IPTABLES - speedtesty
: 11 lipca 2014, 20:11
Witam
Postanowiłem zbudować router oparty o system debian.
Po zainstalowaniu ustawieniu serwera dhcp, zacząłem pisać skrypt firewalla.
Niestety korzystam z różnych rozwiązań w sieci, ponieważ nie mogę za nic w świecie zrozumieć zasady działania iptables.
W obecnej chwili testy są przeprowadzane w lokalnej sieci.
port eth0 zwany dalej WAN - dynamicznie przyznawane IP z obecnej puli IP mojej aktualnej sieci ( na obecną chwilę 192.168.1.0/24 ) w przyszłości dynamiczny globalny IP od ISP
port eth1 zwany dalej LAN - IP z mojej przyszłej sieci ( na obecną chwilę pula 192.168.172.0/24 )
Niestety w tym rozwiązaniu moja przypadłość jest taka że testując na tym nowym serwero/routerze prędkości na speedtestach, speedtest staje na teście wysyłania i dalej się nie rusza.
Pokazuje tylko i wyłącznie download. Próbowałem kilku speedtestów.
Podłączając się do dotychczasowej sieci problem nie występuje.
Czy ktoś mógłby mi podpowiedzieć gdzie jest problem ? Walczę już z tym od 5 dni i nic.
Ewentualnie proszę o propozycję sprawdzonych rozwiązań.
Poniżej mój skrypt.
Postanowiłem zbudować router oparty o system debian.
Po zainstalowaniu ustawieniu serwera dhcp, zacząłem pisać skrypt firewalla.
Niestety korzystam z różnych rozwiązań w sieci, ponieważ nie mogę za nic w świecie zrozumieć zasady działania iptables.
W obecnej chwili testy są przeprowadzane w lokalnej sieci.
port eth0 zwany dalej WAN - dynamicznie przyznawane IP z obecnej puli IP mojej aktualnej sieci ( na obecną chwilę 192.168.1.0/24 ) w przyszłości dynamiczny globalny IP od ISP
port eth1 zwany dalej LAN - IP z mojej przyszłej sieci ( na obecną chwilę pula 192.168.172.0/24 )
Niestety w tym rozwiązaniu moja przypadłość jest taka że testując na tym nowym serwero/routerze prędkości na speedtestach, speedtest staje na teście wysyłania i dalej się nie rusza.
Pokazuje tylko i wyłącznie download. Próbowałem kilku speedtestów.
Podłączając się do dotychczasowej sieci problem nie występuje.
Czy ktoś mógłby mi podpowiedzieć gdzie jest problem ? Walczę już z tym od 5 dni i nic.
Ewentualnie proszę o propozycję sprawdzonych rozwiązań.
Poniżej mój skrypt.
Kod: Zaznacz cały
#!/bin/bash
### BEGIN INIT INFO
# Provides: firewall.sh
# Required-Start: $local_fs $remote_fs
# Required-Stop: $local_fs $remote_fs
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: Start daemon at boot time
# Description: Enable service provided by daemon.
### END INIT INFO
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 0 > /proc/sys/net/ipv4/tcp_ecn
echo 1 > /proc/sys/net/ipv4/ip_no_pmtu_disc
for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $f ; done
export WAN=eth0
export LAN=eth1
# CZYSZCZENIE STARYCH REGUŁ
iptables -F INPUT
iptables -F FORWARD
iptables -F -t nat
#Akceptowanie pakietów na interfejsie lo
iptables -A INPUT -i lo -j ACCEPT
#Puszczamy polaczenia ustanowione
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#Otwieramy port 2788 SSH
iptables -A INPUT -p TCP --dport 2788 -i ${WAN} -j ACCEPT
#A reszte przepuszczamy
iptables -A INPUT -i lo -j ACCEPT
#Regulki natowania
iptables -I FORWARD -i ${LAN} -d 192.168.172.0/255.255.255.0 -j DROP
iptables -A FORWARD -i ${LAN} -s 192.168.172.0/255.255.255.0 -j ACCEPT
iptables -A FORWARD -i ${WAN} -d 192.168.172.0/255.255.255.0 -j ACCEPT
iptables -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE
#Zaakceptowanie zaufanej sieci
iptables -A INPUT -i eth1 -s 192.168.172.0/24 -j ACCEPT
# INNE TESTY
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT