Dotaz: Správné nastavení IPTABLES pro server?

Dobrý den,

rád bych si vytvořil v interní síti server, který by umožňoval přístup stanic/serveru do internetu (pošta, www, ftp, atd.), ale zároveň zabraňoval přístup komukoliv dovnitř. Používám k tomu Ubuntu 5.10.

K internetu jsem připojen přes ASDL modem, kde jsem dostal: IP adresu A1, adresu brány B1, masku M1.

---- nastavení v Gnome ----

* Mám stanice v síti, jejichž adresy jsou 192.168.1.X
u nich se nastavuje brána B3 = 192.168.1.1

* Dále server, který má dvě síťové karty:

vnitřní eth1 síťová karta má adresu 192.168.1.1 a masku 255.255.255.0, bránu B2
vnější eth0 síťová karta má adresu A1, masku M1 a bránu B1

Dále mám nastaveny dva DNS servery (dostal jsem spolu s modemem). Toto jsem nastavoval v grafickém prostředí ve Správci a Sítě.

--- nastavení při startu Linuxu (skript) ---

route add 127.0.0.1 lo
route add 192.168.1.0 eth1
route add default eth0
/sbin/iptables-restore < /etc/iptable

(vím, že route je zastaralé, a že je lepší používat ip, ale tak daleko zatím nejsem... Také nevím, zda není lepší route nepoužívat, jestli třeba nekoliduje s nastavení v X serveru přes nabídky).

Chtěl bych, aby to fungovalo nějak takto:

- server může do internetu
- nikdo (zatím) nemůže přímo na server
- stanice mohou do internetu jedině přes server (brána, NAT, maškaráda)
- nikdo nemůže na stanice

Vytvořil jsem si nastavovací skript, který vypadá takto: iptables-set.txt

Pro kontrolu přikládám jeho výstup: tableroute.log

V souboru /etc/hosts je uvedeno mimo jiné toto:
192.168.1.1 server


Nebudu zastírat, že vím jen to, co jsem si přečetl v LDP a trochu MAN... ale chtěl bych to ovládat.

Když zkusím příkaz ping na 192.168.1.1 nebo na 127.0.0.1, dostanu vždy toto:

PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
--- 192.168.1.1 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 1999ms

Takže to asi nefunguje (popravdě nefunguje nic v Nástrojích sítě, jako Scan portů, atd.). Proto bych prosil, pokud by měl někdo čas a náladu se tím zabývat, zda-li by mi neřekl, co (a případně proč) je špatně, popř. pokud je tam něco zbytečné, tak také...

Předem děkuji.

jsi si jistej ze v tom skriptu "iptables-set.txt" ti parametr "reload" to nastaveni oprevdu reloadne ;)
pak se mi taky nelibi v chainu FORWARD v prvnim radku ten target DROP, pokud vim tak jednotlive pakety jedou odzhora (tusim) takze kdyz to na prvnim radku zakazes, tak to muzes na ctvrtym acceptovat jak chces :)
ale ruku do ohne bych za to nedal
to ale nevysvetluje to "operation not permitted"

Pokud provedu

iptables -t nat -F PREROUTING/POSTROUTING/OUTPUT
iptables -t nat -P PREROUTING/../... ACCEPT
iptables -F INPUT/OUTPUT/FORWARD
iptables -P INPUT/../.. ACCEPT

tak ping chodí. Dokonce na obě síťové karty. Je možné, že mám buď něco špatně v IPTABLES, nebo tam jednoduše nemám povoleny služby pro PING, ale ty jsem nenašel v services, tak nevím. A možná to s tím souvisí, možná ne, ale když mám nastavené toto všechno, tak po kliknutí na Odhlásit musím čekat tak 3 minuty, než se mi objeví okno, kde si mohu vybrat, zda Restartovat, Vypnout, atd. Když dám storno, tak už se pak objeví vždy rychle. Na ostaní okna to nemá vliv. Když použiji výše zmíněnou sekvenci 12 příkazů, tak se to nestává. Má to vliv i na Nové přihlášení... (???)

Ve FORWARD nemas povolene ICMP

kolisko

Tohle by ti tuto problematiku mohlo dostatecne osvetlit .. a ten, kdo tvrdil, ze packety "jedou" odshora v chainu, mel pravdu

Děkuji všem, hlavně za odkaz a cheyeneovi za ukázkový příklad.