Üdv mindenkinek,
Most ismerkedem az iptables-el, mert le szeretném cserélni a suse-firewall-t, de elakadtam.
Kérdések:
- miért nincs a localhoston net? (innentől kezdve pedig se squid se www)
- hogyan lehet engedélyezni a pinget a localhostról ?
eth2 helyi hálózat
192.168.100.254 linux szerver (samba, squid, dazuko - nod32)
eth4 internet
eth3 - létező de jelenleg nem használt tartalék kártya.
A válaszokat és az építő jellegű kritikát szívesen veszem,
és előre is köszönöm a segítséget.
fw.sh:
#!/bin/sh
IPTABLES=/usr/sbin/iptables
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
$IPTABLES -t nat -F
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -A INPUT -i eth2 -j ACCEPT
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -p icmp -s 127.0.0.1 -j ACCEPT #(próbálkozás ping engedélyezésére)
$IPTABLES -A INPUT -i eth4 -p tcp --dport 22 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -p tcp -s 192.168.100.254 --dport 80 -o eth4 -j MASQUERADE #(próbálkozás a localhost kiengedésére)
$IPTABLES -t nat -A POSTROUTING -p tcp -m iprange --src-range 192.168.100.100-192.168.100.149 -o eth4 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -p tcp -s 192.168.100.0/24 --dport ! 80 -o eth4 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -p udp -s 192.168.100.0/24 -o eth4 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -p icmp -s 192.168.100.0/24 -o eth4 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -p igmp -s 192.168.100.0/24 -o eth4 -j MASQUERADE
echo "1" >/proc/sys/net/ipv4/ip_forward
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp
- 783 megtekintés
Hozzászólások
Ha azon hogy a localhoston nincs net azt erted hogy arrol a geprol nem tudsz pingelni es nem latsz semmit sem az internetbol, akkor eloszor alitsad le teljesen a tuzfalat es nezd meg hogy a halozati beallitasok rendben vannak-e: halozati kartyak, route lista, stb.
Ami a localhostrol megy ki arra az OUTPUT lanc vonatkozik es semmi koze sincs a 192.168.100.254-es cimhez.
- A hozzászóláshoz be kell jelentkezni
Az a furcsa , hogy ha visszarakom a suse firewallt akkor megy minden. Van net a localhoston, tudok pingelni. Ha a fent említett scriptet használom, akkor a localhoston nincs net, ellenben a klienseken megy. Legalábbis tudom pingelni az origo.hu-t ezért nem értem. Nyilván a squid miatt a klienseken sem mennek a böngészők. Sőt, a levelezők is kimennek a netre. Lévén, hogy a belső hálózatról minden port ki van engedve a 80-ast kivéve.
Nem értem. Mi lehet a baj?
- A hozzászóláshoz be kell jelentkezni
Befele a gepre az internet felol csak az ssh-t engeded meg. Probalj meg egy ilyent:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
- A hozzászóláshoz be kell jelentkezni
Köszönöm, Teljes siker!
Minden működik.
Elmondanád, hogy mit is csinál ez a sor ?
- A hozzászóláshoz be kell jelentkezni
Te befele nem engedted csak az ssh-t. Amikor kikuldtel egy kerest (ping, web oldal lekeres, barmi) a visszajovo valaszt mar nem engedted be. Azt csinalja hogy beenged minden olyan csomagot amely egy mar felepitett vagy altalad kezdemenyezet kapcsolathoz tartozik.
- A hozzászóláshoz be kell jelentkezni