Problem Z Iptables

[miflex]

Witam,

 

 

Mam mały problem z iptables. Napisałem firewalla :

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -F
iptables -X


iptables -P INPUT DROP
iptables -A INPUT -m limit --limit 15/minute -j LOG --log-level 7 --log-prefix "Zatrzymany przez firewall: "


iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 53 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 53 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 445 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 139 -m state --state NEW -j ACCEPT

iptables -A INPUT -i eth0 -p tcp --dport 5900 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 5800 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 5500 -m state --state NEW -j ACCEPT

iptables -A INPUT -i eth0 -p tcp --dport 3306 -m state --state NEW -j ACCEPT

iptables -A INPUT -i eth1 -p tcp --dport 5900 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 5800 -m state --state NEW -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 5500 -m state --state NEW -j ACCEPT


iptables -P FORWARD DROP

iptables -A FORWARD -i eth0 -p icmp --icmp-type echo-request -j ACCEPT

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 445 -m state --state NEW -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 139 -m state --state NEW -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 53 -m state --state NEW -j ACCEPT
iptables -A FORWARD -i eth0 -p udp --dport 53 -m state --state NEW -j ACCEPT

iptables -A FORWARD -i eth0 -p tcp --dport 5900 -m state --state NEW -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 5800 -m state --state NEW -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 5500 -m state --state NEW -j ACCEPT

iptables -A FORWARD -i eth0 -p tcp --dport 3306 -m state --state NEW -j ACCEPT

iptables -A FORWARD -i eth1 -p tcp --dport 5900 -m state --state NEW -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 5800 -m state --state NEW -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp --dport 5500 -m state --state NEW -j ACCEPT

iptables -P OUTPUT ACCEPT
iptables -A OUTPUT -m limit --limit 15/minute -j LOG --log-level 7 --log-prefix "Zatrzymane przez firewall: "

 

 

 

Na początku miałem jedną karte sieciową eth0. Z biegem czasu kupilismy druga (eth1) do połączenia się z domu.

 

 

Wszystko chodzi tylko nie widzę obwodów z domu (łącze się za pomocą TightVNC) o adresacji 192.168.2.x

 

Jak jestem w pracy to wszystko działa, ale z domu nie widzę obwodów. Jak wyłączę ip tables to widać.

 

 

 

Już nie mam pomysłów.

 

 

 

Poproszę o jakąkolwiek pomoc

 

 

 

Miflex

[Mentat]

Troszkę trudno zrozumieć o co Ci chodzi.

 

Z tego co się domyślam masz w pracy komputer który ma działać jako router i zaaplikowałeś mu ten skrypt włączający forwarding i budujący firewall. Komputer ma dwie karty sieciowe eth0 (sieć LAN) i eth1 (internet). Nie mam bladego pojęcia o jakie "obwody" Ci chodzi? Strzelam że chodzi o stacje robocze w sieci LAN.

 

Piszesz że łączysz się przez TightVNC ale z czym z routerem? Jeśli tak to powinieneś mieć pełny dostęp tak jak byś siedział przy komputerze. Jeśli nie to brakuje wpisów przekierowania portów do konkretnych stacji roboczych. Pula adresów 192.168.x.x jest przeznaczona dla sieci wewnętrznych - tych komputerów normalnie nie widać z sieci.

 

Piszesz że jak wyłączysz iptables to działa. To już kompletnie kieruje mnie na manowce i już nic z tego nie wiem.

 

Rozwiń trochę temat to może będziemy w stanie pomóc.

[@jszubiak]

Port 5901 i wyzej.

 

Zobacz netstat-em na którym stoi.

 

Pozdr.

J.SZ

 

aha,

#> grep "Zatrzymany przez firewall:" /var/log/messages nie chialo Ci sie wykonac :-) ?

 

Pozdr.

J.Sz

Edytowane Styczeń 10, 2012 przez WalDo
Proszę edytować posty a nie jeden po drugim sadzić.