03. marts 2003 - 09:12Der er
9 kommentarer og 1 løsning
Beskrivelse af Iptabels !!!
Hej...
Ønsker en beskrivelese af de forskellige linje i mit script !!!
#!/bin/sh
# DMZ
WAN_IP=192.168.1.145 # IP WAN_NET=192.168.1.0/24 # Netvaerk WAN_NIC='eth0' # Enhedsnavn
# LAN
LAN_IP=172.17.0.1 # IP LAN_NET=172.17.0.0/16 # Netvaerk LAN_NIC='eth1' # Enhedsnavn LAN_EXCHANGE=172.17.0.2 # IP paa Intern Exchange Server
# DMZ
DMZ_IP=192.168.10.1 # IP DMZ_NET=192.168.10.0/24 # Netvaerk DMZ_NIC='eth2' # Enhedsnavn DMZ_WEB=192.168.10.2 # IP paa WEB Server DMZ_FTP=192.168.10.2 # IP paa FTP Server DMZ_MAIL=192.168.10.2 # IP paa Mail
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT
iptables -F iptables -t nat -F iptables -N stat
iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -s $DMZ_MAIL -j ACCEPT #iptables -A FORWARD -j ACCEPT #iptables -A OUTPUT -j ACCEPT
iptables -A INPUT -p icmp -s 192.168.1.0/24 -j ACCEPT
# STATEFULL
iptables -A stat -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A stat -m state --state NEW -i eth1 -j ACCEPT iptables -A INPUT -j stat iptables -A FORWARD -j stat
Hvis du læser "man iptables" (hvilket du ikke har gjort?) forklarer den det meget godt. Lad mig lige klippe lidt ud fra manualsiden:
-A, --append chain rule-specification Append one or more rules to the end of the selected chain. When the source and/or destination names resolve to more than one address, a rule will be added for each possible address combination.
iptables -A stat -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A stat -m state --state NEW -i eth1 -j ACCEPT
Denne lager en ny chain som heter stat: iptables -N stat
Denne skulle vel hatt som hovedregel / policy at den skulle vaert stengt. Finner ikke det noen steder, men det vil vel virke default slik vil jeg tro.
Disse to: iptables -A stat -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A stat -m state --state NEW -i eth1 -j ACCEPT
Soerger for aa lage 2 stk aapninger i den nye definerte chain som heter stat.
Den foerste sier "aapne stat for all etablert trafikk og all trafikk som er relatert til det etablerte". Dette er eksempel paa bruk av den del av regelsettet som hoerer med til "statefull inspection".
Den neste sier "aapne for all ny trafikk" dvs den som ikke er relatert til tidligere trafikk. Ogsaa en del av regelsettet tilhoerende statefull inspection.
Saa vidt jeg jksn se saa er regelsettet for statefull inspection brukt feil slik at den firewall man har satt opp kommer til aa lekke som en sil. (Fordi man samtidig aapner for all ny og all "gammel" trafikk. Da blir det vel ingen firewalling eller filtrering tilbake ? Det hele staar jo aapent.
Det er ikke riktig slik som jeg ser det at regelsettet rundt statefull inspection er saerlig utdypende forklart pa man siden.
Synes ikke at det er riktig aa si at man kan slaa opp paa man siden og finne ut det hele selv.
Disse to tingene har egentlig ikke noe med selve firewalling funksjonen aa gjoere.
POSTROUTING brukes naar man skal lage en delt internettforbindelse ut. Maaten dette gjoeres paa er at alle ip pakker faar en felles ekstern avsender ip naar de paserer ut til internett. Mekanismen bak dette beskrives av postrouting setningen.
Hentet fra scriptet over: iptables -t nat -A POSTROUTING -s 172.17.0.0/16 -d 192.168.10.0/24 -j SNAT --to $LAN_IP
Dette ser litt halt merkelig ut synes jeg. Ser ogsaa at det foelger 3 snat setninger etterpaa. Fungerer dette virkelig ???!! (Man bruker vanligvis bare en snat setning for en delt internettforbindelse.)
PREROUTING
Dette benyttes til aa sende ip pakker inn til en intern server.
Fra scriptet over: iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to $DMZ_WEB:80
Denne siste ser helt grei ut. "Send alle pakker som kommer inn paa eth0 og som har addresseert port 80 videre til ip for DMZ_WEB.
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
