forwarding porte i dhcp netværk

for at du kan forwarde kræve det NAT (Network Address Translation)

jamen jeg har jo væl et nat ip nummer ??
det nummer som bliver tildelt min win maskine igennem dhcp serveren er jo 192.168.1.254 ??

ip og nat er ikke direkte forbundet...
bruger du iptables eller ipchains? (hvilken kerne kører du?)

hmm ved sku ikke hvad jeg kører med hvad...!
er ikke den mest geniale til linux meen hvis det kan hjælpe har jeg fulgt artiklen op www.gnuskole.dk om deling af netværk

prøv at smide henholdsvis:
# iptables -L
og
# ipchains -L
og
# kernelversion

Pass nå på at du ikke ødelegger den NAT forbindelsen du sannsynligvis allerede har satt opp ! Den mest vanlige måten å dele en felles inteternet forbindelse på via Linux er ved hjelp av NAT. (Det finnes også andre måter å gjøre dette på for eksempel proxy / squid)

Når man skal sette opp en innvendig server innenfor firewall så skal man ha satt opp noe som nærmest er det motsatte av NAT. Dette heter DNAT, (Destination NAT). Hvordan man setter opp DNAT vil imidlertid avhenge litt av hvorledes man har satt opp den eksisterende NAT.

Vanligvis så benytter man firewall, dvs ipchains eller iptables til å sette opp NAT (Delt internettforbindelse) og DNAT (Omadressering til intern server).

For å finne status til den eksisterende firewall kjør følgende kommandoer:

ipchains -L  (Pass hele tiden på store og små bokstaver !!)
iptables -L
iptables -t nat -L

Minst en av disse tre kommandoene vil gi feilmelding. Det er normalt.

Legg ut innholdet av den eller de kommandoene som ikke gir feilmelding. (Dette gir status for firewall.)

NÅR DU LEGGER UT STATUS FOR FIREWALL, SKIFT UT DEN EKSTERNE IP MED
EN ANNEN FAKE ADDRESSE, ELLERS SÅ VIL DU KUNNE RISIKERE AT HACKERE
BRUKER IP INFO TIL Å HACKE INN I MASKINEN DIN !

Måten man setter opp dette på er ellers helt forskjellig når man kjører ipchains kontra iptables.

iptables -L giver resultatet
Chain INPUT (policy ACCEPT)
target    prot opt source              destination

Chain FORWARD (policy ACCEPT)
target    prot opt source              destination

Chain OUTPUT (policy ACCEPT)
target    prot opt source              destination

ipchains -L giver resultatet

ipchains: Incompatible with this kernel


kernelversion er 2.4

så kører du iptables.
det er godt at langbein er kommet med i spørgsmålet, han har pænt styr på det.

hvordan kører jeg denne iptables ???

oz2kas -> Ja dette går jo kvikt, satt og skrev, så jeg så ikke ditt innlegg !! (Før etterpå)

hehe....
jeg tror hellere at jeg må oprette et spm. til dig bagefter, jeg har af en eller anden grund også lavet kage i det ;)

indate -> Ja du kjører iptables (og det er også den beste løsningen).
Hva når du kjører kommando "iptables -t nat -L" Her skal man kunne se NAT opsettet.

det giver følgende resultat

Chain PREROUTING (policy ACCEPT)
target    prot opt source              destination

Chain POSTROUTING (policy ACCEPT)
target    prot opt source              destination
fromprivate  all  --  192.168.0.0/16      anywhere
fromprivate  all  --  172.16.0.0/12        anywhere
fromprivate  all  --  10.0.0.0/8          anywhere

Chain OUTPUT (policy ACCEPT)
target    prot opt source              destination

Chain fromprivate (3 references)
target    prot opt source              destination
ACCEPT    all  --  anywhere            192.168.0.0/16
ACCEPT    all  --  anywhere            172.16.0.0/12
ACCEPT    all  --  anywhere            10.0.0.0/8
MASQUERADE  all  --  anywhere            anywhere

indate -> Du har ellers en firewall der de viktigste chains INPUT, FORWARD OG OUTPUT står default åpen. Det vil si at firewall er 100 % åpen for all trafikk inn. Sikkerhetsmessig ikke helt bra.

