Hvis det skal virke, så skal det netop være en "router" du opsætter - altså ingen nat/iptables, men en ren router - og sikkerhed etableres direkte på maskinerne i dmz.
Jeg bruger ikke iptables på den (endnu) Iperne er kun sat op på de 3 netkort.
Men aligevel kan jeg fint komme på nettet via de eksterne ip adresser. Findes der ikke en eller anden form "route add" til linux som kan få det til at spille ??
Jeg har smidt en maskine på DMZ kortet med en ip 80.x.x.106 som bruger 80.x.x.105 som gateway..
Jo, der findes en normal routing daemon. Hvilken linux distribution?
Du kan fint bruge kommandoen "route add" og "netstat -r", men hvis det er redhat, så findes også et grafisk interface (netkonfig) via desktoppen.
Eftersom du kan komme ud på nettet fra 80...105, så har du jo allerede etableret et eller andet - proxy (squid)? Hvordan kontrollerer du afsender adressen?
Desuden skal du enable routning i kernen - redhat:/etc/sysctl.conf # Enables packet forwarding net.ipv4.ip_forward = 1
Det grafiske interface genererer en lille fil, som udnyttes af ifup-routes:
#note the trailing space in the grep gets rid of aliases grep "^$DEVICE[[:space:]]" /etc/sysconfig/static-routes | while read device args; do /sbin/route add -$args $device done grep "^any[[:space:]]" /etc/sysconfig/static-routes | while read ignore args ; do /sbin/route add -$args done
Jeg bruger Redhat til min router. ipforward er slået til, men nej jeg bruger ikke nogen form for proxy for at komme på nettet. Det virker bare ved at sætte iperne ip og sætte ipforward = 1
Jeg trækker så mit svar tilbage - det burde virke korrekt hvis du ikke har etableret nat (f.eks. vha. firewall under installation).
Jeg bruger selv rh som firewall, men netop med iptables, så al trafik er netop repræsenteret af yderside.
Under alle omstændigheder vil du løbe ind i samme problem, når du begynder at etablere sikkerhed (jeg kører 10.0.0.0 på lan og tdc ip på yderside) - det skal være en officiel adresse som kommer ud.
Måske er det netop tdc (eller anden udbyder) som er årsagen. Hvad har du for en opkobling - har du retur-routning til din linux-boks? hvordan komtrollerer du din ip?
Hvis du bruger f.eks. tdc internet/adsl og checker din adresse i den store verden, så SKAL det være din yderside. Til gengæld skal det være din inderside (80) adresse, hvis du kontrollerer på dit lan.
Jeg trækker selv mit svar tilbage. Efter en genstart og kun enable ipforward, så viser den fint den eksterne ip adresse, og ikke wan siden på routeren.
Lige så snart jeg skriver $IPTABLES -A POSTROUTING -t nat -o eth0 -j MASQUERADE
Så repræsentere alle ip fra både DMZ og lokal lan som den samme ip på wan siden.
Wierd .. findes der en måde så den kun laver en masquerade fra eth0 til eth2, og ikke fra eth0 til eth1 og eth2.
Konfigurer scriptet - kør det - og lav en "service iptables save" - så er det permanent gemt i RH - tilret script - kør igen - kør en save igen - og alt er igen gemt.
Jeg har brugt dette script i 1 år nu - og det virker fantastisk
forresten, så virker ! også - hvis alt undtagen dit 80...-net skal masq, så kan du bruge -s ! 80.../255.255.255.224 (i det rigtige svar omkring den rå iptables kommando)
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
