Skocz do zawartości

Iptables Mi Nie Dziala Tak Jak Trzeba :(


Kean

Rekomendowane odpowiedzi

od razu przepraszam za kolejny taki sam topic,

szukalem ale nie znalazlem nic co by mi pomoglo

 

a wiec tak:

 

musze podzielic net, bo mam wiecej kompow w domu niz ip :P

i teraz tak:

ip z internetem: 192.168.1.84; eth0; 10Mbit

ip sieci lokalnej np: 192.168.0.1; eth1; 100Mbit

pierwszy problem to ze chcialem zamienic interface-y tak zeby w sieci gdzie jest duzo untrusted ludzi byla karta 100Mbit zeby jakis DoS-ik mi nie zagrozil, wiec zamienilem mac-i w /etc/sysconfig/network_scripts/eth0 i eth1 na przeciwne, niby dzialalo ale podczas uruchamiania FC4 pisala mi ze nie mozna zmienic nazwy z eth0 na eth1 bo plik istanieje, ale dzialalo...

 

teraz routing:

 

IPTABLES --policy INPUT DROP

IPTABLES --policy OUTPUT DROP

IPTABLES --policy FORWARD ACCEPT

 

IPTABLES -A OUTPUT -j ACCEPT -o lo

IPTABLES -A INPUT -j ACCEPT -i lo

 

IPTABLES -A OUTPUT -j ACCEPT -o eth1

IPTABLES -A INPUT -j ACCEPT -i eth1

 

IPTABLES -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

IPTABLES -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

IPTABLES -A INPUT -i eth0 -p udp --sport 53 -j ACCEPT

 

IPTABLES -A OUTPUT -o eth0 -p tcp -s $ME --sport 22 -m state --state ESTABLISHED -j ACCEPT

 

 

za to $ME mam wstawic jakie ip? kompa ktory bedzie dozwolony do SSH?

 

czy te reguły sa dobre i czy (_napewno_ → na pewno) ORT powinny u mnie dzialac? bo narazie osiagnalem to ze nic z tego nie dzialalo :P

 

i jeszcze jedno:

czy takie cos jest prawdziwe?

IPTABLES -A INPUT -p icmp -p ACCEPT

 

czy trzeba napisac regule do kazdego intrface-u osobno:

IPTABLES -A INPUT -i eth0 -p icmp -p ACCEPT

IPTABLES -A OUTPUT -o eth0 -p icmp -p ACCEPT

IPTABLES -A INPUT -i eth1 -p icmp -p ACCEPT

IPTABLES -A OUTPUT -o eth1 -p icmp -p ACCEPT

Odnośnik do komentarza
Udostępnij na innych stronach

IPTABLES -A INPUT -i $EXTDEV -p icmp --icmp-type 8 -d $EXTIP -j ACCEPT

IPTABLES -A INPUT -i $INTDEV -p icmp --icmp-type 8 -d $INTIP -j ACCEPT

 

mozesz wybrac co chcesz przepuszczać ustawiając parametr

Source Quench -tlumienie zrodla --icmp-type 4

problem z parametrem --icmp-type 12

Destination Unrechable - nieosiagniety cel --icmp-type 3

Time Exceeded - Przekroczony limit czasu --icmp-type 11

Echo request - zadanie echa --icmp-type 8

Echo reply - echo na zadanie --icmp-type 0

 

czy takie cos jest prawdziwe?

IPTABLES -A INPUT -p icmp -p ACCEPT

 

-j ACCEPT

Odnośnik do komentarza
Udostępnij na innych stronach

widze ze icmp sie pobawie... ale najpierw musze udpstepnic lacze a za... chiny nie moge tego zrobic

 

z tymi regulami co sa wyzej nie dziala mi tez normlanie siec

np nie moge sie zalogowac z 192.168.1.84 na ftp na 192.168.1.205

w druga strone ssh nie dziala :(

tak naprawde to dziala jedynie ping z 192.168.1.205 na ...1.84

 

przenalizuje moze to co mam i powiecie czy ok :)

IPTABLES --policy INPUT DROP

IPTABLES --policy OUTPUT DROP

IPTABLES --policy FORWARD ACCEPT

 

to wyglada niezle, bo po to cala zabawa

 

IPTABLES -A OUTPUT -j ACCEPT -o lo

IPTABLES -A INPUT -j ACCEPT -i lo

petla zwrotna... to musi tak byc

 

IPTABLES -A OUTPUT -j ACCEPT -o eth1

IPTABLES -A INPUT -j ACCEPT -i eth1

siec wenetrzna... tylko zaufani ludzie(ja:] ) wiec narazie mi to lotto

 

IPTABLES -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

wyjscie na swiat, tak powinno byc bo interesuja nas i nowe i aktualne sesje a related np do ftp - tez sie przyda

 

IPTABLES -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

polaczenia przychodzace ze swiata tutaj brakuje mi w sumie NEW bo jak ktos chce sie polaczyc z jakims demonem?

 

IPTABLES -A INPUT -i eth0 -p tcp -s moj ip --sport 22 -m state --state ESTABLISHED -j ACCEPT

no i tutaj established... mi nie pasi, bo osttania regula nie wpuszcza nowych polaczen wiec... cos musi je wpuscic wiec tu powinno byc NEW - tak na chlopski rozum.

wiec dalem NEW ale dalej nic :(

 

IPTABLES -A POSTROUTING -t nat -o eth0 -j SNAT --to <co tu wpisac?>

a tego to juz niestety nie rozumiem :(

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
×
×
  • Dodaj nową pozycję...