CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg

Log ind eller opret profil

Du kan også logge ind via nedenstående tjenester

veo Nybegynder

30. december 2004 - 22:48 Der er 10 kommentarer

iptabkles help?

Jeg sidder og roder med iptables, men det virker ikke helt som jeg gerne vil have det til..

her er mit script..

#!/bin/bash

iptables --flush
iptables --delete-chain
iptables --flush --table nat
iptables --policy INPUT ACCEPT
iptables --policy FORWARD DROP
iptables --policy OUTPUT ACCEPT

iptables -N drop
iptables -N port

iptables -A port -p tcp --dport 80 -j ACCEPT

#iptables -A drop -s 192.168.1.200 -j ACCEPT

iptables -A drop -j port
iptables -A FORWARD -j drop

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -d ! 192.168.1.0/24 -j MASQUERADE

Jeg vil gerne have iptables til at bestemme hvad for nogle porte, og ip'er som må bruges på internettet.

Derfor har jeg lavet en chan ved navn "port" som tager sig af portene, og så er der en som hedder "drop" som tager sig af ip'erne..

Men mit problem er så at når jeg lukker på for port 80 i chan'en "port" så kan jeg ikke selv bestemme hvad for nogle ip'er der må bruges.. men så vil jeg skrive en ip som må få adgang, også ellers lukke resten af..sådan her

iptables -A drop -s 192.168.1.200 -j ACCEPT
iptables -A drop -j DROP

men desværre virker dette ikke.. nogle som kan hjælpe mig

Synes godt om

langbein Nybegynder

30. december 2004 - 23:08 #1

Iptables/netfilter har som default 3 "hovedsett" med regler. Dette er input, forward og output. Man kan også definere sine egne rulestacks ut over dette, dersom man finner dette hensiktsmassig. For rimelig enkle firewalls så er det etter mitt syn mest fornftig å holde seg til de basis rulestacs som finnes fra før.

Dette definerer to nye "rulestacs":

iptables -N drop
iptables -N port

Bruker gir så vidt jeg kan forstå ikke en helt bra mening:

iptables -A drop -j port
iptables -A FORWARD -j drop

Det vil være bedre å benytte bare de basischains som er der fra før. Har jobbet litt med å revidere en "firewall script generator" som vil (dank) laget for litt siden.

Mangler uttesting for siste revisjon:

http://www.im-learning.com/iptables/

Kan godt forklare hvordan det virker hvis du tar brydderiet med å teste ut. (Bruker en annen hardware firewall/gateway akkurat nå og mangler en Linux gatewaybox å teste på.)

Synes godt om

langbein Nybegynder

30. december 2004 - 23:29 #2

Hvis man bare skal lage en delt internettforbindelse så skulle det bli noe slikt:

<start>

#!/bin/sh

# iptables script generator: Ny Beta-2004
# Kommer uten noen form for garanti!
# e-mail: webmaster@im-learning.com

# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

# WAN_NIC='eth0'
# LAN_NIC='eth1'
# LAN_CARD_IP='10.0.0.1/24'

# Load some kernel modules
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

# Flush
iptables -t nat -F
iptables -F
iptables -X
iptables -Z

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Enable Masquerade and statefull inspection all forwarding
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# STATE RELATED for local processes on firewall machine
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

<slutt>

Ville bli glad (happy) for en tilbakemelding om det virker eller ikke :-)

Synes godt om

langbein Nybegynder

30. december 2004 - 23:42 #3

Jeg ser forresten en liten "feil" eller begrensning med den varianten som står over. Det er ingen åpning inn til de lokale prosessene på gateway maskinen selv. Man vil for eksempel ikke kunne logge seg på vha telnet/ssh.

For midlertidig uttesting så kan man endre slik:

iptables -P INPUT ACCEPT

(Men dette blir for usikkert å kjøre med.)

Vil forsøke revidere litt hvis du tar litt testing.

Synes godt om

veo Nybegynder

31. december 2004 - 00:07 #4

jeg bruger iptables -P FORWARD DROP

for jeg selv vil bestemme hvad for nogle ip'er som vil på..

langbein -> ved jeg.. men mit firewall script skal kunne noget mere end det der..

Men det er bare lige det her som ikke virker for mig :(

Synes godt om

langbein Nybegynder

31. december 2004 - 00:27 #5

iptables -P FORWARD DROP

Jo pleier å sette den på samme måte .. men, i virkeligheten, så virker denne

iptables -P FORWARD ACCEPT

nesten likt med hensyn til inngående trafikk pga nat.

Synes godt om

langbein Nybegynder

31. december 2004 - 02:07 #6

Det finnes 1000 måter å konfigurere på som kan fungere, men dette er om ikke feil så i hvert fall ikke hensiktsmessig (bare et tips):

Dette definerer to nye "rulestacs":

iptables -N drop
iptables -N port

Bruker gir så vidt jeg kan forstå ikke en helt bra mening:

iptables -A drop -j port
iptables -A FORWARD -j drop

Skulle ikke gi noen trafikkgjennomgang, og gjør det vel heller ikke (!?).

Synes godt om

langbein Nybegynder

31. december 2004 - 02:32 #7

Beklager en liten feil i det tidligere forslag. Et lite alternativ følger under. Ellers så kan man jo modifisere en hel del, for det finnes som sagt 1000 måter, og man kan i grunnen velge "egen stilart" etterhver som man får grepet på det.

#!/bin/sh

# iptables script generator: Ny Beta-2004
# Kommer uten noen form for garanti!
# e-mail: webmaster@im-learning.com

# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

# WAN_NIC='eth0'
# LAN_NIC='eth1'
# LAN_CARD_IP='10.0.0.1/24'

# Load some kernel modules
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

# Flush
iptables -t nat -F
iptables -F
iptables -X
iptables -Z

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Enable Masquerade and statefull inspection all forwarding
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports on router pc for server/services
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

# STATE RELATED for local processes on firewall machine
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Meget bra om du eventuelt tar brydderiet med å teste. Kan være noe jeg har oversett.

Synes godt om

veo Nybegynder

01. januar 2005 - 16:33 #8

Altså, jeg har ikke brug for et firewall script, det kan jeg godt selv finde ud af...

iptables -N drop
iptables -N port

iptables -A drop -j port
iptables -A FORWARD -j drop

Giver igemmen gang

Synes godt om

langbein Nybegynder

01. januar 2005 - 17:07 #9

Har aldri sett en slik syntaks tidligere, men har heller ikke testet det.

Synes godt om

veo Nybegynder

01. januar 2005 - 19:24 #10

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Se alle it-kurser fra Computerworld Kurser

IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Se alle it-kurser

Flere spørgsmål fra Linux kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
Motion Af dcedata1977 i Linux	0	28/08/202415:29	-
HP Laserjet MFP M176n på Linux Af 220661 i Linux	12	18/06/202408:38	22/06/202415:49
Antivirus til en Linux Mint computer? Af Polle i Linux	8	19/05/202409:13	23/05/202409:07
Monitor mode kali linux Af Braindead mac user i Linux	2	03/05/202409:53	03/05/202410:24
ubuntu - er der nogen der har erfaring med dette? Af Uvanga i Linux	10	27/04/202409:01	29/04/202411:54

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS