Dotaz: jak nastavit FW?

14.9.2005 22:30 chinook | skóre: 28
jak nastavit FW?

Přečteno: 213×

Odpovědět | Admin

Poradi mi nekdo kde mam chybu? Chci byt na DC active na portu 411, ale stale se mi to nedari.

echo 1 > /proc/sys/net/ipv4/ip_forward;



modprobe ip_conntrack_ftp;
iptables -P INPUT DROP;
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT

iptables -A INPUT -i eth1 -p udp --dport 137 -j ACCEPT
iptables -A INPUT -i eth1 -p udp --dport 138 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 139 -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 631 -j ACCEPT


iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT;
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A INPUT -i eth1 -p icmp -j ACCEPT

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE;
iptables -t nat -A PREROUTING -p tcp --dport 411 -d 81.27.200.49 -j DNAT --to 192.168.1.11:411;
iptables -t nat -A PREROUTING -p udp --dport 411 -d 81.27.200.49 -j DNAT --to 192.168.1.11:411;
iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
iptables -A FORWARD -i eth0 -p tcp -d 192.168.1.11 --dport 411 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -p udp -d 192.168.1.11 --dport 411 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -d 192.168.1.11 --dport 5010 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT;
iptables -A FORWARD -i eth0 -j DROP

a jeste se chci zeptat tyto radky mam ulozene v /etc/init.d/rc je to dobre nebo je lepsi misto kam je dat?

Nástroje: Začni sledovat (0) ?

Odpovědi

14.9.2005 22:35 ...... | skóre: 41 | blog: ...
Rozbalit Rozbalit vše Re: jak nastavit FW?

no tak v tomto guláši se určitě nikdo prohrabovat nebude

14.9.2005 22:58 chinook | skóre: 28
Rozbalit Rozbalit vše Re: jak nastavit FW?

ok, je toto lepsi? http://81.27.200.49/ipconf.jpg

doufam ze to pojede a neblokne to ten FW

14.9.2005 23:12 Zdeněk Burda | skóre: 61 | blog: Zdendův blog | Praha
Rozbalit Rozbalit vše Re: jak nastavit FW?

Úplně nejlepší je hned v dotazu zapsat výpisy do pre tagu. Majinko jsem ti to opravil.

-- Nezdar není hanbou, hanbou je strach z pokusu.

14.9.2005 23:41 Drew | skóre: 15 | blog: Supi_hnizdo | Praha
Rozbalit Rozbalit vše Re: jak nastavit FW?

iptables -A INPUT -i eth0 -p tcp --dport 411 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 411 -j ACCEPT

? btw: pry ma byt udp a tcp port jiny, nevim proc, ale rikal mi to nejaky guru, mozna kecal, ale nic se tim nezkazi :-)

.(ergo 411 a 412 treba)

mne funguje tohle, $1 je promenna vstupniho rozhrani:

#open ports 411,412 tcp and 410, 413 udp and 4111, 4112 tcp and 4110,4113 udp for incoming trafic and
iptables -A INPUT -p tcp --dport 411 -j ACCEPT
iptables -A INPUT -p tcp --dport 412 -j ACCEPT
iptables -A INPUT -p tcp --dport 4111 -j ACCEPT
iptables -A INPUT -p tcp --dport 4112 -j ACCEPT
iptables -A INPUT -p udp --dport 410 -j ACCEPT
iptables -A INPUT -p udp --dport 413 -j ACCEPT
iptables -A INPUT -p udp --dport 4110 -j ACCEPT
iptables -A INPUT -p udp --dport 4113 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 411 -i $1 -j DNAT --to-destination 192.168.1.100
iptables -t nat -A PREROUTING -p tcp --dport 4111 -i $1 -j DNAT --to-destination 192.168.1.100
iptables -t nat -A PREROUTING -p tcp --dport 412 -i $1 -j DNAT --to-destination 192.168.1.200
iptables -t nat -A PREROUTING -p tcp --dport 4112 -i $1 -j DNAT --to-destination 192.168.1.200
iptables -t nat -A PREROUTING -p udp --dport 410 -i $1 -j DNAT --to-destination 192.168.1.100
iptables -t nat -A PREROUTING -p udp --dport 4110 -i $1 -j DNAT --to-destination 192.168.1.100
iptables -t nat -A PREROUTING -p udp --dport 413 -i $1 -j DNAT --to-destination 192.168.1.200
iptables -t nat -A PREROUTING -p udp --dport 4113 -i $1 -j DNAT --to-destination 192.168.1.200

14.9.2005 23:46 georgewh
Rozbalit Rozbalit vše Re: jak nastavit FW?

ak ktory if je externy a ktory interny?

15.9.2005 00:54 chinook | skóre: 28
Rozbalit Rozbalit vše Re: jak nastavit FW?

eth0 je externi 81.27.200.49

eth1 je interni 192.168.1.1

15.9.2005 01:21 chinook | skóre: 28
Rozbalit Rozbalit vše Re: jak nastavit FW?

muzu se zeptat co znamena tohle jako interface? $1

15.9.2005 13:24 Drew | skóre: 15 | blog: Supi_hnizdo | Praha
Rozbalit Rozbalit vše Re: jak nastavit FW?

$1 je proměnná, znamená to eth1, v prostředí toho skryptu :-)

15.9.2005 03:11 georgewh
Rozbalit Rozbalit vše Re: jak nastavit FW?

mal som podobny problem. FW blokoval vsetky pripojania okrem ESTABLISh a RELATED. ked som ftpckoval, tak ma normalne prihlasilo, ale ked som zadal ls, tak sa nic nedialo a po chvili: Connection timeout.

tak som povolil pripojenia na --dport 1024: a pomohlo to. neviem ci pri maskarade (podobne ako s irc,icq,tftp) to bude fungovat. skus spustit program a skus odchytit ten 1. paket toho ZLEHO spojenia na FW a hned ten port maskaraduj na tvoje PC. neviem ci to bude fungovat. ber to ako vyplod mojej fantazie o 03:10 hod.

Založit nové vlákno • Nahoru

Tiskni Sdílej: