Strona 1 z 1

rc.firewall

: 2004-07-13, 05:40
autor: ERNI
Cześć
Może wiecie jaki wpis wbić w plik: /etc/rc.d/rc.firewall
by klientowi sieci lokalnej o IP : AA.BB.CC.DD umożliwić kożystanie z netu ???
DZIĘKI Z GÓRY ZA POMOC ! :lol:

Re: rc.firewall

: 2004-07-13, 10:56
autor: gOs3r
Np:

#!/bin/sh
#
echo "1" > /proc/sys/net/ipv4/ip_forward
#
/usr/sbin/iptables -F -t nat
/usr/sbin/iptables -X -t nat
/usr/sbin/iptables -F -t filter
/usr/sbin/iptables -X -t filter
#
/usr/sbin/iptables -t filter -P FORWARD DROP
#
/usr/sbin/iptables -t filter -A FORWARD -s 192.168.1.0/255.255.255.0 -d 0/0 -j ACCEPT
/usr/sbin/iptables -t filter -A FORWARD -s 0/0 -d 192.168.1.0/255.255.255.0 -j ACCEPT
#
/usr/sbin/iptables -t nat -A POSTROUTING -s AA.BB.CC.DD -d 0/0 -j MASQUERADE
#
/sbin/modprobe ip_nat_irc
/sbin/modprobe ip_nat_ftp


Działa na 100%

postrofka...gOs3r

Re: rc.firewall

: 2004-07-13, 11:57
autor: cherry
Linie

Kod: Zaznacz cały

/usr/sbin/iptables -t nat -A POSTROUTING -s AA.BB.CC.DD -d 0/0 -j MASQUERADE 
w przypadku statycznego IP mozna zastapic

Kod: Zaznacz cały

/usr/sbin/iptables -t nat -A POSTROUTING -s AA.BB.CC.DD -d 0/0 -j SNAT --to-source TWOJE_IP 

Re: rc.firewall

: 2004-07-15, 11:52
autor: dozzie
Tylko po co?
Nawiasem mowiac, -d 0/0 zachowuje sie dokladnie tak samo, jak bez tej opcji. Podaje za manualem i doswiadczeniem.

Re: rc.firewall

: 2004-07-16, 16:10
autor: haclet
Tylko ze przy SNAT - można po przecinku podać kilka numerów IP.

Pytanie po co???

W ten sposób można natować na różne IP zewnętrzne ;-)
np: IP_LAN1 -> NAT to IP_ZW1
np: IP_LAN2 -> NAT to IP_ZW2

Przyznaję się że nigdy niczego takiego nie robiłem, ale na Akademii Cisco - pokazali mi że coś takiego istnieje właśnie jak (SNAT i PNAT) ... Różnią się w działaniu.

SNAT - według cisco - to właśnie sytuacja że każde połączenie lokalne otrzymuje inne IP ZW z póli dostępnych adresów.
PNAT - odpowiednik linuxowego znanego nata: SNAT, MASQUERADE

W manualu jest napisane że MASQUERADE powinno się korzystać przy dynamicznym IP a SNAT - przy statycznym.

[ Dodano: 2004-07-16, 17:16 ]
gOs3r pisze: /usr/sbin/iptables -t nat -A POSTROUTING -s AA.BB.CC.DD -d 0/0 -j MASQUERADE
Ja bym jeszcze dodał paramter -o ethX (Jakoś wolę zawężać regułki firewalla) - czyli:

Kod: Zaznacz cały

/usr/sbin/iptables -t nat -A POSTROUTING -o ethX -s AA.BB.CC.DD -d 0/0 -j MASQUERADE
ethX - interfejs wychodzący (Może być ppp0) ;)

Re: rc.firewall

: 2004-07-16, 16:23
autor: cherry
a PNAT to nie jest czasem powiązane z translacją portów?

Re: rc.firewall

: 2004-07-16, 16:29
autor: haclet
cherry pisze:a PNAT to nie jest czasem powiązane z translacją portów?
Dokładnie... Chyba trochę pomyliłem pojęcia.
:lol:

[ Dodano: 2004-07-16, 17:33 ]
Tak właśnie trochę się dopytam:

Jest DNAT - czyli zamiana adresu docelowego na inny, wykorzystanie - np wpuszczenie pakietu z odpowiedniego portu na kompueter w sieci LAN.
Jest SNAT - czyli zamiana adresu Ľródłowego na adres zewnętrzny - powszechnie stosowane w sieciach LAN, aby ludziki mieli internet.
Jest PNAT - zamiana portów na inny ???

Więc jak działa np SNAT na linuxie - po czym jądro rozpoznaje że ten pakiet należy do tego komputera.
(SNAT - może działać spokojnie bez contracka)...
8)