Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://593930.wb34atkl.asia/

[+] Iptables - b

https://593930.wb34atkl.asia/viewtopic.php?t=29542

Strona 1 z 1

[+] Iptables - błąd w konfiguracji

: 09 października 2013, 23:49
autor: juve1pl
Witam!

Oto moje iptables w postaci skryptu, nagłówki pododawane, sama konfiguracja iptables:

Kod: Zaznacz cały

#!/bin/sh
#chkconfig: 2345 95 20


SQUID_SERVER="jakies_IP"# Interface connected to Internet
WAN="eth1"
# Interface connected to LAN
LAN="eth0"
MGMT="eth1.1"
# Squid port
SQUID_PORT="3128"


# Czyszczenie starego firewalla
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X


# Ladowanie modulow  IPTABLES dla wsparcia  NAT and IP conntrack
modprobe ip_conntrack
modprobe ip_conntrack_ftp


# Ustawienie IP Forward
echo "Ustawiono zmienna systemowa ipForward na '1' "
echo 1 > /proc/sys/net/ipv4/ip_forward


# Standardowe ustawienia
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP


#Pozwalamy na dostep o naszego serwera SSH z WANU
iptables -A INPUT               -p TCP --dport ssh -i $WAN      -j ACCEPT


#Upuszczamy pakiety TCP/UDP dla uprzywilejowanych portow
#iptables -A INPUT -p TCP -i ! $LAN -d 0/0 --dport 0:1023       -j DROP
#iptables -A INPUT -p UDP -i ! $LAN -d 0/0 --dport 0:1023       -j DROP


#Ustawienia na interfejs LAN
iptables -A INPUT               -i $LAN                         -j ACCEPT
iptables -A OUTPUT              -o $LAN                         -j ACCEPT


###### FORWARD na podsiec 192.168.4..0/23
iptables -I FORWARD             -i $LAN -d 192.168.4.0/23       -j DROP
iptables -A FORWARD             -i $LAN -s 192.168.4.0/23       -j ACCEPT
iptables -A FORWARD             -i $WAN -d 192.168.4.0/23       -j ACCEPT
###### NAT
iptables -t nat -A POSTROUTING  -o $LAN                         -j MASQUERADE
# Nielimitowany dostep do loopback
iptables -A INPUT               -i lo                           -j ACCEPT
iptables -A OUTPUT              -o lo                           -j ACCEPT
# Pozwol na UTP DNS passive FTP
iptables -A INPUT -i $WAN -m state --state ESTABLISHED,RELATED -j ACCEPT
#SQUID
iptables -t nat -A PREROUTING -i $WAN -p tcp --dport 80 -j REDIRECT --to-port $SQUID_PORT


# DROP everything and Log it
iptables -A INPUT -j LOG
iptables -A INPUT -j DROP
echo '######################################################################'
iptables -L -v
iptables-save
/sbin/service iptables save

Na komputerach z dhcp nie ma połączenia.

: 10 października 2013, 08:12
autor: snejk
To:

Kod: Zaznacz cały

iptables -A OUTPUT              -o $LAN                         -j ACCEPT
jest zbędne, bo masz politykę wyjściową (OUTPUT) ustawioną na ,,accept''.

Teoretycznie wejście z sieci lokalnej jest na ACCEPT, więc powinno działać. Sprawdź z jakiegoś komputera z LAN-u, czy masz połączenie na port serwera DHCP:

Kod: Zaznacz cały

telnet ip_serwera 67
Jeżeli tak, to kwestia konfiguracji samego serwera DHCP
Jeżeli nie, to w regułkach coś blokuje.

Pozdrawiam.

: 10 października 2013, 08:17
autor: LordRuthwen
Może dziwne pytanie, ale przy tej konfiguracji zasadne: dhcp na pewno działa i się rozgłasza na poprawnym interfejsie?

: 03 listopada 2013, 12:21
autor: juve1pl
Wszystko jest już w porządku.

Napisałem jeszcze raz regułki, tylko tym razem nie było maskarady, a SNAT i teraz wszystko działa prawidłowo.
Strefa czasowa UTC+01:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl