rc.firewall
Moderatorzy: Moderatorzy, Administratorzy
rc.firewall
Cześć
Może wiecie jaki wpis wbić w plik: /etc/rc.d/rc.firewall
by klientowi sieci lokalnej o IP : AA.BB.CC.DD umożliwić kożystanie z netu
DZIĘKI Z GÓRY ZA POMOC !
Może wiecie jaki wpis wbić w plik: /etc/rc.d/rc.firewall
by klientowi sieci lokalnej o IP : AA.BB.CC.DD umożliwić kożystanie z netu
DZIĘKI Z GÓRY ZA POMOC !
Re: rc.firewall
Np:
#!/bin/sh
#
echo "1" > /proc/sys/net/ipv4/ip_forward
#
/usr/sbin/iptables -F -t nat
/usr/sbin/iptables -X -t nat
/usr/sbin/iptables -F -t filter
/usr/sbin/iptables -X -t filter
#
/usr/sbin/iptables -t filter -P FORWARD DROP
#
/usr/sbin/iptables -t filter -A FORWARD -s 192.168.1.0/255.255.255.0 -d 0/0 -j ACCEPT
/usr/sbin/iptables -t filter -A FORWARD -s 0/0 -d 192.168.1.0/255.255.255.0 -j ACCEPT
#
/usr/sbin/iptables -t nat -A POSTROUTING -s AA.BB.CC.DD -d 0/0 -j MASQUERADE
#
/sbin/modprobe ip_nat_irc
/sbin/modprobe ip_nat_ftp
Działa na 100%
postrofka...gOs3r
#!/bin/sh
#
echo "1" > /proc/sys/net/ipv4/ip_forward
#
/usr/sbin/iptables -F -t nat
/usr/sbin/iptables -X -t nat
/usr/sbin/iptables -F -t filter
/usr/sbin/iptables -X -t filter
#
/usr/sbin/iptables -t filter -P FORWARD DROP
#
/usr/sbin/iptables -t filter -A FORWARD -s 192.168.1.0/255.255.255.0 -d 0/0 -j ACCEPT
/usr/sbin/iptables -t filter -A FORWARD -s 0/0 -d 192.168.1.0/255.255.255.0 -j ACCEPT
#
/usr/sbin/iptables -t nat -A POSTROUTING -s AA.BB.CC.DD -d 0/0 -j MASQUERADE
#
/sbin/modprobe ip_nat_irc
/sbin/modprobe ip_nat_ftp
Działa na 100%
postrofka...gOs3r
Re: rc.firewall
Linie
w przypadku statycznego IP mozna zastapic
Kod: Zaznacz cały
/usr/sbin/iptables -t nat -A POSTROUTING -s AA.BB.CC.DD -d 0/0 -j MASQUERADE
Kod: Zaznacz cały
/usr/sbin/iptables -t nat -A POSTROUTING -s AA.BB.CC.DD -d 0/0 -j SNAT --to-source TWOJE_IP
Cльaцквaрэ Линукс цypэнт
[url]http://www.pajacyk.pl/[/url]
[url]http://www.polskieserce.pl/[/url]
[url]http://www.pajacyk.pl/[/url]
[url]http://www.polskieserce.pl/[/url]
Re: rc.firewall
Tylko po co?
Nawiasem mowiac, -d 0/0 zachowuje sie dokladnie tak samo, jak bez tej opcji. Podaje za manualem i doswiadczeniem.
Nawiasem mowiac, -d 0/0 zachowuje sie dokladnie tak samo, jak bez tej opcji. Podaje za manualem i doswiadczeniem.
-zsh
#!/bin/bash
#!/usr/bin/perl -w
#!/bin/bash
#!/usr/bin/perl -w
Re: rc.firewall
Tylko ze przy SNAT - można po przecinku podać kilka numerów IP.
Pytanie po co???
W ten sposób można natować na różne IP zewnętrzne
np: IP_LAN1 -> NAT to IP_ZW1
np: IP_LAN2 -> NAT to IP_ZW2
Przyznaję się że nigdy niczego takiego nie robiłem, ale na Akademii Cisco - pokazali mi że coś takiego istnieje właśnie jak (SNAT i PNAT) ... Różnią się w działaniu.
SNAT - według cisco - to właśnie sytuacja że każde połączenie lokalne otrzymuje inne IP ZW z póli dostępnych adresów.
PNAT - odpowiednik linuxowego znanego nata: SNAT, MASQUERADE
W manualu jest napisane że MASQUERADE powinno się korzystać przy dynamicznym IP a SNAT - przy statycznym.
[ Dodano: 2004-07-16, 17:16 ]
ethX - interfejs wychodzący (Może być ppp0)
Pytanie po co???
W ten sposób można natować na różne IP zewnętrzne
np: IP_LAN1 -> NAT to IP_ZW1
np: IP_LAN2 -> NAT to IP_ZW2
Przyznaję się że nigdy niczego takiego nie robiłem, ale na Akademii Cisco - pokazali mi że coś takiego istnieje właśnie jak (SNAT i PNAT) ... Różnią się w działaniu.
SNAT - według cisco - to właśnie sytuacja że każde połączenie lokalne otrzymuje inne IP ZW z póli dostępnych adresów.
PNAT - odpowiednik linuxowego znanego nata: SNAT, MASQUERADE
W manualu jest napisane że MASQUERADE powinno się korzystać przy dynamicznym IP a SNAT - przy statycznym.
[ Dodano: 2004-07-16, 17:16 ]
Ja bym jeszcze dodał paramter -o ethX (Jakoś wolę zawężać regułki firewalla) - czyli:gOs3r pisze: /usr/sbin/iptables -t nat -A POSTROUTING -s AA.BB.CC.DD -d 0/0 -j MASQUERADE
Kod: Zaznacz cały
/usr/sbin/iptables -t nat -A POSTROUTING -o ethX -s AA.BB.CC.DD -d 0/0 -j MASQUERADE
Pozdrawiam ;-]
Nie amator - nie elita... ;-)
Nie amator - nie elita... ;-)
Re: rc.firewall
a PNAT to nie jest czasem powiązane z translacją portów?
Cльaцквaрэ Линукс цypэнт
[url]http://www.pajacyk.pl/[/url]
[url]http://www.polskieserce.pl/[/url]
[url]http://www.pajacyk.pl/[/url]
[url]http://www.polskieserce.pl/[/url]
Re: rc.firewall
Dokładnie... Chyba trochę pomyliłem pojęcia.cherry pisze:a PNAT to nie jest czasem powiązane z translacją portów?
[ Dodano: 2004-07-16, 17:33 ]
Tak właśnie trochę się dopytam:
Jest DNAT - czyli zamiana adresu docelowego na inny, wykorzystanie - np wpuszczenie pakietu z odpowiedniego portu na kompueter w sieci LAN.
Jest SNAT - czyli zamiana adresu Ľródłowego na adres zewnętrzny - powszechnie stosowane w sieciach LAN, aby ludziki mieli internet.
Jest PNAT - zamiana portów na inny
Więc jak działa np SNAT na linuxie - po czym jądro rozpoznaje że ten pakiet należy do tego komputera.
(SNAT - może działać spokojnie bez contracka)...
Pozdrawiam ;-]
Nie amator - nie elita... ;-)
Nie amator - nie elita... ;-)