Strona 1 z 1

mały router

: 2008-11-27, 13:39
autor: tomi_81
postawiłem router na systemie slackware 12.1 ma działać i obsługiwać docelowo 20userów w tej chwili działa jeszcze sprzętowy.
Mam iptables ok działa necik udostępnia testy w domu wypadają ok bo ja na Gentoo net mam ale już mój kumpel mieszkający obok mnie sieci nie ma na $łusznym systemie.
moje pytanie brzmi:)
htb --do zarządzania pasmem czy hfsc przydzielanie adresów ip dynamicznie czy przypisać na stałe?
obecnie testuję htb
rady mile widziane

Re: mały router

: 2008-11-27, 14:01
autor: bojleros
tomi_81 pisze:Mam iptables ok działa necik udostępnia testy w domu wypadają ok bo ja na Gentoo net mam ale już mój kumpel mieszkający obok mnie sieci nie ma na $łusznym systemie.
To jest problem ?? Pokaż firewall. Jeżeli kombinujesz z hfsc to musisz pamiętać o ręcznym zrobieniu klasy domyślnej. HTB to ma samo w sobie.
tomi_81 pisze:htb --do zarządzania pasmem czy hfsc
Jeżeli jesteś świeży w tych zagadnieniach to lepiej zacznij od htb.
tomi_81 pisze:przydzielanie adresów ip dynamicznie czy przypisać na stałe?
Najlepiej serwer dhcp z przypisanymi ip po adresie mac.
tomi_81 pisze:obecnie testuję htb
rady mile widziane
Sktypt tc-viewer Snaj'a jest całkiem pomocny.

Re: mały router

: 2008-11-27, 14:16
autor: tomi_81

Kod: Zaznacz cały

#!/bin/sh

echo "1" > /proc/sys/net/ipv4/ip_forward
# usuwanie smieci z poprzednich regulek
iptables -F 

# blokada wszystkiego co sie rusza
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# loopback jest ok
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT 

# Wpuszczamy wszystko z LAN
iptables -A INPUT -i eth0 -s 192.168.1.101/24 -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.1.101/24 -j ACCEPT

# wszystko co zostale ustanowione moze byc
iptables -A INPUT -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p tcp -j ACCEPT -m state --state RELATED
iptables -A INPUT -p udp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p icmp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p icmp -j ACCEPT -m state --state RELATED
iptables -A FORWARD -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p tcp -j ACCEPT -m state --state RELATED
iptables -A FORWARD -p udp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p udp -j ACCEPT -m state --state RELATED
iptables -A FORWARD -p icmp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p icmp -j ACCEPT -m state --state RELATED

# ping mile widziany
iptables -A INPUT -p icmp -j ACCEPT

# zezwalamy na wejscia przez ssh,ftp,www
iptables -A INPUT -p tcp -s 0/0 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 20:21 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 80 -j ACCEPT


# dns mile widziane
iptables -A INPUT -p udp --source-port 53 -j ACCEPT
iptables -A INPUT -s 213.241.79.37 -j ACCEPT
iptables -A INPUT -s 83.238.255.76 -j ACCEPT

# gadu-gadu ?
iptables -A INPUT -p tcp --source-port 8074 -j ACCEPT

# maskarada
iptables -t nat -A POSTROUTING -p all -s 192.168.1.102 -j MASQUERADE
iptables -t nat -A POSTROUTING -p all -s 192.168.1.103 -j MASQUERADE
iptables -t nat -A POSTROUTING -p all -s 192.168.1.104 -j MASQUERADE
iptables -t nat -A POSTROUTING -p all -s 192.168.1.105 -j MASQUERADE
iptables -t nat -A POSTROUTING -p all -s 192.168.1.106 -j MASQUERADE
root@router:~/konfy# 

Re: mały router

: 2008-11-27, 14:49
autor: bojleros
tomi_81 pisze:iptables -A OUTPUT -o lo -j ACCEPT
To jest zbędne bo masz przecież:
tomi_81 pisze:iptables -P OUTPUT ACCEPT
--
tomi_81 pisze:iptables -A INPUT -i eth0 -s 192.168.1.101/24 -j ACCEPT
A nie lepiej zastąpić to specyfikacją usług po portach ?

--
tomi_81 pisze:iptables -A FORWARD -i eth0 -s 192.168.1.101/24 -j ACCEPT
tomi_81 pisze:iptables -t nat -A POSTROUTING -p all -s 192.168.1.102 -j MASQUERADE
iptables -t nat -A POSTROUTING -p all -s 192.168.1.103 -j MASQUERADE
iptables -t nat -A POSTROUTING -p all -s 192.168.1.104 -j MASQUERADE
iptables -t nat -A POSTROUTING -p all -s 192.168.1.105 -j MASQUERADE
iptables -t nat -A POSTROUTING -p all -s 192.168.1.106 -j MASQUERADE
Ja bym raczej przepuszczał w forwardzie na podstawie pary mac i ip a w postróutnigu chował pakiety.

Kod: Zaznacz cały

iptables -A FORWARD -s 192.168.1.5 -m mac --mac-source 00:01:02:03:04:05 -m state --state NEW -j ACCEPT
iptables -t nat -A POSTROUTING -o $interfejs_internetowy -s 192.168.1.0/24 -j MASQUERADE # albo SNAT jeżeli stałe ip
--
tomi_81 pisze:iptables -A INPUT -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p tcp -j ACCEPT -m state --state RELATED
iptables -A INPUT -p udp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p icmp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p icmp -j ACCEPT -m state --state RELATED
iptables -A FORWARD -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p tcp -j ACCEPT -m state --state RELATED
iptables -A FORWARD -p udp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p udp -j ACCEPT -m state --state RELATED
iptables -A FORWARD -p icmp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p icmp -j ACCEPT -m state --state RELATED
Czy to służy jakiemuś szczególnemu celowi ? Od lat z powodzeniem używam czegoś takiego:

Kod: Zaznacz cały

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# tak samo dla forward
--
tomi_81 pisze:# ping mile widziany
iptables -A INPUT -p icmp -j ACCEPT
Na upartego to nie każdy pakiet icmp jest mile widziany. Tak samo z siebie to lepiej przepuścić tylko echo-request. Inne związane ze zdrowymi połączeniami polecą jako RELATED.

--
tomi_81 pisze:# zezwalamy na wejscia przez ssh,ftp,www
iptables -A INPUT -p tcp -s 0/0 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 20:21 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 80 -j ACCEPT
Jak pisałem wcześniej , warto się zdecydować na sposób odblokowywania usług.

--
tomi_81 pisze:# gadu-gadu ?
iptables -A INPUT -p tcp --source-port 8074 -j ACCEPT
Masz na bramce klienta gg ?

--
Zobacz sobie FAQ. Kiedyś tam spisałem kilka podpowiedzi a teraz nie mam ochoty się powtarzać :]