Avatar billede rubber Nybegynder
22. november 2002 - 12:10 Der er 37 kommentarer og
3 løsninger

kan ikke route trafikken igennem min linux maskine!

Jeg har en linux maskine som jeg prøver at route trafik igennem, men det lykkes ikke.

Opstilling.

Router (SpeedStream)  RH Linux 2netkort    Windowsmaskine
192.168.3.1 <------->192.168.3.2 192.168.3.3 192.168.3.6
                      eth0        eth1

Dette er min route.

Kernel IP routing table
Destination    Gateway        Genmask        Flags Metric Ref    Use Iface
192.168.3.1    *              255.255.255.255 UH    0      0        0 eth0
192.168.3.3    *              255.255.255.255 UH    0      0        0 eth1
192.168.3.2    *              255.255.255.255 UH    0      0        0 eth0
192.168.3.0    *              255.255.255.0  U    0      0        0 eth1
192.168.3.0    *              255.255.255.0  U    0      0        0 eth1
127.0.0.0      *              255.0.0.0      U    0      0        0 lo
default        192.168.3.1    0.0.0.0        UG    0      0        0 eth0

echo "1" > /proc/sys/net/ipv4/ip_forward er sat.

Håber en kan hjælpe mig med det.
Avatar billede jensendk Nybegynder
22. november 2002 - 12:12 #1
Begge dine netkort er på samme subnet.. ret dit ene  subnet til noget andet.
Avatar billede montimer Nybegynder
22. november 2002 - 12:20 #2
har de faaet sat iptables korrekt saa du ogsaa kan modtage et svar?
Avatar billede rubber Nybegynder
22. november 2002 - 12:39 #3
iptables så vidt jeg ved sat rigtigt op.

Jeg skal lige hitte ud af hvordan jeg retter i route tablen. Så skal jeg nok kommer med et svar.
Avatar billede dank Nybegynder
22. november 2002 - 13:08 #4
hvilken ip er din red har maskine?

Og hvorfor er der en route for hver maskine?

Og må vi se din iptables

Og i grunden er det somregel unødvendigt at rode med routes
Avatar billede dank Nybegynder
22. november 2002 - 13:10 #5
Men din default gateway ser mystisk ud..
Avatar billede rubber Nybegynder
22. november 2002 - 13:15 #6
iptables har jeg fået et andet sted fra som virker men her er det.

#!/bin/bash
# firewall
#
# Starter, stopper og restarter firewall
#
#          ----------------------------------------------------------------
#          |            ACCEPT/                              lo interface |
#          v          REDIRECT                  _______                  |
#  --> C --> S --> ______ --> D --> ~~~~~~~~ -->|FORWARD|----> _______ -->
#      h    a    |INPUT |    e    {Routing }  |Chain  |    |OUTPUT |ACCEPT
#      e    n    |Chain |    m    {Decision}  |_______| --->|Chain  |
#      c    i    |______|    a    ~~~~~~~~        |    | ->|_______|
#      k    t      |        s      |            |    | |    |
#      s    y      |        q      |            v    | |    |
#      u    |      v        e      v            DENY/  | |    v
#      m    |    DENY/      r  Local Process  REJECT  | |  DENY/
#      |    v    REJECT      a      |                  | |  REJECT
#      |  DENY              d      --------------------- |
#      v                      e -----------------------------
#    DENY
#
# Source networking configuration.
. /etc/sysconfig/network

# Check that networking is up.
[ ${NETWORKING} = "no" ] && exit 0

[ -f /sbin/iptables ] || exit 0

OUTSIDE_IP="192.168.3.2"
INSIDE_IP="192.168.3.3"
INSIDE_NET="192.168.3.6"
OUTSIDE_IF="eth0"
INSIDE_IF="eth1"
GATEWAY="192.168.3.1"
#GAEST=""

PROG_NAME=firewall
LOCK_FILE=/var/lock/subsys/$PROG_NAME

# See how we were called.
case "$1" in
  start)
    if [ -e $LOCK_FILE ]; then
      echo "$PROG_NAME already running."
      exit 1
    fi   
    touch $LOCK_FILE
    echo -n "Starting $PROG_NAME..."
    # Set proc sikkerhedsflag
    echo 1 > /proc/sys/net/ipv4/tcp_ecn
    echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
        echo 1 > /proc/sys/net/ipv4/tcp_syncookies
    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
    echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
    echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
    echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
        echo 1 > /proc/sys/net/ipv4/ip_forward
    # Hent moduler, der ikke bliver suget automatisk
    /sbin/modprobe -s ip_conntrack_ftp
    ### Set policies og flush gamle regler
        iptables -F
        iptables -t nat -F
    iptables -t mangle -F
    iptables -X
        iptables -P INPUT DROP
        iptables -P FORWARD DROP
        iptables -P OUTPUT ACCEPT
    # Input on local interface ok
        iptables -A INPUT -i lo -j ACCEPT
    iptables -A OUTPUT -o lo -j ACCEPT

    # Trafik paa hoeje porte og ICMP
        iptables -A FORWARD -p TCP -i $INSIDE_IF -j ACCEPT
        iptables -A FORWARD -p UDP -i $INSIDE_IF -j ACCEPT
        iptables -A FORWARD -p TCP -i $OUTSIDE_IF ! --syn --dport 1024: -j ACCEPT
        iptables -A FORWARD -p UDP -i $OUTSIDE_IF --dport 1024: -j ACCEPT
        iptables -A FORWARD -p ICMP -j ACCEPT
   
    # Accepter trafik mellem relaterede porte (ftp <> ftp-data)
    iptables -A FORWARD -p TCP -d $INSIDE_NET -m state --state ESTABLISHED,RELATED -j ACCEPT

    # FIREWALL
        iptables -A INPUT -p ICMP -j ACCEPT
        iptables -A INPUT -p TCP -d $INSIDE_IP ! --syn -j ACCEPT
        iptables -A INPUT -p UDP -d $INSIDE_IP -j ACCEPT
        iptables -A INPUT -p TCP -d $OUTSIDE_IP ! --syn -j ACCEPT
        iptables -A INPUT -p UDP -d $OUTSIDE_IP -j ACCEPT
    iptables -A INPUT -p UDP --sport 500 --dport 500 -j ACCEPT
    iptables -A INPUT -p 50 -j ACCEPT
    iptables -A OUTPUT -p 50 -j ACCEPT
    iptables -A INPUT -p 51 -j ACCEPT
    iptables -A OUTPUT -p 51 -j ACCEPT
        iptables -A INPUT -p TCP -d $INSIDE_IP --dport ssh -j ACCEPT
        iptables -A INPUT -p UDP -d $INSIDE_IP --dport ssh -j ACCEPT
   
   
#    iptables -A INPUT -p UDP --sport 68 --dport 67 -j ACCEPT
#    iptables -A INPUT -p TCP --sport 68 --dport 67 -j ACCEPT

    # Trovaerdige brugere
#    iptables -A FORWARD -p TCP -s $GAEST -j ACCEPT
#    iptables -A FORWARD -p UDP -s $GAEST -j ACCEPT
   
        echo "ok"
    ;;
  stop)
    if ! [ -e $LOCK_FILE ]; then
      echo "$PROG_NAME not running."
      exit 1;
    fi
    echo -n "Stopping $PROG_NAME ..."
        iptables -F
    iptables -F -t nat
        iptables -P INPUT ACCEPT
        iptables -P FORWARD ACCEPT
        iptables -P OUTPUT ACCEPT
        echo "ok"
    rm -f /var/lock/subsys/$PROG_NAME
        ;;
  restart|reload)
        $0 stop
        $0 start
        ;;
  status)
    if ! [ -e $LOCK_FILE ]; then
      echo "$PROG_NAME not running."
      exit 1;
    fi
        iptables -L
        ;;
  *)
        echo "Usage: $0 {start|stop|restart|reload|status}"
        exit 1
esac

exit 0
Avatar billede rubber Nybegynder
22. november 2002 - 13:16 #7
Min ifconfig ser således ud

eth0      Link encap:Ethernet  HWaddr 00:50:BF:E0:A3:8D
          inet addr:192.168.3.2  Bcast:192.168.3.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1857 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1806 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:275649 (269.1 Kb)  TX bytes:172468 (168.4 Kb)
          Interrupt:10 Base address:0xe000

eth1      Link encap:Ethernet  HWaddr 00:B0:02:00:25:E3
          inet addr:192.168.3.3  Bcast:192.168.3.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 b)  TX bytes:240 (240.0 b)
          Interrupt:9 Base address:0x2000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:8 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:560 (560.0 b)  TX bytes:560 (560.0 b)
Avatar billede rubber Nybegynder
22. november 2002 - 13:22 #8
jensendk:

Hvad hvis jeg ændre route tabellen til
Kernel IP routing table
Destination    Gateway        Genmask        Flags Metric Ref    Use Iface
192.168.3.1    *              255.255.255.255 UH    0      0        0 eth0
192.168.3.3    *              255.255.255.255 UH    0      0        0 eth1
192.168.3.2    *              255.255.255.255 UH    0      0        0 eth0
192.168.3.0    *              255.255.254.0  U    0      0        0 eth1
192.168.3.0    *              255.255.254.0  U    0      0        0 eth1
127.0.0.0      *              255.0.0.0      U    0      0        0 lo
default        192.168.3.1    0.0.0.0        UG    0      0        0 eth0

Og sætter min windows maskinen op til

IP 192.168.3.6
subnet 255.255.254.0
GW 192.168.3.1

Ville der gøre tricket?
Avatar billede dank Nybegynder
22. november 2002 - 13:30 #9
1: prøv et mere simpelt iptables script ---> http://iptables.linux.dk (mit eget projekt derfor er jeg 100% sikker på dette virker)

2: Default gateway undrer mig stadig. Maskinens egen gateway er jo ikke sig selv, men teledk

Men som sagt.. Det er slet ikke nødvendigt at rode med routes. Ikke i "normale" tilfælde imo.
Avatar billede dank Nybegynder
22. november 2002 - 13:31 #10
din default gateway skal vel værre noget i retning af

default        host.host.host 0.0.0.0        UG    0      0        0 eth0

Hvor host er din ISP eller din router. (speedstream)
Avatar billede rubber Nybegynder
22. november 2002 - 13:32 #11
prøver :)
Avatar billede rubber Nybegynder
22. november 2002 - 13:37 #12
dank kan jeg få dig til at logge ind på min firewall og fortælle mig hvor fejlen ligger.
Avatar billede rubber Nybegynder
22. november 2002 - 13:41 #13
ja en speedstream router fra TDC
Avatar billede rubber Nybegynder
22. november 2002 - 13:44 #14
Det er første gang jeg laver en firewall og har kigget på en der virker på arbejdet. Ham som har lavet firewallen arbejder der ikke mere så jeg kan ikke spørge ham.
Avatar billede dank Nybegynder
22. november 2002 - 13:46 #15
Har du prøvet at genere et script fra den webside som jeg gav linket til?

har du prøvet at ændre din default gateway til at pege på din router?
Avatar billede dank Nybegynder
22. november 2002 - 13:46 #16
ellers send mig en mail med login info.. jeg har dog først tid om et par timer, da jeg står og skal ud af døren

p.s. virket nettet fra selve firewallen/RedHat boksen?
Avatar billede rubber Nybegynder
22. november 2002 - 13:54 #17
Det eneste som ikke virker er at forwarde trafikken, alt andet kan jeg få til at virke.
Avatar billede langbein Nybegynder
22. november 2002 - 18:04 #18
Men som jensendk sier i det aller første innlegg:
"Begge dine netkort er på samme subnet.. ret dit ene  subnet til noget andet."
Og subnetmaske er 255.255.255.0 ...
Dette skulle da heller ikke kunne fungere ?
Dersom SpeedStream router kunne få 192.168.1.1,  192.168.2.1 eller  192.168.4.1 så kunne det vel fungere. Man kan vel ikke route fra og til det samme nettverksegment ??
Avatar billede langbein Nybegynder
22. november 2002 - 18:07 #19
Alternativt så kan speedstream stå slik som den er og så får LAN nummer i serien 192.168.1.x, 192.168.2.x eller 192.168.4.x serien eller hva som måtte passe med det øvrige.
Avatar billede langbein Nybegynder
22. november 2002 - 18:16 #20
Dine ip adresser kunne muliggens ha fungert med en annen subnetmaske enn 255.255.255.0 men å sette opp og route nettverk på denne måten er ofte ønødvendig komplisert. Har du mulighet til å skifte ip adresser slik at du får to adskilte nummerserier på hver side av routeren. Gi beskjed så legger jeg et par opplysninger til hvis du har mulighet til dette.

Noen flere av disse dataene bør event rettes:

OUTSIDE_IP="192.168.3.2"
INSIDE_IP="192.168.3.3"
INSIDE_NET="192.168.3.6"
OUTSIDE_IF="eth0"
INSIDE_IF="eth1"
GATEWAY="192.168.3.1"
Avatar billede langbein Nybegynder
22. november 2002 - 18:25 #21
Her står det ellers en del interressant å lese om iptables og firewalls for den som måtte være interessert:
http://www.sns.ias.edu/~jns/
http://www.sns.ias.edu/~jns/security/iptables/index.html
http://www.sns.ias.edu/~jns/security/iptables/iptables_conntrack.html
Avatar billede langbein Nybegynder
22. november 2002 - 18:39 #22
Avatar billede langbein Nybegynder
22. november 2002 - 18:59 #23
Dersom ipadressene hadde vært satt rett så skulle dette "normalt" ha gitt tilstrekkelig åpning i forwarding chains:



    # Trafik paa hoeje porte og ICMP
        iptables -A FORWARD -p TCP -i $INSIDE_IF -j ACCEPT
        iptables -A FORWARD -p UDP -i $INSIDE_IF -j ACCEPT
        iptables -A FORWARD -p TCP -i $OUTSIDE_IF ! --syn --dport 1024: -j ACCEPT
        iptables -A FORWARD -p UDP -i $OUTSIDE_IF --dport 1024: -j ACCEPT
        iptables -A FORWARD -p ICMP -j ACCEPT
   
    # Accepter trafik mellem relaterede porte (ftp <> ftp-data)
    iptables -A FORWARD -p TCP -d $INSIDE_NET -m state --state ESTABLISHED,RELATED -j ACCEPT
Avatar billede langbein Nybegynder
22. november 2002 - 19:12 #24
På den annen side så finnes ikke kall til den kernel modul som skal støtte for
-m state --state ESTABLISHED,RELATED så viss ikke denne allerede er lastet som default ...

modprobe ip_conntrack

Det er heller ikke satt opp noen DNAT eller noen SNAT altså ingen ting som skulle sette opp den trafikken som filter rules skulle forholde seg til ..

Litt spesielt  .... Litt uvanlig og spesielt, men det kunne vel faktisk kanskje fungere og da med de ipadreesene som allerede er, men da med en annen subnettmaske enn 255.255.255.0 Dette virker som et uvanlig firewall design, men det virker gjennomtenkt ..

For en firewall løsning som fungerer "på vanlig måte" og med korekt eller okløsning for statefeull inspection gå til danks firewall generator:
http://iptables.linux.dk Anbefales !
Avatar billede langbein Nybegynder
22. november 2002 - 19:14 #25
Og sett opp ip adressene i nummerserier slik som allerede foreslått !!
Avatar billede langbein Nybegynder
22. november 2002 - 20:52 #26
For å oppsummere litt, for dette ble litt rotete da jeg mener å ha oppdaget tingene sånn litt etter hvert:

1. Scriptet over er ikke satt opp som et standard firewall script med nat. I stedet ser det ut som man benytter et prinsipp om opdeling i subnettverk "i den samme nummerserie". Dette kan kjøre dersom man finner fram til den riktige subnett maske som ikke kan være 255.255.255.0 Det at firewall ikke kan forwarde er sånn sett ikke utrykk for at en liten feil men grunnleggende ting som ikke fungerer.

2. Det er sansynligvis mulig å finne fram til en "rett" subnettmaske som får scriptet til å fungere, men dersom man gjør det så har man et script kjørende som er satt opp til å fungere forskjellig fra de fleste andre script. Dette kan gjøre feilsøking og vedlikehold litt problematisk. Dersom du finner fram til rett subnettmaske så er det sannsynligvis ikke nødvendig å skifte ut ip adressene slik som jeg foreslo først.

3. Et annet alternativ er å skifte ut ip adressene, bruke en nettverksmaske 255.255.255.0 og å lage noen andre små endringer i firewall som er i samsvar med dette, dvs bla å få på plass nat / masquerading.

