Iptables help wanted

Linux-kezdő

Iptables help wanted

  • 786 megtekintés

( Névtelen (nem ellenőrzött) | 2003. 03. 04., k – 12:47 )

Sziasztok!
Segítségeteket kérném egy tűzfal felállításával kapcsolatban.
Serveren Debian, 2.4.20 kernellel
squid,iptables installed
Server:
eth0 ....
eth1 192.168.1.100
localnet 192.168.1.0/24
http megy
Célok: bleső hálón menjen a chat, kazaa,ftp
Lehessen ssh-zni
Az eddig átolvasott dokumentumok sajnos nem vezettek eredményre
kösz a válaszokat!
Sziasztok!

( gyu v | 2003. 03. 04., k – 13:08 )

Nagyon gyanús, hogy egy apt-get install ipmasq megoldaná minden problémád

( Névtelen (nem ellenőrzött) | 2003. 03. 04., k – 13:43 )

Sajnos nem tette meg.
A ppp az ugye nem kell, ha hálózaton keresztül csatlakozom?
egyéb tippek?

( trey | 2003. 03. 04., k – 15:02 )

Quote:

On 2003-03-04 13:43, Anonymous wrote:
Sajnos nem tette meg.
A ppp az ugye nem kell, ha hálózaton keresztül csatlakozom?
egyéb tippek?



apt-get install iptables

forgass a kernelbe iptables tamogatast, modulba az osszes hozza tartozo dolgot (nem tudhatod mi kellhet a kesobbiekben) ip_conntrack, ip_masq(nemtom fejbol), irc. ftp modulok a masq hoz

majd utana engedelyezd az ip forward-ot:

echo 1 > /proc/sys/net/ipv4/ip_forward

utana pedig a masq-olas a belso halozatra:

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

ahol a ppp0 a kulso interface, ha halozati kaertyad van akkor termeszetetsen eth0-ethx lesz, adsl eseten szinten jo a ppp0 interface.

ahhoz hogy menjenek a spec dolgok pl. irc dcc chat-send be kell tolteni a szukseges modulokat, ezeknek nezz utana, ftp hez szinten kell modul ezt is megtalalod a kernelben.

ha ez megva na belso halozat gepein be kell allitani a default gw-t a masq-olo szerver IP cimere

route add default gw [gep ipje]

Ennyi.

( Névtelen (nem ellenőrzött) | 2003. 03. 06., cs – 12:36 )

Sziasztok!
Sajnos még mindig nem megy.
input, forward, output accept
ip forward engedélyezve
-a postrouting -o eth0 -j masquerade
minden modul kernelbe fordítva
www.chat.hu
belépés sikertelen
hibaüzenet: lehetséges, hogy tűzfal mögül próbálkozol, vagy nem működik a szerver
mitévő legyek?

( trey | 2003. 03. 06., cs – 14:35 )

Quote:

minden modul kernelbe fordítva



Ma azt hogy csinalod

Majd otthonrol megnezem, ott nekem masq-olt halom van.

( nyce | 2003. 03. 06., cs – 21:30 )

Quote:

On 2003-03-06 12:36, Anonymous wrote:
Sziasztok!
Sajnos még mindig nem megy.
input, forward, output accept
ip forward engedélyezve
-a postrouting -o eth0 -j masquerade
minden modul kernelbe fordítva
www.chat.hu
belépés sikertelen
hibaüzenet: lehetséges, hogy tűzfal mögül próbálkozol, vagy nem működik a szerver
mitévő legyek?



Trey irta fentebb az ip_conntrack modult.
Nem vagyok biztos benne, de szerintem ezt nem tolti be automatikusan a rendszer.
Viszont nagyon kell.

Nalam ezek vannak: lsmod
ipt_MASQUERADE 1144 1 (autoclean)
ipt_unclean 6648 2 (autoclean)
ipt_state 568 5
ip_nat_ftp 2832 0 (unused)
ipt_limit 920 58
ipt_LOG 3096 58
iptable_nat 12600 2 [ipt_MASQUERADE ip_nat_ftp]
iptable_mangle 2100 0 (unused)
iptable_filter 1672 1
ip_conntrack 12568 2 [ipt_MASQUERADE ipt_state ip_nat_ftp iptable_nat]
ip_tables 10264 10 [ipt_MASQUERADE ipt_unclean ipt_state ipt_limit ipt_LOG iptable_nat iptable_mangle iptable_filter]

( Névtelen (nem ellenőrzött) | 2003. 03. 07., p – 08:26 )

Sziasztok!
A minden modul kernelbe résznél az iptables-hez tartozó modulokra gondoltam, nálam az lsmod egy modult sem írt ki

( Névtelen (nem ellenőrzött) | 2003. 03. 10., h – 12:26 )

Sziasztok!
Újra lefordítottam a kernelt, biztos ami biztos. Betöltöttem az említett modulokat. :
lsmod
ip_nat_ftp, ip_conntrack_ftp, ipt_MASQUERADE, ipt_state, ipt_limit, ipt_LOG, iptable_mangle, iptable_nat, ip_conntrack, iptable_filter,
ip_tables
Az ipt_unclean modul feltétlenül kell (ezt nem tudom, hol kell beforgatni a kernelbe)
Engedélyeztem az ipforward-ot, masq-oltam a bleső hálózatra, de a probléma ezzel nem oldódott meg.
Kösz az eddigi segítségeket, várom a továbbiakat.

( Névtelen (nem ellenőrzött) | 2003. 03. 11., k – 10:47 )

A chat állítólag az 53-as porton megy, ami nekem zárva van.
Nyitva kéne lennie?
Meg tudná valaki mondani milyen módon lehet egy portot megnyitni?

( kisindian | 2003. 03. 12., sze – 08:55 )

http://www.linuxguruz.org/iptables/

( Névtelen (nem ellenőrzött) | 2003. 04. 07., h – 11:44 )

Kösz!
Megnéztem, az iptables-t már értem nagyjából.
Olvastam, hogy a squid csak http proxy, hogy lehet megoldani, hogy a többi szolgáltatás is működjön?

( shanky | 2003. 04. 08., k – 11:48 )

Nem artana, ha utanaolvasnal kicsit a howtoban, de :
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
ez sokat segit ;)

( shanky | 2003. 04. 08., k – 12:44 )

ill. valamit meg kihagytam.. Mien Daemon fut a gepen amit el is kell erni?
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
ez szinte biztos kell
de /etc/services file elmondja, hogy meik kapu mihez is tartozik....