Dotaz: iptables, kde mám chybu ?

Zdravím, Vás. Chtěl jsme si zkusit nastavit sám iptables (doposud se o to stará shorewall, který bych rád odstranil), ale narazil jsem na problém. Přečetl jsem si spoustu diskusí zde i článek na root ( stavíme firewall ) a dokonce i něco v knize ( Linux kompletní příručka administrátora ), ale stále nemohu přijít na to, kde mám ve skriptu chybu. iptables nastavuji na serveru, ke kterému je připojeno 6 pc v síti 192.168.0. Server má rozhraní eth0( internet IP z DHCP (AA.BB.CC.DD) ) a eth1 ( lokální síť ). Po nastavení iptables ( viz. níže ) nemohu ze serveru ( ani z lokálních pc ) na internet ( http, ping ). Můžete mi někdo říct, proč s touto konfigurací nemohu ze serveru na net ? Moc by mi to pomohlo ... díky...

#!/bin/sh

iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -p ICMP -i eth0 --icmp-type 0 -j ACCEPT
iptables -A INPUT -p ICMP -i eth0 --icmp-type 3 -j ACCEPT
iptables -A INPUT -p ICMP -i eth0 --icmp-type 8 -j ACCEPT
iptables -A INPUT -p ICMP -i eth0 --icmp-type 11 -j ACCEPT

iptables -A INPUT -p all -i eth1 -j ACCEPT
iptables -A INPUT -p all -i lo -j ACCEPT
iptables -A INPUT -j LOG

iptables -A OUTPUT -p all -s 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -p all -s 192.168.0.1 -j ACCEPT
iptables -A OUTPUT -p all -s AA.BB.CC.DD -j ACCEPT
iptables -A OUTPUT -j LOG

iptables -A FORWARD -i eth1 -j ACCEPT 
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Skript jsem moc nezkoumal , ale máš povolené forwardování? /proc/sys/net/ipv4/ip_forward

Můžete mi někdo říct, proč s touto konfigurací nemohu ze serveru na net? Moc by mi to pomohlo

problem muze byt jedine v iptables -A OUTPUT -p all -s AA.BB.CC.DD -j ACCEPT. Mas nejaky duvod filtrovat pakety z toho kompu?

Koukni se do logu, jaké pakety ti to zahazuje. Kdyžtak přidej -j LOG i do FORWARD a dej ke každému LOGu jiný prefix ať poznáš kde ten paket "propadnul", třeba:

iptables -A INPUT -j LOG --log-prefix INPUT-DROP
iptables -A OUTPUT -j LOG --log-prefix OUTPUT-DROP
iptables -A FORWARD -j LOG --log-prefix FORWARD-DROP

IMHO je chyba v tom, že pro spojení ze serveru nemáš povolen INPUT (chybí něco jako iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT) a pro spojení z vnitřní sítě zase není povolen OUTPUT (respektivě je povolen pro jediný počítač 192.168.0.1, ne síť)

1. V řetězci OUTPUT jsou pouze pakety, které jste vyrobil sám, nemá tedy smysl kontrolovat zdrojovou IP adresu. Nemáte-li k tomu nějaký zásadní důvod, nedoporučoval bych OUTPUT vůbec filtrovat.
2. Jak už zde padlo, v řetězci INPUT povolujete zvenku pouze ICMP pakety (typy 0,3,8,11), takže neprojdou odpovědi na vámi generované pakety. Řešení už bylo naznačeno.
3. Na začátku promažte raději i tabulku nat, příkazem 'iptables -F' mažete pouze obsah řetězců v tabulce filter
4. Pravidlo pro maškarádu omezte raději jen na pakety s adresami, které maškarádovat opravdu chcete.

Zdravim

Pokud nezadas tabulku, tak defaultni je filter. to znamena, ze prikazem "iptables -F" smazes jen tabulku filter, takze musis mit:

iptables -F -t filter

iptables -F -t mangle

iptables -F -t nat

Ze zacatku bych urcite zacal tim, ze vsechny chainy povolis

iptables -P INPUT ACCEPT

iptables -P OUTPUT ACCEPT

iptables -P FORWARD ACCEPT

a nechas tam jen maskaradu

iptables -A FORWARD -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

Melo by to chodit, pak zkus dat policy na DROP a pridavat jednotlivy pravidla.

Doporucuju skouknout petrickouv firewall, nazhav strejdu googla.

Zdenek