Avatar billede janorakel Nybegynder
01. oktober 2009 - 14:45 Der er 1 løsning

Hurtig hjælp - iptables konfiguration

Jeg har lavet en ny server, som også skal fungere som router - dvs. 2 netværkskort (eth0 og eth1).
Det ser ud som om iptables virker fint når jeg laver en nmap udefra, men jeg kan ikke komme ud fra mine maskiner og lave dns-opslag indefra. Jeg kan med andre ord f.eks. ikke surfe på domæner undenfor serveren.
eth1 er global IP - XXXX
eth0 er internt - 192.168.1.1

Hvad er der galt her?

echo 1 > /proc/sys/net/ipv4/ip_forward
                iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
                iptables -A FORWARD -i eth0 -j ACCEPT
                iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
                iptables -A INPUT -i eth0 -j ACCEPT
                iptables -A INPUT -i lo -j ACCEPT
                iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
                iptables -A INPUT -i eth1 -p udp --dport 139 -j DROP
                iptables -A INPUT -i eth1 -p tcp --dport 139 -j DROP
                iptables -A INPUT -i eth1 -p udp --dport 21 -j REJECT
                iptables -A INPUT -i eth1 -p tcp --dport 21 -j REJECT
                iptables -A INPUT -i eth1 -p udp --dport 445 -j REJECT
                iptables -A INPUT -i eth1 -p tcp --dport 445 -j REJECT
                iptables -A INPUT -i eth1 -p udp --dport 3306 -j REJECT
                iptables -A INPUT -i eth1 -p tcp --dport 3306 -j REJECT
                iptables -A INPUT -i eth1 -p udp --dport 4445 -j DROP
                iptables -A INPUT -i eth1 -p tcp --dport 4445 -j DROP
                iptables -A INPUT -i eth1 -p udp --dport 111 -j DROP
                iptables -A INPUT -i eth1 -p tcp --dport 111 -j DROP
                iptables -A INPUT -i eth1 -p udp --dport 1720 -j REJECT
                iptables -A INPUT -i eth1 -p tcp --dport 1720 -j REJECT
                iptables -A INPUT -i eth1 -p udp --dport 2000 -j REJECT
                iptables -A INPUT -i eth1 -p tcp --dport 2000 -j REJECT
                iptables -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT
                iptables -A INPUT -i eth1 -p tcp --dport 53 -j ACCEPT
                iptables -t nat -A PREROUTING -p tcp -d XXXX --dport 443 -j DNAT --to-destination 192.168.1.3
                iptables -t nat -A PREROUTING -p tcp -d XXXX --dport 43 -j DNAT --to-destination 192.168.1.2
                iptables -t nat -A PREROUTING -p tcp -d XXXX --dport 9002 -j DNAT --to-destination 192.168.1.2
                iptables -t nat -A PREROUTING -p tcp -d XXXX --dport 110 -j DNAT --to-destination 192.168.1.2
                iptables -t nat -A PREROUTING -p tcp -d XXXX --dport 25 -j DNAT --to-destination 192.168.1.2
                iptables -t nat -A PREROUTING -p tcp -d XXXX --dport 143 -j DNAT --to-destination 192.168.1.2
                iptables -t nat -A PREROUTING -p tcp -d XXXX --dport 26 -j DNAT --to-destination 192.168.1.3
                iptables -t nat -A PREROUTING -p tcp -d XXXX --dport 27 -j DNAT --to-destination 192.168.1.2
Avatar billede janorakel Nybegynder
01. oktober 2009 - 15:11 #1
Doh!!
Før jeg gemmer mig i et hjørne, kan jeg fortælle at jeg lige skulle huske at køre scriptet først....
Beklager min manglende hjerneaktivitet....
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester