iptables åbne for alle porte mellem 2 net

Denne åpner absoultt alle porter inklusive for trafikk inn til kernel på firewall maskin, altså helt åpen firewall:

#!/bin/bash

# Reset chains
iptables -F
iptables -t nat -F
iptables -t mangle -F

# Sette policies (default rules):
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

Hvis du vil beskyte for trafikk inn til kernel så kan du endre den slik:

#!/bin/bash

# Reset chains
iptables -F
iptables -t nat -F
iptables -t mangle -F

# Sette policies (default rules):
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT


Det finnes 100 varianter over dette temaet. Her er det i grunne satt åpent for full gjennomstrømning i begge "router retninger".

Det kan stort sett lages alle mulige andre varianter ut av dette ut fra litt mere presise systemkrav. Statefull inspection står for eksempel ikke spesifisert og det står heller ingen ting om at det skal brukes nat/felles ekstern ip. Dette kan selvfølgelig settes opp / formuleres inn hvis det er ønskelig. Ellers en "selvbetjeningsbutikk for script" her:
http://iptables.1go.dk

I overskriften så ser det ut som øneket er en symetrisk åpne trafikk mellom to nettverk uten nat:

"iptables åbne for alle porte mellem 2 net"

Svaret er i samsvar med dette.

"Jeg står og skal have åbnet fra eth0 nettet til nettet på eth1 for alle porte"

Dette kan jo tyde på at man øneker en usymetrisk trafikk åpning fra eth0 til eth1 men ikke omvendt.

Hvis det skal fungere på en annen måte, for eksempel "usymterisk" og med nat, så legg beskjed !!

Eller .. hvis det ikke fungerer .. legg gjerne en litt mere utdypende praktisk beskrivelse av det som skal fungere.

langbein >> Jeg har 3 netkort i maskinen, jeg har et netkort mod internettet (eth1) der skal være helt lukket (her har jeg allerede et regelsæt) men fra min dmz til lan (eth0+eth1) skal jeg have åbnet for alle porte... how to do ?

jeg har selv løst det
Løsningen var flg:
iptables -A FORWARD -i <dmz eth> -o <intern eth> -m state --state NEW -j ACCEPT

Du mangler tcp returtrafikken. Denne må vel være satt til noe slikt som "established, related" dersom stateful inspection skal fungere. Det vil normalt ikke være nok å åpne for trafikk kun den ene vei.