Portál AbcLinuxu, 31. července 2025 00:54


Dotaz: Nastavení iptables pro PPP a modem

12.4.2003 17:47 Mirka
Nastavení iptables pro PPP a modem
Přečteno: 166×
Odpovědět | Admin
Ahoj potrebovala bych poradit s iptables. Zaklady linuxu jsem snad zvladla ale ty iptables vubec nechapu. Potrebovala bych je nastavit tak abych si po pripojeni pres modem - PPP mohla jen browsit, vyzvedavat postu a pritom se nebat ze nejsem za firewallem.
Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

12.4.2003 18:32 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
Rozbalit Rozbalit vše iptables
Odpovědět | | Sbalit | Link | Blokovat | Admin
Na rootu vyšlo několik článků na toto téma:
http://www.root.cz/clanek/980
http://www.root.cz/clanek/990
http://www.root.cz/clanek/1098
http://www.root.cz/clanek/429
Weblate - překládání přes web | Gammu SMSD - posílání SMS | Blog
12.4.2003 19:11 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
Rozbalit Rozbalit vše iptables
Hmmm, koukám, že ty odkazy jsem nějak zblbnul, ale snad to pochopíte :).
Weblate - překládání přes web | Gammu SMSD - posílání SMS | Blog
12.4.2003 18:48 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše iptables
Odpovědět | | Sbalit | Link | Blokovat | Admin
Takže něco takového: 
#!/bin/sh

echo "0" > /proc/sys/net/ipv4/ip_forward

MOJE_IP=192.168.3.67

# Firevall
/sbin/iptables -X
/sbin/iptables -F INPUT
/sbin/iptables -F OUTPUT
/sbin/iptables -F FORWARD
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP

/sbin/iptables -A INPUT -i eth0 -d 127.0.0.1/255.0.0.0 -j LOG --log-level 6
/sbin/iptables -A INPUT -i eth0 -d 127.0.0.1/255.0.0.0 -j REJECT

# local
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT

# to co jsme navázali my
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A OUTPUT -s $MOJE_IP -j ACCEPT

/sbin/iptables -A OUTPUT -p icmp -j ACCEPT
#/sbin/iptables -A FORWARD -p icmp -j ACCEPT

# max5 pingu za s
/sbin/iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 5 -j ACCEPT

# WWW
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# odmitne port 113 auth
/sbin/iptables -A INPUT -i eth0 -p TCP --dport 113 -j REJECT

# LOGUJ OSTATNI
/sbin/iptables -A OUTPUT -j LOG --log-level 6
/sbin/iptables -A INPUT -d $MOJE_IP -j LOG --log-level 6
/sbin/iptables -A FORWARD -j LOG --log-level 6
Pokud neprovozujete www tak ten řádek vyhodit. Čerpáno z www.root.cz a diskuzí v skupině linux@linux.cz
13.4.2003 02:07 Mirka
Rozbalit Rozbalit vše iptables
Diiiky
23.5.2006 17:20 e1ko
Rozbalit Rozbalit vše Re: iptables
A dalo by se to nějak upravit, aby to fungovalo i pokud je IP adresa přidělována dynamicky?
23.5.2006 17:38 Scarabeus IV | skóre: 20 | blog: blogisek_o_gentoo | Praha
Rozbalit Rozbalit vše Re: iptables
prasacky by se to snad dalo zjistit pres prikaz ip (ted nesedim u linuxu takze nepovim presne) a vystup toho prikazu priradit promenny.
MOJE_IP="ip [moje parametry]"
23.5.2006 19:27 Jiří J. | skóre: 34 | blog: Poutník | Brno
Rozbalit Rozbalit vše Re: iptables
a ono to nefunguje s jinou IP? Pokud byste chtěla forward, tak tam dynamičnost jde vyřešit třeba přes maškarádu.
23.5.2006 19:57 e1ko
Rozbalit Rozbalit vše Re: iptables
No právě teď mám na nb pevnou ip, tak to nemůžu vyzkoušet, ale občas se pohybuju i v úplně jiných sítích, tak bych potřeboval, aby to fungovalo i tam ;) Celé odpoledne mě nešel root.cz, tak jsem se nemohl podívat do těch jejich článků, ale teď už jede, tak se pak na to zkusím podívat :)
24.5.2006 18:53 e1ko
Rozbalit Rozbalit vše Re: iptables
No tak po prostudování těch článku na rootu a nahlédnutí do manuálu jsem nabyl dojmu že MASQUERADE lze použít jen v tabulce nat. Zjišťování přes ip by šlo, ale nevím jestli je to ideální řešení. Každopádně, kdyby někdo věděl jak to udělat 100% dynamické, byl bych vděčný :)
24.5.2006 19:24 ZAH | skóre: 43 | blog: ZAH
Rozbalit Rozbalit vše Re: iptables
Tohle jsem používal několik let. Lepší je to přepsat pro ip, ale to nechám následovníkům. 
...........
# IP adresa vnejsiho rozhrani
INET_IP=`ifconfig ppp0 | grep inet | cut -d: -f2 | cut -d' ' -f1`
.........
..........
# IP maskarada - SNAT
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to $INET_IP
..........
.............
24.5.2006 19:51 e1ko
Rozbalit Rozbalit vše Re: iptables
Jo díky, to funguje, ale mě se spíš jedná o to, aby mi to fungovalo tak, že ppokud zapnu počítač v nějaké síti a pak ho přenesu do jiné a dostanu jinou ip, aby to fungovalo. Teď je otázka, jestli se to dá zařídit nějak pomocí iptables, nebo tím kdy se bude skript spouštět. V tom případě si ale nejsem jistý odkud mám ten skript zavolat.
24.5.2006 20:02 ZAH | skóre: 43 | blog: ZAH
Rozbalit Rozbalit vše Re: iptables
Na RedHatu by to měl být 
/etc/ppp/ip-up.local
24.5.2006 23:20 e1ko
Rozbalit Rozbalit vše Re: iptables
V Ubuntu by to taky tak mělo fungovat. Jenže já potřebuju mít firewall na eth0 a skript /etc/ppp/ip-up, ze kterého se pak /etc/ppp/ip-up.local volá, se mi po startu systému nespouští. Mám ještě někdo něco nastavit?
25.5.2006 09:03 kafi | skóre: 25 | blog: muj_prvni_blog
Rozbalit Rozbalit vše Re: iptables
No nevim jak je to na Ubuntu ale ja na Slackware to mam tak ze po te co ziska ethernet od DHCP ip, tak spstim pres /etc/rc.d/rc.M muj firewall.Coz je soubor kde na zacatku zjistim ip kterou jsem dostal od DHCP a to 
ma_ip=ip addr show dev eth1 | grep " inet " | awk {'print $2'} | cut -d'/' -f1
jak je videt IP priradim promenema_ip a ta je pak dosazovano do firewallu.Napr.
iptales -A INPUT -s $ma_ip -j ACCEPT
atd.
23.5.2006 19:30 Jiří J. | skóre: 34 | blog: Poutník | Brno
Rozbalit Rozbalit vše Re: iptables
pardon, já si nevšiml, že to píše jiná osoba :-D

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.