Iptables problem z udost

[lewozmywakk]

O to schemat mojej sieci

kod moje zapory

Kod: Zaznacz cały

echo "1" > /proc/sys/net/ipv4/ip_forward ##forward pakietów miedzy interfejsami routera

iptables -F #wyczyszczenie wpisow tablicy filter
iptables -F -t nat #wyczysznie wpisow w tablicy nat 
iptables -X         #usuniecie lancuchow w tabeli filter zdefiniowych przez uzytkownika
iptables -X -t nat #usuniecie lancuchow w tabeli nat zdefiniowych przez uzytkownika
iptables -F -t mangle #wyczyszczenie wpisow w tablicy mangle

###polityki domyslne
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

########udostepnianie internetu
iptables -t nat -A POSTROUTING -s 192.168.254.0/24 -o eth0 -j SNAT --to 192.168.1.102
iptables -t nat -A POSTROUTING -s 192.168.200.0/24 -o eth0 -j SNAT --to 192.168.1.102

########bez tej reguly nie było dzialajacego dns w podsieci 192.168.200.0/24
iptables -t nat -A POSTROUTING -s 192.168.200.0/24 -d 192.168.254.254 -p udp --dport 53 -j SNAT --to 192.168.254.253

##########      HTTP/HTTPS      ##########


iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --sport 80 -j ACCEPT


iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT


iptables -A INPUT -p tcp --sport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT

## Forward HTTP dla podsieci 192.168.254.0/24##
iptables -A FORWARD -p tcp -s 192.168.254.0/24 --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.254.0/24--sport 80 -j ACCEPT

##########      DNS     ##########


## Forward DNS dla podsieci 192.168.254.0/24 ##
iptables -A FORWARD -p tcp -s 192.168.254.0/24 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s 192.168.254.0/24 --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.254.0/24 --sport 53 -j ACCEPT
iptables -A FORWARD -p udp -d 192.168.254.0/24 --sport 53 -j ACCEPT

i nie ma internetu na podsieci 192.168.254.0/24... oprócz serwera mam też tam podpięty komputer który przez przeglądarke sprawdzam...

oczywiście jak tylko zmienię politykę domyślną INPUT I FORWARD na ACCEPT to jest internet(wtedy ten cały kod z http i dns forwardem mógłbym wyrzucić w kosmos), ssh, ftp wszytko pięknie jak tralala ale niestety o to mi nie chodzi... musze to jakoś zabezpieczyć a nie wiem co robię źle.

Za wszelkie wskazówki i pomoc gorąco i serdecznie dziękuje.

[pawkrol]

Dodaj regułę logowania pakietów -j LOG i zobacz które połączenie jest blokowane na firwallu. Poleceam także zastosowanie reguł z pamięcią stanu.
DNS jest na routerze ?
Reguły sport 80 dla ruchu http nie są potrzebne. Stacja łącząc się po protokole http używa wysokich portów.

[lewozmywakk]

Nie wiem czy dobrze zrobiłem, bo nie jestem góru linuxowym

przed linijką forwardu http
wrzuciłem:

iptables -A FORWARD -p tcp -s 192.168.254.0/24 --dport 80 -j LOG

następnie uruchomiłem skrypt, spróbowałem się połączyć przez przeglądarke na komputerze w tej podsieci z internetem
a kolejno zobaczyłem logi /var/log/syslog

Załącznik LOGI.jpg nie jest już dostępny

dns działa na routerze jak jest polityka accept, a te reguły sport 80 mogą zaszkodzić?

[pawkrol]

Reguła dla localhost jest? Bo jaj je nie widze

Kod: Zaznacz cały

iptables -A INPUT -i lo -j ACCEPT

te reguły sport 80 mogą zaszkodzić?

Dałeś dostęp całej sieci. od strony WAN jak i LAN, hostom które wychodzą z połączeniem z portu lokalnego 80.
Pewnie można bu jakiś atak za pomocą tego przeprowadzić.


Daj tak, i zobacz czy coś zaloguje łańcuch forward

Kod: Zaznacz cały

iptables -A FORWARD -s 192.168.254.0/24 -j LOG

Wyłącz moduł evbug bo jak widze zaśmieca ci logi, chyba że jest Ci potrzebny

Dodane:

########bez tej reguly nie było dzialajacego dns w podsieci 192.168.200.0/24 iptables -t nat -A POSTROUTING -s 192.168.200.0/24 -d 192.168.254.254 -p udp --dport 53 -j SNAT --to 192.168.254.253

Może problemem jest sam konfiguracja dns, który nie zezwala na zapytania z sieci 192.168.200.0/24.
Bo rozumiem dns jest na serwerze w sieci 192.168.254.0/24, a router tylko forwarduje zapytania.
Czy z sieci 19.168.200.0/24 jesteś w stanie się komunikować z serwerem 192.168.254.254 ?