iptables routing

"Jeg har et firewall script" - Det kan jeg ikke være helt enig i for denne routeren står helt åpen, det er ingen firewall (men så langt dog en router, ok.)

iptables -P INPUT  ACCEPT
iptables -P OUTPUT  ACCEPT
iptables -P FORWARD ACCEPT


Her ser det ut som om man forsøker å få til en DNAT, dvs forwarding inn til server på LAN pluss en delt internettforbindelse. Her brukes det noen variabler som det ser ut som om ikke får noen verdi, slik at dette ikke får noen funksjon.

function do_nat {
    CIFACE=$1
    SRC_IP=$2
    NAT_IP=$4
    PROTOC=$3
    NATPRT=$5

    iptables -t nat -I PREROUTING  -i $CIFACE -p $PROTOC -d $SRC_IP --dport $NATPRT -j DNAT --to $NAT_IP
    iptables -t nat -I POSTROUTING -s $NAT_IP -p $PROTOC -o $CIFACE --sport $NATPRT -j SNAT --to $SRC_IP
}

Her kommer den delte internettforbindelsen på nytt en gang til, men denne gang med en alternativ syntaks:
iptables -t nat -A POSTROUTING -s 10.0.0.1/8 -d ! 10.0.0.1/8 -j MASQUERADE

Konklusjon: Dette virker i beste fall som en helt åpen nat router uten noen firewallbeskyttelse annet enn den som følger av nat funksjonen (tror jeg i hvert fall. :)

Man bør i all enkelhet lage dette scriptet på nytt på basis av:

http://iptables-script.dk/

#!/bin/sh

# iptables script generator: V0.1-2002
# Comes with no warranty!
# e-mail: michael@1go.dk

# Diable forwarding
echo 0 > /proc/sys/net/ipv4/ip_forward

LAN_IP_NET='10.0.0.1/24'
LAN_NIC='eth1'
WAN_IP='80.202.xx.xx'
WAN_NIC='eth0'
FORWARD_IP='10.0.0.99'

# load some modules (if needed)

# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# enable Masquerade and forwarding
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# STATE RELATED for router
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports to server on LAN
iptables -A FORWARD -j ACCEPT -p tcp --dport 6004
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 6004 -j DNAT --to 10.0.0.99:80

# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

(Bare en utestet "kladd" for å jobbe videre med.)

Rettelse:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 6004 -j DNAT --to 10.0.0.99:6004

OK; jeg prøver at teste et script fra http://iptables-script.dk/ imorgen...


Tak for dine forklaringer... og dit eksempel! Tror jeg forstår det nu...

Jo, prinsippene er egenrlig enkle. Har man fått tak i dem så kan man bruke iptables-script.dk som et utgangspunkt og så redigere om til det passer.

langbein: Mit script ser nu sådan ud, det er meningen at man skal kunne komme ind med Netop via port 6502 og blive sendt videre til intern ip 10.0.0.99
Men kan ikke komme igennem! Hvad er der galt?

#!/bin/bash

# iptables script generator: V0.1-2002
# Comes with no warranty!
# e-mail: michael@1go.dk

# Diable forwarding
echo 0 > /proc/sys/net/ipv4/ip_forward

LAN_IP_NET='10.0.0.1/8'
LAN_NIC='eth1'
WAN_IP='80.163.174.146'
WAN_NIC='eth0'
FORWARD_IP='10.0.0.99'

# load some modules (if needed)
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -F -t nat
iptables -F -t filter
iptables -F -t mangle

# enable Masquerade and forwarding
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports on router for server/services
iptables -A INPUT -j ACCEPT -p tcp --dport 80
iptables -A INPUT -j ACCEPT -p tcp --dport 21
iptables -A INPUT -j ACCEPT -p tcp --dport 22

iptables -A INPUT -j ACCEPT -p tcp --dport 6502
iptables -A INPUT -j ACCEPT -p udp --dport 6502

# STATE RELATED for router
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports to server on LAN
iptables -A FORWARD -j ACCEPT -p tcp --dport 6502
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 6502 -j DNAT --to 10.0.0.99:6502

iptables -A FORWARD -j ACCEPT -p udp --dport 6502
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 6502 -j DNAT --to 10.0.0.99:6502

# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward


iptables -t nat -A POSTROUTING -s 10.0.0.1/8 -d ! 10.0.0.1/8 -j MASQUERADE

Hmm, det virker :) Skulle bare lige prøve uden for nettet...

Tak for hjælpen!

Du har ikke en ide til hvordan jeg gør den mere sikker?

Det kan jo hjelpe å "hardne" det Linux operativsystemet som firewall kjører på:
http://www.eksperten.dk/spm/546696

Tak for hjælpen, tror det virker fint nok... Sætter dog nok lige disse porte:
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

til
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

Ja det må man ellers så står firewall helt åpen !