Firewall - nie udost

[did you]

Witam,

Czy moglibyście sprawdzić czy ta konfiguracja firewalla jest poprawnie napisana?

Kod: Zaznacz cały

#!/bin/sh


#Wlaczenie w kernelu forawrdowania
/bin/echo 1 > /proc/sys/net/ipv4/ip_forward


#Czyszczenie starych regul
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X


#Domyslne reguly
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP


#Oblokowanie petli zwrotnej
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT


#Swobodne działanie sieci lokalnej
ipatbles -A INPUT -i br0 -j ACCEPT
iptables -A OUTPUT -o br0 -j ACCEPT
iptables -A FORWARD -o br0 -j ACCEPT


#Udostępnianie internetu sieci lokalnej 
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0/0 -j MASQUERADE

W moim komputerze mam zainstalowane trzy fizyczne interfejsy:
-eth0
-erh1
-wlan0.

eth0 ma dostęp do sieci globalnej(przydzielane przez ISP dynamicznie), eth1 i wlan0 są zmostkowane i tworzą nowy interfejs br0 (LAN). Na komputerze działa serwer DHCP oraz serwer Samby.

Wracając do konfiguracji firewalla, komputery widzą siebie nawzajem, pingi lecą we wszystkie strony, działa przydzielanie adresów IP, Samba działa, serwer odrzuca wszystkie pakiety nie pochodzące z lo i br0. System Debian 7.1

Za każdą sugestię-Dziękuję,

Pozdrawiam, Patryk.

[HerrMan]

#Domyslne regulyiptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT DROP (a powinno byc ACCEPT ) cala polityka ustawiona jest na drop i to chyba dlatego nie masz polaczenia z netem poprostu poczytaj w google o iptables ,pozatym cala masa info jest na forum podstawowa konfiguracja to :

iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT


iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

to jest konfiguracja jaka podal i z ktorej ja sam korzystalem na poczatku[h=4]Yampress[/h](to jest konfiguracja ktora znajdziesz tu na forum i teraz ja sobie edytuj )

ale zmien polityke na accept w tym wierszu co ci napisalem i powinno dzialac


sprawdz jeszcze w konsoli jako root

iptables -L

i jak masz cala polityke na drop to jest tak jak napisalem

edycja : nano /etc/init.d/nazwa pliku ( firewall czy jak tam nazwales plik )
zmieniasz poliyke w wierszu : iptables -P OUTPUT DROP na ACCEPT

pozniej ctr-o - ctr-x i /etc/init.d/nazwa pliku restart

i tyle

poczekaj jak ci sie chce co inni napisza ,ale mysle ze bedzie ok

[pr0t]

1. Wlaczyles forwardowanie pakietow ?
echo 1 > /proc/sys/net/ipv4/ip_forward

2. Sproboj przepuscic pakiety ktore wychodza z twojej sieci lub sa dla niej przeznacozne :

iptables -t filter -A FORWARD -s 192.168.0.0/255.255.0.0 -d 0/0 -j ACCEPT iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.0/255.255.0.0 -j ACCEPT

[did you]

HerrMan, nie do końca rozumiem jaki jest sens odblokowania łańcuch OUTPUT w tabeli filter? Przecież pakiety, które są adresowane do odpowiedniego hosta przechodzą przez łańcuch FORWARD, a nie przez łańcuch OUTPUT. Jest to doskonale widać na tym obrazku.

Jeśli chodzi o wyniki jakie wypluwa iptables -L to żadnych nieprawidłowości nie odkryłem.

Zrzut 1 iptables -L

Zrzut 2 iptables -t nat -L

Zrzut 3 Aktualny firewall

pr0t

Kod: Zaznacz cały

[color=#333333]Wlaczyles forwardowanie pakietow ? [/color]

Tak, włączyłem (trzecia linijka)

Kod: Zaznacz cały

[color=#333333]Sproboj przepuscic pakiety ktore wychodza z twojej sieci lub sa dla niej przeznacozne :[/color]

[color=#333333]iptables -t filter -A FORWARD -s 192.168.0.0/255.255.0.0 -d 0/0 -j ACCEPT iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.0/255.255.0.0 -j ACCEPT[/color]

Tego też spróbowałem in wciąż moja sieć jest odcięta od reszty świata.

[woitek.d]

a przypadkiem komputer który robi za bramę nie działa też jako cache-dns? jeśli tak to musisz pozwolic zeby serwer dns mógł odpytac inny serwer dns.

tutaj masz how-to jak robi się udostepnianie internetu http://stary.dug.net.pl/texty/masq.php


pozatym nie bedziesz mógł np. aktualizowac systemu przy takiej polityce OUTPUT i wielu innych rzeczy.

[did you]

woitek.d mógłbyś bardziej rozwinąć myśl z cache-dns, w komputerze, który ma dostawać internet w pliku resolv.conf jest wpisany odpowiedni adres dns

jeśli chodzi o politykę z łańcuchem OUTPUT to ją zmieniłem.

[woitek.d]

cache dns na bramie przyspiesza rozwiazywanie nazw na adresy ip dla komputerów w sieci lokalnej, wtedy komputery w lan musza uzywac jako dns bramy. jest mase poradników jak to zrobić. dodaj jeszcze to do firewalla

iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED

[did you]

Jeszcze raz przeanalizowałem swoją sieć i błąd nie okazał się źle napisany firewall (no może trochę dodałem), lecz brak jednego adresu DNS. Jak by ktoś chciał umieszczam firewall do przeanalizowania.

#!/bin/sh

#Czyszczenie starych regul
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X

#Domyslne reguly
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

#Oblokowanie petli zwrotnej
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

#Zezwolenie na ruch z innych sieci
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT

#Połączenia nawiązane oraz inicjujące połączenia
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

#Udostępnianie internetu sieci lokalnej
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0/0 -j MASQUERADE

iptables-save > /home/patryk/1