iptables

www.iptables.1go.dk
det er en generator som kan udskrive et iptables script til dig med blockning af porte samt viderstilling af porte til anden ip

> viderstiller fra 192.168.1.1:8080 til 192.168.1.2

hvad mener du med viderestiller.. viderestilling er der meget af.. forklar nærmere

> blokker for indkommende trafik på eth0:xxx

eth0:x er normalt et virtuelt interface.. Er det det du mener her?

undskyld min uvidenhed, men jeg er ret ny til linux! :)
Jeg fatter ikke helt opbygningen af iptables, såsom hvorfor de gør det de gør!
Og hvad betyder fx ip/24?

Det er ikke lige sådan at forklare iptables.. der findes hundrevis af sider af dokumentation.. umuligt at forkert til et par indlæg her på eksperten.dk.. Dyk ned i www.netfilter.org

ip/24 svarer f.eks. til 192.168.0.1/255.255.255.0 som igen betyder de adresser der ligger på det net.

eksempelvis:
10.1.0.10/255.255.255.0

en ren klasse b (255.255.0.0) er 16 bit, altså /16 osv

dank >> tænkte nok du kom :)
1: at den skal viderstille trafik rettet til den ip1:port1 til ip2:port2
Det var sådan tænkt at jeg fx fra arbejde af kunne logge på vnc på min workstation som ligger bag ved min server.

2: at den blokker alt trafik på eth0:port
altså at alt trafik på den angivne port ryger ud..

Gør det krypteret:
http://www.linuxplanet.dk/article/articleview/101/1/56/

Medmindre du godt kan lide overraskelser :)

1:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 0.0.0.0:12345

0.0.0.0:12345 = ip:port

2: Gør det omvendt.. DROP alt trafik og åbn derefter de enkelte porte du har behov for

> viderstiller fra 192.168.1.1:8080 til 192.168.1.2

Det kan du vel faktisk ikke fordi du ikke kan forwarde mellom stasjoner på det samme nettverkssegment. Der i mot så kan du vel godt forwarde mellom for eksempel 192.168.0.1/255.255.255.0 og 192.168.1.1/255.255.255.0 fordi slik forwarding bare kan skje mellom to maskiner tilknyttet hvert sitt nettverksegment (og der Linuxmaskinen fungerer som firewall router melom de to nettverkssegmentene.).

"Det var sådan tænkt at jeg fx fra arbejde af kunne logge på vnc på min workstation som ligger bag ved min server."

Det kan du godt ved hjelp av en DNAT setning i firewall. Kjører akkurat et slikt opplegg på min hjemmepc via Linux firewall. Kjører et par forskjellige firewallscript for å ta vare på sikerheten. Normalt så er tilgangen til vnc lukket. Ved pålogging på firewall linux via ssh så kjøres det firewallscript som åpner for vnc på innvendig Windows workstation maskin.

Hos meg så ser det slik ut for det aktuelle firewallscript:

1. DNAT setning som setter opp trafikk inn til workstation:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5800 -j DNAT --to-destination 192.168.0.2

og

2. Filtering rule som åner for trafikk:

iptables -A FORWARD -i eth0 -p tcp --dport 5800 -j ACCEPT

Forskjell: jeg angir innput kort for internett (eth0) pluss portnummer. 5800 er vel standard for VNC ?!

Det har ellers kommet en ny vnc og den kjører en del bedre til dette bruk en den tidligere utgaven: http://www.tightvnc.com/