A INPUT -s 0/0 -d xxx.xxx.x.xx -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d xxx.xxx.x.xx -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -d xxx.xxx.x.xx -p udp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d xxx.xxx.x.xx -p udp --dport 22 -j ACCEPT
# polaczenia nawiazane
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
# udostepniaie internetu w sieci lokalnej
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
Zastanawiam się czy dobrze ma ustawione to:
Kod: Zaznacz cały
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
#adres ip otrzymany od internet provider
address xxx.xxx.x.xx
#maska sieci
netmask 255.255.255.16
#adres sieci
network xxx.xxx.x.0
#brama sieci
gateway xxx.xxx.x.xxx
auto eth1
iface eth1 inet static
#adrses ip routera w sieci Lan
address 192.168.1.y
#maska sieci Lan
netmask 255.255.255.0
W pliku resolv.conf mam tak:
Kod: Zaznacz cały
nameserver 192.168.1.x
nameserver 192.168.1.y
192.168.1.x - obecny serwer DHCP
192.168.1.y - obecny adres router
: 14 października 2008, 14:15
autor: goofy
Rozumiem, ze w miejsce ip.ip.ip.ip podales rzeczywisty adres IP?
: 14 października 2008, 15:52
autor: Yampress
troche błedny ten firewall
Kod: Zaznacz cały
wlaczenie w kernelu forwardowania
echo 1 > /proc/sys/net/ipv4/ip_forward
# czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
# ustawienie polityki dzialania
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
# zezwolenie nna laczenie sie z naszym zewnetrznym ip po ssh
iptables -A INPUT -s 0/0 -d xxx.xxx.x.xx -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -d xxx.xxx.x.xx -p udp --dport 22 -j ACCEPT
# polaczenia nawiazane
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
# udostepniaie internetu w sieci lokalnej
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to twoje_ip_zewnetrzne
pomysl logicznie. skoro polityke OUTPUT masz ACCEPT to po co dodatkowo wpisy akceptujące wy wyjściu.
do statyczny zewnetrzynych IP stosuj lepiej SNAT
:-P
: 15 października 2008, 10:47
autor: lopsi
Nie działa
Kod: Zaznacz cały
Bad argument 'ACCEPT'
Bad argument 'ACCEPT'
Unknow argument xxx.xx.x.xxx (ip zewnetrzne)
: 15 października 2008, 12:58
autor: goofy
Zahashuj te 2 linie dotyczace ssh i sprawdz czy dalej wywala te bledy.
Kod: Zaznacz cały
# iptables -A INPUT -s 0/0 -d xxx.xxx.x.xx -p tcp --dport 22 -j ACCEPT
# iptables -A INPUT -s 0/0 -d xxx.xxx.x.xx -p udp --dport 22 -j ACCEPT
Tak przy okazji, to nie bardzo rozumiem zastosowanie parametru '-d' w lancuchu INPUT. Moze ktos madrzejszy mnie oswieci?
: 15 października 2008, 14:40
autor: lopsi
Dzięki za pomoc
Bramka działa z takim kodem:
Kod: Zaznacz cały
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to xxx.xxx.xxx.xxx
Co trzeba dopisać żeby łączyć się przez ssh.
: 15 października 2008, 15:31
autor: goofy
Zakladajac ze ssh dziala na porcie 22:
Kod: Zaznacz cały
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
powinno wystarczyc. Przy czym jest to dosc spora dziura w firewallu. Najlepiej zawezic ja tak jak to tylko jest mozliwe za pomoca parametrow '-i -s --mac-source' w zaleznosci od tego skad sie chcesz laczyc na ssh. Np.:
Kod: Zaznacz cały
iptables -A INPUT -i eth1 -s 192.168.1.X -m mac --mac-source XX:XX:XX:XX:XX:XX -p tcp --dport 22 -j ACCEPT
: 16 października 2008, 14:39
autor: lopsi
Rozwiązania podobnege do podanego przez goofy, u mnie działa.
Kod: Zaznacz cały
iptables -A INPUT i eth1 -p tcp -s (adres_ip) -j ACCEPT
Przy dodaniu adresu mac dostawałem błąd:
Kod: Zaznacz cały
'--mac-source' :/lib.xtables/libipt_--mac-source.so: cannot open shared object file: No such file or directory
Jak zrobić narzędzie do statystk ruchu. Nie mam środowiska graficznego na routerze.
: 16 października 2008, 14:58
autor: ba10
: 16 października 2008, 15:20
autor: Yampress
Tak przy okazji, to nie bardzo rozumiem zastosowanie parametru '-d' w lancuchu INPUT. Moze ktos madrzejszy mnie oswieci?
-d określa adres docelowy który ma pasowac do reguły
lopsi,
Kod: Zaznacz cały
iptables -A INPUT -s 0/0 -d xxx.xxx.x.xx -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -d xxx.xxx.x.xx -p udp --dport 22 -j ACCEPT
czy w miejsce xxx.xxx.x.xx wstawiłes ip serwera na którym działa demon sshd ?