Portál AbcLinuxu, 9. května 2025 21:21

Dotaz: firewall (iptables) neroutuje?

27.1.2006 17:43 vajno
firewall (iptables) neroutuje?
Přečteno: 155×
Odpovědět | Admin
Standarnu politiku pre FORWARD mam DROP.

V pravidlach pre FORWARD je len iptables -A FORWARD -s $LOCAL_NET -i $LOCAL_INTERFACE -o $INET_INTERFACE -j ACCEPT

Z druheho pocitaca (nie je priamo z toho kde je firewall) mi nenatiahne ziadny web.

Ked vsak dam standardnu politiku FORWARD na ACCEPT, tak mi natiahne.

SNAT je hned za FORWARD a je rieseny takto: iptables -t nat -A POSTROUTING -s $LOCAL_NET -o $INET_INTERFACE -j SNAT --to-source $NAT

Routovanie je hned za SNAT: echo 1 > /proc/sys/net/ipv4/ip_forward

Teda raz routuje a raz nie?
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

27.1.2006 17:53 zabza | skóre: 52 | blog: Nad_sklenkou_cerveneho
Rozbalit Rozbalit vše Re: firewall (iptables) neroutuje?
Odpovědět | | Sbalit | Link | Blokovat | Admin
no pakety chodí totiž oběma směry... nejen z lokalní sitě ven, ale taky zpátky...
27.1.2006 18:05 cheyene12 | skóre: 4 | blog: cheyene | Zdar nad Sazavou
Rozbalit Rozbalit vše Re: firewall (iptables) neroutuje?
Odpovědět | | Sbalit | Link | Blokovat | Admin
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
27.1.2006 20:17 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: firewall (iptables) neroutuje?
Odpovědět | | Sbalit | Link | Blokovat | Admin
Problém už byl vyřešen, takže si vás dovolím upozornit na chybnou terminologii (která se k mé nelibosti bohužel stále více rozšiřuje). Routing (směrování) je rozhodování o tom, co systém udělá s paketem, zda ho doručí sám sobě, přímo na některé rozhraní nebo přes dalšího prostředníka (hop) a kdo bude případně tím prostředníkem; nebo také zda ho vůbec doručí. Obvykle se tak děje podle směrovací tabulky, jejíž obsah buď nastavujete přímo příkazem 'ip route' nebo to dělají inicializační skripty systému podle nějakého konfiguračního souboru.

Tuto činnost netfilter neprovádí, k tomu slouží jiná část jádra. Novější verze sice umožňují zasáhnout i do směrování, ale to se používá jen v mimořádných případech. Samozřejmě že pokud změníte akcí DNAT cílovou adresu paketu, má to většinou vliv na jeho směrování, ale do samotného algoritmu se zasahuje jen speciálními pravidly, která vy nejspíš ve své konfiguraci nemáte.

Takže váš problém není v tom, že vám firewall neroutuje, problém je v tom, že nepropouští určité pakety (zde konkrétně pakety zvenku od počítačů, které tam kontaktujete).

28.1.2006 10:20 ...... | skóre: 41 | blog: ...
Rozbalit Rozbalit vše Re: firewall (iptables) neroutuje?
:-) to jsem čekal :-) ale je fakt, že máš pravdu. Hromada lidí si plete jeden pojem s druhým. Sice spolu úzce souvisí ale jsou o něčem úplně jiném.
28.1.2006 10:47 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: firewall (iptables) neroutuje?
Ono to sice na první pohled vypadá jako bazírování na nějaké hloupé formální terminologii, ale ze zkušenosti moc dobře vím, že jakmile je konfigurace trochu složitější, začne být velmi důležité, jak (a v jakém pořadí) na sebe jednotlivé fáze zpracování paketu navazují. On i samotný rozdíl iptables vs. netfilter občas vede k nedorozumění.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.