Strona 1 z 1
Firewall - nie udostępnia internetu
: 26 sierpnia 2013, 19:52
autor: did you
Witam,
Czy moglibyście sprawdzić czy ta konfiguracja firewalla jest poprawnie napisana?
Kod: Zaznacz cały
#!/bin/sh
#Wlaczenie w kernelu forawrdowania
/bin/echo 1 > /proc/sys/net/ipv4/ip_forward
#Czyszczenie starych regul
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
#Domyslne reguly
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
#Oblokowanie petli zwrotnej
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
#Swobodne działanie sieci lokalnej
ipatbles -A INPUT -i br0 -j ACCEPT
iptables -A OUTPUT -o br0 -j ACCEPT
iptables -A FORWARD -o br0 -j ACCEPT
#Udostępnianie internetu sieci lokalnej
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0/0 -j MASQUERADE
W moim komputerze mam zainstalowane trzy fizyczne interfejsy:
-eth0
-erh1
-wlan0.
eth0 ma dostęp do sieci globalnej(przydzielane przez ISP dynamicznie), eth1 i wlan0 są zmostkowane i tworzą nowy interfejs br0 (LAN). Na komputerze działa serwer DHCP oraz serwer Samby.
Wracając do konfiguracji firewalla, komputery widzą siebie nawzajem, pingi lecą we wszystkie strony, działa przydzielanie adresów IP, Samba działa, serwer odrzuca wszystkie pakiety nie pochodzące z lo i br0. System Debian 7.1
Za każdą sugestię-Dziękuję,
Pozdrawiam, Patryk.
: 26 sierpnia 2013, 21:14
autor: HerrMan
#Domyslne regulyiptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT DROP (a powinno byc ACCEPT ) cala polityka ustawiona jest na drop i to chyba dlatego nie masz polaczenia z netem poprostu poczytaj w google o iptables ,pozatym cala masa info jest na forum podstawowa konfiguracja to :
iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
to jest konfiguracja jaka podal i z ktorej ja sam korzystalem na poczatku[h=4]
Yampress[/h](to jest konfiguracja ktora znajdziesz tu na forum i teraz ja sobie edytuj )
ale zmien polityke na accept w tym wierszu co ci napisalem i powinno dzialac
sprawdz jeszcze w konsoli jako root
iptables -L
i jak masz cala polityke na drop to jest tak jak napisalem
edycja : nano /etc/init.d/nazwa pliku ( firewall czy jak tam nazwales plik )
zmieniasz poliyke w wierszu :
iptables -P OUTPUT DROP na
ACCEPT
pozniej ctr-o - ctr-x i /etc/init.d/nazwa pliku restart
i tyle
poczekaj jak ci sie chce co inni napisza ,ale mysle ze bedzie ok
: 27 sierpnia 2013, 10:13
autor: pr0t
1. Wlaczyles forwardowanie pakietow ?
echo 1 > /proc/sys/net/ipv4/ip_forward
2. Sproboj przepuscic pakiety ktore wychodza z twojej sieci lub sa dla niej przeznacozne :
iptables -t filter -A FORWARD -s 192.168.0.0/255.255.0.0 -d 0/0 -j ACCEPT iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.0/255.255.0.0 -j ACCEPT
: 27 sierpnia 2013, 13:56
autor: did you
HerrMan, nie do końca rozumiem jaki jest sens odblokowania łańcuch OUTPUT w tabeli filter? Przecież pakiety, które są adresowane do odpowiedniego hosta przechodzą przez łańcuch FORWARD, a nie przez łańcuch OUTPUT. Jest to doskonale widać na tym obrazku.
Jeśli chodzi o wyniki jakie wypluwa iptables -L to żadnych nieprawidłowości nie odkryłem.
Zrzut 1 iptables -L
Zrzut 2 iptables -t nat -L
Zrzut 3 Aktualny firewall
pr0t
Kod: Zaznacz cały
[color=#333333]Wlaczyles forwardowanie pakietow ? [/color]
Tak, włączyłem (trzecia linijka)
Kod: Zaznacz cały
[color=#333333]Sproboj przepuscic pakiety ktore wychodza z twojej sieci lub sa dla niej przeznacozne :[/color]
[color=#333333]iptables -t filter -A FORWARD -s 192.168.0.0/255.255.0.0 -d 0/0 -j ACCEPT iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.0/255.255.0.0 -j ACCEPT[/color]
Tego też spróbowałem in wciąż moja sieć jest odcięta od reszty świata.
: 28 sierpnia 2013, 12:27
autor: woitek.d
a przypadkiem komputer który robi za bramę nie działa też jako cache-dns? jeśli tak to musisz pozwolic zeby serwer dns mógł odpytac inny serwer dns.
tutaj masz how-to jak robi się udostepnianie internetu
http://stary.dug.net.pl/texty/masq.php
pozatym nie bedziesz mógł np. aktualizowac systemu przy takiej polityce OUTPUT i wielu innych rzeczy.
: 28 sierpnia 2013, 13:37
autor: did you
woitek.d mógłbyś bardziej rozwinąć myśl z cache-dns, w komputerze, który ma dostawać internet w pliku resolv.conf jest wpisany odpowiedni adres dns
jeśli chodzi o politykę z łańcuchem OUTPUT to ją zmieniłem.
: 28 sierpnia 2013, 15:39
autor: woitek.d
cache dns na bramie przyspiesza rozwiazywanie nazw na adresy ip dla komputerów w sieci lokalnej, wtedy komputery w lan musza uzywac jako dns bramy. jest mase poradników jak to zrobić. dodaj jeszcze to do firewalla
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
: 28 sierpnia 2013, 17:11
autor: did you
Jeszcze raz przeanalizowałem swoją sieć i błąd nie okazał się źle napisany firewall (no może trochę dodałem), lecz brak jednego adresu DNS. Jak by ktoś chciał umieszczam firewall do przeanalizowania.
#!/bin/sh
#Czyszczenie starych regul
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
#Domyslne reguly
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
#Oblokowanie petli zwrotnej
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
#Zezwolenie na ruch z innych sieci
iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
#Połączenia nawiązane oraz inicjujące połączenia
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#Udostępnianie internetu sieci lokalnej
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0/0 -j MASQUERADE
iptables-save > /home/patryk/1