Søg
Avatar billede kbhadsten Nybegynder
26. oktober 2006 - 08:40 Der er 6 kommentarer og
1 løsning

iptables, hjælp mig med mit script!

Hej eksperten.dk

Jeg vil igang med iptables, men det driller mig for meget.
Jeg kan ikke få mine specifikke FORWARD regler til at virke!
Hvad gør jeg galt.
Som det er nu, skal scriptet kun tillade internet surf fra LAN

#IPTABLES Firewall

#!/bin/bash

# Setting variables
LANIP="192.168.0.1"
WANIP="192.168.1.86"
DMZIP="172.16.1.1"

LANIF="eth1"
WANIF="eth2"
DMZIF="eth0"

# Enabling IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

# Current iptables rules are flushed an fallback policies is set.
iptables --flush
iptables -t nat --flush
iptables --delete-chain
iptables --policy INPUT ACCEPT # Jeg ved godt denne skal lukkes, men det bliver senere
iptables --policy OUTPUT ACCEPT
iptables --policy FORWARD DROP

# NAT enabled
iptables -t nat --append POSTROUTING --out-interface $WANIF --source $LANIP/24 -j SNAT --to-source $WANIP

# INPUT Rules
iptables --append INPUT --in-interface $LANIF -j ACCEPT
iptables --append INPUT --in-interface lo -j ACCEPT

# FORWARD Rules
iptables --append FORWARD --in-interface $LANIF --protocol tcp --dport 80 -j ACCEPT
iptables --append FORWARD --in-interface $LANIF --protocol tcp --dport 53  -j ACCEPT

# Script completed output
echo "-- IPTABLES SCRIPT LOADED --"
Avatar billede langbein Nybegynder
27. oktober 2006 - 17:55 #1
Dns oppslag skal være udp ikke tcp. (Port 53).
Dessuten så mangler mulighet for returtrafikk fra dmz sone til lan. Når du åpner opp tcp trafikk den ene vei så vil det også være nædvendig å åpne opp for den retutrafikk som føger av dette. Dette gjøres kanskje best ved å bruke stateful inspection for returtrafikken
Avatar billede langbein Nybegynder
27. oktober 2006 - 18:04 #2
Unskyld, beklager den aktuelle snat setningen kan jo heller ikke fungere i forhold til trafikk lan-dmz tror jeg:

iptables -t nat --append POSTROUTING --out-interface $WANIF --source $LANIP/24 -j SNAT --to-source $WANIP (Skulle kun gi snat funksjon for trafikk til internett.)

Tror ikke lan har noen mulighet til å tilgå dmz hverken hva angår dnat/snat eller filtrering gjennom Forward chains.
Avatar billede langbein Nybegynder
27. oktober 2006 - 18:06 #3
Ville brukt et dnat prinsipp for trafikken fra lan til dmz pluss statiske rules den ene vei og statefull inspection den annen vei for returtrafikken.
Avatar billede langbein Nybegynder
27. oktober 2006 - 18:12 #4
Dette er to lokalnettver og ikke et lokalnett pluss internett. Mulig at det da er unødvendig med dnat, og at det eneste du mangler er åpning for returtrafikk. Tror faktisk det.
Avatar billede kbhadsten Nybegynder
29. oktober 2006 - 02:57 #5
Tak for de mange svar! skriv hvis du vil have points! tråden lukkes d. 29/10 kl 15:00
Avatar billede langbein Nybegynder
29. oktober 2006 - 14:34 #6
OK
Avatar billede kbhadsten Nybegynder
29. oktober 2006 - 17:07 #7
* Tråden lukkes *

-Løsning var at tillade UDP på port 53
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Linux kategorien

Titel Indlæg Oprettet Seneste aktivitet
squid server på en ubuntu 25.10 server Af dcedata1977 i Linux 6 15/12/202514:45 21/12/202517:52
Chromium Netbrowser har Yahoo - Kan jeg skifte til Google ? Hvordan Af Ikke-ekspert i Linux 2 04/10/202518:24 05/10/202511:32
Debian - Map drev/folder på AS400 V4R4 Af ingeman i Linux 7 08/09/202515:27 10/09/202512:18
Windows server 2025 Datacenter Af ingeman i Linux 9 02/09/202509:00 02/09/202513:17
cups server Af dcedata1977 i Linux 3 29/05/202516:04 02/06/202513:56
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
27/1222:02 Låse brugt iPad op Af drstein i iOS, iPhone & iPad
27/1219:21 Hvor finder jeg en oversigt over mine spørgsmål Af KurtG i Hjælp og fejl
27/1211:31 TP-Link Wifi extender opsat som accesspoint giver 50% up- og download, Af Uvanga i Wifi
26/1213:05 Hvorfor bliver tiff-filer større ved konvertering til samme format Af KurtG i Billedbehandling
23/1221:36 Gøre Ikonerne lidt større i proceslinjen (Windows 10) Af Ikke-ekspert i Windows
White papers
Flere white papers »