Iptables firewall.. lidt hjælp

Her kan du hente et dokument, der bl.a. indeholder en tutorial der på bedste vis forklare IPTables opsætning of de forskellige entries

http://www.giac.org/practical/Peter_Vestergaard_GCFW.zip

Desværre, men det giver mig ikke nogle svar på noget som helst..

Her er der et link til at lave en IPtables. Sådan en slags multible choice. Den virker i hverfald, og der er du sikker på hvad der er lukket og åbent. Så kan du jo sammenligne.

Server: http://www.lowth.com/LinWiz/1.09/ServerFirewall/fw.pl/iptables
Workstation: http://www.lowth.com/LinWiz/1.09/PersonalFirewall/fw.pl/iptables

Taget fra mrmox2 artikel om samba

Med iptables -L -n kan du se de aktive regler. Hvis du paster output her så skal jeg sige dig om huller er lukket eller ej.. Det du har givet er nemlig ikke scriptet i sin fulde længde. Eventuelt er andre dele af det gemt i andre filer.

okay. SÅ finder jeg lige iptables -L -n frem...

kig på www.michaelsenonline.dk/upload/ipt.txt
Det er et meget stor fil:)

Men nu prøver jeg lige at lave en ny firewall med det overstående link...

hmm.. da jeg smed dette ind og genstartede iptables gik netværket ud til mine client computer døde.. de kunne ikke bruge internettet:

sådan her ser den ud:# Created: Sun Sep  5 10:15:29 2004
# By    : LinWiz://ServerFirewall, 1.09
# URL    : http://www.lowth.com/LinWiz/1.09
#
# This file is provided under the terms of the GNU General Public
# License which governs your rights to use and redistribute it, and
# highlights the fact that it is provided with NO WARRANTY what so ever.
# The full text of the license can be viewed on line at ..
#    http://www.lowth.com/LinWiz/1.09/COPYING.txt
# Do not use this file if you disagree with these terms.
#
#
# This facility is available free of charge. If you have found it
# useful, please consider helping to keep it free by using the
# www.lowth.com website as your gateway to Amazon.com or Amazon.co.uk
# when you buy books, music, computers etc from them. This costs you
# nothing extra - but Amazon pays Lowth.com a small commission on any
# purchases you make via this route. This goes to help funding the
# continued development of LinWiz and related tools.
#
# Please use the following links to get to the Amazon site
#
#  http://www.lowth.com/LinWiz/us-shop (USA and Canadian purchases)
#  http://www.lowth.com/LinWiz/uk-shop (UK and European)
#
# If you live elsewhere - just choose the one nearest to you.
#                    Thank You

IPTABLES=/sbin/iptables

# Flush, Init and Zero the 'built-in' chains

$IPTABLES -F INPUT; $IPTABLES -P INPUT ACCEPT; $IPTABLES -Z INPUT
$IPTABLES -F FORWARD; $IPTABLES -P FORWARD ACCEPT; $IPTABLES -Z FORWARD
$IPTABLES -F OUTPUT; $IPTABLES -P OUTPUT ACCEPT; $IPTABLES -Z OUTPUT

# Setup user-defined chains

$IPTABLES -X
$IPTABLES -N ADDRESS-FILTER;
$IPTABLES -N LINWIZ-INPUT;
$IPTABLES -N REJECT-PKT;
$IPTABLES -N SYN-FLOOD;

$IPTABLES -A INPUT -j LINWIZ-INPUT

######################################################################
# Allow all loopback interface traffic

$IPTABLES -A LINWIZ-INPUT -i lo -j ACCEPT

# Block all attempts to spoof the loopback address

$IPTABLES -A LINWIZ-INPUT -s 127.0.0.0/8 -j DROP
$IPTABLES -A LINWIZ-INPUT -d 127.0.0.0/8 -j DROP

# Block all attempts to spoof the local IP address

$IPTABLES -A LINWIZ-INPUT -s 80.196.247.167 -j DROP

# Block Syn Flood attacks

$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --syn -j SYN-FLOOD

# Ensure that TCP connections start with syn packets

$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp ! --syn -m state --state NEW -j DROP

# Allow session continuation traffic

$IPTABLES -A LINWIZ-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Allow ICMP ping requests from all hosts

$IPTABLES -A LINWIZ-INPUT -p icmp -m icmp --icmp-type ping -j ACCEPT

# Call the IP and MAC address filtering chain

$IPTABLES -A LINWIZ-INPUT -j ADDRESS-FILTER

# Allow selected TCP/IP and/or UDP services

$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --dport 20:22 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --dport 25 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --dport 80 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --dport 110 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --dport 139 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --dport 161 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --dport 194 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --dport 389 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --dport 411 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --dport 443 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --dport 465 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --dport 515 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --dport 636 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --dport 994:995 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --dport 1512 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --dport 6000:6002 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p udp -m udp --dport 53 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p udp -m udp --dport 123 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p udp -m udp --dport 137:138 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p udp -m udp --dport 161:162 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p udp -m udp --dport 177 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p udp -m udp --dport 411 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p udp -m udp --dport 1512 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p udp -m udp --sport 137:138 -j ACCEPT

# Block all other TCP/IP and UDP traffic

$IPTABLES -A LINWIZ-INPUT -j REJECT-PKT

######################################################################
# Syn flood filtering chain

$IPTABLES -A SYN-FLOOD -m limit --limit 1/s --limit-burst 4 -j RETURN
$IPTABLES -A SYN-FLOOD -j DROP

######################################################################
# Chain used to reject all TCP/IP, UDP and ICMP/PING packets

$IPTABLES -A REJECT-PKT -p tcp -m tcp -j REJECT --reject-with tcp-reset
$IPTABLES -A REJECT-PKT -p udp -m udp -j REJECT --reject-with icmp-port-unreachable
$IPTABLES -A REJECT-PKT -p icmp -m icmp --icmp-type ping -j REJECT --reject-with icmp-host-unreachable

######################################################################
# IP and MAC address filtering chain

$IPTABLES -A ADDRESS-FILTER -s 192.168.0.1 -j RETURN
$IPTABLES -A ADDRESS-FILTER -s 192.168.0.2 -j RETURN
$IPTABLES -A ADDRESS-FILTER -s 192.168.0.3 -j RETURN
$IPTABLES -A ADDRESS-FILTER -s 192.168.0.4 -j RETURN
$IPTABLES -A ADDRESS-FILTER -s 192.168.0.5 -j RETURN
$IPTABLES -A ADDRESS-FILTER -s 192.168.0.6 -j RETURN
$IPTABLES -A ADDRESS-FILTER -s 192.168.0.7 -j RETURN
$IPTABLES -A ADDRESS-FILTER -s 192.168.0.8 -j RETURN
$IPTABLES -A ADDRESS-FILTER -s 192.168.0.9 -j RETURN
$IPTABLES -A ADDRESS-FILTER -j REJECT-PKT

Din nuværende firewall:

1) Tillader alle former for udgående traffik (ACCEPT    all  --  0.0.0.0/0            0.0.0.0/0)

2) Fungerer som router og tillader traffik mellem 192.168.*.* og det offentlige net(ACCEPT    all  --  192.168.0.0/24      0.0.0.0/0)

3) Tillader traffik fra alle steder til ip range 80.196.247.160 - 80.196.247.176 på portene 110 (pop3), 25 (smtp), 31337, 20, 21, 22, 80, 443, 143, 67-68.
ACCEPT    tcp  --  0.0.0.0/0            80.196.247.160/28  tcp dpt:110
ACCEPT    udp  --  0.0.0.0/0            80.196.247.160/28  udp dpt:110
ACCEPT    tcp  --  0.0.0.0/0            80.196.247.160/28  tcp dpt:25
ACCEPT    udp  --  0.0.0.0/0            80.196.247.160/28  udp dpt:25
.
.

4) Din firewall tillader FXP
ACCEPT    tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spt:22 dpts:513:65535 flags:!0x16
/0x02 state RELATED
ACCEPT    tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spt:20 dpts:1023:65535 flags:!0x1
6/0x02 state RELATED

5) Din firewall lukker alle former for UDP pakker igennem til (næsten) alle porte.
ACCEPT    udp  --  0.0.0.0/0            80.196.247.160/28  udp dpts:1023:65535

Der kunne selvfølgelig godt strammes op. Feks på punkt 5. Du kan sammenholde det med outputtet af lsof -i (kræver at du installerer lsof pakken).

For at tillade traffik til en ny port, feks port 93 skal du tilføje følgende linje:
-A RH-Lokkit-0-50-INPUT --dport 93 -j ACCEPT
Ligemeget hvor, bare det står ovenfor ordet "COMMIT".

okay.
Jeg tror jeg hopper tilbage til den firewall som du lige har givet info omkring, hvordan får jeg gjort sådan så den ikke acceptere alle jævnfør dit punkt 1, for det kan jo ikke være godt, vel?

Det er som man ser på det.

Hvis du ønsker at begrænse hvad klienterne på dit net kan og ikke kan så skal du sætte policies i output chain. Men det betyder simpelthen at du så skal huske at sætte ALT hvad klienterne må kunne manuelt. Alt fra MSN, ICQ, ftp, www, DNS opslag, p2p, smb osv. Det er ofte ikke praktisk, og husk på at dette ikke er zone alarm. - Den kommer ikke med flinke beskeder om at "dette program vil gerne have lov at bruge nettet, klik på dit og dat hvis du vil tillade dette". Den lukker simpelthen bare, og brugeren sidder og klør sig i nakken over det.  Du skal have et formål med at lukke for outgoing, ellers giver det ingen mening.

Men kommandoerne kan jeg da godt give dig:
iptables -P OUTPUT DROP
for at ændre default policy i output til at smide pakkerne væk. I dit script vil det betyder en ændring af :OUTPUT ACCEPT [0:0] til :OUTPUT DROP [0:0]

For at tilføje en port på en remote server som en klient på dit net kan tilgå:
-A OUTPUT --dport 8080 -j ACCEPT
for at åbne for udgående til port 8080..

nu kan jeg ikke få gang i min iptables igen, selvom at jeg kopier den gamle iptables ind og så genstarten iptables. den vil ikke fører internette ud til clienter?? nogen bud`?

ja.. men det tager for lang tid at skrive. Bare prøv at genstarte maskinen.

Nei .. det store scriptet over mangler vel alle de tingene som skal til for å få til en routerfunksjon og en delt internettforbindelse. ??!! Ser ut til å være et "rent serverscript". Synes det er unødvendig kompisert laget slik at det blir veldig vanskelig å lese. Se ellers: http://iptables-script.dk/index1.php

Jeg har været lidt inde at se på den side langbein. Men, jeg kan ikke huske hvilket netkort der er hvad....
(har ikke været hjemme i et halv år og har slet ikke brugt computer i et halv år... så glemmer man helt automatisk nogle komandoer...)

skriv "ifconfig"
så hjælper det vel på hukommelsen =)

Nååååååååååå ja...
Nu ringer der klokker i hoved på mig:)

firewallen inde fra  http://iptables-script.dk  skal jeg køre det som et script altså sådan  ./iptables-script  eller kan jeg bare smide det færdige produkt ind i iptables og så gemme og genstarte???

Du kan kjøre scriptet for eksempel slik:

"bash <scriptnavn>"

Sjekke tatus:

"iptables -L" og "iptables -t nat -L"

Når man kjører scriptet på denne måten så vil firewaall være resatt til det opprinnelige ved neste booting.

Man kan event også sette opp tingene slik at scriptet kjøres automatisk ved oppstart.

okay..
det prøver jeg lige..
kender du evt noget til at lave en VPN server???
for min søster som bor laaaang væk skal nemlig gerne have adgang til mit privat net...
(der vanker ekstra points)

hmm.. nå jeg skriver bash "script navn" kommer den med dette:
: command not found
: command not found
: Ingen sådan fil eller filkatalog4/ip_forward
: command not found
: command not found
modprobe: Can't locate module ip_nat_ftp
modprobe: Can't locate module ip_conntrack_ftp
: command not found
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
: command not found
iptables: Bad policy name
iptables: Bad policy name
iptables: Bad policy name
: command not found
'ptables v1.2.7a: Invalid target name `MASQUERADE
Try `iptables -h' or 'iptables --help' for more information.
' (No aliases, :, ! or *).n interface `eth0
' specified.2.7a: invalid mask `24
Try `iptables -h' or 'iptables --help' for more information.
'ptables v1.2.7a: Invalid target name `ACCEPT
Try `iptables -h' or 'iptables --help' for more information.
: command not found
' specified.2.7a: invalid TCP port/service `80
Try `iptables -h' or 'iptables --help' for more information.
' specified.2.7a: invalid TCP port/service `21
Try `iptables -h' or 'iptables --help' for more information.
' specified.2.7a: invalid TCP port/service `110
Try `iptables -h' or 'iptables --help' for more information.
' specified.2.7a: invalid TCP port/service `25
Try `iptables -h' or 'iptables --help' for more information.
' specified.2.7a: invalid TCP port/service `22
Try `iptables -h' or 'iptables --help' for more information.
: command not found
'ptables v1.2.7a: Invalid target name `ACCEPT
Try `iptables -h' or 'iptables --help' for more information.
: command not found
: command not found
: Ingen sådan fil eller filkatalogv4/ip_forward

den kan da umuligt være godt

Fo å sjekke om iptables kjører, skriv "iptables -L" og se om det kommer en fornuftig listing.

Jeg ville ikke forsøkt å kjøre det store iptables scriptet over. Det er etter mitt syn for komplisert laget, dvs det har for mange feilkilder til at det er særlig praktisk å jobbe med.

Ville ha forsøkt et script fra iptables-script.dk Gir det også feilmeldinger ? Hva med "iptables -L" kommandoen ?

Bruker ellers "bash <scriptnavn>" på RedHat nesten hver dag, og det pleier da å fungere.

kan du ikke skrive helt nøjagtigt hvad du ville have gjort. nu har jeg lave en fil der hedder firewall og den ser sådan ud:

#!/bin/sh

# iptables script generator: V0.1-2002
# Comes with no warranty!
# e-mail: michael@1go.dk

# Diable forwarding
echo 0 > /proc/sys/net/ipv4/ip_forward

LAN_IP_NET='192.168.0.1/24'
LAN_NIC='eth0'
WAN_IP='80.196.247.167'
WAN_NIC='eth1'

# load some modules (if needed)
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# enable Masquerade and forwarding
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports on router for server/services
iptables -A INPUT -j ACCEPT -p tcp --dport 80
iptables -A INPUT -j ACCEPT -p tcp --dport 21
iptables -A INPUT -j ACCEPT -p tcp --dport 110
iptables -A INPUT -j ACCEPT -p tcp --dport 25
iptables -A INPUT -j ACCEPT -p tcp --dport 22

# STATE RELATED for router
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

Den er fra iptables-script
sidst der skrev jeg bash firewall og så skrev den alle de fejlmeldinger som skrevet oven over.
så omdøbte jeg firewall til iptables og skrev: bash iptables og så kom de samme fejl..
Den kører stadig med den "gamle" iptables som står aller øverst på siden.
kører jeg iptables -L får jeg en masse info. kan ses på www.michaelsenonline.dk/iptables-log.txt
Der fremgår det også at den sender internettet videre ud på det lokale net, men det gør den ikke..

Det er ingen som helst sammenheng mellom iptables log teksten og dette scriptet, slik at scriptet av en eller annen grunn ikke blir kjørt. Skulle tro at dette kanskje hadde noe med rettigheter å gjøre.

Når du forsøker å kjøre scriptet, er du da pålogget som "root" ?? (For det må man vel være..)

Scriptet ser jo ellers "riktig ut" sånn bedømt på "løst øyemål", dvs det har de funksjonene som behøves på en gateway server, hvis du nå bare fikk det til å kjøre ..

Kan jeg tage det produkt som iptables-script giver mig og smide ind i iptables og så genstart serveren????

(ja, jeg logget på som root)

Det kommer ikke til at køre:
modprobe: Can't locate module ip_nat_ftp
modprobe: Can't locate module ip_conntrack_ftp

Du mangler kernel modulerne for NAT og connection tracking for ftp. Husk på at iptables bare er et userspace program til at styre den mekanisme i kernel der hedder Netfilter. Visse dele af Netfilter kan som så mange andre ting i kernel laves som et eksternt modul som skal loades inden man kan benytte funktionen.

Du bliver nødt til enten at sikre dig at du har de nødvendige moduler ved feks at omkompilere kernel, eller at holde dig til scripts som ikke benytter disse specielle ting.

og husk iøvrigt chmod 755 script.txt før du forsøger at køre scripts..

Hi smp

There is an answer on your VPN question (assume your sister uses Windows??)

1.
Setup PPtP server on using static addresses (e.g. your sister will always get a predefined IP address based on user name).

Platform: RH 8.0

The firewall needs to be opened at: (that is the above firewall script mention in all the above ansvers).

# PPTP access note! it is only an ex.

/sbin/iptables -A INTERNET-PRIVATENETWORK -p tcp -d $VARIABLE --dport 47 -j ACCEPT
/sbin/iptables -A INTERNET-PRIVATENETWORK -p tcp -d $VARIABLE --dport 1723 -j ACCEPT
/sbin/iptables -A INTERNET-PRIVATENETWORK -p 47  -d $VARIABLE-j ACCEPT

Install following Mandrake RPM packages:
tcp_wrappers-7.6-22mdk.i586.rpm
ppp-2.4.1-2mdk
pptpd-server-1.0.1-1mdk

like this.
rpm -ivh tcp_wrappers-7.6-22mdk.i586.rpm
rpm -ivh ppp-2.4.1-2mdk
rpm -ivh pptpd-server-1.0.1-1mdk

Edit the /etc/pptpd.conf file to include:
speed 115200
debug
localip [your firewall ipaddress]

Edit /etc/ppp/chap-secrets to include.

# Username        Server    password        IP
#--------------------------------------------------------------
initials1      *      password                192.168.X.Y
initials2      *      password                192.168.X.Y
initials3      *      password                192.168.X.Y

Followings to into to /etc/ppp/options file:
debug
name [firewall hostname]
auth
require-chap
proxyarp
ms-dns [your firewall ipaddress]

-- THAT'S IT. --

2.

Connect with a windows/2000/XP client:

Setup the client as below.

Use the netvork connection wizard and select "setup a VPN connection" . As this will be a connection through the internet via ex. LAN --> Internet --> Firewall--> LAN.

type the hostname of the firewal or it's ipaddress

-Save the connection with a name e.g. VPNCONNECTION .

now scale down the MS authentication scheme, VPNCONNECTION properties and de-select the "require data-encryption" (located at the security tab) which will allow the client to connect.
Then go to networking tab and choose type of VPN --> PPtP.
furthermore remember to specify that the connection SHOULD NOT use the VPN as default gateway-(networking tab ---> internet prococol -->properties --> advanced the deselect(or else she'll use your firewall as her Default gateway..)

Kind regards
Camilla

Fra innlegg over:

"Det kommer ikke til at køre:
modprobe: Can't locate module ip_nat_ftp
modprobe: Can't locate module ip_conntrack_ftp"

Kommentar: Samtlige av de distribusjonene fra RedHat som jeg har testet dette på har hatt kernel moduler for ftp connection tracking. Testet dette på en RedHat server akkurat nå, og modulene loader helt fint.

For å teste ut dette så kan man godt kjøre kommando "modprobe ip_nat_ftp" og "modprobe ip_conntrack_ftp" fra shell. Normalt så skal dette gå helt fint og det skal ikke komme noen feilmeding. Der etter så kan man sjekke hvilke slike kernelmoduler man har kjørende via kommando "modprobe -l".

Disse to kernelmodulene er helt nødvendig for å få Linux til å natte en ftp forbindelse. Samtlige Linux firewall/routere som har ftp nat funksjonalitet benytter disse kernelmodulene. Grunnen til at loading av disse modulene ikke inngår i en del firewall script det er at disse to kernelmodulene allerede er loadet som standard i ganske mange Linux distribusjoner. Det skjer imidlertid ingen skade ved eventuelt å laste dem en gang til. Man kan selvfølgelig kjøre uten disse to modulene dersom man for eksempel har en spesiell kernel som er kompilert uten støtte for ftp nat. Da krysser man eventuelt bare ut de to setningene i firewall scriptet.

"Du mangler kernel modulerne for NAT og connection tracking for ftp." Har som nevnt tilgode å teste ut en RedHat fra 7.1-7.2-7.3-8.0-9.0-Fedora C1 og Fedora C2 som ikke har disse modulene på plass. Testet ut Core 2 via remoote shell akkurat nå.

"Du bliver nødt til enten at sikre dig at du har de nødvendige moduler ved feks at omkompilere kernel, eller at holde dig til scripts som ikke benytter disse specielle ting."

Nei det er normalt ikke nødvendig å rekompilere kernel for å få de kernelmodulene som følger med som standard. Samtlige Linux firewall routere med kernel 2.4.x og 2.6.x benytter så vidt meg bekjendt disse kernel modulene for å ivareta ftp nat funksjonen. Grunnen til at enkelte script tar disse modulene med er som en ekstra sikkerhet i det tilfellet at modulene ikke lastes automatisk som standard. På den RedHat serveren jeg har kjørende her så lastes alle NAT kernelmodulene automatisk slik at det ikke spiller noen rolle fra eller til om man legger til en ekstra kommando for å sikre at de virkelig er loadet.

Som sagt man kan laste modulene "manuelt" fra shell for å sjekke at det går bra og man kan også se på status for hvilke moduler som kjører via kommando "modprobe -l".

Skulle det være noe feil i det som står over, så skulle jeg være meget interessert i en link eller noe liknende som bekrefter et slikt synspunkt. (For alle ting er jo i stadig utvikling når det gjelder Linux og det som en dag er det riktige vil en gang i tiden ikke lengere være det.)

MVH Langbein

Ellers så ser den iptables setningen som sørger for delt internetforbindelse ut omtrent slik ut:

iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE

alternativt:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

alternativt:

iptables -t nat -A POSTROUTING -o eth -j SNAT --to-source <ip_address>

Den sentrale kommando eller "ord" for å sette opp en delt internettforbindelse ut gjennom en Linux firewall/router er altså "POSTROUTING" . Uten at dette ordet forekommer så har man ingen delt internettforbindelse ut. Skal man tilsvarende addressere servere inne på LAN så bruker man ordet "PREROUTING".

Dersom man bare skal ha en delt internettforbindelse opp å kjøre så bør man i de fleste tilfeller kunne kjøre omtrent dette som root:

# Flushe
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

# Sette default policies
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

# Delt internettforbindelse:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


Man sjekker så status med "iptables -L" og "iptables -t nat -L"


Alternativt, ønsker man å åpne firewall inn til server, for eksempel fordi man har et adsl router/modem med firewall in front så kjører man omtrent slik:

# Flushe
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

# Sette default policies
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

# Delt internettforbindelse:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

(Her står firewall inn til server helt åpen !)

Testkjørte akkurat nå ved hjelp av kommando "bash firewalltest" og det ser da ut til å fungere. "firewalltest" er selvfølgelig navnet på scriptet.

Så har jeg endelig lang om længe fået det til at virke..

Hr. Langbein, smider du lige et svar?

Det er ikke så nøy med de poengene. Jeg har fått hjelp her på eksperten mange ganger tidligere når jeg har stått fast, og det er i grunnen det som er det viktige :)

okay.. Men jeg vil altså gerne give dig nogen for den udførlige vejledning!!!!!!
man, TAK