iptables firewall problema
Jelentkezz be a hozzászóláshoz.
#2
Még nem sikerült átbogarásznom roppant szövevényes beállításaidat, de máris megfogalmazódott bennem néhány kérdés.
Minek ilyen bonyolult beállítás?
Ha jól értem összesen 3 db géped van. 1db a gateway 2db kliens. Az a lényeg, hogy mire akarod õket használni. Miért kell 3 db háló kártya a gépbe. 1 tartja a kapcsolatot a külsõ hálóval, 1 pedig elég a belsõ hálónak. Annak a kábelét bedugod egy switch-be, meg a két kliens kábelét is be a switch-be és kész. Ha nem szolgáltatsz kifele semmit (webszerver, ftp szerver, mail szerver, stb.) akkor az iptables.conf -ba elég két sor, nem kell ez a végtelen litánia. A két kliens bedig a tûzfaladtól függetlenül simán elérik egymás adatait.
Ha pedig akarsz valamilyen kivülrõl is elérhetõ szolgáltatást, akkor az iptables kevés lesz, kell valami jó kis proxytûzfal, mondjuk a zorp (magyar nyelvû leírása és konfigja van).
Minek ilyen bonyolult beállítás?
Ha jól értem összesen 3 db géped van. 1db a gateway 2db kliens. Az a lényeg, hogy mire akarod õket használni. Miért kell 3 db háló kártya a gépbe. 1 tartja a kapcsolatot a külsõ hálóval, 1 pedig elég a belsõ hálónak. Annak a kábelét bedugod egy switch-be, meg a két kliens kábelét is be a switch-be és kész. Ha nem szolgáltatsz kifele semmit (webszerver, ftp szerver, mail szerver, stb.) akkor az iptables.conf -ba elég két sor, nem kell ez a végtelen litánia. A két kliens bedig a tûzfaladtól függetlenül simán elérik egymás adatait.
Ha pedig akarsz valamilyen kivülrõl is elérhetõ szolgáltatást, akkor az iptables kevés lesz, kell valami jó kis proxytûzfal, mondjuk a zorp (magyar nyelvû leírása és konfigja van).
#1
Hali!
A rendszerem debian woody 2.4.22-es kernellel.
Adott az alabbi tuzfal ami meg egyaltalan nem tokeletes csak
probalkozom. VAn 3 halokartya a szerveremben az egyik megy a net fele
(eth0) a masik ketto a ket gep fele (eth1 es eth2). A problema az hogy
a ket user gep pingelni tudja egymast de adataikat sem az egyikrol sem
a masikrol nem tudom elerni. Meg a tuzfalat is tokeletesiteni kellene.
Foleg a logolas erdekelne, ugy kellene megcsinalni hogy ami lenyeges
azt logol-ja es atlathato legyen. Mert most meg nem valami atlathato.
Elore is koszi a segitsegeket.
Orulnek ha valaki segiteni egy kicsit atlathatobba tenni.
Itt a tuzfalam szerintem egy kis osszevisszasag van benne:
#! /bin/sh
echo "1" >/proc/sys/net/ipv4/ip_forward
#torles INPUT OUTPUT and FORWARD lanc
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
# set policies
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#lancok letrehozasa
iptables -N fw-halo
iptables -N halo-fw
iptables -N halo-kulso
iptables -N kulso-halo
iptables -N halo-belso
iptables -N belso-halo
iptables -N belso-kulso
iptables -N kulso-belso
iptables -N belso-fw
iptables -N kulso-fw
iptables -N fw-belso
iptables -N fw-kulso
iptables -N icmp-acc
iptables -N drop
#lo interface is always accepted
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#ugrasok meghatarozasa(FORWARD)
iptables -A FORWARD -i eth1 -o eth2 -j belso-halo
iptables -A FORWARD -i eth2 -o eth1 -j halo-belso
iptables -A INPUT -i eth2 -s 192.168.2.0/24 -j halo-fw
iptables -A OUTPUT -o eth2 -d 192.168.2.0/24 -j fw-halo
iptables -A FORWARD -i ppp0 -o eth2 -j kulso-halo
iptables -A FORWARD -i eth2 -o ppp0 -j halo-kulso
iptables -A INPUT -i eth1 -s 192.168.1.0/24 -j belso-fw
iptables -A INPUT -i ppp0 -j kulso-fw
iptables -A OUTPUT -o eth1 -d 192.168.1.0/24 -j fw-belso
iptables -A OUTPUT -o ppp0 -j fw-kulso
iptables -A FORWARD -i ppp0 -o eth1 -j kulso-belso
iptables -A FORWARD -i eth1 -o ppp0 -j belso-kulso
#maszkolas
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o ppp0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --
to-port 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --
to-port 3128
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4120 -j DNAT --to
192.168.1.14:4120
iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 4120 -j DNAT --to
192.168.1.14:4120
##tuzfal szabalyok felallitasa
#INPUT lanc szabalyai
iptables -A kulso-fw -s 192.168.1.0/24 -j drop
# established connections will be accepted
iptables -A kulso-fw -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A kulso-fw -m state --state NEW -p tcp --dport 20:22 -j
ACCEPT
iptables -A kulso-fw -m state --state NEW -p tcp --dport 80 -j ACCEPT
iptables -A kulso-fw -m state --state NEW -p tcp --dport 113 -j ACCEPT
iptables -A kulso-fw -m state --state NEW -p tcp --dport 443 -j ACCEPT
iptables -A fw-kulso -j ACCEPT
# log
iptables -A kulso-fw -m limit -j LOG --log-prefix "WARNING: KULSO-
FW: "
#engedelyezesek
iptables -A halo-fw -j ACCEPT
iptables -A fw-halo -j ACCEPT
iptables -A belso-fw -j ACCEPT
iptables -A fw-belso -j ACCEPT
# log
iptables -A belso-fw -m limit -j LOG --log-prefix "WARNING: BELSO-
FW: "
# not acceptable source addresses
iptables -A kulso-halo -s 192.168.2.0/24 -j drop
iptables -A kulso-belso -s 192.168.1.0/24 -j drop
# established connections will be accepted
iptables -A kulso-halo -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A kulso-belso -m state --state ESTABLISHED,RELATED -j ACCEPT
# log
iptables -A kulso-belso -m limit -j LOG --log-prefix "WARNING: KULSO-
BELSO: "
#Az ICMP hibajelzõ-csomagokat beengedjük, egyébként az irányítást
# visszaadjuk a hívó-láncnak:
iptables -A icmp-acc -p icmp --icmp-type destination-unreachable -j
ACCEPT
iptables -A icmp-acc -p icmp --icmp-type source-quench -j ACCEPT
iptables -A icmp-acc -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A icmp-acc -p icmp --icmp-type parameter-problem -j ACCEPT
#engedelyezesek
iptables -A belso-halo -j ACCEPT
iptables -A halo-belso -j ACCEPT
iptables -A kulso-halo -j ACCEPT
iptables -A halo-kulso -j ACCEPT
iptables -A kulso-belso -j ACCEPT
iptables -A belso-kulso -j ACCEPT
# log
iptables -A drop -m limit -j LOG --log-level info --log-
prefix "WARNING: DROP: "
# drop
iptables -A drop -j DROP
A rendszerem debian woody 2.4.22-es kernellel.
Adott az alabbi tuzfal ami meg egyaltalan nem tokeletes csak
probalkozom. VAn 3 halokartya a szerveremben az egyik megy a net fele
(eth0) a masik ketto a ket gep fele (eth1 es eth2). A problema az hogy
a ket user gep pingelni tudja egymast de adataikat sem az egyikrol sem
a masikrol nem tudom elerni. Meg a tuzfalat is tokeletesiteni kellene.
Foleg a logolas erdekelne, ugy kellene megcsinalni hogy ami lenyeges
azt logol-ja es atlathato legyen. Mert most meg nem valami atlathato.
Elore is koszi a segitsegeket.
Orulnek ha valaki segiteni egy kicsit atlathatobba tenni.
Itt a tuzfalam szerintem egy kis osszevisszasag van benne:
#! /bin/sh
echo "1" >/proc/sys/net/ipv4/ip_forward
#torles INPUT OUTPUT and FORWARD lanc
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
# set policies
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#lancok letrehozasa
iptables -N fw-halo
iptables -N halo-fw
iptables -N halo-kulso
iptables -N kulso-halo
iptables -N halo-belso
iptables -N belso-halo
iptables -N belso-kulso
iptables -N kulso-belso
iptables -N belso-fw
iptables -N kulso-fw
iptables -N fw-belso
iptables -N fw-kulso
iptables -N icmp-acc
iptables -N drop
#lo interface is always accepted
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#ugrasok meghatarozasa(FORWARD)
iptables -A FORWARD -i eth1 -o eth2 -j belso-halo
iptables -A FORWARD -i eth2 -o eth1 -j halo-belso
iptables -A INPUT -i eth2 -s 192.168.2.0/24 -j halo-fw
iptables -A OUTPUT -o eth2 -d 192.168.2.0/24 -j fw-halo
iptables -A FORWARD -i ppp0 -o eth2 -j kulso-halo
iptables -A FORWARD -i eth2 -o ppp0 -j halo-kulso
iptables -A INPUT -i eth1 -s 192.168.1.0/24 -j belso-fw
iptables -A INPUT -i ppp0 -j kulso-fw
iptables -A OUTPUT -o eth1 -d 192.168.1.0/24 -j fw-belso
iptables -A OUTPUT -o ppp0 -j fw-kulso
iptables -A FORWARD -i ppp0 -o eth1 -j kulso-belso
iptables -A FORWARD -i eth1 -o ppp0 -j belso-kulso
#maszkolas
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o ppp0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --
to-port 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --
to-port 3128
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4120 -j DNAT --to
192.168.1.14:4120
iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 4120 -j DNAT --to
192.168.1.14:4120
##tuzfal szabalyok felallitasa
#INPUT lanc szabalyai
iptables -A kulso-fw -s 192.168.1.0/24 -j drop
# established connections will be accepted
iptables -A kulso-fw -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A kulso-fw -m state --state NEW -p tcp --dport 20:22 -j
ACCEPT
iptables -A kulso-fw -m state --state NEW -p tcp --dport 80 -j ACCEPT
iptables -A kulso-fw -m state --state NEW -p tcp --dport 113 -j ACCEPT
iptables -A kulso-fw -m state --state NEW -p tcp --dport 443 -j ACCEPT
iptables -A fw-kulso -j ACCEPT
# log
iptables -A kulso-fw -m limit -j LOG --log-prefix "WARNING: KULSO-
FW: "
#engedelyezesek
iptables -A halo-fw -j ACCEPT
iptables -A fw-halo -j ACCEPT
iptables -A belso-fw -j ACCEPT
iptables -A fw-belso -j ACCEPT
# log
iptables -A belso-fw -m limit -j LOG --log-prefix "WARNING: BELSO-
FW: "
# not acceptable source addresses
iptables -A kulso-halo -s 192.168.2.0/24 -j drop
iptables -A kulso-belso -s 192.168.1.0/24 -j drop
# established connections will be accepted
iptables -A kulso-halo -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A kulso-belso -m state --state ESTABLISHED,RELATED -j ACCEPT
# log
iptables -A kulso-belso -m limit -j LOG --log-prefix "WARNING: KULSO-
BELSO: "
#Az ICMP hibajelzõ-csomagokat beengedjük, egyébként az irányítást
# visszaadjuk a hívó-láncnak:
iptables -A icmp-acc -p icmp --icmp-type destination-unreachable -j
ACCEPT
iptables -A icmp-acc -p icmp --icmp-type source-quench -j ACCEPT
iptables -A icmp-acc -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A icmp-acc -p icmp --icmp-type parameter-problem -j ACCEPT
#engedelyezesek
iptables -A belso-halo -j ACCEPT
iptables -A halo-belso -j ACCEPT
iptables -A kulso-halo -j ACCEPT
iptables -A halo-kulso -j ACCEPT
iptables -A kulso-belso -j ACCEPT
iptables -A belso-kulso -j ACCEPT
# log
iptables -A drop -m limit -j LOG --log-level info --log-
prefix "WARNING: DROP: "
# drop
iptables -A drop -j DROP