Portál AbcLinuxu, 21. července 2025 08:44


Dotaz: jak nastavit FW?

14.9.2005 22:30 chinook | skóre: 28
jak nastavit FW?
Přečteno: 171×
Odpovědět | Admin
Poradi mi nekdo kde mam chybu? Chci byt na DC active na portu 411, ale stale se mi to nedari.
echo 1 > /proc/sys/net/ipv4/ip_forward;



modprobe ip_conntrack_ftp;
iptables -P INPUT DROP;
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 21 -j ACCEPT

iptables -A INPUT -i eth1 -p udp --dport 137 -j ACCEPT
iptables -A INPUT -i eth1 -p udp --dport 138 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 139 -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 631 -j ACCEPT


iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT;
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A INPUT -i eth1 -p icmp -j ACCEPT

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE;
iptables -t nat -A PREROUTING -p tcp --dport 411 -d 81.27.200.49 -j DNAT --to 192.168.1.11:411;
iptables -t nat -A PREROUTING -p udp --dport 411 -d 81.27.200.49 -j DNAT --to 192.168.1.11:411;
iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
iptables -A FORWARD -i eth0 -p tcp -d 192.168.1.11 --dport 411 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -p udp -d 192.168.1.11 --dport 411 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -d 192.168.1.11 --dport 5010 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT;
iptables -A FORWARD -i eth0 -j DROP 
a jeste se chci zeptat tyto radky mam ulozene v /etc/init.d/rc je to dobre nebo je lepsi misto kam je dat?
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

14.9.2005 22:35 ...... | skóre: 41 | blog: ...
Rozbalit Rozbalit vše Re: jak nastavit FW?
Odpovědět | | Sbalit | Link | Blokovat | Admin
no tak v tomto guláši se určitě nikdo prohrabovat nebude
14.9.2005 22:58 chinook | skóre: 28
Rozbalit Rozbalit vše Re: jak nastavit FW?
ok, je toto lepsi? http://81.27.200.49/ipconf.jpg

doufam ze to pojede a neblokne to ten FW
14.9.2005 23:12 Zdeněk Burda | skóre: 61 | blog: Zdendův blog | Praha
Rozbalit Rozbalit vše Re: jak nastavit FW?
Úplně nejlepší je hned v dotazu zapsat výpisy do pre tagu. Majinko jsem ti to opravil.
-- Nezdar není hanbou, hanbou je strach z pokusu.
14.9.2005 23:41 Drew | skóre: 15 | blog: Supi_hnizdo | Praha
Rozbalit Rozbalit vše Re: jak nastavit FW?
Odpovědět | | Sbalit | Link | Blokovat | Admin
co
iptables -A INPUT -i eth0 -p tcp --dport 411 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 411 -j ACCEPT
:-)? btw: pry ma byt udp a tcp port jiny, nevim proc, ale rikal mi to nejaky guru, mozna kecal, ale nic se tim nezkazi:-).(ergo 411 a 412 treba)

mne funguje tohle, $1 je promenna vstupniho rozhrani:
#open ports 411,412 tcp and 410, 413 udp and 4111, 4112 tcp and 4110,4113 udp for incoming trafic and
iptables -A INPUT -p tcp --dport 411 -j ACCEPT
iptables -A INPUT -p tcp --dport 412 -j ACCEPT
iptables -A INPUT -p tcp --dport 4111 -j ACCEPT
iptables -A INPUT -p tcp --dport 4112 -j ACCEPT
iptables -A INPUT -p udp --dport 410 -j ACCEPT
iptables -A INPUT -p udp --dport 413 -j ACCEPT
iptables -A INPUT -p udp --dport 4110 -j ACCEPT
iptables -A INPUT -p udp --dport 4113 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 411 -i $1 -j DNAT --to-destination 192.168.1.100
iptables -t nat -A PREROUTING -p tcp --dport 4111 -i $1 -j DNAT --to-destination 192.168.1.100
iptables -t nat -A PREROUTING -p tcp --dport 412 -i $1 -j DNAT --to-destination 192.168.1.200
iptables -t nat -A PREROUTING -p tcp --dport 4112 -i $1 -j DNAT --to-destination 192.168.1.200
iptables -t nat -A PREROUTING -p udp --dport 410 -i $1 -j DNAT --to-destination 192.168.1.100
iptables -t nat -A PREROUTING -p udp --dport 4110 -i $1 -j DNAT --to-destination 192.168.1.100
iptables -t nat -A PREROUTING -p udp --dport 413 -i $1 -j DNAT --to-destination 192.168.1.200
iptables -t nat -A PREROUTING -p udp --dport 4113 -i $1 -j DNAT --to-destination 192.168.1.200
14.9.2005 23:46 georgewh
Rozbalit Rozbalit vše Re: jak nastavit FW?
Odpovědět | | Sbalit | Link | Blokovat | Admin
ak ktory if je externy a ktory interny?
15.9.2005 00:54 chinook | skóre: 28
Rozbalit Rozbalit vše Re: jak nastavit FW?
eth0 je externi 81.27.200.49
eth1 je interni 192.168.1.1
            
15.9.2005 01:21 chinook | skóre: 28
Rozbalit Rozbalit vše Re: jak nastavit FW?
muzu se zeptat co znamena tohle jako interface? $1
15.9.2005 13:24 Drew | skóre: 15 | blog: Supi_hnizdo | Praha
Rozbalit Rozbalit vše Re: jak nastavit FW?
$1 je proměnná, znamená to eth1, v prostředí toho skryptu:-).
15.9.2005 03:11 georgewh
Rozbalit Rozbalit vše Re: jak nastavit FW?
mal som podobny problem. FW blokoval vsetky pripojania okrem ESTABLISh a RELATED. ked som ftpckoval, tak ma normalne prihlasilo, ale ked som zadal ls, tak sa nic nedialo a po chvili: Connection timeout.

tak som povolil pripojenia na --dport 1024: a pomohlo to. neviem ci pri maskarade (podobne ako s irc,icq,tftp) to bude fungovat. skus spustit program a skus odchytit ten 1. paket toho ZLEHO spojenia na FW a hned ten port maskaraduj na tvoje PC. neviem ci to bude fungovat. ber to ako vyplod mojej fantazie o 03:10 hod.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.