rc.firewall

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

ERNI
Użytkownik
Posty: 58
Rejestracja: 2004-07-08, 22:18

rc.firewall

Post autor: ERNI »

Cześć
Może wiecie jaki wpis wbić w plik: /etc/rc.d/rc.firewall
by klientowi sieci lokalnej o IP : AA.BB.CC.DD umożliwić kożystanie z netu ???
DZIĘKI Z GÓRY ZA POMOC ! :lol:
gOs3r
Użytkownik
Posty: 4
Rejestracja: 2004-07-07, 12:58

Re: rc.firewall

Post autor: gOs3r »

Np:

#!/bin/sh
#
echo "1" > /proc/sys/net/ipv4/ip_forward
#
/usr/sbin/iptables -F -t nat
/usr/sbin/iptables -X -t nat
/usr/sbin/iptables -F -t filter
/usr/sbin/iptables -X -t filter
#
/usr/sbin/iptables -t filter -P FORWARD DROP
#
/usr/sbin/iptables -t filter -A FORWARD -s 192.168.1.0/255.255.255.0 -d 0/0 -j ACCEPT
/usr/sbin/iptables -t filter -A FORWARD -s 0/0 -d 192.168.1.0/255.255.255.0 -j ACCEPT
#
/usr/sbin/iptables -t nat -A POSTROUTING -s AA.BB.CC.DD -d 0/0 -j MASQUERADE
#
/sbin/modprobe ip_nat_irc
/sbin/modprobe ip_nat_ftp


Działa na 100%

postrofka...gOs3r
Awatar użytkownika
cherry
Moderator w st. spocz.
Posty: 1160
Rejestracja: 2004-06-15, 09:57
Lokalizacja: Kraków

Re: rc.firewall

Post autor: cherry »

Linie

Kod: Zaznacz cały

/usr/sbin/iptables -t nat -A POSTROUTING -s AA.BB.CC.DD -d 0/0 -j MASQUERADE 
w przypadku statycznego IP mozna zastapic

Kod: Zaznacz cały

/usr/sbin/iptables -t nat -A POSTROUTING -s AA.BB.CC.DD -d 0/0 -j SNAT --to-source TWOJE_IP 
Cльaцквaрэ Линукс цypэнт
[url]http://www.pajacyk.pl/[/url]
[url]http://www.polskieserce.pl/[/url]
Awatar użytkownika
dozzie
Użytkownik
Posty: 855
Rejestracja: 2004-06-01, 13:15
Lokalizacja: Wrocław
Kontakt:

Re: rc.firewall

Post autor: dozzie »

Tylko po co?
Nawiasem mowiac, -d 0/0 zachowuje sie dokladnie tak samo, jak bez tej opcji. Podaje za manualem i doswiadczeniem.
-zsh
#!/bin/bash
#!/usr/bin/perl -w
Awatar użytkownika
haclet
Użytkownik
Posty: 40
Rejestracja: 2004-06-13, 21:34
Lokalizacja: ŁódĽ/Opole

Re: rc.firewall

Post autor: haclet »

Tylko ze przy SNAT - można po przecinku podać kilka numerów IP.

Pytanie po co???

W ten sposób można natować na różne IP zewnętrzne ;-)
np: IP_LAN1 -> NAT to IP_ZW1
np: IP_LAN2 -> NAT to IP_ZW2

Przyznaję się że nigdy niczego takiego nie robiłem, ale na Akademii Cisco - pokazali mi że coś takiego istnieje właśnie jak (SNAT i PNAT) ... Różnią się w działaniu.

SNAT - według cisco - to właśnie sytuacja że każde połączenie lokalne otrzymuje inne IP ZW z póli dostępnych adresów.
PNAT - odpowiednik linuxowego znanego nata: SNAT, MASQUERADE

W manualu jest napisane że MASQUERADE powinno się korzystać przy dynamicznym IP a SNAT - przy statycznym.

[ Dodano: 2004-07-16, 17:16 ]
gOs3r pisze: /usr/sbin/iptables -t nat -A POSTROUTING -s AA.BB.CC.DD -d 0/0 -j MASQUERADE
Ja bym jeszcze dodał paramter -o ethX (Jakoś wolę zawężać regułki firewalla) - czyli:

Kod: Zaznacz cały

/usr/sbin/iptables -t nat -A POSTROUTING -o ethX -s AA.BB.CC.DD -d 0/0 -j MASQUERADE
ethX - interfejs wychodzący (Może być ppp0) ;)
Pozdrawiam ;-]
Nie amator - nie elita... ;-)
Awatar użytkownika
cherry
Moderator w st. spocz.
Posty: 1160
Rejestracja: 2004-06-15, 09:57
Lokalizacja: Kraków

Re: rc.firewall

Post autor: cherry »

a PNAT to nie jest czasem powiązane z translacją portów?
Cльaцквaрэ Линукс цypэнт
[url]http://www.pajacyk.pl/[/url]
[url]http://www.polskieserce.pl/[/url]
Awatar użytkownika
haclet
Użytkownik
Posty: 40
Rejestracja: 2004-06-13, 21:34
Lokalizacja: ŁódĽ/Opole

Re: rc.firewall

Post autor: haclet »

cherry pisze:a PNAT to nie jest czasem powiązane z translacją portów?
Dokładnie... Chyba trochę pomyliłem pojęcia.
:lol:

[ Dodano: 2004-07-16, 17:33 ]
Tak właśnie trochę się dopytam:

Jest DNAT - czyli zamiana adresu docelowego na inny, wykorzystanie - np wpuszczenie pakietu z odpowiedniego portu na kompueter w sieci LAN.
Jest SNAT - czyli zamiana adresu Ľródłowego na adres zewnętrzny - powszechnie stosowane w sieciach LAN, aby ludziki mieli internet.
Jest PNAT - zamiana portów na inny ???

Więc jak działa np SNAT na linuxie - po czym jądro rozpoznaje że ten pakiet należy do tego komputera.
(SNAT - może działać spokojnie bez contracka)...
8)
Pozdrawiam ;-]
Nie amator - nie elita... ;-)
ODPOWIEDZ