CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede uffed Nybegynder
14. oktober 2002 - 05:06 Der er 3 kommentarer og
2 løsninger

iptables m. 2x nic

Hej.

Er der en der gidder at poste et par linier til en firewall med iptables..

mit scenarie:

box:
2 x nic :
eth0(internet) 80.62.157.x
eth1(localnet) 192.168.0.1

Linux redHat 7.3
apache (eth0 og eth1)
mysql skal kunne virke localt/på websider
ssh (eth0 og eth1)
Samba (eth1 - localnet)
dhcpd (eth1 - localnet)

maskinen deler internet forbindelse til andre maskiner, alle former for forbindelser skal kunne virke fra localnetttet..

lige nu ser min firewall sådan her ud:
-------------------------------
# Load the NAT module (this pulls in all the others).
modprobe iptable_nat

# In the NAT table (-t nat), Append a rule (-A) after routing
# (POSTROUTING) for all packets going out ppp0 (-o ppp0) which says to
# MASQUERADE the connection (-j MASQUERADE).
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Turn on IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
-------------------------------

hvordan gemmer man egentligt sin firwall?
jeg skriver alle de her linier hvergang min box skal genstartes.. (hvilket jo selvfølgelig ikke er ret tit, men alligevel irriterende)
er der ikke noget med iptables-save ? eller noget i den stil?
Avatar billede dank Nybegynder
14. oktober 2002 - 10:26 #1
Det er faktisk ikke så svært med dette lille script: http://sourceforge.net/projects/agt
Avatar billede zeus19 Nybegynder
14. oktober 2002 - 18:51 #2
Her er mit firewall schript kig lidt på det... det er hammer godt :o)

"Script Start"

#!/bin/sh

# Denne variable definerer den IP som vi ønsker at bruge når vi laver NAT
# routing. Dvs. det bliver denne IP vi ændrer så vores LAN brugere kommer
# til at have på Internettet, og det er også denne vi bruger når vi skal
# route requests til f.eks. web servere ind på vores LAN.

EXT_IP=xx.xx.xx.xx

# Disable routing inden regler sættes
echo 0 > /proc/sys/net/ipv4/ip_forward

# Sæt standard policy
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP

# Regler flushes.
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

# lav en ny kaede
iptables -N block

# SNAT startes
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d "!" 192.168.0.0/24 -j SNAT --to $EXT_IP

# tillad alt lokal trafik
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i lo -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT

# vi tillader trafik på forbindelser, der er blevet oprettet
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0  -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

# og vi tillader nye forbindelser, hvis de kommer indefra
iptables -A block -m state --state NEW -i eth1 -j ACCEPT

# Redirect alle web/Ftp/DC/roger-wilco requests til en anden LAN maskine
iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to 192.168.0.2
iptables -t nat -A PREROUTING -p tcp --dport 21 -i eth0 -j DNAT --to 192.168.0.2
iptables -t nat -A PREROUTING -p tcp --dport 410:412 -i eth0 -j DNAT --to 192.168.0.2
iptables -t nat -A PREROUTING -p udp --dport 410:412 -i eth0 -j DNAT --to 192.168.0.2
iptables -t nat -A PREROUTING -p udp --dport 3782 -i eth0 -j DNAT --to 192.168.0.2
iptables -t nat -A PREROUTING -p tcp --dport 3782 -i eth0 -j DNAT --to 192.168.0.2

# Redirect alle Radmin  Winmx Cs-Server & icq phone til anden lan maskine.
iptables -t nat -A PREROUTING -p tcp --dport 6699 -i eth0 -j DNAT --to 192.168.0.15
iptables -t nat -A PREROUTING -p udp --dport 6699 -i eth0 -j DNAT --to 192.168.0.15
iptables -t nat -A PREROUTING -p tcp --dport 2999 -i eth0 -j DNAT --to 192.168.0.10
iptables -t nat -A PREROUTING -p udp --dport 2999 -i eth0 -j DNAT --to 192.168.0.10
iptables -t nat -A PREROUTING -p tcp --dport 4899 -i eth0 -j DNAT --to 192.168.0.2
iptables -t nat -A PREROUTING -p udp --dport 4899 -i eth0 -j DNAT --to 192.168.0.2
iptables -t nat -A PREROUTING -p tcp --dport 27016 -i eth0 -j DNAT --to 192.168.0.3
iptables -t nat -A PREROUTING -p udp --dport 27016 -i eth0 -j DNAT --to 192.168.0.3

# Redirect alle Icq og irc incomming connections til lokal maskine
iptables -t nat -A PREROUTING -p tcp --dport 3000:3020 -i eth0 -j DNAT --to 192.168.0.10
iptables -t nat -A PREROUTING -p udp --dport 3000:3020 -i eth0 -j DNAT --to 192.168.0.10
iptables -t nat -A PREROUTING -p tcp --dport 113 -i eth0 -j DNAT --to 192.168.0.10
iptables -t nat -A PREROUTING -p udp --dport 113 -i eth0 -j DNAT --to 192.168.0.10

# tillad adgang til udvalgte services udefra
iptables -A INPUT -p tcp -d $EXT_IP --dport 22 -j ACCEPT

#block kaeden aktiveres
iptables -A INPUT -j block
iptables -A FORWARD -j block

# Beskyt firewall'en så den ikke godtager ugyldige pakker.
iptables -A FORWARD -m state --state INVALID -j DROP

# Routing startes igen.
echo 1 > /proc/sys/net/ipv4/ip_forward

# Gemmer scriptet ved kroesel
/etc/init.d/iptables save
Avatar billede zeus19 Nybegynder
14. oktober 2002 - 18:56 #3
hvis du vil have schriptet til at køre automatisk under opstart skal du lægge den ind under /firewall/firewall.script og lave en referanse til den i din rc.local som ligger i /etc/rc.d/rc.local

eks.

/firewall/firewall.script
Avatar billede uffed Nybegynder
14. oktober 2002 - 19:19 #4
i deler bare ...
Avatar billede deltadk Nybegynder
16. december 2002 - 10:41 #5
Hmm, hvis du har løst til at prøve noget der er lige til at gå til, vil jeg forslå dig en dist af redhat kernen, den hedder. http://www.astaro.com/
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Linux kategorien

Titel Indlæg Oprettet Seneste aktivitet
HP Laserjet MFP M176n på Linux Af 220661 i Linux 12 18/06/202408:38 22/06/202415:49
Antivirus til en Linux Mint computer? Af Polle i Linux 8 19/05/202409:13 23/05/202409:07
Monitor mode kali linux Af Braindead mac user i Linux 2 03/05/202409:53 03/05/202410:24
ubuntu - er der nogen der har erfaring med dette? Af Uvanga i Linux 10 27/04/202409:01 29/04/202411:54
Dual boot mac Af Braindead mac user i Linux 5 25/04/202411:11 01/05/202412:03
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
39 min siden LibreOffice blokeres ved start Af Nobbernitte i Office & Kontorpakker
I går 12:26 4 GB Ram er blevet væk Af Marianne Tidemann i PC
I går 12:24 strømforsyning Af Shamanji i Andet software
24/0720:17 vlc viser kegle-icon Af casablanca i Andet software
24/0714:01 Oprette / gemme et par fotos i en mappe - Samsung Galaxy A 14 5G ? Af Ikke-ekspert i Mobiltelefoner
White papers
Flere white papers »


Premium
Teaser billede
Tidligere Tradeshift-CEO Christian Lanng skyder tilbage efter sexslave-anklager: Deler dagbøger og private beskeder
Læs mere »
”Det største it-nedbrud i historien” lammede store dele af verden: CrowdStrike giver nu kunder en kop kaffe som undskyldning
Top-CIO Rasmus Lundgaard Pedersen balancerer hele tiden mellem to poler
5.000 flyafgange i verden blev aflyst som følge af Crowdstrike-nedbrud: Vil Københavns Lufthavn søge erstatning?
Se alle »
Computerworld
Teaser billede
Microsoft-nedbrud spreder sig: It-systemer i lufthavne verden over er ramt
Læs mere »
Test: Denne mikro-pc er smartere end de stærkeste desktop-maskiner - men flopper alligevel
Elon Musk dropper CrowdStrike efter kæmpe nedbrud
Hundredevis af flyafgange ramt af stort Microsoft-nedbrud
Se alle »
CIO
Teaser billede
Microsoft er på sagen: I gang med at løse kæmpe nedbrud efter katastrofal Crowdstrike-fejl
Læs mere »
Så mange Microsoft-enheder blev ramt af gigantisk Crowdstrike-koks
Telenor skrotter ældre it-system: Nyt system er en hyldevare
Derfor står Danske Bank foran en kæmpe AWS-transformation: Ellers skulle vi bygge en ny infrastruktur for at følge med
Se alle »
Job & Karriere
Teaser billede
Efter 12 år er NNIT's hovedkvarter i Søborg nu ryddet og tomt - alle arbejder hjemme: "Det er med et vist vemod"
Læs mere »
Norlys skal splittes op i fem selskaber: Nu bliver flere ansatte og ledere fyret
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
KMD-direktør forlader selskabet: Det skal hun nu
Se alle »
White paper
Teaser billede
Guide: Sådan udvikler du en moderne netværksstrategi
Læs mere »
Sådan: Sikker, hurtig og fleksibel storage til dine kritiske data
Sådan får du overblik og beskytter dine cloudapplikationer
Rapport kortlægger de 13 bedste muligheder for at sætte turbo på din cloud computing
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »