firewall og router

Gået kold ved opstart?

Hvad betyder det helt nøjagtigt. Kan du ikke logge på den lokalt? eller? Du må forklare noget mere.

iptables.linux.dk kører på *mange* routere rundt omkring. Derfor vil jeg da meget gerne høre hvis der skulle være nogle fejl i det :O)

Det er forskelligt hvornår den går istå, men det er efter at man er logget ind. Men det er lige meget nu, jeg har geninstalleret.
Det kunne jo være at iptables.linux.dk har et problem med RH8!
Der kommer ingen fejl, jo at man ikke kan logge på efter man har "installeret" det, hverken som root eller andre brugere!

.sTX

Der må jo være en eller anden ting jeg gør forkert, osse selvom jeg aktivere scriptet uden at genstarte og skriver iptables -t NAT -L får eller fik jeg det rigtige resultat! Men windows maskinen kan stadigvæk ikke gå på nettet!

.sTX

Det første script jeg prøvede var fra en en pc world artikel, men med samme resultat. Jeg er total newbie til linux! Så jeg kegler sikkert i et eller andet!

.sTX

iptables.1go.dk virker på 2.4+ kerner med iptables.

Hvordan går det kold? jeg kan ikke hjælpe mere med den beskrivelse.. lidt bilanalogi:

Goddag hr. mekaniker.. Hjælp mig bil er gået i stykker... Hvordan i stykker... Den virker bare ikke.....

.... :o)

jeg tror det er noget du gør galt - desværre.

Det er forskelligt hvornår den gjore det, nogle gange nåede den kun at vise redhat logoet efter at man var logget ind og nogle gange (for det meste) nåede den til at loade vindueshåndteringen, et par gange nåede den at loade det hele, men så skete der heller ikke mere, bare et fint baggrundsbillede :)

.sTX

Jeg kan bare ikke lige se hvad jeg gør galt! Først installere/indstiller jeg dhcp, derefter laver jeg en fil iptables.sh med scripetet fra iptables.1go.dk derefter sætter jeg linjen /etc/iptables.sh ind i rc.local.

.sTX

Hvis du har lavet noget ligende kan du så ikke bare skrive hvad du gjorde?

.sTX

jo.. først skal jeg måske lige fortælle det er mig der står bag iptables.linux.dk

Men har du prøvet at køre scriptet manuelt.. efter den er startet op? Hvad sker der så?

så sker der intet!
[root@Server home]# iptables -L
Chain INPUT (policy DROP)
target    prot opt source              destination
ACCEPT    tcp  --  anywhere            anywhere          tcp dpt:http
ACCEPT    tcp  --  anywhere            anywhere          tcp dpt:ftp
ACCEPT    tcp  --  anywhere            anywhere          tcp dpt:pop3
ACCEPT    tcp  --  anywhere            anywhere          tcp dpt:smtp
ACCEPT    tcp  --  anywhere            anywhere          tcp dpt:ssh
ACCEPT    all  --  anywhere            anywhere          state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target    prot opt source              destination
ACCEPT    all  --  192.160.0.0/12      anywhere
ACCEPT    all  --  anywhere            anywhere          state RELATED,ESTABLISHED
ACCEPT    tcp  --  anywhere            anywhere          tcp dpt:http
ACCEPT    tcp  --  anywhere            anywhere          tcp dpt:ftp
ACCEPT    tcp  --  anywhere            anywhere          tcp dpt:ssh
ACCEPT    tcp  --  anywhere            anywhere          tcp dpt:smtp
ACCEPT    tcp  --  anywhere            anywhere          tcp dpt:pop3

Chain OUTPUT (policy ACCEPT)
target    prot opt source              destination

Kan du forklare mig hvorfor der står 192.160.0.0/21??? der burde stå 192.168.0.10/12 da scriptet ser sådan ud:
#!/bin/sh

# iptables script generator: V0.1-2002
# Comes with no warranty!
# e-mail: michael@1go.dk

# Diable forwarding
echo 0 > /proc/sys/net/ipv4/ip_forward

LAN_IP_NET='192.168.0.10/12'
LAN_NIC='eth0'
WAN_IP='62.61.143.235'
WAN_NIC='eth1'
FORWARD_IP='192.168.0.1'

# load some modules (if needed)
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# enable Masquerade and forwarding
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports on router for server/services
iptables -A INPUT -j ACCEPT -p tcp --dport 80
iptables -A INPUT -j ACCEPT -p tcp --dport 21
iptables -A INPUT -j ACCEPT -p tcp --dport 110
iptables -A INPUT -j ACCEPT -p tcp --dport 25
iptables -A INPUT -j ACCEPT -p tcp --dport 22

# STATE RELATED for router
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports to server on LAN
iptables -A FORWARD -j ACCEPT -p tcp --dport 80
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.0.1:80
iptables -A FORWARD -j ACCEPT -p tcp --dport 21
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 21 -j DNAT --to 192.168.0.1:21
iptables -A FORWARD -j ACCEPT -p tcp --dport 22
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 22 -j DNAT --to 192.168.0.1:22
iptables -A FORWARD -j ACCEPT -p tcp --dport 25
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 25 -j DNAT --to 192.168.0.1:25
iptables -A FORWARD -j ACCEPT -p tcp --dport 110
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 110 -j DNAT --to 192.168.0.1:110

# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

.sTX

Se nu begynder der at komme noget info men kan bruge til noget :o)

der er da også noget galt? Hvorfor skal din router hedde 192.168.0.10/12 ???

Prøv du istedet f.eks. 192.168.0.1/24

det med rc.local må være noget helt andet.. først få iptables scriptet til at virke.. derefter alt det andet.

2: Har du husket at videregive DNS server adresser med din DHCP?

Når du tester om din Win maskine er på nettet, skal du også teste med at pinge en ipadresse, f.eks. ping 62.61.157.199 (som jeg ved svarer på ping)

dumt spm.. > har du chmoddet filen til at være executeable?

hva skal man skrive i dhcpd.conf for at vidrereføre dns adresserne fra serveren?
Hvordan chmodder man?

ved ikke om det er nødvendigt når du henter filen vi rc.local..
derfor det var et dumt spm! :)
chmod +x dinfil.sh

Min dhcpd.conf ser sådan ud nu!

ddns-update-style ad-hoc;
subnet 192.168.0.0 netmask 255.255.255.0 {
    option domain-name-servers 62.61.130.1, 62.61.131.1;
    option routers 192.168.0.1;
    range 192.168.0.10 192.168.0.12;
    default-lease-time 7200;
    max-lease-time 28800;
    }

.sTX

Forresten så virker det nu og i aner ikke hvor glad jeg er! :)
Det var bare det dns der var problemet, så!
Er det så nok at chmodde iptbl.sh og ligge den ind i rc.local??

.sTX

hehe.. har lige fået en mail fra webmasterdk - som siger iptables.linux.dk ikke virker!!

Så kan han squ lære det :o)

Nej, jeg sagde ikke at det ikke virkede!
Jeg sagde at vi ikke kunne finde ud af at få det til at virke! :)
Og nu er vi jo lidt dumme, eller jeg er da ;)
Hvor i scriptet skal den linie tilføjes?

som den første INPUT linie

f.eks.:

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT


iptables -A INPUT -j ACCEPT -i lo

# enable Masquerade and forwarding
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
... o.s.v.


.stx: Du bør nok også tilføje denne linie:


iptables -A INPUT -j ACCEPT -i lo

som i ovenstående eks.

.stx luk ? iøvrigt!

hvad gør den linje?

accepter trafik fra serveren selv til serveren selv... (sådan ca.) sæt du den roligt ind.

jeg skal have den på næste version af iptables.linux.dk - har bare ikke nået det endnu

okay, men hvad så med den rc.local fil, hvis jeg vil have mine iptables til at strte når jeg tænder?

.sTX

Jeg syntes ikke rigtigt at chmod +x iptbl.sh gør noget!??! hvad skal den gøre? Skulle der ikke komme en ny fil jeg så kunne "linke" til i rc.local?

.sTX

det giver heller ikke nogen ny, det ændre bare rettighederne på filen, så den kan udføres

Det havde jeg allerde gjort, bare ikke med komando!