Avatar billede uffed Nybegynder
14. oktober 2002 - 05:06 Der er 3 kommentarer og
2 løsninger

iptables m. 2x nic

Hej.

Er der en der gidder at poste et par linier til en firewall med iptables..

mit scenarie:

box:
2 x nic :
eth0(internet) 80.62.157.x
eth1(localnet) 192.168.0.1

Linux redHat 7.3
apache (eth0 og eth1)
mysql skal kunne virke localt/på websider
ssh (eth0 og eth1)
Samba (eth1 - localnet)
dhcpd (eth1 - localnet)

maskinen deler internet forbindelse til andre maskiner, alle former for forbindelser skal kunne virke fra localnetttet..

lige nu ser min firewall sådan her ud:
-------------------------------
# Load the NAT module (this pulls in all the others).
modprobe iptable_nat

# In the NAT table (-t nat), Append a rule (-A) after routing
# (POSTROUTING) for all packets going out ppp0 (-o ppp0) which says to
# MASQUERADE the connection (-j MASQUERADE).
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Turn on IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
-------------------------------

hvordan gemmer man egentligt sin firwall?
jeg skriver alle de her linier hvergang min box skal genstartes.. (hvilket jo selvfølgelig ikke er ret tit, men alligevel irriterende)
er der ikke noget med iptables-save ? eller noget i den stil?
Avatar billede dank Nybegynder
14. oktober 2002 - 10:26 #1
Det er faktisk ikke så svært med dette lille script: http://sourceforge.net/projects/agt
Avatar billede zeus19 Nybegynder
14. oktober 2002 - 18:51 #2
Her er mit firewall schript kig lidt på det... det er hammer godt :o)

"Script Start"

#!/bin/sh

# Denne variable definerer den IP som vi ønsker at bruge når vi laver NAT
# routing. Dvs. det bliver denne IP vi ændrer så vores LAN brugere kommer
# til at have på Internettet, og det er også denne vi bruger når vi skal
# route requests til f.eks. web servere ind på vores LAN.

EXT_IP=xx.xx.xx.xx

# Disable routing inden regler sættes
echo 0 > /proc/sys/net/ipv4/ip_forward

# Sæt standard policy
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP

# Regler flushes.
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

# lav en ny kaede
iptables -N block

# SNAT startes
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d "!" 192.168.0.0/24 -j SNAT --to $EXT_IP

# tillad alt lokal trafik
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i lo -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT

# vi tillader trafik på forbindelser, der er blevet oprettet
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0  -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

# og vi tillader nye forbindelser, hvis de kommer indefra
iptables -A block -m state --state NEW -i eth1 -j ACCEPT

# Redirect alle web/Ftp/DC/roger-wilco requests til en anden LAN maskine
iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to 192.168.0.2
iptables -t nat -A PREROUTING -p tcp --dport 21 -i eth0 -j DNAT --to 192.168.0.2
iptables -t nat -A PREROUTING -p tcp --dport 410:412 -i eth0 -j DNAT --to 192.168.0.2
iptables -t nat -A PREROUTING -p udp --dport 410:412 -i eth0 -j DNAT --to 192.168.0.2
iptables -t nat -A PREROUTING -p udp --dport 3782 -i eth0 -j DNAT --to 192.168.0.2
iptables -t nat -A PREROUTING -p tcp --dport 3782 -i eth0 -j DNAT --to 192.168.0.2

# Redirect alle Radmin  Winmx Cs-Server & icq phone til anden lan maskine.
iptables -t nat -A PREROUTING -p tcp --dport 6699 -i eth0 -j DNAT --to 192.168.0.15
iptables -t nat -A PREROUTING -p udp --dport 6699 -i eth0 -j DNAT --to 192.168.0.15
iptables -t nat -A PREROUTING -p tcp --dport 2999 -i eth0 -j DNAT --to 192.168.0.10
iptables -t nat -A PREROUTING -p udp --dport 2999 -i eth0 -j DNAT --to 192.168.0.10
iptables -t nat -A PREROUTING -p tcp --dport 4899 -i eth0 -j DNAT --to 192.168.0.2
iptables -t nat -A PREROUTING -p udp --dport 4899 -i eth0 -j DNAT --to 192.168.0.2
iptables -t nat -A PREROUTING -p tcp --dport 27016 -i eth0 -j DNAT --to 192.168.0.3
iptables -t nat -A PREROUTING -p udp --dport 27016 -i eth0 -j DNAT --to 192.168.0.3

# Redirect alle Icq og irc incomming connections til lokal maskine
iptables -t nat -A PREROUTING -p tcp --dport 3000:3020 -i eth0 -j DNAT --to 192.168.0.10
iptables -t nat -A PREROUTING -p udp --dport 3000:3020 -i eth0 -j DNAT --to 192.168.0.10
iptables -t nat -A PREROUTING -p tcp --dport 113 -i eth0 -j DNAT --to 192.168.0.10
iptables -t nat -A PREROUTING -p udp --dport 113 -i eth0 -j DNAT --to 192.168.0.10

# tillad adgang til udvalgte services udefra
iptables -A INPUT -p tcp -d $EXT_IP --dport 22 -j ACCEPT

#block kaeden aktiveres
iptables -A INPUT -j block
iptables -A FORWARD -j block

# Beskyt firewall'en så den ikke godtager ugyldige pakker.
iptables -A FORWARD -m state --state INVALID -j DROP

# Routing startes igen.
echo 1 > /proc/sys/net/ipv4/ip_forward

# Gemmer scriptet ved kroesel
/etc/init.d/iptables save
Avatar billede zeus19 Nybegynder
14. oktober 2002 - 18:56 #3
hvis du vil have schriptet til at køre automatisk under opstart skal du lægge den ind under /firewall/firewall.script og lave en referanse til den i din rc.local som ligger i /etc/rc.d/rc.local

eks.

/firewall/firewall.script
Avatar billede uffed Nybegynder
14. oktober 2002 - 19:19 #4
i deler bare ...
Avatar billede deltadk Nybegynder
16. december 2002 - 10:41 #5
Hmm, hvis du har løst til at prøve noget der er lige til at gå til, vil jeg forslå dig en dist af redhat kernen, den hedder. http://www.astaro.com/
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester