postawiłem router na systemie slackware 12.1 ma działać i obsługiwać docelowo 20userów w tej chwili działa jeszcze sprzętowy.
Mam iptables ok działa necik udostępnia testy w domu wypadają ok bo ja na Gentoo net mam ale już mój kumpel mieszkający obok mnie sieci nie ma na $łusznym systemie.
moje pytanie brzmi:)
htb --do zarządzania pasmem czy hfsc przydzielanie adresów ip dynamicznie czy przypisać na stałe?
obecnie testuję htb
rady mile widziane
mały router
Moderatorzy: Moderatorzy, Administratorzy
mały router
i tak życie nami miota
wracam na slackware
wracam na slackware
Re: mały router
To jest problem ?? Pokaż firewall. Jeżeli kombinujesz z hfsc to musisz pamiętać o ręcznym zrobieniu klasy domyślnej. HTB to ma samo w sobie.tomi_81 pisze:Mam iptables ok działa necik udostępnia testy w domu wypadają ok bo ja na Gentoo net mam ale już mój kumpel mieszkający obok mnie sieci nie ma na $łusznym systemie.
Jeżeli jesteś świeży w tych zagadnieniach to lepiej zacznij od htb.tomi_81 pisze:htb --do zarządzania pasmem czy hfsc
Najlepiej serwer dhcp z przypisanymi ip po adresie mac.tomi_81 pisze:przydzielanie adresów ip dynamicznie czy przypisać na stałe?
Sktypt tc-viewer Snaj'a jest całkiem pomocny.tomi_81 pisze:obecnie testuję htb
rady mile widziane
Re: mały router
Kod: Zaznacz cały
#!/bin/sh
echo "1" > /proc/sys/net/ipv4/ip_forward
# usuwanie smieci z poprzednich regulek
iptables -F
# blokada wszystkiego co sie rusza
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# loopback jest ok
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Wpuszczamy wszystko z LAN
iptables -A INPUT -i eth0 -s 192.168.1.101/24 -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.1.101/24 -j ACCEPT
# wszystko co zostale ustanowione moze byc
iptables -A INPUT -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p tcp -j ACCEPT -m state --state RELATED
iptables -A INPUT -p udp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p icmp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p icmp -j ACCEPT -m state --state RELATED
iptables -A FORWARD -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p tcp -j ACCEPT -m state --state RELATED
iptables -A FORWARD -p udp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p udp -j ACCEPT -m state --state RELATED
iptables -A FORWARD -p icmp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p icmp -j ACCEPT -m state --state RELATED
# ping mile widziany
iptables -A INPUT -p icmp -j ACCEPT
# zezwalamy na wejscia przez ssh,ftp,www
iptables -A INPUT -p tcp -s 0/0 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 20:21 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 80 -j ACCEPT
# dns mile widziane
iptables -A INPUT -p udp --source-port 53 -j ACCEPT
iptables -A INPUT -s 213.241.79.37 -j ACCEPT
iptables -A INPUT -s 83.238.255.76 -j ACCEPT
# gadu-gadu ?
iptables -A INPUT -p tcp --source-port 8074 -j ACCEPT
# maskarada
iptables -t nat -A POSTROUTING -p all -s 192.168.1.102 -j MASQUERADE
iptables -t nat -A POSTROUTING -p all -s 192.168.1.103 -j MASQUERADE
iptables -t nat -A POSTROUTING -p all -s 192.168.1.104 -j MASQUERADE
iptables -t nat -A POSTROUTING -p all -s 192.168.1.105 -j MASQUERADE
iptables -t nat -A POSTROUTING -p all -s 192.168.1.106 -j MASQUERADE
root@router:~/konfy#
Ostatnio zmieniony 2008-11-27, 14:18 przez tomi_81, łącznie zmieniany 1 raz.
i tak życie nami miota
wracam na slackware
wracam na slackware
Re: mały router
To jest zbędne bo masz przecież:tomi_81 pisze:iptables -A OUTPUT -o lo -j ACCEPT
--tomi_81 pisze:iptables -P OUTPUT ACCEPT
A nie lepiej zastąpić to specyfikacją usług po portach ?tomi_81 pisze:iptables -A INPUT -i eth0 -s 192.168.1.101/24 -j ACCEPT
--
tomi_81 pisze:iptables -A FORWARD -i eth0 -s 192.168.1.101/24 -j ACCEPT
Ja bym raczej przepuszczał w forwardzie na podstawie pary mac i ip a w postróutnigu chował pakiety.tomi_81 pisze:iptables -t nat -A POSTROUTING -p all -s 192.168.1.102 -j MASQUERADE
iptables -t nat -A POSTROUTING -p all -s 192.168.1.103 -j MASQUERADE
iptables -t nat -A POSTROUTING -p all -s 192.168.1.104 -j MASQUERADE
iptables -t nat -A POSTROUTING -p all -s 192.168.1.105 -j MASQUERADE
iptables -t nat -A POSTROUTING -p all -s 192.168.1.106 -j MASQUERADE
Kod: Zaznacz cały
iptables -A FORWARD -s 192.168.1.5 -m mac --mac-source 00:01:02:03:04:05 -m state --state NEW -j ACCEPT
iptables -t nat -A POSTROUTING -o $interfejs_internetowy -s 192.168.1.0/24 -j MASQUERADE # albo SNAT jeżeli stałe ip
Czy to służy jakiemuś szczególnemu celowi ? Od lat z powodzeniem używam czegoś takiego:tomi_81 pisze:iptables -A INPUT -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p tcp -j ACCEPT -m state --state RELATED
iptables -A INPUT -p udp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p icmp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p icmp -j ACCEPT -m state --state RELATED
iptables -A FORWARD -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p tcp -j ACCEPT -m state --state RELATED
iptables -A FORWARD -p udp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p udp -j ACCEPT -m state --state RELATED
iptables -A FORWARD -p icmp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p icmp -j ACCEPT -m state --state RELATED
Kod: Zaznacz cały
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# tak samo dla forward
Na upartego to nie każdy pakiet icmp jest mile widziany. Tak samo z siebie to lepiej przepuścić tylko echo-request. Inne związane ze zdrowymi połączeniami polecą jako RELATED.tomi_81 pisze:# ping mile widziany
iptables -A INPUT -p icmp -j ACCEPT
--
Jak pisałem wcześniej , warto się zdecydować na sposób odblokowywania usług.tomi_81 pisze:# zezwalamy na wejscia przez ssh,ftp,www
iptables -A INPUT -p tcp -s 0/0 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 20:21 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 80 -j ACCEPT
--
Masz na bramce klienta gg ?tomi_81 pisze:# gadu-gadu ?
iptables -A INPUT -p tcp --source-port 8074 -j ACCEPT
--
Zobacz sobie FAQ. Kiedyś tam spisałem kilka podpowiedzi a teraz nie mam ochoty się powtarzać