Sziasztok,
Otthoni 2 gépes hálózattal küzdök.
1, Debian (testing 2.6.15) 2 halókártyával NATol
2, WinXP desktop gép.
A problémát az adja h az XPs gépről nem tudok VPN segítségével kitárcsázni sehova (47es protokol (GRE)). Segítségeteket szeretném kérni h milyen modulokat kell betöltenem illetve hogyan induljak el, mivel egészítsem ki 0.0.0.0.1 es firewall scriptemet :)
#!/bin/sh
IPTABLES=/sbin/iptables
$IPTABLES --flush
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
Köszönettel:
Ladányi SZabolcs
- 3465 megtekintés
Hozzászólások
Kedves Szabolcs!
Én az alábbi konfigot használom, amelyet a következő módon lehet betölteni (ha iptables.config fájlba mentetted el) az iptables-restore script segítségével:
iptables-restore < iptables.configA konfig csak egy váz a saját igényednek megfelelően még hozzá kell adni a szabályokat.
Modulokból legalább az ip_conntrack és ip_conntrack_ftp modulokat töltsd be és a /etc/modules fájlba írd bele, hogy rebootkor is automatikusan betöltődjenek. A többit a kernel magától betölti. A betöltött konfig sem marad meg reboot utan, így bootolas alatt neked kell kondoskodni a betöltéséről, például a /etc/network/interfaces fájlban az eth0-hoz megadott
post-up iptables-restore < iptables.configszerű sorral.
A NAToláshoz működéséhez a /etc/network/options fájlban az ip_forward változó értékét yes-re állítsd.
A konfig fájl:
*filter
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
:FORWARD DROP [0:0]
:in_inet - [0:0]
:in_local - [0:0]
:fw_inet - [0:0]
:fw_local - [0:0]
# Localhost forgalom engedese
-A INPUT -i lo -j ACCEPT
# Folyamatban levo kapcsolatok engedelyezese
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m state --state RELATED -j ACCEPT
# Traceroute engedelyezese
-A INPUT -p udp -m udp --sport 32769:65535 --dport 33434:33523 -j REJECT
# Kulso interfeszrol beerkezo csomagok
-A INPUT -i eth0 -j in_inet
# Belso interfeszrol beerkezo csomagok
-A INPUT -i eth1 -j in_local
# Egyeb uj kapcsolatok logolasa
-A INPUT -m state --state NEW -j LOG --log-level info --log-prefix "INPUT: "
# Egyeb csomagok logolasa
-A INPUT -m state --state INVALID -j LOG --log-level debug --log-prefix "INPUT: "
# Interneről HTTP keresek engedelyezese
#-A in_inet -p tcp --dport 80 -m state --state NEW -j ACCEPT
# Helyi halorol SSH engedese a gepre
-A in_local -p tcp --dport 22 -m state --state NEW -j ACCEPT
# Helyi halorol HTTP keresek engedelyezese
#-A in_local -p tcp --dport 80 -m state --state NEW -j ACCEPT
# Folyamatban levo kapcsolatok engedelyezese
-A FORWARD -m state --state ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -m state --state RELATED -j ACCEPT
# Internet felol erkezo tovabbitott csomagok
-A FORWARD -i eth0 -j fw_inet
# Belso halo felol erkezo tovabbitott csomagok
-A FORWARD -i eth1 -j fw_local
# Egyeb uj tovabbitott kapcsolatok logolasa
-A FORWARD -m state --state NEW -j LOG --log-level info --log-prefix "FORWARD: "
# Egyeb tovabbitott csomagok logolasa
-A FORWARD -m state --state INVALID -j LOG --log-level debug --log-prefix "FORWARD: "
# Helyi halorol 47-es protokoll csomagjainak kiengedese
-A fw_local -p 47 -j ACCEPT
# Belso halorol minden TCP kapcsolat kiengedese
-A fw_local -p tcp -m state --state NEW -j ACCEPT
# Belso halorol minden UDP kapcsolat kiengedese
-A fw_local -p udp -m state --state NEW -j ACCEPT
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
# A 1.2.3.4-es IP cimu kulso interfeszen (eth0) kimeno helytelen cimet tartalmazo csomagok NATolasa
-A POSTROUTING -o eth0 ! -s 1.2.3.4/255.255.255.255 -j SNAT --to-source 1.2.3.4
COMMIT
*mangle
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT- A hozzászóláshoz be kell jelentkezni
Xanco!
Köszönöm szépen válaszodat jó kis ötleteket adtál a fw script megírásához.
Ja a problémám megoldódott: hogy miért nem ment át a GRE az általam említett fw script segítségével?
Symantec Client Firewall a bűnös. Alapból szűr minden protokollt.
Options->Protocol Filtering fül.
Mégegyszer köszi a segítséget!
- A hozzászóláshoz be kell jelentkezni