4. Siste alternativ er sansyligvis det klart enkleste. Lag et nytt script med dank sin script generator. Dette vil sansynligvis medføre at du får nat/masquerading i to nivåer, først i speed stream router og der etter en gang til i Linux maskin. Dette kan fungere helt ok og 100 % bra. "Bruker en slik "dobbelt masquerading" selv og det fungerer uten problemer.)
Avatar billede langbein Nybegynder
22. november 2002 - 20:53 #27
.. og i forbindelse med dank sitt script da behøves også de nye ip adressene ..
Avatar billede rubber Nybegynder
22. november 2002 - 22:37 #28
Tak for Jeres henvendelser og i må undskylde at jeg ikke havde skrevet tilbage før nu (fik gæster :-)). Men nu vil jeg prøve noget af alt det I skriver.
Avatar billede dank Nybegynder
22. november 2002 - 22:39 #29
kom til at tænke på om TDC "netexpress" ikke benytter PPPOE når man skal connecte? For så kan du ikke "bare smide ledningen direkte" i eth0

Så kræver det et eller andet logon script til PPPOE

Men jeg vil stadig anbefale at køre helt udenom speedstream tingesten. Iptables er jo både Router og Firewall i et og samme.
Avatar billede langbein Nybegynder
23. november 2002 - 12:48 #30
Bruker et tilsvarende oppsett med Netopia ADSL modem/router/firewall etterfulgt av en Linux router/firewall. Har ikke oppdaget noen ulemper med dette, snarere tvert i mot. Det fungerer bra.
Avatar billede langbein Nybegynder
24. november 2002 - 15:48 #31
Hei Rubber ! Har testet ditt script og fått det til å virke etter noen små endringer:

#!/bin/bash

# firewall
#
# Starter, stopper og restarter firewall
#
#         
# ----------------------------------------------------------------
#          |            ACCEPT/                            lo interface
#          v          REDIRECT                _______                |
#  --> C --> S --> ____-->  D--> ~~~~~~~~ -->|FORWARD|----> _______ -->
#      h    a    |INPUT |  e    {Routing }  |Chain  |    |OUTPUT |ACCEPT
#      e    n    |Chain |  m    {Decision}  |_______| --->|Chain  |
#      c    i    |______|  a    ~~~~~~~~        |    | -> |_______|
#      k    t      |        s      |            |    | |    |
#      s    y      |        q      |            v    | |    |
#      u    |      v        e      v            DENY/ | |    v
#      m    |    DENY/      r  Local Process  REJECT  | |  DENY/
#      |    v    REJECT    a      |                  | |  REJECT
#      |  DENY              d      ---------------------|
#      v                      e -----------------------------
#    DENY
#
# Source networking configuration.
. /etc/sysconfig/network

# Check that networking is up.
[ ${NETWORKING} = "no" ] && exit 0

[ -f /sbin/iptables ] || exit 0


# Source networking configuration.
. /etc/sysconfig/network

# Check that networking is up.
[ ${NETWORKING} = "no" ] && exit 0

[ -f /sbin/iptables ] || exit 0

### Adresser endret, Langbein

OUTSIDE_IP="10.0.0.2"
INSIDE_IP="192.168.0.1"
INSIDE_NET="192.168.0.0"
OUTSIDE_IF="eth0"
INSIDE_IF="eth1"
GATEWAY="10.0.0.1"
#GAEST=""

PROG_NAME=firewall
LOCK_FILE=/var/lock/subsys/$PROG_NAME

# See how we were called.
case "$1" in
  start)
    if [ -e $LOCK_FILE ]; then
      echo "$PROG_NAME already running."
      exit 1
    fi   
    touch $LOCK_FILE
    echo -n "Starting $PROG_NAME..."
    # Set proc sikkerhedsflag
    echo 1 > /proc/sys/net/ipv4/tcp_ecn
    echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
        echo 1 > /proc/sys/net/ipv4/tcp_syncookies
    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
    echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
    echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
    echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
        echo 1 > /proc/sys/net/ipv4/ip_forward
    # Hent moduler, der ikke bliver suget automatisk
    /sbin/modprobe -s ip_conntrack_ftp
    ### Set policies og flush gamle regler
        iptables -F
        iptables -t nat -F
    iptables -t mangle -F
    iptables -X
        iptables -P INPUT DROP
        iptables -P FORWARD DROP
        iptables -P OUTPUT ACCEPT
    # Input on local interface ok
        iptables -A INPUT -i lo -j ACCEPT
    iptables -A OUTPUT -o lo -j ACCEPT

# Trafik paa hoeje porte og ICMP
        iptables -A FORWARD -p TCP -i $INSIDE_IF -j ACCEPT
        iptables -A FORWARD -p UDP -i $INSIDE_IF -j ACCEPT
        iptables -A FORWARD -p TCP -i $OUTSIDE_IF ! --syn --dport 1024: -j ACCEPT
        iptables -A FORWARD -p UDP -i $OUTSIDE_IF --dport 1024: -j ACCEPT
        iptables -A FORWARD -p ICMP -j ACCEPT

  # Accepter trafik mellem relaterede porte (ftp <> ftp-data)
  # Endret litt Langbein
    iptables -A FORWARD -i INSIDE_IF -m state --state ESTABLISHED,RELATED -j ACCEPT

    # FIREWALL
        iptables -A INPUT -p ICMP -j ACCEPT
        iptables -A INPUT -p TCP -d $INSIDE_IP ! --syn -j ACCEPT
        iptables -A INPUT -p UDP -d $INSIDE_IP -j ACCEPT
        iptables -A INPUT -p TCP -d $OUTSIDE_IP ! --syn -j ACCEPT
        iptables -A INPUT -p UDP -d $OUTSIDE_IP -j ACCEPT
        iptables -A INPUT -p UDP --sport 500 --dport 500 -j ACCEPT
        iptables -A INPUT -p 50 -j ACCEPT
        iptables -A OUTPUT -p 50 -j ACCEPT
        iptables -A INPUT -p 51 -j ACCEPT
        iptables -A OUTPUT -p 51 -j ACCEPT
        iptables -A INPUT -p TCP -d $INSIDE_IP --dport ssh -j ACCEPT
        iptables -A INPUT -p UDP -d $INSIDE_IP --dport ssh -j ACCEPT

    # Endring, Langbein

        iptables -A INPUT -p UDP --dport 53 -j ACCEPT
        iptables -A INPUT -p TCP --dport 80 -j ACCEPT 
   
   
#    iptables -A INPUT -p UDP --sport 68 --dport 67 -j ACCEPT
#    iptables -A INPUT -p TCP --sport 68 --dport 67 -j ACCEPT

  # Trovaerdige brugere
#    iptables -A FORWARD -p TCP -s $GAEST -j ACCEPT
#    iptables -A FORWARD -p UDP -s $GAEST -j ACCEPT

#####  Her følger en endring fra Langbein !!

      iptables -t nat -A POSTROUTING -o $OUTSIDE_IF -j MASQUERADE
   
        echo "ok"
    ;;
  stop)
    if ! [ -e $LOCK_FILE ]; then
      echo "$PROG_NAME not running."
      exit 1;
    fi
    echo -n "Stopping $PROG_NAME ..."
        iptables -F
    iptables -F -t nat
        iptables -P INPUT ACCEPT
        iptables -P FORWARD ACCEPT
        iptables -P OUTPUT ACCEPT
        echo "ok"
    rm -f /var/lock/subsys/$PROG_NAME
        ;;
  restart|reload)
        $0 stop
        $0 start
        ;;
  status)
    if ! [ -e $LOCK_FILE ]; then
      echo "$PROG_NAME not running."
      exit 1;
    fi
        iptables -L
        ;;
  *)
        echo "Usage: $0 {start|stop|restart|reload|status}"
        exit 1
esac

exit 0
Avatar billede langbein Nybegynder
24. november 2002 - 15:51 #32
Har ikke testet alle funsjoner, dette ser forresten galt ut:
# Endret litt Langbein
    iptables -A FORWARD -i INSIDE_IF -m state --state ESTABLISHED,RELATED -j ACCEPT

Det skulle vel vært OUTSIDE_IF ?
Avatar billede langbein Nybegynder
24. november 2002 - 15:53 #33
Dette er satt til pga min egen webserver + DNS server på firewall maskin:

# Endring, Langbein

        iptables -A INPUT -p UDP --dport 53 -j ACCEPT
        iptables -A INPUT -p TCP --dport 80 -j ACCEPT 

Kan eventuelt tas vekk.
Avatar billede langbein Nybegynder
24. november 2002 - 16:16 #34
MEN, MEN, MEN ...

Firewall scriptet over ser ut til å være bygget over grunnleggende design og funsjonsfeil, selv om det altså "fungerer".

Feilen ligger i den måte som de ulike firewall chains et forutsatt å skulle fungere sammen på. Dette er ellers en ganske vanlig feil som går igjen i mange iptables firewall script man kan finne rundt om på webben.

Tidligere Linux cernels hadde en slik funsksjonalitet og en slik dataflow som det firewall script over ser ut til å forutsette, der det faktisk skjedde en dobbelt filtrering, først gjennom input chain og så gjennom forwarding chain.

I cernel 2.4.x og ved bruk av iptables, så er ikke lengere de to firtering chains "seriekoplet" slik som scriptforfatteren faktisk har tegnet inn i sin figur. I dag så kjører de to filtering cahains paralelt ved siden av hverandre slik at input chain ikke gir noen filtreing av trafikken gjennom forwarding chain, dvs at trafikken utenfra til lan kanskje blir kjørende uten filtreing hvis filteing rules er lagt til input chain.

Man skulle kansjje tro at dette var meget galt, men tja ...

Når man benytter invendige lokale adresser i nummerserien for interne adresser, så er disse i utgangspunktet ikke routbare over internett, det vil si at det i utgangspunktet ikke er mulig å nå fram til disse adressene via internett. I dette ligger en del beskyttelse. 

Scriptet over kan vel sånn sett brukes ?!

Vil anbefale at scriptet over brukes for uttesting av hvordan en firewall kan virke men at det mer permanente scriptet blir laget med utgangspunkt i danks "firewall generator" der det hele blir satt opp "riktig" fra bunnen av.

http://iptables.1go.dk/

Scriptet over inneholder ellers mange veldig interesante detaljer, for eksempel start og stop og andre ting som man eventuelt kunne ta med seg over i et annet script for eksempel det scriptet som blir laget av firewall generator.
Avatar billede langbein Nybegynder
24. november 2002 - 16:22 #35
Dette er feil:

#  --> C --> S --> ____-->  D--> ~~~~~~~~ -->|FORWARD|----> _______ -->
#      h    a    |INPUT |  e    {Routing }  |Chain  |    |OUTPUT |ACCEPT
#      e    n    |Chain |  m    {Decision}  |_______| --->|Chain  |
#      c    i    |______|  a    ~~~~~~~~        |    | -> |_______|
Avatar billede langbein Nybegynder
24. november 2002 - 16:35 #36
Avatar billede rubber Nybegynder
27. november 2002 - 15:55 #37
Først vil jeg lige sige mange tak for alt Jeres hjælp. Det virker nu.

1. Selve hardwaren var syg i min linux maskine, så da jeg prøvede det samme på en anden maskine virkede det. ØV.

2. For det andet fandt jeg en smart detalje så firewallen blev transperant på samme netværk. eth0 = ydre net og eth1 = indre net

192.168.3.3 0.0.0.0        255.255.255.255 UH    0      0        0 eth1
192.168.3.2 0.0.0.0        255.255.255.255 UH    0      0        0 eth0
192.168.3.1 0.0.0.0        255.255.255.255 UH    0      0        0 eth0
192.168.3.0 0.0.0.0        255.255.255.0  U    0      0        0 eth1
192.168.3.0 0.0.0.0        255.255.255.0  U    0      0        0 eth1
127.0.0.0  0.0.0.0        255.0.0.0      U    0      0        0 lo
0.0.0.0    192.168.3.1    0.0.0.0        UG    0      0        0 eth0

Dernæst kan man oprette en fil /etc/ethers som bruges til arp.
Her opgiver man hvad for nogle ip-addresser som interfacet skal svare på.

# INSIDE 00:50:50:22:02:ac
192.168.1.2 00:50:50:22:02:ac pub
192.168.1.1 00:50:50:22:02:ac pub

# OUTSIDE 11:33:e8:1c:e5:e3
192.168.1.0 11:33:e8:1c:e5:e3 pub
192.168.1.3 11:33:e8:1c:e5:e3 pub
192.168.1.4 11:33:e8:1c:e5:e3 pub
192.168.1.5 11:33:e8:1c:e5:e3 pub
192.168.1.6 11:33:e8:1c:e5:e3 pub
192.168.1.7 11:33:e8:1c:e5:e3 pub
192.168.1.8 11:33:e8:1c:e5:e3 pub
192.168.1.9 11:33:e8:1c:e5:e3 pub

Det virkede.
Avatar billede rubber Nybegynder
27. november 2002 - 15:57 #38
Speciel skal TAK til dank!
Avatar billede rubber Nybegynder
27. november 2002 - 16:01 #39
Speciel TAK skal dank have!
Avatar billede dank Nybegynder
28. november 2002 - 09:10 #40
jamen det er fint det virker nu. Synes også det var ret underligt, men hvis det var hardwaren er der jo ikke noget at sige til det :)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester