Sziasztok,
Mivel egyre többet szembesülök azzal, hogy nem túl egészséges dolog hülyének lenni hálózat témában, ezért úgy döntöttem, hogy ráfekszem a témára, de már sikerült is elakadnom tűzfal ügyben. A következő lenne a feladatom.
Adva van 2 gép, és egy tűzfalnak kinevezett gép. Mind Centos7
fw1: eth0 192.168.2.2/24
fw2: eth0 192.168.2.1/24 , eth1 192.168.3.1
fw3: eth0 192.168.3.2/24
Azt szeretném elérni, hogy az fw1 nevű gép az fw3 nevű gépet csak 80-as és 22-es TCP porton tudja megszólítani, de fordítva már ne működjön, tehát a fw3 gép sehogy ne érje el az fw1-et
Odáig eljutottam, hogy teljesen lássa egymást a két gép, illetve azt is sikerült elérni, hogy sehogy ne lássák egymást:
[root@fw2 ~]# echo 1 > /proc/sys/net/ipv4/ip_forward (tudom sysctl szebb és jobb, de most nem ez a lényeg)
[root@fw2 ~]# iptables -A FORWARD -i eth0 -o eth1 -j DROP
[root@fw2 ~]# iptables -A FORWARD -i eth1 -o eth0 -j DROP
Valaki megtudná nekem mutatni, hogy erre mi a megoldás?
Köszi a segítséget!
Hozzászólások
Olvass ela TCP/IP-ről egy bevezető írást úgy érted is, hogy mit csinálsz
Az alábbiak gyorsan fejből:
Ha mindent eldobsz az nagyon hatékony, de igen szigorú. Sehova semmi nem megy. Amúgy policy-nek jó.
iptables -t filter --policy FORWARD DROP
# Ha már egy kapcsolat van akkor menjen rá a válasz (minden kapcsolat ide-oda küldözgetésből áll )
iptables -A FORWARD -p tcp --source 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# gep1 --> gep2 22 port ide jöhetne még egy olyan vizsgálat is, hogy a SYN bit egy
iptables -A FORWARD -i eth0 -p tcp --dport 22 -o eth1 -j ACCEPT
# gep1 --> gep2 80
iptables -A FORWARD -i eth0 -p tcp --dport 80 -o eth1 -j ACCEPT
Ezaaz!
Köszönöm szépen, működik! Igen, átolvastam pár bevezetést róla, csak azzal volt bajom, hogy hány paramétert kell megadnom, hogy menjen és nincs kitől kérdeznem. Így viszont átlátom a logikáját, hogy mit miért.
Aztán lassan az iptables is felejtős tudás lesz.
https://wiki.debian.org/nftables
hát én azért nem állnék addig fél lábon ;)
zrubi.hu
Veteránként emlékszel még az ipchains-re? Ez még a 2.2-es kernelnél volt. Megtanultuk, aztán megtanultuk az iptables-t.
Most az "ip" parancs és az "nft" parancs lesz soron, az ifconfig és az iptables szépen lassan ki fog kopni. Ismét tanulhatjuk az új szintaktikát ...
"az ifconfig és az iptables szépen lassan ki fog kopni" - Az iproute2 1999-ben jött ki - hogy melyik linux dizstró mikor tette deprecated-dé az ifconfig-ot és társait, az jó kérdés, de hogy nem tegnap óta "hal ki" az ifconfig, az egyszer biztos...
https://hup.hu/comment/2340197#comment-2340197
Utóbbi két évben szembesültem vele, főleg Debian és Ubuntu háza táján, hogy alapból nincs fenn ifconfig a rendszereken.
Még nem deprecated, csak alapból nincs fenn. De végülis nem is kell feltenni csak a megszokásért, hiszen az "ip a" teljesen megfelel.
De - nagyjából 10 éve deprecated, és most jutottak el oda, hogy az alaprendszerhez már nem kell.
Ááá, így körbeért a történet. Köszi.
Hasonló, mint ahogy nehéz volt a rendszerszoftverekből kipurgálni a python2-t is. De ez is végre sikerült, már alapból nem települ.
Nekem csak a logika megértéséhez kell, afféle alapnak, majd opnsense tűzfal lesz nekem a végső megoldás a bánatomra, csak alapok nélkül nehéz ott bármit kezdenem.
Nem is azért, de OPNSense/PFSense-hez pf kell, nem iptables tudás. :) Ami egyébként egy csodálatosan jó tűzfal/csomagszűrő (abszolút kedvencem), érdemes megismerkedni vele.
Én nem biztos, hogy nyers iptables-t javasolnám kezdésnek...
Főleg hogy CentOS on is van default firewall app (firewalld) default szabálykészlettel, sokkal könnyebb és hasznosabb ha azt tanulod meg először felkonfigurálni.
Mert ez egyből működő megoldást ad, és nem kell 0-ról fullos tűzfalat építened, csak a saját szabályaidat megadni, default policy-t állítani, stb.
És így talán könnyebb átlátni a chain-ek folgálmát és működését, amit megtervezni és összehozni nyers iptables-szel nem kezdő feladat.
szerintem.
zrubi.hu
Ott a pont - a firewalld-t érdemes első körben megismerni - a "mit csináljon a tűzfal" fontosabb, mint az,hogy "és ezt hogyan csinálja". Mondjuk azt nem szabad elfelejteni, hogy a firewalld által összerakott iptables szabálybázis kezdő szemmel khm. fölöslegesen túlbonyolítottnak, vagy akár teljesen átláthatatlannak is tűnhet.
Egyébként létezik a shorewall mint frontend az iptables-hez.
Én használom még pár helyen.