AbcLinuxu:/ Poradna / Linuxová poradna / oddeleni dvou siti

Štítky: firewally, iptables, KDE

Dotaz: oddeleni dvou siti

23.9.2005 08:09 georgo23 | skóre: 26 | blog: instalace_vmwaru | Karviná
oddeleni dvou siti

Přečteno: 128×

Odpovědět | Admin

Zdarec , potrebovall bych poradit jak udelat pravidlo , aby se na routru kde je

eth0
wlan0
wlan1
wlan2
wlan3

napr. wlan0 a wlan3 absolutne nevideli.. ani ping proste nic . Zkousel jsem :

iptables -A FORWARD -i wlan0 -o wlan3 -j DROP

nefunguje ... nevite jak na to ?? dekuji .. .

jen se učím jak se to naučit .... ...

Nástroje: Začni sledovat (1) ?

Odpovědi

23.9.2005 08:35 houska
Rozbalit Rozbalit vše Re: oddeleni dvou siti

tohle jsem taky jednou zkousel a takhle mi to taky neslo, zkus


iptables -A FORWARD -s ip.addr.wlan.0 -d ip.addr.wlan.3 -j DROP

23.9.2005 08:42 georgo23 | skóre: 26 | blog: instalace_vmwaru | Karviná
Rozbalit Rozbalit vše Re: oddeleni dvou siti

bez uspechu .... :-(

jen se učím jak se to naučit .... ...

23.9.2005 08:53 blondak | skóre: 36 | blog: Blondak | Čáslav
Rozbalit Rozbalit vše Re: oddeleni dvou siti

to je divné, já s úspěchem používám:

-A FORWARD -s 10.0.0.0/16    -d 10.0.0.0/16 -j REJECT --reject-with icmp-net-unreachable

pro sítě:
eth1 : 10.0.0.0
eth2 : 10.0.1.0
eth3 : 10.0.2.0
eth4 : 10.0.3.0

Každý problém ma své logické, snadno pochopitelné nesprávné řešení.

23.9.2005 09:05 georgo23 | skóre: 26 | blog: instalace_vmwaru | Karviná
Rozbalit Rozbalit vše Re: oddeleni dvou siti

muzu se po.... a ono to proste jede :

eth0 192.168.101.0 (gw)
wlan0 192.168.100.0
wlan1 192.168.3.0
wlan2 192.168.9.0
wlan3 192.168.103.0

iptables -A FORWARD -d 192.168.100.0/24 -s 192.168.7.0/24 -j REJECT --reject-with icmp-net-unreachable
iptables -A FORWARD -s 192.168.100.0/24 -d 192.168.7.0/24 -j REJECT --reject-with icmp-net-unreachable

proste to nejde hrrr !!!
jede pingam ... dostanu se sshackem daaal proste zije se svym zivotem

jen se učím jak se to naučit .... ...

23.9.2005 09:14 houska
Rozbalit Rozbalit vše Re: oddeleni dvou siti

to je divny, a kdyz si vypises


iptables -L -v

tak to tam vidis? nekde na zacatku-aby se nestalo aby to doslo k nejakymu pravidlu ktery s tim neudela neco jinyho a k tomu zakazani to vube nedojde ...

23.9.2005 09:23 georgo23 | skóre: 26 | blog: instalace_vmwaru | Karviná
Rozbalit Rozbalit vše Re: oddeleni dvou siti

je ale uplne na konci ,ten vypis je tak na 3 A4 ....

jen se učím jak se to naučit .... ...

23.9.2005 09:21 Kamorek | skóre: 33 | blog: předvolební mazec | VB
Rozbalit Rozbalit vše Re: oddeleni dvou siti

Nemas pred, nebo za FORWARDem nejake pravidlo, ktere to zase povoli?

Taky si udělám nějakou studii.

23.9.2005 09:31 georgo23 | skóre: 26 | blog: instalace_vmwaru | Karviná
Rozbalit Rozbalit vše Re: oddeleni dvou siti

samozrejmne ze mam ... CHapej v siti je okolo 150 lidi , takze forward je kompletne zakazan a kdyz pribude ucastnik tak ho proste povolim se vsim .

iptables -A FORWARD -s ipecko.kli.nt.a -j ACCEPT
iptables -A FORWARD -d ipecko.kli.nt.a -j ACCEPT

no a kdyz mam na routru 5 sitovek a jedna vede k hlavnimu routru / fw tak vlasnte vsichni vidi vsude a tto chci zakazat .

jen se učím jak se to naučit .... ...

23.9.2005 09:57 Marián Oravec | skóre: 22 | Nitra
Rozbalit Rozbalit vše Re: oddeleni dvou siti

ano ale toto:

iptables -A FORWARD -s ipecko.kli.nt.a -j ACCEPT
iptables -A FORWARD -d ipecko.kli.nt.a -j ACCEPT

povoli pre tu IP vsetko (aj to aby videlo wlan0 resp. wlan3).

dalsia vec. pisete ze:

eth0 192.168.101.0 (gw)
wlan0 192.168.100.0
wlan1 192.168.3.0
wlan2 192.168.9.0
wlan3 192.168.103.0

a potom pisete:

iptables -A FORWARD -d 192.168.100.0/24 -s 192.168.7.0/24 -j REJECT --reject-with icmp-net-unreachable
iptables -A FORWARD -s 192.168.100.0/24 -d 192.168.7.0/24 -j REJECT --reject-with icmp-net-unreachable

ked sa nema vidiet wlan0 a wlan3 tak preco 192.168.7.0/24 ked wlan3 je 192.168.103.0/24?

Mám rád elektro, ale vypočujem si aj iné...

23.9.2005 10:01 georgo23 | skóre: 26 | blog: instalace_vmwaru | Karviná
Rozbalit Rozbalit vše Re: oddeleni dvou siti

protoze wlan3 je jen trasa k dalsimu routeru kde se nechazi sit 192.168.7.0/24 a 192.168.8.0/24. routru mam asi 7 ... :-(

jen se učím jak se to naučit .... ...

23.9.2005 09:59 podlesh | skóre: 38 | Freiburg im Breisgau
Rozbalit Rozbalit vše Re: oddeleni dvou siti

Tak v tom případě to zakázání patří na začátek, ne na konec.

23.9.2005 10:02 georgo23 | skóre: 26 | blog: instalace_vmwaru | Karviná
Rozbalit Rozbalit vše Re: oddeleni dvou siti

ani to nepomohlo sakrys ,nekde delam chybu pravdepodobne ale kde ... ??

jen se učím jak se to naučit .... ...

23.9.2005 10:07 pingo
Rozbalit Rozbalit vše Re: oddeleni dvou siti

Ahoj, mozna by pomohlo kdyz by jsi zverejnil cely skriptik s pravidly

23.9.2005 10:12 georgo23 | skóre: 26 | blog: instalace_vmwaru | Karviná
Rozbalit Rozbalit vše Re: oddeleni dvou siti

uff okej :

#!/bin/bash
# vycisteni vsech pravidel
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
#nastaveni implicitnich pravidel
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
#nastaveni kolek vysilac
 x=1;
   while [ "$x" -le 34 ]; do
       iptables -I FORWARD -d 192.168.1.$x -j ACCEPT
       iptables -I FORWARD -s 192.168.1.$x -j ACCEPT
           x=$(expr $x + 1)
               done
# vyjimky :
iptables -I FORWARD -d 192.168.1.103 -j ACCEPT # fotr griffin
iptables -I FORWARD -s 192.168.1.103 -j ACCEPT # fotr griffin
iptables -I FORWARD -d 192.168.1.123 -j ACCEPT
iptables -I FORWARD -s 192.168.1.123 -j ACCEPT
# nastaveni radovek
 x=1;
   while [ "$x" -le  18  ]; do
       iptables -I FORWARD -d 192.168.2.$x -j ACCEPT
       iptables -I FORWARD -s 192.168.2.$x -j ACCEPT
           x=$(expr $x + 1)
               done
# vyjimky :

# nastaveni Karvina - 6
 x=1;
  while [ "$x" -le  28  ]; do
           iptables -I FORWARD -d 192.168.3.$x -j ACCEPT
           iptables -I FORWARD -s 192.168.3.$x -j ACCEPT
                x=$(expr $x + 1)
                        done

jre toho vice ale vzdy stejne na kazdej subnet noo ... jina omezeni pro FORWARD tam nejsou .

jen se učím jak se to naučit .... ...

23.9.2005 11:04 pingo
Rozbalit Rozbalit vše Re: oddeleni dvou siti

To pravidlo na zakazani bych dal jako prvni v CHAINu FORWARD. Kdyz jsi to zkousel dat na zacatek bylo to pravidlo opravdu prvni ?? zkontrolovals to v iptables -L ??

23.9.2005 12:09 Rozik | skóre: 14
Rozbalit Rozbalit vše Re: oddeleni dvou siti

Mozna by postacilo nahradit

iptables -I FORWARD

iptables -A FORWARD

Mam takovou tuchu, ze I to pastuje opacnym smerem nez A, takze jste si to mozna povolil nekde na konci scriptu... Pravdepodobnost, ze to bude tim je ale miziva. Nicmene za pokus to stoji.

-- Zadny uceny z nebe nespad --

23.9.2005 11:00 petr_p
Rozbalit Rozbalit vše Re: oddeleni dvou siti

Mate to trochu zmatene a informace z vas lezou po kouskach (dat sem "nefuguje -A pravidlo" a pak teprve prozradit, ze mate predtim nejake vyjimky, je trochu nevhodne).

Proste si pridejte na zacatek FORWARD chainu LOGovaci pravidlo na inkrimovane pakety, pak sem pastnete iptables -nvL FORWARD --line-numbers a vypis logu jadra s proslym paketem. Urcite to je jen nekde nejaky preklep.

Dale vam doporuciji misto DROPu davat REJECT. Je to tak lepsi pro uzivatele i pro spravce.

Dale nezapominate, ze pravidla se uplatnuji v poradi, v jakem jsou zapsana a prvni DROP nebo ACCEPT terminuje (tzn. je finalni a dalsi nasledujici pravidla se uz neberou v uvahu)?

Založit nové vlákno • Nahoru

Tiskni Sdílej: