Премини към съдържанието
Александър Димитров

Linux като защитна стена преди сървър машини?

Препоръчан отговор


Здравейте!

От няколко дни се опитвам да направя следното нещо.

Инсталирал съм Линукс на един компютър на който съм сложил две Лан карти и съм ги шарнал с цел през едната да влиза LAN кабела а през другата да излиза WAN който влиза в обикновен рутер който ползвам за Wi-FI в къщи и за Switch в случая.

Искам да постигна следното нещо, Линукса да се конфигурира така че да проверява всеки пакет който се опитва да се свърже с другия комютър с цел защита на сървър машина.

Но имам следното затруднение.

Интернет върви по цялата локална мрежа в къщи но от нея не мога да изкарам нищо в смисъл такъв че на другия компютър ще върви сървър на MuOnline и съответно уеб сайтът му но тези две неща до момента мога да ги отварям само локално.

Въпросът ми е как да направя линукса с включено DMZ за да може вътрешното ми IP 192.168.0.254 да бъде DMZ на реалното ми IP ?

Благодаря предварително!

П.С. Ако нещо не е ясно може да пишете в темата ще я следя постоянно или на скайп alex-onplex94. Благодаря!

П.С.2. Версията на Линукса е OpenSuSE 12.3 с графична среда.

Редактирано от Александър Димитров (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Малко ми е объркана постановката, но доколкото разбрах имате нещо като:

Internet ---> | (1.2.3.4) OpenSuse | ---> | wifi router | -1-> | (192.168.0.254) MuOnline |                                                          -2-> | PC1 |                                                          -3-> | PC2 |

Ако имате Интернет на PC1, PC2, MuOnline, то няма никакъв проблем да направите port forward от Suse-то към, който искате от вътрешните PC-та.

 

Трябва да знаете обаче, че ако ползвате wifi рутера като рутер той ще "маскира" всичко след него т.е. OpenSuse-то ще "вижда" само wifi рутер-а, но не и PC1, PC2, MuOnline, защото те ще бъдат NAT-нати от рутер-а. Ако наистина имате такава ситуация, то влезте в настройките на рутер-а и изключете DHCP сървъра му. След това преместете кабела от WAN порта, който до момента е "давал" Интернер на рутер-а в някой от LAN портовете му. Така PC1, PC2, MuOnline ще бъдат вече в switch-а. След това конфигурирайте един DHCP сървър на OpenSuse–то и всичко ще бъде, както преди.

 

Самият port forward е лесен:

 

iptables -t nat -A PREROUTING -d 1.2.3.4 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.254:80

 

1.2.3.4 ви е външното IP.

"-p tcp" е за TCP, "-p udp" е за UDP.

":80" е към, кой порт на вътрешното IP искате да бъде пренасочен порт "--dport" от външното IP.

Повторете това правило за всеки порт, който искате.

 

Другият подход е да направите освен port forward на OpenSuse-то, такъв и от wifi рутер-а. Насочвате порт 80 например не към 192.168.0.254, а към IP-то на wifi рутер-а. След това в самият рутер правите пренасочване на порт 80 (или към който порт сте насочили от OpenSuse-то към wifi рутер-а) към 192.168.0.254.

 

Успех!

Редактирано от mail123456 (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Ами опитваме се да направим port forward но незнам командата ли не приема или какво прави но отново не ни отваря мрежата.

Сега направихме малко промени, нещата стоят така в момента.

 

Internet ---> 1.2.3.4 OpenSuse 12.3 ---> Switch TP-LINK ---> MuOnline Server (192.168.0.1) и вече от Switch-а тръгва за рутера но това не ни интересува защото то си е само за интернет в къщи.

 

iptables -t nat -A PREROUTING -d (реално ip) -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1:80

Редактирано от Александър Димитров (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Ако разбирам правилно сте заменили wifi рутер-а със switch?

 

Ако е така, то имате ли Интернет на 192.168.0.1?

 

Можете ли да дадете изхода от:

iptables -t nat -L -n

route -n

 

Между другото какво е 12.3? (това била версията на suse-то :) )

Редактирано от mail123456 (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Ако разбирам правилно сте заменили wifi рутер-а със switch?

 

Ако е така, то имате ли Интернет на 192.168.0.1?

 

Можете ли да дадете изхода от:

iptables -t nat -L -n

route -n

 

Между другото какво е 12.3? (това била версията на suse-то :) )

 

 

 

 

VESTEL:~ # iptables -t nat -A PREROUTING -d 109.199.141.135 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1:80

VESTEL:~ # iptables -t nat -L -n

Chain PREROUTING (policy ACCEPT)

target prot opt source destination    

DNAT tcp  --  0.0.0.0/0   109.199.141.135   tcp dpt:80 to:192.168.0.1:80

Chain INPUT (policy ACCEPT)

target prot opt source destination    

Chain OUTPUT (policy ACCEPT)

target prot opt source destination    

Chain POSTROUTING (policy ACCEPT)

target prot opt source destination    

MASQUERADE  all  --  0.0.0.0/0   0.0.0.0/0    

VESTEL:~ # route -n

Kernel IP routing table

Destination Gateway Genmask Flags Metric Ref   Use Iface

0.0.0.0 109.199.140.1 0.0.0.0 UG   0   0   0 eth1

109.199.140.0 0.0.0.0 255.255.252.0 U 0   0   0 eth1

127.0.0.0 0.0.0.0 255.0.0.0 U 0   0   0 lo

169.254.0.0 0.0.0.0 255.255.0.0 U 0   0   0 eth0

192.168.0.0 0.0.0.0 255.255.255.0 U 0   0   0 eth0

 


Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Да питам пак:

Ако е така, то имате ли Интернет на 192.168.0.1? (нали това е IP-то на MU-то?)

 

Между другото можете ли да дадете командата с която правите този чуден NAT (MASQUERADE)?

И още нещо - възможно ли е доставчика ви да филтрира порт 80?

 

Иначе редиректа ми изглежда ОК ... малко или много

 

iptables -L -n

 

ако може също

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Да питам пак:

Ако е така, то имате ли Интернет на 192.168.0.1? (нали това е IP-то на MU-то?)

 

Между другото можете ли да дадете командата с която правите този чуден NAT (MASQUERADE)?

И още нещо - възможно ли е доставчика ви да филтрира порт 80?

 

Иначе редиректа ми изглежда ОК ... малко или много

 

iptables -L -n

 

ако може I

 

 

Интернет имаме на 0.1, за masquarade нямам идея как .. 

VESTEL:~ #  iptables -L -n Chain INPUT (policy DROP) target prot opt source destination     ACCEPT all  --  0.0.0.0/0   0.0.0.0/0     ACCEPT all  --  0.0.0.0/0   0.0.0.0/0   ctstate ESTABLISHED ACCEPT icmp --  0.0.0.0/0   0.0.0.0/0   ctstate RELATED input_int  all  --  0.0.0.0/0   0.0.0.0/0     input_ext  all  --  0.0.0.0/0   0.0.0.0/0     LOG   all  --  0.0.0.0/0   0.0.0.0/0   limit: avg 3/min burst 5 LOG flags 6 level 4 prefix "SFW2-IN-ILL-TARGET " DROP all  --  0.0.0.0/0   0.0.0.0/0     Chain FORWARD (policy DROP) target prot opt source destination     TCPMSS tcp  --  0.0.0.0/0   0.0.0.0/0   tcp flags:0x06/0x02 TCPMSS clamp to PMTU forward_int  all  --  0.0.0.0/0   0.0.0.0/0     forward_ext  all  --  0.0.0.0/0   0.0.0.0/0     LOG   all  --  0.0.0.0/0   0.0.0.0/0   limit: avg 3/min burst 5 LOG flags 6 level 4 prefix "SFW2-FWD-ILL-ROUTING " DROP all  --  0.0.0.0/0   0.0.0.0/0     Chain OUTPUT (policy ACCEPT) target prot opt source destination     ACCEPT all  --  0.0.0.0/0   0.0.0.0/0     Chain forward_ext (1 references) target prot opt source destination     ACCEPT icmp --  0.0.0.0/0   0.0.0.0/0   ctstate RELATED,ESTABLISHED icmptype 0 ACCEPT icmp --  0.0.0.0/0   0.0.0.0/0   ctstate RELATED,ESTABLISHED icmptype 3 ACCEPT icmp --  0.0.0.0/0   0.0.0.0/0   ctstate RELATED,ESTABLISHED icmptype 11 ACCEPT icmp --  0.0.0.0/0   0.0.0.0/0   ctstate RELATED,ESTABLISHED icmptype 12 ACCEPT icmp --  0.0.0.0/0   0.0.0.0/0   ctstate RELATED,ESTABLISHED icmptype 14 ACCEPT icmp --  0.0.0.0/0   0.0.0.0/0   ctstate RELATED,ESTABLISHED icmptype 18 ACCEPT icmp --  0.0.0.0/0   0.0.0.0/0   ctstate RELATED,ESTABLISHED icmptype 3 code 2 ACCEPT icmp --  0.0.0.0/0   0.0.0.0/0   ctstate RELATED,ESTABLISHED icmptype 5 ACCEPT all  --  0.0.0.0/0   0.0.0.0/0   ctstate RELATED,ESTABLISHED DROP all  --  0.0.0.0/0   0.0.0.0/0   PKTTYPE = multicast DROP all  --  0.0.0.0/0   0.0.0.0/0   PKTTYPE = broadcast LOG   tcp  --  0.0.0.0/0   0.0.0.0/0   limit: avg 3/min burst 5 tcp flags:0x17/0x02 LOG flags 6 level 4 prefix "SFW2-FWDext-DROP-DEFLT " LOG   icmp --  0.0.0.0/0   0.0.0.0/0   limit: avg 3/min burst 5 LOG flags 6 level 4 prefix "SFW2-FWDext-DROP-DEFLT " LOG   udp  --  0.0.0.0/0   0.0.0.0/0   limit: avg 3/min burst 5 ctstate NEW LOG flags 6 level 4 prefix "SFW2-FWDext-DROP-DEFLT " DROP all  --  0.0.0.0/0   0.0.0.0/0     Chain forward_int (1 references) target prot opt source destination     ACCEPT icmp --  0.0.0.0/0   0.0.0.0/0   ctstate RELATED,ESTABLISHED icmptype 0 ACCEPT icmp --  0.0.0.0/0   0.0.0.0/0   ctstate RELATED,ESTABLISHED icmptype 3 ACCEPT icmp --  0.0.0.0/0   0.0.0.0/0   ctstate RELATED,ESTABLISHED icmptype 11 ACCEPT icmp --  0.0.0.0/0   0.0.0.0/0   ctstate RELATED,ESTABLISHED icmptype 12 ACCEPT icmp --  0.0.0.0/0   0.0.0.0/0   ctstate RELATED,ESTABLISHED icmptype 14 ACCEPT icmp --  0.0.0.0/0   0.0.0.0/0   ctstate RELATED,ESTABLISHED icmptype 18 ACCEPT icmp --  0.0.0.0/0   0.0.0.0/0   ctstate RELATED,ESTABLISHED icmptype 3 code 2 ACCEPT icmp --  0.0.0.0/0   0.0.0.0/0   ctstate RELATED,ESTABLISHED icmptype 5 ACCEPT all  --  0.0.0.0/0   0.0.0.0/0   ctstate NEW,RELATED,ESTABLISHED DROP all  --  0.0.0.0/0   0.0.0.0/0   PKTTYPE = multicast DROP all  --  0.0.0.0/0   0.0.0.0/0   PKTTYPE = broadcast LOG   tcp  --  0.0.0.0/0   0.0.0.0/0   limit: avg 3/min burst 5 tcp flags:0x17/0x02 LOG flags 6 level 4 prefix "SFW2-FWDint-DROP-DEFLT " LOG   icmp --  0.0.0.0/0   0.0.0.0/0   limit: avg 3/min burst 5 LOG flags 6 level 4 prefix "SFW2-FWDint-DROP-DEFLT " LOG   udp  --  0.0.0.0/0   0.0.0.0/0   limit: avg 3/min burst 5 ctstate NEW LOG flags 6 level 4 prefix "SFW2-FWDint-DROP-DEFLT " reject_func  all  --  0.0.0.0/0   0.0.0.0/0     Chain input_ext (1 references) target prot opt source destination     DROP all  --  0.0.0.0/0   0.0.0.0/0   PKTTYPE = broadcast ACCEPT icmp --  0.0.0.0/0   0.0.0.0/0   icmptype 4 ACCEPT icmp --  0.0.0.0/0   0.0.0.0/0   icmptype 8 LOG   tcp  --  0.0.0.0/0   0.0.0.0/0   limit: avg 3/min burst 5 tcp dpt:80 flags:0x17/0x02 LOG flags 6 level 4 prefix "SFW2-INext-ACC-TCP " ACCEPT tcp  --  0.0.0.0/0   0.0.0.0/0   tcp dpt:80 ACCEPT udp  --  0.0.0.0/0   0.0.0.0/0   udp dpt:80 DROP all  --  0.0.0.0/0   0.0.0.0/0   PKTTYPE = multicast DROP all  --  0.0.0.0/0   0.0.0.0/0   PKTTYPE = broadcast LOG   tcp  --  0.0.0.0/0   0.0.0.0/0   limit: avg 3/min burst 5 tcp flags:0x17/0x02 LOG flags 6 level 4 prefix "SFW2-INext-DROP-DEFLT " LOG   icmp --  0.0.0.0/0   0.0.0.0/0   limit: avg 3/min burst 5 LOG flags 6 level 4 prefix "SFW2-INext-DROP-DEFLT " LOG   udp  --  0.0.0.0/0   0.0.0.0/0   limit: avg 3/min burst 5 ctstate NEW LOG flags 6 level 4 prefix "SFW2-INext-DROP-DEFLT " DROP all  --  0.0.0.0/0   0.0.0.0/0     Chain input_int (1 references) target prot opt source destination     ACCEPT all  --  0.0.0.0/0   0.0.0.0/0     Chain reject_func (1 references) target prot opt source destination     REJECT tcp  --  0.0.0.0/0   0.0.0.0/0   reject-with tcp-reset REJECT udp  --  0.0.0.0/0   0.0.0.0/0   reject-with icmp-port-unreachable REJECT all  --  0.0.0.0/0   0.0.0.0/0   reject-with icmp-proto-unreachable VESTEL:~ #  

Редактирано от Александър Димитров (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

уляля ... кой ги е творил всички тези неща?

незнанието май. Как да ги изтрия и да въведа само нужното ми ?

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Аз по принцип изобщо не съм фен на такива сложни работи, затова бих ви препоръчал да започнете с нещо просто, а после да си творите такива рестриктивни firewall-и. И така пробвайте следното: Разрешаваме forwarding-а: echo 1 > /proc/sys/net/ipv4/ip_forward Изтриваме всички правила: iptables -t nat -F iptables -F Правим един port forward: iptables -t nat -A PREROUTING -d 109.199.141.135 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1:80 И NAT-ваме 192.168.0. (нали eth1 ви е външната ланка?): iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth1 -j MASQUERADE  

След това би трябвало да имате Интернет на MU-то и евентуално да имате пренасочен port 80. Нали все пак имате работещ WEB сървър на MU машината ? :)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Аз по принцип изобщо не съм фен на такива сложни работи, затова бих ви препоръчал да започнете с нещо просто, а после да си творите такива рестриктивни firewall-и. И така пробвайте следното: Разрешаваме forwarding-а: echo 1 > /proc/sys/net/ipv4/ip_forward Изтриваме всички правила: iptables -t nat -F iptables -F Правим един port forward: iptables -t nat -A PREROUTING -d 109.199.141.135 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1:80 И NAT-ваме 192.168.0. (нали eth1 ви е външната ланка?): iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth1 -j MASQUERADE  

След това би трябвало да имате Интернет на MU-то и евентуално да имате пренасочен port 80. Нали все пак имате работещ WEB сървър на MU машината ? :)

имаме. сега ще пробвам

имаме. сега ще пробвам

като направихме това което написа и интернета след SuSE машината спря, нямахме нито на 0.1 нито на wifi рутера и рестартирахме линукса за да се махнат настройките и сега всичко си е по старому и интернет имаме, но явно като въведем нещо от това което ни даде последно и спира, та нещо ние явно бъркаме :)

 

P.S. имаме web пуснат на 0.1 и от линукса го отваряме => реално само 80 порт не ни е отворен за навън

Редактирано от Александър Димитров (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Кошмар ... хайде да пробваме следното:

 

пишете в конзолата на Сусе-то следното:

nc -l -p 80

 

нищо няма да се изпише, но това ще отвори 80-ти порт на Сусе-то за света. След като го направите напишете отговор тук за да пробвам конекция към вас и да проверим дали изобщо стигаме до порт 80.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Ами в момента няма как да го направя защото дойдох на работа вече и нямам достап до линукса. 

Утре сутрин ще го направя и ще напиша резултата.

А между другото ако искаш добави ме в скайп - alex-onplex94

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Само за сведение, какво е IP-то на вътрешната ланка на Сусето?

 

Skype ползвам само в краен случай - имам непоносимост към него.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

109.199.141.135 е реалното ИП.

192.168.0.1 е ИП на Му-то.

192.168.0.254 е ИП на втората ЛАН карта която е Gateway на Wi-Fi рутера и Му-то.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Между другото след като имате графична среда нямате ли нещо като това: http://www.novell.com/coolsolutions/feature/16709.html

 

Иначе я дайте да видим този файл:

cat /etc/sysconfig/SuSEfirewall2

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Когато написах командата nc -l -p 80 нищо не стана пак изписа ми следното.

 

 

This is nc from the netcat-openbsd package. An alternative nc is available
in the netcat-traditional package.
usage: nc [-46DdhklnrStUuvzC] [-i interval] [-P proxy_username] [-p source_port]
[-s source_ip_address] [-T ToS] [-w timeout] [-X proxy_protocol]
[-x proxy_address[:port]] [hostname] [port]
 

 

А какво искаш да кажеш с това да дадем този файл ?

Редактирано от Александър Димитров (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Ами да изпълните

 

cat /etc/sysconfig/SuSEfirewall2

 

и да покажете тук изхода от командата

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

## Type:  yesno # # whether all dropped packets should be logged # # Note: for broadcasts to be logged you also need to set # FW_IGNORE_FW_BROADCAST_* to 'no' # # defaults to "no" if not set # FW_LOG_DROP_ALL="no" ## Type:  yesno # # When set to "yes", packages that got accepted and are considered # 'critical' will be logged. Such packets include for example tcp # connection requests, rpc connection requests and forwarded pakets. # # Set to "no" for on systems with high traffic # # defaults to "no" if not set # FW_LOG_ACCEPT_CRIT="yes" ## Type:  yesno # # whether all accepted packets should be logged # # Note: setting this to 'yes' causes _LOTS_ of log entries and may # fill your disk quickly. It also disables FW_LOG_LIMIT # # defaults to "no" if not set # FW_LOG_ACCEPT_ALL="no" ## Type:  string # # How many packets per time unit get logged for each logging rule. # When empty a default of 3/minute is used to prevent port scans # flooding your log files. For desktop usage it's a good idea to # have the limit, if you are using logfile analysis tools however # you might want to disable it. # # Set to 'no' to disable the rate limit. Setting FW_LOG_ACCEPT_ALL # to 'yes' disables this option as well. # # Format: a digit and suffix /second, /minute, /hour or /day FW_LOG_LIMIT="" ## Type:  string # # iptables logging option. Must end with --log-prefix and some prefix # characters # # You may specify an alternative logging target by starting the # string with "-j ". E.g. "-j ULOG --ulog-prefix SFW2" # # Note that ULOG doesn't work with IPv6 # # only change this if you know what you are doing! FW_LOG="" ## Type:  yesno # # Do you want to enable additional kernel TCP/IP security features? # If set to yes, some obscure kernel options are set. # (icmp_ignore_bogus_error_responses, icmp_echoreply_rate, #  icmp_destunreach_rate, icmp_paramprob_rate, icmp_timeexeed_rate, #  ip_local_port_range, log_martians, rp_filter, routing flush, #  bootp_relay, proxy_arp, secure_redirects, accept_source_route #  icmp_echo_ignore_broadcasts, ipfrag_time) # # Tip: Set this to "no" until you have verified that you have got a # configuration which works for you. Then set this to "yes" and keep it # if everything still works. (It should!) ;-) # # Choice: "yes" or "no", if not set defaults to "yes" # FW_KERNEL_SECURITY="" ## Type:  yesno # # Whether ip routing should be disabled when the firewall is shut # down. # # Note: IPv4 only, IPv6 sysctls are left untouched # # Requires: FW_ROUTE # # defaults to "no" if not set # FW_STOP_KEEP_ROUTING_STATE="" ## Type:  yesno # # Allow the firewall to reply to icmp echo requests # # defaults to "yes" if not set # FW_ALLOW_PING_FW="" ## Type:  yesno # # Allow hosts in the dmz to be pinged from hosts in other zones even # if neither FW_FORWARD nor FW_MASQUERADE is set # # Requires: FW_ROUTE # # defaults to "no" if not set # FW_ALLOW_PING_DMZ="" ## Type:  yesno # # Allow hosts in the external zone to be pinged from hosts in other # zones even if neither FW_FORWARD nor FW_MASQUERADE is set # # Requires: FW_ROUTE # # defaults to "no" if not set # FW_ALLOW_PING_EXT="" ## Type:  yesno # # Allow ICMP sourcequench from your ISP? # # If set to yes, the firewall will notice when connection is choking, however # this opens yourself to a denial of service attack. Choose your poison. # # Defaults to "yes" if not set # FW_ALLOW_FW_SOURCEQUENCH="" ## Type:  string(yes,no) # # Allow IP Broadcasts? # # Whether the firewall allows broadcasts packets. # Broadcasts are used for e.g. for Netbios/Samba, RIP, OSPF and Games. # # If you want to drop broadcasts however ignore the annoying log entries, set # FW_IGNORE_FW_BROADCAST_* to yes. # # Note that if you allow specifc ports here it just means that broadcast # packets for that port are not dropped. You still need to set # FW_SERVICES_*_UDP to actually allow regular unicast packets to # reach the applications. # # Format: either # - "yes" or "no" # - list of udp destination ports # # Examples: - "631 137" allow broadcast packets on port 631 and 137 #   to enter the machine but drop any other broadcasts # - "yes" do not install any extra drop rules for #   broadcast packets. They'll be treated just as unicast #   packets in this case. # - "no" drop all broadcast packets before other filtering #   rules # # defaults to "no" if not set # FW_ALLOW_FW_BROADCAST_EXT="no" ## Type:  string # # see comments for FW_ALLOW_FW_BROADCAST_EXT FW_ALLOW_FW_BROADCAST_INT="no" ## Type:  string # # see comments for FW_ALLOW_FW_BROADCAST_EXT FW_ALLOW_FW_BROADCAST_DMZ="no" ## Type:  string(yes,no) # # Suppress logging of dropped broadcast packets. Useful if you don't allow # broadcasts on a LAN interface. # # This setting only affects packets that are not allowed according # to FW_ALLOW_FW_BROADCAST_* # # Format: either # - "yes" or "no" # - list of udp destination ports # # Examples: - "631 137" silently drop broadcast packets on port 631 and 137 # - "yes" do not log dropped broadcast packets # - "no" log all dropped broadcast packets # # # defaults to "no" if not set FW_IGNORE_FW_BROADCAST_EXT="yes" ## Type:  string # # see comments for FW_IGNORE_FW_BROADCAST_EXT FW_IGNORE_FW_BROADCAST_INT="no" ## Type:  string # # see comments for FW_IGNORE_FW_BROADCAST_EXT FW_IGNORE_FW_BROADCAST_DMZ="no" ## Type:  list(yes,no,int,ext,dmz,) # # Specifies whether routing between interfaces of the same zone should be allowed # Requires: FW_ROUTE="yes" # # Set this to allow routing between interfaces in the same zone, # e.g. between all internet interfaces, or all internal network # interfaces. # # Caution: Keep in mind that "yes" affects all zones. ie even if you # need inter-zone routing only in the internal zone setting this # parameter to "yes" would allow routing between all external # interfaces as well. It's better to use # FW_ALLOW_CLASS_ROUTING="int" in this case. # # Choice: "yes", "no", or space separate list of zone names # # Defaults to "no" if not set # FW_ALLOW_CLASS_ROUTING="" ## Type:  string # # Do you want to load customary rules from a file? # # This is really an expert option. NO HELP WILL BE GIVEN FOR THIS! # READ THE EXAMPLE CUSTOMARY FILE AT /etc/sysconfig/scripts/SuSEfirewall2-custom # #FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom" FW_CUSTOMRULES="" ## Type:  yesno # # Do you want to REJECT packets instead of DROPing? # # DROPing (which is the default) will make portscans and attacks much # slower, as no replies to the packets will be sent. REJECTing means, that # for every illegal packet, a connection reject packet is sent to the # sender. # # Choice: "yes" or "no", if not set defaults to "no" # # Defaults to "no" if not set # # You may override this value on a per zone basis by using a zone # specific variable, e.g. FW_REJECT_DMZ="yes" # FW_REJECT="" ## Type:  yesno # # see FW_REJECT for description # # default config file setting is "yes" assuming that slowing down # portscans is not strictly required in the internal zone even if # you protect yourself from the internal zone # FW_REJECT_INT="" ## Type:  string # # Tuning your upstream a little bit via HTB (Hierarchical Token Bucket) # for more information about HTB see http://www.lartc.org # # If your download collapses while you have a parallel upload, # this parameter might be an option for you. It manages your # upload stream and reserves bandwidth for special packets like # TCP ACK packets or interactive SSH. # It's a list of devices and maximum bandwidth in kbit. # For example, the german TDSL account, provides 128kbit/s upstream # and 768kbit/s downstream. We can only tune the upstream. # # Example: # If you want to tune a 128kbit/s upstream DSL device like german TDSL set # the following values: # FW_HTB_TUNE_DEV="dsl0,125" # where dsl0 is your pppoe device and 125 stands for 125kbit/s upstream # # you might wonder why 125kbit/s and not 128kbit/s. Well practically you'll # get a better performance if you keep the value a few percent under your # real maximum upload bandwidth, to prevent the DSL modem from queuing traffic in # it's own buffers because queing is done by us now. # So for a 256kbit upstream # FW_HTB_TUNE_DEV="dsl0,250" # might be a better value than "dsl0,256". There is no perfect value for a # special kind of modem. The perfect value depends on what kind of traffic you # have on your line but 5% under your maximum upstream might be a good start. # Everthing else is special fine tuning. # If you want to know more about the technical background, # http://tldp.org/HOWTO/ADSL-Bandwidth-Management-HOWTO/ # is a good start # FW_HTB_TUNE_DEV="" ## Type:  list(no,drop,reject) ## Default:  drop # # What to do with IPv6 Packets? # # On older kernels ip6tables was not stateful so it's not possible to implement # the same features as for IPv4 on such machines. For these there are three # choices: # # - no: do not set any IPv6 rules at all. Your Host will allow any IPv6 # traffic unless you setup your own rules. # # - drop: drop all IPv6 packets. # # - reject: reject all IPv6 packets. This is the default if stateful matching is # not available. # # Disallowing IPv6 packets may lead to long timeouts when connecting to IPv6 # Adresses. See FW_IPv6_REJECT_OUTGOING to avoid this. # # Leave empty to automatically detect whether ip6tables supports stateful matching. # FW_IPv6="" ## Type:  yesno ## Default:  yes # # Reject outgoing IPv6 Packets? # # Set to yes to avoid timeouts because of dropped IPv6 Packets. This Option # does only make sense with FW_IPv6 != no # # Defaults to "yes" if not set # FW_IPv6_REJECT_OUTGOING="" ## Type:  list(yes,no,int,ext,dmz,) ## Default:  no # # Trust level of IPsec packets. # # You do not need to change this if you do not intend to run # services that should only be available trough an IPsec tunnel. # # The value specifies how much IPsec packets are trusted. 'int', 'ext' or 'dmz' # are the respective zones. 'yes' is the same as 'int. 'no' means that IPsec # packets belong to the same zone as the interface they arrive on. # # Note: you still need to explicitely allow IPsec traffic. # Example: # FW_IPSEC_TRUST="int" # FW_SERVICES_EXT_IP="esp" # FW_SERVICES_EXT_UDP="isakmp" # FW_PROTECT_FROM_INT="no" # # Defaults to "no" if not set # FW_IPSEC_TRUST="no" ## Type:  string # # Define additional firewall zones # # The built-in zones INT, EXT and DMZ must not be listed here. Names # of additional zones must only contain lowercase ascii characters. # To define rules for the additional zone, take the approriate # variable for a built-in zone and substitute INT/EXT/DMZ with the # name of the additional zone. # # Example: # FW_ZONES="wlan" # FW_DEV_wlan="wlan0" # FW_SERVICES_wlan_TCP="80" # FW_ALLOW_FW_BROADCAST_wlan="yes" # FW_ZONES="" ## Type:  string(no,auto) # # Set default firewall zone # # Format: 'auto', 'no' or name of zone. # # When set to 'no' no firewall rules will be installed for unknown # or unconfigured interfaces. That means traffic on such interfaces # hits the default drop rules. # # When left empty or when set to 'auto' the zone that has the # interface string 'any' configured is used for all unconfigured # interfaces (see FW_DEV_EXT). If no 'any' string was found the # external zone is used. # # When a default zone is defined a catch all rule redirects traffic # from interfaces that were not present at the time SuSEfirewall2 # was run to the default zone. Normally SuSEfirewall2 needs to be # run if new interfaces appear to avoid such unknown interfaces. # # Defaults to 'auto' if not set # FW_ZONE_DEFAULT='' ## Type:  list(yes,no,auto,) ## Default:   # # Whether to use iptables-batch # # iptables-batch commits all rules in an almost atomic way similar # to iptables-restore. This avoids excessive iptables calls and race # conditions. # # Choice: # - yes: use iptables-batch if available and warn if it isn't # - no: don't use iptables-batch # - auto: use iptables-batch if available, silently fall back to # iptables if it isn't # # Defaults to "auto" if not set # FW_USE_IPTABLES_BATCH="" ## Type:  string # # Which additional kernel modules to load at startup # # Example: # FW_LOAD_MODULES="nf_conntrack_netbios_ns" # # See also FW_SERVICES_ACCEPT_RELATED_EXT # FW_LOAD_MODULES="nf_conntrack_netbios_ns" ## Type:  string ## Default:   # # Bridge interfaces without IP address # # Traffic on bridge interfaces like the one used by xen appears to # enter and leave on the same interface. Add such interfaces here in # order to install special permitting rules for them. # # Format: list of interface names separated by space # # Note: this option is deprecated, use FW_FORWARD_ALLOW_BRIDGING instead # # Example: # FW_FORWARD_ALWAYS_INOUT_DEV="xenbr0" # FW_FORWARD_ALWAYS_INOUT_DEV="" ## Type:  string # # Whether traffic that is only bridged but not routed should be # allowed. Such packets appear to pass though the forward chain so # normally they would be dropped. # # Note: it is not possible to configure SuSEfirewall2 as bridging # firewall. This option merely controls whether SuSEfirewall2 should # try to not interfere with bridges. # # Choice: # - yes: always install a rule to allow bridge traffic # - no: don't install a rule to allow bridge traffic # - auto: install rule only if there are bridge interfaces # # Defaults to "auto" if not set # FW_FORWARD_ALLOW_BRIDGING="" ## Type:  yesno # # Write status information to /var/run/SuSEfirewall2/status for use # by e.g. graphical user interfaces. Can safely be disabled on # servers. # # Defaults to "yes" if not set # FW_WRITE_STATUS="" ## Type:  yesno # # Allow dynamic configuration overrides in # /var/run/SuSEfirewall2/override for use by e.g. graphical user # interfaces. Can safely be disabled on servers. # # Defaults to "yes" if not set # FW_RUNTIME_OVERRIDE="" ## Type:  yesno # # Install NOTRACK target for interface lo in the raw table. Doing so # speeds up packet processing on the loopback interface. This breaks # certain firewall setups that need to e.g. redirect outgoing # packets via custom rules on the local machine. # # Defaults to "yes" if not set # FW_LO_NOTRACK="" ## Type:  yesno # # Specifies whether /etc/init.d/SuSEfirewall2_init should install the # full rule set already. Default is to just install minimum rules # that block incoming traffic. Set to "yes" if you use services # such as drbd that require open ports during boot already. # # Defaults to "no" if not set # FW_BOOT_FULL_INIT=""  

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Не виждам нищо интересно. И така с YAST не можете ли да конфигурирате port forward както е описано тук: http://www.novell.com/coolsolutions/feature/16709.html

Ах ... май разбрах защо не е сработило това, което ви дадох преди. FORWARD и INPUT са ви на DROP.

 

Пробвайте следното:

 

Разрешаваме forwarding-а: echo 1 > /proc/sys/net/ipv4/ip_forward Изтриваме всички правила: iptables -F

iptables -t nat -F

iptables -X

iptables -P INPUT ACCEPT

iptables -P FORWARD ACCEPT

iptables -P OUTPUT ACCEPT Правим един port forward: iptables -t nat -A PREROUTING -d 109.199.141.135 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1:80 И NAT-ваме 192.168.0. (нали eth1 ви е външната ланка?): iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth1 -j MASQUERADE  

Ако пак не работи, то направете

 

iptables -t nat -L

iptables -L

 

и публикувайте тук резултата от двете команди преди да реснете firewall-а. Между другото можете да реснете firewall-а с:

/sbin/rcSuSEfirewall2 stop

/sbin/rcSuSEfirewall2 start

 

може да има и restart ... никога не съм виждал OpenSuse :)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

 

 

VESTEL:~ # echo 1 > /proc/sys/net/ipv4/ip_forward VESTEL:~ # iptables -F VESTEL:~ # iptables -t nat -F VESTEL:~ # iptables -X VESTEL:~ # iptables -P INPUT ACCEPT VESTEL:~ # iptables -P FORWARD ACCEPT VESTEL:~ # iptables -P OUTPUT ACCEPT VESTEL:~ # iptables -t nat PREROUTING -d 109.199.141.135 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1:80 Bad argument `PREROUTING' Try `iptables -h' or 'iptables --help' for more information. VESTEL:~ # iptables -t nat PREROUTING -d 109.199.141.135 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1:80 Bad argument `PREROUTING' Try `iptables -h' or 'iptables --help' for more information. VESTEL:~ # iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o eth1 -j MASQUERADE VESTEL:~ # iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source destination     Chain INPUT (policy ACCEPT) target prot opt source destination     Chain OUTPUT (policy ACCEPT) target prot opt source destination     Chain POSTROUTING (policy ACCEPT) target prot opt source destination     MASQUERADE  all  --  192.168.0.0/24 anywhere   VESTEL:~ # iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination     Chain FORWARD (policy ACCEPT) target prot opt source destination     Chain OUTPUT (policy ACCEPT) target prot opt source destination      

Но пак не го отваря, сега ще рестартирам firewall-a.

P.S. След рестарт същата работа

Редактирано от Александър Димитров (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Аз виждам, че ви дава грешка когато въвеждате правилото за port foward, защото ви липсва едно -A пред PREROUTING.

 

iptables -t nat -A PREROUTING -d 109.199.141.135 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1:80

 

В случая има две неща, които ме интересуват:

1. Имахте ли Интернет след като написахте правилата?

2. Ако напишете правилни правилото за port forward дали се отваря отвънка WEB сървъра.

Редактирано от mail123456 (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

След като написах командата пак не се вижда Web Server-a и имаме интернет.

Ето това показва когато напиша:

 

iptables-save

 

VESTEL:~ # iptables-save # Generated by iptables-save v1.4.16.3 on Fri Sep  6 14:20:19 2013 *nat :PREROUTING ACCEPT [511:46673] :INPUT ACCEPT [1:60] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [6:336] -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.2:80 -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.254:80 -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1:80 -A PREROUTING -i eth1 -p udp -m udp --dport 80 -j DNAT --to-destination 192.168.0.1:80 -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.254:80 -A PREROUTING -d 109.199.141.135/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1:80 -A POSTROUTING -o eth1 -j MASQUERADE COMMIT # Completed on Fri Sep  6 14:20:19 2013 # Generated by iptables-save v1.4.16.3 on Fri Sep  6 14:20:19 2013 *raw :PREROUTING ACCEPT [101332:28750541] :OUTPUT ACCEPT [191:33169] -A PREROUTING -i lo -j CT --notrack -A OUTPUT -o lo -j CT --notrack COMMIT # Completed on Fri Sep  6 14:20:19 2013 # Generated by iptables-save v1.4.16.3 on Fri Sep  6 14:20:19 2013 *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [176:31588] :forward_ext - [0:0] :forward_int - [0:0] :input_ext - [0:0] :input_int - [0:0] :reject_func - [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT -A INPUT -p icmp -m conntrack --ctstate RELATED -j ACCEPT -A INPUT -i eth0 -j input_int -A INPUT -j input_ext -A INPUT -m limit --limit 3/min -j LOG --log-prefix "SFW2-IN-ILL-TARGET " --log-tcp-options --log-ip-options -A INPUT -j DROP -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu -A FORWARD -i eth0 -j forward_int -A FORWARD -i eth1 -j forward_ext -A FORWARD -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWD-ILL-ROUTING " --log-tcp-options --log-ip-options -A FORWARD -j DROP -A OUTPUT -o lo -j ACCEPT -A forward_ext -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT -A forward_ext -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 3 -j ACCEPT -A forward_ext -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 11 -j ACCEPT -A forward_ext -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 12 -j ACCEPT -A forward_ext -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 14 -j ACCEPT -A forward_ext -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 18 -j ACCEPT -A forward_ext -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 3/2 -j ACCEPT -A forward_ext -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 5 -j ACCEPT -A forward_ext -i eth1 -o eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A forward_ext -d 192.168.0.2/32 -p tcp -m limit --limit 3/min -m tcp --dport 80 -m conntrack --ctstate NEW -j LOG --log-prefix "SFW2-FWDext-ACC-REVMASQ " --log-tcp-options --log-ip-options -A forward_ext -d 192.168.0.2/32 -p tcp -m tcp --dport 80 -j ACCEPT -A forward_ext -s 192.168.0.2/32 -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A forward_ext -d 192.168.0.254/32 -p tcp -m limit --limit 3/min -m tcp --dport 80 -m conntrack --ctstate NEW -j LOG --log-prefix "SFW2-FWDext-ACC-REVMASQ " --log-tcp-options --log-ip-options -A forward_ext -d 192.168.0.254/32 -p tcp -m tcp --dport 80 -j ACCEPT -A forward_ext -s 192.168.0.254/32 -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A forward_ext -d 192.168.0.1/32 -p tcp -m limit --limit 3/min -m tcp --dport 80 -m conntrack --ctstate NEW -j LOG --log-prefix "SFW2-FWDext-ACC-REVMASQ " --log-tcp-options --log-ip-options -A forward_ext -d 192.168.0.1/32 -p tcp -m tcp --dport 80 -j ACCEPT -A forward_ext -s 192.168.0.1/32 -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A forward_ext -d 192.168.0.1/32 -p udp -m limit --limit 3/min -m udp --dport 80 -m conntrack --ctstate NEW -j LOG --log-prefix "SFW2-FWDext-ACC-REVMASQ " --log-tcp-options --log-ip-options -A forward_ext -d 192.168.0.1/32 -p udp -m udp --dport 80 -j ACCEPT -A forward_ext -s 192.168.0.1/32 -p udp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A forward_ext -d 192.168.0.254/32 -p tcp -m limit --limit 3/min -m tcp --dport 80 -m conntrack --ctstate NEW -j LOG --log-prefix "SFW2-FWDext-ACC-REVMASQ " --log-tcp-options --log-ip-options -A forward_ext -d 192.168.0.254/32 -p tcp -m tcp --dport 80 -j ACCEPT -A forward_ext -s 192.168.0.254/32 -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A forward_ext -m pkttype --pkt-type multicast -j DROP -A forward_ext -m pkttype --pkt-type broadcast -j DROP -A forward_ext -p tcp -m limit --limit 3/min -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-FWDext-DROP-DEFLT " --log-tcp-options --log-ip-options -A forward_ext -p icmp -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWDext-DROP-DEFLT " --log-tcp-options --log-ip-options -A forward_ext -p udp -m limit --limit 3/min -m conntrack --ctstate NEW -j LOG --log-prefix "SFW2-FWDext-DROP-DEFLT " --log-tcp-options --log-ip-options -A forward_ext -j DROP -A forward_int -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT -A forward_int -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 3 -j ACCEPT -A forward_int -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 11 -j ACCEPT -A forward_int -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 12 -j ACCEPT -A forward_int -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 14 -j ACCEPT -A forward_int -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 18 -j ACCEPT -A forward_int -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 3/2 -j ACCEPT -A forward_int -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -m icmp --icmp-type 5 -j ACCEPT -A forward_int -i eth0 -o eth1 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT -A forward_int -d 192.168.0.2/32 -p tcp -m limit --limit 3/min -m tcp --dport 80 -m conntrack --ctstate NEW -j LOG --log-prefix "SFW2-FWDint-ACC-REVMASQ " --log-tcp-options --log-ip-options -A forward_int -d 192.168.0.2/32 -p tcp -m tcp --dport 80 -j ACCEPT -A forward_int -s 192.168.0.2/32 -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A forward_int -d 192.168.0.254/32 -p tcp -m limit --limit 3/min -m tcp --dport 80 -m conntrack --ctstate NEW -j LOG --log-prefix "SFW2-FWDint-ACC-REVMASQ " --log-tcp-options --log-ip-options -A forward_int -d 192.168.0.254/32 -p tcp -m tcp --dport 80 -j ACCEPT -A forward_int -s 192.168.0.254/32 -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A forward_int -d 192.168.0.1/32 -p tcp -m limit --limit 3/min -m tcp --dport 80 -m conntrack --ctstate NEW -j LOG --log-prefix "SFW2-FWDint-ACC-REVMASQ " --log-tcp-options --log-ip-options -A forward_int -d 192.168.0.1/32 -p tcp -m tcp --dport 80 -j ACCEPT -A forward_int -s 192.168.0.1/32 -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A forward_int -d 192.168.0.1/32 -p udp -m limit --limit 3/min -m udp --dport 80 -m conntrack --ctstate NEW -j LOG --log-prefix "SFW2-FWDint-ACC-REVMASQ " --log-tcp-options --log-ip-options -A forward_int -d 192.168.0.1/32 -p udp -m udp --dport 80 -j ACCEPT -A forward_int -s 192.168.0.1/32 -p udp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A forward_int -d 192.168.0.254/32 -p tcp -m limit --limit 3/min -m tcp --dport 80 -m conntrack --ctstate NEW -j LOG --log-prefix "SFW2-FWDint-ACC-REVMASQ " --log-tcp-options --log-ip-options -A forward_int -d 192.168.0.254/32 -p tcp -m tcp --dport 80 -j ACCEPT -A forward_int -s 192.168.0.254/32 -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A forward_int -m pkttype --pkt-type multicast -j DROP -A forward_int -m pkttype --pkt-type broadcast -j DROP -A forward_int -p tcp -m limit --limit 3/min -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-FWDint-DROP-DEFLT " --log-tcp-options --log-ip-options -A forward_int -p icmp -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWDint-DROP-DEFLT " --log-tcp-options --log-ip-options -A forward_int -p udp -m limit --limit 3/min -m conntrack --ctstate NEW -j LOG --log-prefix "SFW2-FWDint-DROP-DEFLT " --log-tcp-options --log-ip-options -A forward_int -j reject_func -A input_ext -p udp -m pkttype --pkt-type broadcast -m udp --dport 67 -j ACCEPT -A input_ext -m pkttype --pkt-type broadcast -j DROP -A input_ext -p icmp -m icmp --icmp-type 4 -j ACCEPT -A input_ext -p icmp -m icmp --icmp-type 8 -j ACCEPT -A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options -A input_ext -p tcp -m tcp --dport 80 -j ACCEPT -A input_ext -p udp -m udp --dport 80 -j ACCEPT -A input_ext -p udp -m udp --dport 67 -j ACCEPT -A input_ext -m pkttype --pkt-type multicast -j DROP -A input_ext -m pkttype --pkt-type broadcast -j DROP -A input_ext -p tcp -m limit --limit 3/min -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options -A input_ext -p icmp -m limit --limit 3/min -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options -A input_ext -p udp -m limit --limit 3/min -m conntrack --ctstate NEW -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options -A input_ext -j DROP -A input_int -j ACCEPT -A reject_func -p tcp -j REJECT --reject-with tcp-reset -A reject_func -p udp -j REJECT --reject-with icmp-port-unreachable -A reject_func -j REJECT --reject-with icmp-proto-unreachable COMMIT # Completed on Fri Sep  6 14:20:19 2013  

Редактирано от Александър Димитров (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Това, което показвате няма нищо общо с командите, които ви дадох аз :)

 

Изпълнявате само част от нещата т.е. мажете върху съществуващите правила. Ако искате да си ги ползвате - ОК, но аз лично няма да съм ви полезен, защото ме мързи да ги чета.

 

Това, което показахте в пост #21 прилича на това, което искам да видя, но ви липсва правилото за редирект и ви обясних защо ви липсва. Това, което показвате в пост #23 са вашите си правила вероятно + нещо, което аз ви дал, но проблема, е че там вече има нещо намазано за порт 80.

 

Затова ако искате просто направете това, което сте направили в пост #21, като напишете правилно реда за port forward. След това би трябвало да видите нещо като:

 

VESTEL:~ # iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source destination    

DNAT tcp  --  anywhere   109.199.141.135   tcp dpt:80 to:192.168.0.1:80

Chain INPUT (policy ACCEPT) target prot opt source destination     Chain OUTPUT (policy ACCEPT) target prot opt source destination     Chain POSTROUTING (policy ACCEPT) target prot opt source destination     MASQUERADE  all  --  192.168.0.0/24 anywhere  

 

Първото подчертано е редиректа, второто подчертано е NAT-а. Както се вижда от вашите логове имате NAT и при това положение би трябвало да имате Интернет, но ви липсва редиректа. Така, че ако направите да го има и първото подчертано нещо, то би трябвало да имате и редирект.

 

iptables -L би трябвало да показва, това което се вижда в пост #21 - там всичко е на ACCEPT.

 

Успех!

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

 

firewall@VESTEL:~> su Password: VESTEL:/home/firewall # cd VESTEL:~ # echo 1 > /proc/sys/net/ipv4/ip_forward VESTEL:~ # iptables -F VESTEL:~ # iptables -t nat -F VESTEL:~ # iptables -X VESTEL:~ # iptables -P INPUT ACCEPT VESTEL:~ # iptables -P FORWARD ACCEPT VESTEL:~ # iptables -P OUTPUT ACCEPT VESTEL:~ # iptables -t nat -A PREROUTING -d 109.199.141.135 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1:80VESTEL:~ # iptables -t nat -A POSTROUTING -d 192.168.0.0/255.255.255.0 -o eth1 -j MASQUERADE VESTEL:~ # iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source destination     DNAT tcp  --  anywhere firewall tcp dpt:http to:192.168.0.1:80 Chain INPUT (policy ACCEPT) target prot opt source destination     Chain OUTPUT (policy ACCEPT) target prot opt source destination     Chain POSTROUTING (policy ACCEPT) target prot opt source destination     MASQUERADE  all  --  anywhere 192.168.0.0/24   VESTEL:~ #  

Sled vsichko tova sprq i interneta sled Linux mashinata zatova i pisha na latinica...

Редактирано от Александър Димитров (преглед на промените)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Регистрирайте се или влезете в профила си за да коментирате

Трябва да имате регистрация за да може да коментирате това

Регистрирайте се

Създайте нова регистрация в нашия форум. Лесно е!

Нова регистрация

Вход

Имате регистрация? Влезте от тук.

Вход

×

Информация

Поставихме бисквитки на устройството ви за най-добро потребителско изживяване. Можете да промените настройките си за бисквитки, или в противен случай приемаме, че сте съгласни с нашите условия за ползване.