• Opret dig
  • Glemt adgangskode

User account menu

  • Artikler
  • Forside
  • Forum
  • Nyheder
  • Log ind
Hjem
LinuxIN.dk

Snak med

Opret dig!

Af unix | 13.10.2009 11:19

iptables konfiguration

Hjælp generelt
Efter mine små ombytninger af servere og netværkskort er min iptables forward ikke helt som den skal være.
Global ip hentes hos TDC
Intern IP: 192.168.1.1

Den skal så via iptables forwarde forespørgsler indefra og sende videre.
Jeg mener den bør se således ud:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Men der kun åben for nat-forward udefra til andre servere udefra med denne her:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Kan det være noget "gammelt" setup af iptables som hænger et eller andet sted, da den kun kan nat-forwarde til én bestemt server på 192.168.1.3

Resten skal nok komme, men synes det urelevant i denne sammenhæng.
Hvad kan der være galt?
  • Log ind eller opret dig for at tilføje kommentarer

Kommentarer4

# 1

15 år 8 måneder siden

Permalink

Indsendt af dklinux den 13. oktober 2009 kl. 12:06

Permalink

gude link


den her tutorial slår alt hvad jeg ellers har set og inkludere adskellige eksempel script der er meget veldokumenteret og kan lige præsis det du nævner så brug det istedet.

http://iptables-tutorial.frozentux.net/
  • Log ind eller opret dig for at tilføje kommentarer

# 2

15 år 8 måneder siden

Permalink

Indsendt af Anda den 13. oktober 2009 kl. 15:20

Permalink

Re: iptables konfiguration

Af ren nysgerrighed, har du saa et diagram over din opsaetning?
  • Log ind eller opret dig for at tilføje kommentarer

# 3

15 år 8 måneder siden

Permalink

Indsendt af unix den 13. oktober 2009 kl. 22:20

Permalink

Re: iptables konfiguration

Diagram? Øhh nej.. - den er jo meget simpel..
Jeg lavede en ekstra MASQUERADE til det andet netværkskort også og jeg aner ikke om det er sikkert. En nmap udefra fortæller at det virker og det virker også indefra nu. Og så vendte jeg lige om på konfigurationen.

Hvis der er nogen forbedringer eller kommentarer ville de være cool..
Så nu ser den sådan ud:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 139 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 139 -j DROP
iptables -A INPUT -i eth0 -p udp --dport 21 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 21 -j DROP
iptables -A INPUT -i eth0 -p udp --dport 445 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 445 -j DROP
iptables -A INPUT -i eth0 -p udp --dport 3306 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 3306 -j DROP
iptables -A INPUT -i eth0 -p udp --dport 4445 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 4445 -j DROP
iptables -A INPUT -i eth0 -p udp --dport 111 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 111 -j DROP
iptables -A INPUT -i eth0 -p udp --dport 1720 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 1720 -j DROP
iptables -A INPUT -i eth0 -p udp --dport 2000 -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 2000 -j DROP
iptables -t nat -A PREROUTING -p tcp -d "ekstern_ip" --dport 443 -j DNAT --to-destination 192.168.1.3
iptables -t nat -A PREROUTING -p tcp -d "ekstern_ip" --dport 43 -j DNAT --to-destination 192.168.1.2
iptables -t nat -A PREROUTING -p tcp -d "ekstern_ip" --dport 9002 -j DNAT --to-destination 192.168.1.2
iptables -t nat -A PREROUTING -p tcp -d "ekstern_ip" --dport 110 -j DNAT --to-destination 192.168.1.2
iptables -t nat -A PREROUTING -p tcp -d "ekstern_ip" --dport 25 -j DNAT --to-destination 192.168.1.2
iptables -t nat -A PREROUTING -p tcp -d "ekstern_ip" --dport 143 -j DNAT --to-destination 192.168.1.2
iptables -t nat -A PREROUTING -p tcp -d "ekstern_ip" --dport 26 -j DNAT --to-destination 192.168.1.3
iptables -t nat -A PREROUTING -p tcp -d "ekstern_ip" --dport 27 -j DNAT --to-destination 192.168.1.2
iptables -t nat -A PREROUTING -p tcp -d "ekstern_ip" --dport 80 -j DNAT --to-destination 192.168.1.2
  • Log ind eller opret dig for at tilføje kommentarer

# 4

15 år 8 måneder siden

Permalink

Indsendt af unix den 14. oktober 2009 kl. 13:06

Permalink

Re: iptables konfiguration

Hmm, den MASQUERADE gør at man ikke kan logge de ip-adresser som besøger 192.168.1.2 via web eller andet - for der kommer bare til at stå 192.168.1.1 for ALLE besøgende.
Er der et middel mod det?
På forhånd tak!
  • Log ind eller opret dig for at tilføje kommentarer

Svar søges

Reserve kernel og btrfs 0
den er sjov 0
llumos Unix-operativsystem, 0
Den er go 0
14. februar = I Love Free Software Day 0

Seneste aktivitet

PcLinuxOS er død længe leve Pclosdebian 5
En snak om Linux-kompatibel software 12
PCLinuxOS 28
"Intet realistisk alternativ" - mig i r*ven 17
Open source events i danmark? 3
Virtuel maskine? 4
Gode anmeldelser Zorin OS 17.3 8
Open Source-eksperimentet 5
Nulstilling af adgangskode 6
Ingen Mint 5
Linux App Store Flathub når 3 milliarder downloads 2
Digitaliseringsministeriet sætter gang i pilotprojekt om digital suverænitet 3
Mest sikker webbrowser 5
Firefox 2
Privatbeskeder 7
Backup/synkronisering? 3
BigLinux 5
Chatgpt satire 1
Læsning af databasefil i Firefox 2
Vanilla OS 15

© 2025 Linuxin og de respektive skribenter

Oprettet og drevet af nørder siden 2004 !