hvordan har du subnettet det?

nej det ved jeg meen jeg må tage en ting af gangen jeg er som sagt ikke serlig god til Linux (endnu) meen jeg gør da et forsøg og er nu nået til dette her :-))

i kan se data'erne her
http://www.eksperten.dk/spm/226855

indate -> Her er det satt opp en del saker og ting som enten kan være satt opp ved hjelp av et scrip eller på annen måte. Hvordan starter du normalt din firewall. Kjører du et script eller er firewall bare der når du starter opp maskinen ?

Grunn til spørsmål: Vi må passe på å ikke ødelegge det du allerede har.

heh okey
min firewall er den der følger med HR 7.2 og den starter helt selv som den vil

Men min mening er at bruge en anden som også står beskrevet på gnuskole.dk i selvsamme artikkel

OK. Den starter av seg selv slik som du har beskrevet. Det skulle da bety at dersom tingene blir litt misslykkede så skulle du bare kunne reboote maskinen og så er du tilbake der du var. 

Dersom du kjører en slik kommando:

iptables -t -A PREROUTING -i <public interface> -p tcp -d <public address> --dport 80 -j DNAT --to-destination 192.168.1.254

for <public interfase> settes inn det kort som kjører mot internett, for eksempel eth0. For <Public address settes> settes inn den eksterne IP adresse.

Skrivefeil, rettes:
iptables -A PREROUTING -i <public interface> -p tcp -d <public address> --dport 80 -j DNAT --to-destination 192.168.1.254

Dette skulle gi forwarding til intern web server. FTP server bruker flere porter slik at den er litt mer komplisert.

public interface hvad er det oversat til dansk ??
dport 80 ville det sige at jeg flyttede port 80 ???

Ellers så skulle du egentlig ha satt opp et helt nytt firewalling script som både gir firewalling uten åpne policies slik som nå, og su skulle også ha satt opp både firewall rules, delt internettforbindelse NAT og redirection DNAT til intern server i det samme scriptet.

hmm er det noget du så kunne hjælpe mig med ???

public interface = navnet på det nettverkskortet som er koplet ut mot internett for eksempel "eth0" eller "eth1"

"--dport 80" det vil si at alle eksterne requester (henvendelser / foresørsler) til den eksterne ip som er rettet mot port 80, dvs web server vil bli videresendt til den interne server.

Jeg skal forsøke å kikke gjennom de scriptene jeg har liggende. Tar ellers litt tid å sette opp.

jeg lavede den der komando meen fik følgende resultat
iptables: No chain/target/match by that name
???

http://www.eksperten.dk/spm/221081

Hvilke server funksjoner er det du skal ha åpnet for ? Web + ftp ??

"jeg lavede den der komando meen fik følgende resultat
iptables: No chain/target/match by that name"

Du har ikke laget noen feilstaving / tatt feil av store og små bokstaver ?

Nei det er jeg som skriver feil, det skal være slik:

iptables -t nat -A PREROUTING -i <public interface> -p tcp -d <public address> --dport 80 -j DNAT --to-destination 192.168.1.254

på min Linux har jeg nu dhcp, apache, mysql, ftpog ssh meen jeg skal have flyttet port 4661 tcp, 4662 tcp og 4665 udp over på min windows maskine

Ditt komplette firewall script skulle se omtrent slik ut:

#!/bin/bash

# Sette til forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

# Laste ekstra kernel modul for ftp (ikke helt sikker på denne)
modprobe ip_conntrack_ftp

# Flushe chains
iptables --flush
iptables -t nat --flush
iptables -t mangle --flush

# Sette policies dvs default firewall regler
iptables --policy INPUT DROP
iptables --policy OUTPUT ACCEPT
iptables --policy FORWARD ACCEPT

# Lage delt internettforbindelse (NAT)

iptables -t nat -A POSTROUTING -o <external interface> -j SNAT --to-source <external address>

# Redirection til interne servere. Forutsetter eth0 mot internet

iptables -t nat -A PREROUTING -i eth0 -p tcp -d <ext. ip> --dport 21 -j DNAT --to-destination <ftp servers ip>

iptables -t nat -A PREROUTING -i eth0 -p tcp -d <ext. ip> --dport 21 -j DNAT --to-destination <ftp servers ip>

iptables -t nat -A PREROUTING -i eth0 -p tcp -d <ext. ip> --dport 80 -j DNAT --to-destination <web servers ip>

Nåh, tenkte det dreide seg om ftp og web og skrev samtidig med deg.
Hva slags tjenester er det som kjører port 4661, 4662 og 4665 ??
Det skal ellers i prinsipp bare være å skifte ut --dport nummret, men
enkelte tjenester kjører også på en noe mer komplisert måte enn dette.

Scrip lages med en tekst editor.
Det kjøres ved å skrive "bash <navnet på scriptet>"
I og med at du har fra før av har en "firewall" som starter automatisk så skulle du ikke risikere noe ved å kjører det nye scriptet. Det nye scriptet erstatter den eksisterende firewall når det kjøres. Dersom du rebooter maskinen så skulle du være tilbake ved det opprinnelige.

Til sist må du kjøre kommandoene:

iptables -L
iptables -t nat -L

For å se hvordan din nye firewall kjører.

Nå skulle du ha litt å jobbe med !

Legg beskjed hvordan det går !

her får du beskeden :-))
det går af heleveds til
der er nu sat men de smadrede min sharing af internettet
de har gjordt sådan at mine 2 win computere ikke kan komme på nettet nu
så hvordan fjerner jeg dem igen ?????

Litt retting av det opprinnelige script (for web + ftp):
(Du får selv forsøke å korigere prerouting for de aktuelle portene.)

#!/bin/bash

# Sette til forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

# Laste ekstra kernel modul for ftp (ikke helt sikker på denne)
modprobe ip_conntrack_ftp

# Flushe chains
iptables --flush
iptables -t nat --flush
iptables -t mangle --flush

# Sette policies dvs default firewall regler
iptables --policy INPUT DROP
iptables --policy OUTPUT ACCEPT
iptables --policy FORWARD ACCEPT

# Lage delt internettforbindelse (NAT) Forutsetter eth0 mot internett.

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source <external address>

# Redirection til interne servere. Forutsetter eth0 mot internet

iptables -t nat -A PREROUTING -i eth0 -p tcp -d <ext. ip> --dport 20 -j DNAT --to-destination <ftp servers ip>

iptables -t nat -A PREROUTING -i eth0 -p tcp -d <ext. ip> --dport 21 -j DNAT --to-destination <ftp servers ip>

iptables -t nat -A PREROUTING -i eth0 -p tcp -d <ext. ip> --dport 80 -j DNAT --to-destination <web servers ip>

Hvis du kjører et firewall script så vil du smadre den opprinnelige firewall, det er helt klart.

Et firewall script som er satt opp til å kjøres "manuelt" vil være borte hvis du rebooter maskinen.

Dersom det er riktig det som du sier at den opprinnelige firewall starter av seg selv så skal du bare kunne reboote maskinen og den opprinnelige firewall skal være på plass og kjøre uten problemer, dvs dine windows skal være på nett igjen. Som sagt REBOOT maskinen.

jeg har rebotet maskinen og derefter virkede win maskinerne ikke mere

så nu er konen tosset hun kan ikke komme på :-((

Så lenge du ikke har kjørt det nye firewall scriptet på nytt så skulle alle ting være som før. Det er ellers ganske normalt at det oppstår ganske mange problemer før man har firewall + nat + dnat kjørende 100% som det skal. Det du hadde fra før var en 100 % åpen firewall + NAT.

Hun får legge inn et par kommentarer her ;-)

Du har rebootet Linux maskinen men ikke windows, vil jeg gjette.
Du må vel først reboote Linux. Der etter Windows, slik at de kan få nye ip adresser.

Det du ellers holder på med er ikke spesielt enkelt. Det ville være ganske optimistisk å forvente at den delte internett forbindelsen ble stående åpen mens du holder på.

umidelbart efter at have kigget efter tror jeg fatisk slet ikke at der er nogen firewall igang på linux,  d.v.s kun nat adresserne

nu er både Linux og windows genstartet men stadig ikke nogen sharing af internet til windows ???

Jo, den (iptables) var i gang. Din utskift fra
"iptables -L" og
"iptables -t nat -L"
beviste det.
Ved å kjøre disse kommandoene så kan du sjekke status.
Firewall kjørte, men den var 100 % åpen pluss at den var satt til å dele internettforbindelse, dvs NAT funksjonalitet var i gang.

Rebootet begge deler... Det hørtes faktisk ikke helt bra ut.
da må du kjøre
"iptables -L" og
"iptables -t nat -L"
Så får vi se hva firewall nå er og om den er lik med det den opprinnelig var.

ser det likt ut med tidligere ??

iptables -L giver dette resultat

/lib/modules/2.4.7-10/kernel/net/ipv4/netfilter/ip_tables.o: init_module: Device or resource busy
Hint: insmod errors can be caused by incorrect module parameters, including invalid IO or IRQ parameters
/lib/modules/2.4.7-10/kernel/net/ipv4/netfilter/ip_tables.o: insmod /lib/modules/2.4.7-10/kernel/net/ipv4/netfilter/ip_tables.o failed
/lib/modules/2.4.7-10/kernel/net/ipv4/netfilter/ip_tables.o: insmod ip_tables failed
iptables v1.2.3: can't initialize iptables table `filter': iptables who? (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.


iptables -t nat -L giver dette resultat

/lib/modules/2.4.7-10/kernel/net/ipv4/netfilter/ip_tables.o: init_module: Device or resource busy
Hint: insmod errors can be caused by incorrect module parameters, including invalid IO or IRQ parameters
/lib/modules/2.4.7-10/kernel/net/ipv4/netfilter/ip_tables.o: insmod /lib/modules/2.4.7-10/kernel/net/ipv4/netfilter/ip_tables.o failed
/lib/modules/2.4.7-10/kernel/net/ipv4/netfilter/ip_tables.o: insmod ip_tables failed
iptables v1.2.3: can't initialize iptables table `nat': iptables who? (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

Din tidligere utskrift:

iptables -L giver resultatet
Chain INPUT (policy ACCEPT)
target    prot opt source              destination

Chain FORWARD (policy ACCEPT)
target    prot opt source              destination

Chain OUTPUT (policy ACCEPT)
target    prot opt source              destination

og

Chain PREROUTING (policy ACCEPT)
target    prot opt source              destination

Chain POSTROUTING (policy ACCEPT)
target    prot opt source              destination
fromprivate  all  --  192.168.0.0/16      anywhere
fromprivate  all  --  172.16.0.0/12        anywhere
fromprivate  all  --  10.0.0.0/8          anywhere

Chain OUTPUT (policy ACCEPT)
target    prot opt source              destination

Chain fromprivate (3 references)
target    prot opt source              destination
ACCEPT    all  --  anywhere            192.168.0.0/16
ACCEPT    all  --  anywhere            172.16.0.0/12
ACCEPT    all  --  anywhere            10.0.0.0/8
MASQUERADE  all  --  anywhere            anywhere

Beklager, så ikke det siste du skrev. Vi skerev samtidig.
Den neste utskriften din tyder sterkt på at iptables ikke kjører.

Kjør ipchains -L og se hva som skjer. Legg utskrift.

det giver dette resultat

Chain input (policy ACCEPT):
target    prot opt    source                destination          ports
ACCEPT    udp  ------  ns1.bredband.com    anywhere              domain ->  1025:65535
ACCEPT    udp  ------  ns2.bredband.com    anywhere              domain ->  1025:65535
ACCEPT    tcp  -y----  anywhere            anywhere              any ->  httpACCEPT    tcp  -y----  anywhere            anywhere              any ->  smtpACCEPT    tcp  -y----  anywhere            anywhere              any ->  ssh
ACCEPT    udp  ------  anywhere            anywhere              bootps:bootpc ->  bootps:bootpc
ACCEPT    udp  ------  anywhere            anywhere              bootps:bootpc ->  bootps:bootpc
ACCEPT    all  ------  anywhere            anywhere              n/a
ACCEPT    all  ------  anywhere            anywhere              n/a
ACCEPT    all  ------  anywhere            anywhere              n/a
REJECT    tcp  -y----  anywhere            anywhere              any ->  0:1023
REJECT    tcp  -y----  anywhere            anywhere              any ->  nfs
REJECT    udp  ------  anywhere            anywhere              any ->  0:1023
REJECT    udp  ------  anywhere            anywhere              any ->  nfs
REJECT    tcp  -y----  anywhere            anywhere              any ->  x11:6009
REJECT    tcp  -y----  anywhere            anywhere              any ->  xfs
Chain forward (policy ACCEPT):
Chain output (policy ACCEPT):

Spørsmål: Etter at linuxkonsulenten var inne og forandret firewall oppsettet, er du sikker på at du har rebootet maskinen etter dette og sjekket at hans firewall kjørte i gang automatisk ved oppstart ?

linuxkonsulenten har slet ikke pillet ved firewall men kun med dhcp for den virkede ikke

og ja den blev genstartet flere gange i dag

Ja, vel ja vel .. Det du nå legger ut det beviser at iptables ikke lengere kjører og at det er den opprinnelige ipchains som kjører som leveres med Red Hat. Ingen ting av de tingene som vi har gjort nå ved å kjøre et testscript skulle på noen måte kunne forandre fra iptables oppsett til ipchains oppsett.

"linuxkonsulenten har slet ikke pillet ved firewall men kun med dhcp for den virkede ikke"

Jo da for du hadde beviselig et firewall oppsett som ikke var det orginale.
Ingen kan sette opp en delt internett forbindelse ved hjelp av DHCP alene.

Er det noen som har påloggingsmulighet for din PC via internett nå ??

er det ikke nemmere at du lige får adgang og ser det med egne øjne ????

nej det er kun mig der kan komme på nu

Vi vil nok uansett klare å finne ut av det slik at tingene kan rettes opp.

jamen kan man ikke bare fjerne de der ipables igen så det kan virke med delt internet igen ???

Joda, kan godt logge meg på. Men klokken begynner å bli mange. Men i morgen... Kan du sende påloggingskonto og passord for ssh til
arne2002@hotmail.com Skal se på det !!

Du hadde iptables kjørende:

iptables -L giver resultatet
Chain INPUT (policy ACCEPT)
target    prot opt source              destination

Chain FORWARD (policy ACCEPT)
target    prot opt source              destination

Chain OUTPUT (policy ACCEPT)
target    prot opt source              destination

Problemet nå er at den ikke kjører, du kjører nå ipchains i stedet:

ipchains -L:

Chain input (policy ACCEPT):
target    prot opt    source                destination          ports
ACCEPT    udp  ------  ns1.bredband.com    anywhere              domain ->  1025:65535
ACCEPT    udp  ------  ns2.bredband.com    anywhere              domain ->  1025:65535
ACCEPT    tcp  -y----  anywhere            anywhere              any ->  httpACCEPT    tcp  -y----  anywhere            anywhere              any ->  smtpACCEPT    tcp  -y----  anywhere            anywhere              any ->  ssh
ACCEPT    udp  ------  anywhere            anywhere              bootps:bootpc ->  bootps:bootpc
ACCEPT    udp  ------  anywhere            anywhere              bootps:bootpc ->  bootps:bootpc
ACCEPT    all  ------  anywhere            anywhere              n/a
ACCEPT    all  ------  anywhere            anywhere              n/a
ACCEPT    all  ------  anywhere            anywhere              n/a
REJECT    tcp  -y----  anywhere            anywhere              any ->  0:1023
REJECT    tcp  -y----  anywhere            anywhere              any ->  nfs
REJECT    udp  ------  anywhere            anywhere              any ->  0:1023
REJECT    udp  ------  anywhere            anywhere              any ->  nfs
REJECT    tcp  -y----  anywhere            anywhere              any ->  x11:6009
REJECT    tcp  -y----  anywhere            anywhere              any ->  xfs
Chain forward (policy ACCEPT):
Chain output (policy ACCEPT):

nej så kan det næsten være ligemeget
vi kan jo ingenting så længe den ikke sharer
men hvor ligger oplysningerne som vi indtastede i starten ??
så kan jeg jo fjerne dem så det bare virker som det gjorde før ???

Som sagt ingen ting av de tingene som vi har gjort her skulle kunne forandre fra iptables til ipchains, av det som jeg kan se nå, men la oss se videre på det ! Som sagt regner med at vi skal få det hele opp å kjøre.

Når din Linux er nede hvordan klarer du fortsatt å holde kontakten via internett og eksperten ?

For resten: I e-mailen så må du selvfølgelig legge ekstern ip, påloggingskonto, helst både en vanlig bruker og root og de aktuelle passordene. Som sagt E-mail: arne2002@hotmail.com

Når du rebooter maskinen så er alle de tingene som vi har lagt inn borte og alt skal normalt være ved det opprinnelige, så sant du ikke har brukt noen kommandoer for å lagre firewall status som ikke står nevnt her.

Som sagt send en mail så skal vi vel få den delte internettforbindelsen til å kjører igjen.

det eneste jeg har gjordt er at forwarde de 3 porte og genstarte og da jeg genstartede virkede det ikke mere

Og hvordan gjorde du det, dvs å forwarde de tre portene ?

Jeg må løpe nå klokken er 23:00, men jeg kikker inn på det i morgen tidlig.
Send en mail !!

jeg skrev


iptables -t nat -A PREROUTING -i eth0 -p tcp -d ip nummer --dport 4661 -j DNAT --to-destination 192.168.1.254
<ENTER>


iptables -t nat -A PREROUTING -i eth0 -p tcp -d ipnummer --dport 4662 -j DNAT --to-destination 192.168.1.254
<ENTER>


iptables -t nat -A PREROUTING -i eth0 -p udp -d ipnummer --dport 4665 -j DNAT --to-destination 192.168.1.254
<ENTER>
shutdown -r now

maskinen starter op og intet virker

Og her har vi noe ganske mystisk. De kommandoene du har lagt inn, de skal kun ha virkning fram til maskinen blir rebootet. Når den blir rebootet så skal de være borte. Det at iptables forsvinner slik at maskinen går tilbake igjen til å kjøre ipchanis bare fordi du har kjørt noen iptables kommandoer det skal også være en umulighet. Skal forsøke å se litt på saken ..

Er / var i gang med maskinen din.

Kom i skade for å sette for høy sikerhet for tidlig slik at jeg stengte av for alle eksterne pålogginger på firewall før jeg var ferdig. Mistet selvfølgelig forbindelsen.

Kan du sjekke posten, så ligger det en anvisning på hvordan du kan lokke opp igjen inntil videre.

Bruker du ellers X-win / Gnome / KDE på maskinen ??

Grunnen til det siste spørsmålet:
I følge din runlevel manager så kunne det se ut som om maskinen var satt til å kjøre iptables i runlevel 5 dvs X-win og ipchains i runlevel 3, dvs tekst mode. Hvis det event er rett så skulle firewall
stanse dersom du gikk over fra X-win til text mode.

Hej iegn ja jeg kan godt se der er lavet noget om for jeg kan heller ikke selv logge på via ssh fraq min win maskine
hvrdan skal jeg fjerne det igen ???
jeg kører p.t kde på maskinen

Du må logge inn directe på maskinen, gjennom tastatur og monitor som er koplet direkte til Linux maskinen. Se på E-mail for videre anvisninger. Hva med delt inteternett. Lurer på om ikke det ble ferdig før jeg stengte oss (alle SSH) ute.

Har du fått og mottatt E-mailene ??

WEEEEE forbindelsen er nu igen delt :-))
jeg ar været inde og rette i firewall og jeg brugte den der var installeret, nemlig guarddog
så du kan igen få adgang hvis det er
ja jeg har modtaget dine emails meeen der er omsamlet af html kode, det understøtter den email klient nemlig ikke så de er lidt svære at læse.
meeen med andre ord hvordan fik du skiftet den fra ipchains og over til iptables ???
det kunne jo sikker godt ske at jeg kommer til at skulle gøre det selv en dag ???

Ja nå har du full fres på det ! Du har åpnet den og jeg er inne igjen !!

Ahaaaahh .. guarddog .. trodde dette var noe du kjørte på Windows ..
Du kjører den på Linux !? (Kjenner ikke denne, men du har da fått opp
forbindelsen.)

Selve omskiftingen kjør programmet "ntsysv". Den bestemmer hva som kjører ved hvilke runlevel.

Guarddog på Linux er dette rett ?? Please advice !!

Ja tydelig !!
http://www.simonzone.com/software/guarddog/
Det forklarer også dine problemer vil jeg mene.
Guarddog genererer vel et firewallscript som vil slå i hjel det manuelle firewall scriptet vi legger inn og motsatt.
Dersom du bruker guarddog så vil den sansylnligvis renske port de andre tingene vi legger inn og også motsatt, kjører du firewall script så vil du renske bort det som garddog setter opp.
Du kan for så vidt ha begge deler men bare en ting vil fungere ad gangen.

Nå kjører jeg scriptet om litt for å se hvordan det fungerer.
Det vil si at guarddog ikke lengere vil kjøre, men du får event
starte den på nytt.

jamen er det ikke smartere at jeg bare kører guarddog ?? den forstår jeg jo
de der andre scripts forstår jeg jo ikke meget af

Jeg kan se at vi ikke forwarder de 3 porte mere ??

Nå skal scriptet ditt være satt opp slik:

1. Delt internettforbindelse.
3. Redirection av de tre portene. (Du har ennå ikke fortalt hva slags
tjeneste det dreier seg om. Mange tjenester kan ikke redirectes på denne måten.)
4. Foreløpig så har jeg satt INPUT chain til ACCEPT. Det gir en redusert grad av sikkerhet samtidig som ssh blir mulig. (Andre server prosesser vil også kunne nås.)

Så snart du kjører Garddog så vil den delte internettforbindelsen og portforwardingen være borte med mindre du har satt opp det tilsvarende i Garddog. Effekten av scriptet vil være borte.

DEt er imidlertig ikke noe i veien for at du kan kjøre Garddog som automatisk firewalling tool og så heller kjøre fire1 scriptet manuelt når du ønsker å få dette til å fungere. (Med delt internettforbindelse og port forwarding.)

Scriptet kjøres slik: "bash fire1".

Si fra hvis det finnes flere problemer enn det som skyldes at Garddog rensker vekk det hele.

vil det sige at vi både har guarddog og dit script kørende ???
skal jeg selv prøve at forwarde de porte igen nu ??? og se om det virker ???

Hvis du får garddog til å sette opp delt internettforbindelse og port forwarding og de tingene du ellers behøver, så kan du bruke denne. Hvis ikke så må du bruke noe som kan gjøre de tingene du ønsker for eksempel et firewall script.

Guarddog og firewall script er to forskjellige måter å kontrollere den samme firewall i Linux og den ene vil normalt slå i hjel den annen. Den som ble startet sist er den som vil kjøre.

har du ikke misforstået det lidt nu ??
guarddog (firewall) deler IKKE forbindelsen
det bruger jeg guidedog til at klare

Nei de kan i prinsipp ikke kjøre sammen. Det er å velge det ene eller det annet. Garddog vil skrive over instruksjonene fra et "manuelt" script og det mauelle scriptet vil skrive over instruksjonene fra garddog.

Du kan godt ha begge deler på maskinen slik at du kan kjøre det ene eller det annet men de vil ikke kjøre samtidig.

nu bliver jeg da helt forviret :-))
men har lige 2 spørgsmål
hvordan fik du den til at køre iptables i stedet for ipchains ????
har du lukket for port 110 og 143 ?? de virker nemlig ikke

Gardog er neppe noe annet en et automatisk verktøy for å generere et firewall script. Enten så kan man kjøre et automatisk generert firewall fra garddog eller et annet program eller så kan man kjøre et håndprogrammert script.

Den virkelige firewall er en del av kernel som heter netfilter og den konfigureres ved hjelp av iptables eller iptables.

"Garddog" eller tilsvarende programmer for eksempel "firewall-config" er laget for at firewall script skal kunne lages automatisk.

Port 110 og port 143 på firewall står åpene.
I øyeblikket så står policy åpen det finnes ingen andre input regler og det vil si at samtlige porter på Linux maskinen står åpne.
Husker ikke hvilke tjenester som kjører på port 110 og port 143.
Er de startet ??

port 110 er pop3 og 143 er imap og de står som lukket se eventuelt her der er et screen chot af det http://www.bacce.dk/ports.gif

La du inn Garddog selv eller var det linuxkonsulent som gjorde det ?
Var den på plass nå linuxkonsulent jobbet på maskinen ??
Kan tenkes at garddog er grunnen til at delt internettforbindelse ikke fungerte. Det er den samme del av linux kjerenen som deler internettforbindelse, som sørger for portforwarding og for firewalling. Denne delen av kjernen som gjør alle disse tingene heter "netfilter".

http://www.bacce.dk/ports.gif
Hva er dette for noe ? Er det en utskrift fra en portscanner, atså en utvendig maskin som har sjekket hva som kjører på serveren ??
I så fall så kan det bety bare at serverfunksjonene som det gjelder ikke er startet opp.

Nej Guarddog (firewall) installerede jeg selv i nat og jeg har givet tilladelse til netop disse porte

du kan jo selv tjekke den
du skriver bare #guarddog så kommer den frem

JA DA FRIKJENNER JEG LINUXKONSULENT FOR ALL MULIG MISTANKE !!

Den sier ellers at den bare vil kjøre under x-windows.

og hvad betydder det ??

Når du kjørte guarddog så slettet du selvfølgelig alt arbeidet til linuxconsulent også.

Det var ellers en ganske interressant oppdagelse at denne guarddog finnes. Har vært på jakt etter et slikt konfigureringsverktøy som kan generere iptables konfigureringsfiler. De aller fleste kjører bare med ipchains. Hvor laster du den ned ?

at den bare vil kjøre under x-win betyr at den ikke kan kjøre via ssh men for eksempel lokalt via KDE.

jeg fulgte bare denne lille artikkel
der stod det hele i
http://www.gnuskole.dk/router/index.html

hmm jeg åbner den da med en command men det er måske fordi jeg allererde er logget ind i min linux ??

Ja se der !! Kjempeinterressant. Men det disse grafiske programmene gjør det er bare å generere et konfigurasjonsscript.

Det går ellers fint å både ha et manuelt laget script som man kan kjøre manuelt når man måtte ønske det, og så kan man for eksempel bruke slike grafiske programmer til å generere tilsvarende script
automatisk. Man kan eventuelt også la de automatiske scriptene starte automatisk.

Når man kjører det manuelle scriptet så vil imidlertid dette "slette" det automatiske scriptet inntil dette startes opp igjen og omvendt.

Nå må jeg ha pause ... Synes eller vi fikk fram en hel haug med interressant informasjon og det er vel noa av selve hensikten med eksperten ?!

hmm jeg åbner den da med en command men det er måske fordi jeg allererde er logget ind i min linux ??

Du har vel x-win / kde kjørende ?!

PAUSE .. Nå går jeg til byen !!

ja jeg kører kde

nå men tror jeg lukker her.
nu har jeg jo fået klaret det jeg kom for :-)) og er trods alt også blevet lidt klogere :-))
Tak for hjælpen Langbein

Takker for points !! Har faktisk blitt litt klokere jeg og. Manuell konfigurering av firewall / router er bare ikke spesielt enkelt. Vil med tid og stunder laste ned de konfigurasjonsprogrammene som du refererer til og teste dem ut.

Og sharing / deling av internettlinje den kjører når du har kjørt scriptet eller ..

delingen kører skam hele tiden :-))