IPTABLES nat??? funker ikke helt..

snip....

# Aktiver Source Nat..
$IPTABLES -t nat -A POSTROUTING -s 192.168.1.0/24 -d "!" 192.168.1.0/24 -j SNAT --to $IP14
$IPTABLES -t nat -A POSTROUTING -s 192.168.2.0/24 -d "!" 192.168.2.0/24 -j SNAT --to $IP14
$IPTABLES -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Aktiver Destination Nat..
# Peg 118 videre til Oso maskinen..
#$IPTABLES -t nat -A PREROUTING -d $IP18 -j DNAT --to-destination 192.168.2.210
#WebServer!
$IPTABLES -t nat -A PREROUTING -p tcp --dport 25 -d $IP17 -j DNAT --to-destination 192.168.1.5
$IPTABLES -t nat -A PREROUTING -p tcp --dport 8080 -d $IP17 -j DNAT --to-destination 192.168.1.5:80
$IPTABLES -t nat -A PREROUTING -p tcp --dport 8181 -d $IP17 -j DNAT --to-destination 192.168.1.254:8181
$IPTABLES -t nat -A PREROUTING -p tcp --dport 110 -d $IP17 -j DNAT --to-destination 192.168.1.5
$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -d $IP17 -j DNAT --to-destination 192.168.1.254
$IPTABLES -t nat -A PREROUTING -p tcp --dport 21 -d $IP17 -j DNAT --to-destination 192.168.1.254
$IPTABLES -t nat -A PREROUTING -p tcp --dport 20 -d $IP17 -j DNAT --to-destination 192.168.1.254
$IPTABLES -t nat -A PREROUTING -p tcp --dport 5900 -d $IP17 -j DNAT --to-destination 192.168.1.254
$IPTABLES -t nat -A PREROUTING -p tcp --dport 666 -d $IP17 -j DNAT --to-destination 192.168.1.254:666
# Og så var der lige tossemaskinen osv...
$IPTABLES -t nat -A PREROUTING -p tcp --dport 5900 -d $IP16 -j DNAT --to-destination 192.168.1.17
$IPTABLES -t nat -A PREROUTING -p tcp --dport 6667 -d $IP16 -j DNAT --to 192.168.1.17
$IPTABLES -t nat -A PREROUTING -p tcp --dport 25 -d $IP16 -j DNAT --to 192.168.1.5
$IPTABLES -t nat -A PREROUTING -p tcp --dport 13 -d $IP16 -j DNAT --to 192.168.1.5
$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -d $IP16 -j DNAT --to 192.168.1.5
$IPTABLES -t nat -A PREROUTING -p tcp --dport 110 -d $IP16 -j DNAT --to 192.168.1.5
$IPTABLES -t nat -A PREROUTING -p tcp --dport 443 -d $IP16 -j DNAT --to 192.168.1.5
$IPTABLES -t nat -A PREROUTING -p tcp --dport 3389 -d $IP16 -j DNAT --to 192.168.1.5
#FTP Dåsen!
$IPTABLES -t nat -A PREROUTING -p tcp --dport 23 -d $IP15 -j DNAT --to 192.168.1.114:23
$IPTABLES -t nat -A PREROUTING -p tcp --dport 22 -d $IP15 -j DNAT --to 192.168.1.114
$IPTABLES -t nat -A PREROUTING -p tcp --dport 20 -d $IP15 -j DNAT --to 192.168.1.114
$IPTABLES -t nat -A PREROUTING -p tcp --dport 21 -d $IP15 -j DNAT --to 192.168.1.114
$IPTABLES -t nat -A PREROUTING -p tcp --dport 81 -d $IP15 -j DNAT --to 192.168.1.114:81
$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -d $IP15 -j DNAT --to 192.168.1.114:80

# tillad adgang til udvalgte services udefra hest
#$IPTABLES -A INPUT -m state --protocol tcp --state NEW -d $IP17 -j ACCEPT
$IPTABLES -A INPUT -m state --protocol tcp --state NEW -d $IP17 -j ACCEPT
$IPTABLES -A INPUT -m state --protocol udp --state NEW -d $IP17 -j ACCEPT
$IPTABLES -A INPUT -m state --protocol tcp --state NEW -d $IP14 --dport ssh -j ACCEPT
#$IPTABLES -A INPUT -m state --protocol tcp --state NEW -d $EXTIP --dport snmp -j ACCEPT

# spær for adgang til visse services
#$IPTABLES -A INPUT -p tcp -d $INTIP --dport smtp -j DROP
#$IPTABLES -A INPUT -p udp -d $INTIP --dport syslog -j DROP
#$IPTABLES -A INPUT -p tcp -d $INTIP --dport swat -j DROP
#$IPTABLES -A INPUT -p tcp -d $INTIP --dport printer -j DROP

# blockkæden kobles på INPUT og FORWARD kæderne
# Det betyder at der er adgang til alt indefra (på nær det, der blev
# droppet lige før, og til ALT udaf, men ingenting udefra

$IPTABLES -A INPUT -j block
$IPTABLES -A FORWARD -j block

# og derudover logger vi alt, der prøver at blive forwarded
# med max 1 pr sek og burst på 3
$IPTABLES -A FORWARD -m limit --limit 1/s --limit-burst 3 -j LOG --log-prefix "FORWARD: " --log-ip-options --log-tcp-options
$IPTABLES -A INPUT -m limit --limit 1/s --limit-burst 3 -j LOG --log-prefix "INPUT: " --log-ip-options --log-tcp-options

exit 0

....snap

PS: Jeg er faktisk så vildt i knibe at jeg vil knalde point dimsen op på ..... f.eks. 60 ;-)

bingo ! Holder faktisk på med akkurat det samme som deg nå, å sette opp en 3 port firewall på ganske lik måte. Begynte på 3 port varianten nå i dag og har så langt ikke fått sjekket ut alle ting.
Hvis jeg skal gjette på noe på sparket så synes jeg denne delen av scriptet ditt ser litt mistenkelig ut:

# Aktiver Source Nat..
$IPTABLES -t nat -A POSTROUTING -s 192.168.1.0/24 -d "!" 192.168.1.0/24 -j SNAT --to $IP14
$IPTABLES -t nat -A POSTROUTING -s 192.168.2.0/24 -d "!" 192.168.2.0/24 -j SNAT --to $IP14
$IPTABLES -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Her har du jo brukt syntaksen for statisk postrouting (de to første) og dynamisk postrouting i kombinasjon med hverandre. Vet det slettes ikke, men ville ikke tro at en slik kombinasjon var mulig (???). Ville tro at man måtte velge og bestemme seg for det ene eller det andre, statisk eller dynamisk postrouting. Kommer tilbake med infor hvis jeg finner ut noe mer.
Spørsmål: Hva er det du bruker som "bruksanvisning" / "modell" for ditt script ? Ser ut som om du har med mange avanserte / interesante funksjoner.

Har sjekket og testkjørt her og fått det til å virke "ut" både fra LAN og DMZ.
Tror du har feil syntaks i de to første "kommandoene". (Mangler spsifikasjon av ekstern output enhet, "-o eth0".
Den siste setningen ser ut til å ha korekt syntaks for dynamisk tildelt ip.
Vet ikke om man kan bruke slikt dynamisk oppsett med MASQUERADE for et opplegg med "intern server"(??)
Jeg bruker selv bare en setning for å sette opp "linjedeling ut" både for LAN og DMZ samtidig. Denne er slik:
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source <ekstern ip adresse> (Alstså oppsett for statisk ip adresse.)
Dessuten så må man i tillegg sette opp et par med forwarding setninger for hvert enkelt eth kort, en setning for trafikken inn og en for trafikken ut.
For å gå utenom problematikken rundt disse parene med inn/ut forwarding setninger i løpet av en utviklingsfase så kan man jo midlertidig sette forwarding policy til ACCEPT.
Som et foreløpig løsning for å komme videre:
1. Kryss ut de to første POSTROUTING setningene.
2. Behold den tredje for dynamisk tildelt ip adresse.
3. Set forwarding policy til ACCEPT.
4. Kjør firewall scriptet og se om ikke du da er ute på nettet både fra LAN og DMZ.
5. Alternativt dersom dette ikke viser seg å være tilfellet, skift ut MASQUERADE setningen med den setningen som står over for statisk ip adresse.
(Da kjører du eventuelt helt likt med det som jeg har testet ut akkurat nå.)
(Hva er min ip adresse ? http://www.myip.dk )

Forresten,.. jeg ser ikke forwarding parene dine i det hele tatt, som skal hjelpe postrouting til å fungere. Her står det bare at forward henviser videre til en chain ved navn "block" uten at denne block chain står beskrevet noen steder:
"$IPTABLES -A FORWARD -j block"
Tror du bør krysse ut denne setningen dersom du vil gjennomføre et forsøk slik som foreslått der du setter polisies til ACCEPT. Mulig at det er lurt å krysse ut de to siste FORWARD som har med logging å gjøre i løpet av en testfase. (I tilfelle feil.)
Når "basic nat funksjoner" er på plass, så kan mere tradisjonelle firewall ting legges til "trinn for trinn", slik at man hele tiden har full kontroll på hva som eventuelt ikke vil fungere. Det er alltid enklere å feilsøke en spesifikk detalj enn mange ting samtidig.

Standard oppsett for SNAT, hentet
fra Robert Ziegler: Linux Firewalls Second Edition, side 276:

iptables -t nat -A POSTROUTING -o <external interface> -j SNAT --to-source <external address>

iptables -A FORWARD -o <external interface> -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -o <LAN interface> -m state --state ESTABLISHED,RELATED -j ACCEPT

.. men som sagt, hele denne problemstillingen med FORWARD kjedene inn og ut i kombinasjon med SNAT, det kan man gå foreløpig utenom ved å sette FORWARD policy til ACCEPT.

Hejsa langbein.

Undskyld jeg først svarer dig nu.. FW kom først op og køre i går og jeg trængte til noget søvn ;-)

Jeg har faktisk givet op. Jeg har prøvet alt og kunne ikke få det til og fungere.

Så jeg downloadede (fra arbejdet) en firewall fra www.astaro.org og installerede den. Derefter bad jeg den om at køre up2date og derefter satte jeg den op med regler osv.  Og nu ruller det.

Jeg har med interesse fulgt jeres diskussion her på exp. og har overvejet hvorfor der ikke er nogen der har lavet -under linux installationen - mulighed for at vælge type af netværk/opsætning af firewall. Der er jo basalt set 2 typer fw (udover de specielle som der er pix, fw1 osv til) og det er router-fw-lan samt nr.2. router-fw-dmz-lan (u get the drift..)

Og det gælder for øvrigt ikke kun RedHat, men osse f.eks. den astaro ting jeg ruller med lige nu.. eller smoothwall..

Og du fortjener forøvrigt point.. du knokler med fw ligenu tror jeg ;-)

Takker for points. Synd du ikke fikk det til å virke, men bra du fikk noe annet til å virke. Ja, har brukt en del timer på iptables. Satte først opp en server med innebygget firewall, så en ren firewall med 3 kort og dmz "ved siden av" slik som du beskriver. Det fungerer faktisk ganske bra. Holder nå på med et oppsett med to stk firewall og dmz og server(e) "i midten". Forsøker å få det hele til å kjøre ut fra en IP adresse men foreløpig så har det blitt mest bare hodepine. Red Hat baserer seg jo fortsatt på ipchains som default. RH har jo i den forbindelse sitt grafiske konfigurasjonsverktøy firewall-config, men den er jo ikke særlig avansert. Dessuten så finnes det jo konfigurasjonsverktøy i linuxconf som er noe bedre, men fortsatt så dreier det seg vel om ipchains. Mandrake skal vel ha et bra konfigurasjonsverktøy for firewall. Dette skal også kunne installeres på Red Hat. Takker for tipset om astaro.org