Opsætning med iptables

Jo, det passer bra. Holder på med å lage til en modifisert utgave av en "firewall script generator". Har laget mange slike firewall script tidligere, men har ikke fått testet ut disse som kommer ut av denne script generatoren.

Det ville være meget bra om du kunne teste litt.

Tenkte ikke på å legge inn DHCP funksjonen, men det må selvfølgelig kunne gjøres !

http://www.im-learning.com/iptables/

Vil modifisere inn dhcp, hvis du tar jobben med å kjøre litt testing.

I følge min firewall script generator (som jeg ennå ikke har fått testet ut), så skulle det bli noe slikt:

#!/bin/sh

# iptables script generator: Ny Beta-2004
# Kommer uten noen form for garanti!
# e-mail: webmaster@im-learning.com

# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

# WAN_NIC='eth0'
# LAN_NIC='eth1'
# LAN_CARD_IP='10.0.0.1/24'
# FORWARD_IP='10.0.0.2'

# Load some kernel modules
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

# Flush
iptables -t nat -F
iptables -F
iptables -X
iptables -Z

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Enable Masquerade and statefull inspection all forwarding
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports on router pc for server/services
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT

# STATE RELATED for local processes on firewall machine
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports to server on LAN
iptables -A FORWARD -i WAN_NIC -p tcp --dport 10000 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 10000 -j DNAT --to 10.0.0.2:10000

Problemstillingen rundt dhcp er ikke tatt vare på, eller i hvert fall ikke tenkt gjennom, men jeg jeg skal forsøke å se litt inn på den saken.

Ellers, for å lage script, så editerer man førtst med en tekst editor, for eksempel "pico" eller "nano". Man saver og så kan man for eksempel eksekvere slik: "bash <scriptnavn>"

Si i fra hvis du lager noen testing. Kjører det ikke så vil jeg forsøke å rette opp feilene. (Har ingen Linux gateway å teste på akkurat nå.) Erfaringsmessig så er det alltid noen små detaljer som fungerer forskjellig fra det man har planlagt.

Har sett på problemstillingen dhcp .. dette bør fungere ok.

iptables -A INPUT -i eth1 -j ACCEPT

og

iptables -P OUTPUT ACCEPT

Den enkle tankegang (husker det nå), det er jo at alle server funksjoner inklusive dhcp er tilgjengelig på LAN.

Har ellers gjort følgende forutsetninger: Lan kort = eth1, Wan kort = eth0, ip til Lan card = 10.0.0.2 og ip til server inne på Lan = 10.0.0.2, men dette kan man jo redigere om slik at det passer.

Hej Langbien.. Mange tak for dine svar.. Jeg får lige tid til at kigge på det, en af dagene her efter nytårsaften.. :)

Tar sjansen på at det virker og legger et svar. Hvis det ikke virker så håper jeg at du legger et par ord.

Godt nytt år !

Jeg har fået meget glæde af din script generator..
Tak for det.. Og point til dig! :)

Takker for ponts ! Den virket altså !? Ingen feil ? (HAr faktisk ikke kjørt en eneste test selv etter revisjonen, men testet den en hel del ganger før.)

Jeg må indrømme, at jeg ikke har brugt et komplet script, fra din generator.. Men jeg er blevet kraftigt "inspireret" af det. Jeg har brugt nogle ting fra, bl.a. delen hvor du forwarder porte..

Så ved desværre ikke, om et komplet script giver fejl..