nefungujici firewall (HELP uz si nevim rady:-))

Jan Krnavek krnavek na seznam.cz
Středa Srpen 1 23:24:31 CEST 2001


Dobry den,
na nastavene ARP proxy se snazim rozjet firewall,ale nejak nefunguje..

SIT:

ISP (cisko 1720)             eth0                                     eth1
 [195.227.33.1] ------------ [195.227.33.3][195.227.33.4] ----------- SIT

Sit ma celkove 128 verejnych ip adres,maska 255.255.255.128
Nastavena ARP proxy:

Destination Gateway Genmask Iface
195.227.33.0 * 255.255.255.128 U eth1
195.227.33.1 * 255.255.255.255 U eth0
default 195.227.33.1 0.0.0.0 UG eth0

echo "1" > /proc/sys/net/ipv4/conf/eth0/proxy_arp

-vnitrni pocitace maji gateway 194.288.33.4
-forwardovani paketu povoleno....
-zde napsane ip adresy jsou vymyslene...


FIREWALL:
ptables -F
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -i lo -j ACCEPT


iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 20 -j ACCEPT
iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 21 -j ACCEPT
iptables -A INPUT -p udp -s 0.0.0.0/0 --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 25 -j ACCEPT
iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 80 -j ACCEPT
iptables -A INPUT -p udp -s 0.0.0.0/0 --dport 53 -j ACCEPT
iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 53 -j ACCEPT
iptables -A INPUT -p icmp  -j ACCEPT

iptables -A FORWARD -p tcp -s 0.0.0.0/0 --dport 20 -j ACCEPT
iptables -A FORWARD -p tcp -s 0.0.0.0/0 --dport 21 -j ACCEPT
iptables -A FORWARD -p udp -s 0.0.0.0/0 --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp -s 0.0.0.0/0 --dport 22 -j ACCEPT
iptables -A FORWARD -p tcp -s 0.0.0.0/0 --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -s 0.0.0.0/0 --dport 80 -j ACCEPT
iptables -A FORWARD -p udp -s 0.0.0.0/0 --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -s 0.0.0.0/0 --dport 53 -j ACCEPT
iptables -A FORWARD -p icmp  -j ACCEPT
#--------------

JADRO 2.4.7
IPTABLES 1.2.2
REDHAT 7.1CZ

Sit je bez zapnuteho firewallu pruchodna....ale s nim ne...
Co je zajimave ,ze kdyz zapnu a vypnu firewall (iptables -F)..zkontroluju
pres iptables -L (melo by to byt pruchodne) ..tak jiz sit neni pruchodna
(nepropingu se z vnitri site
na CISCO)

OTAZKY:
1)neni problem v tom,ze ta mam ARP proxy?
2) jestlize ano,jak mam nastavit routovani v ramci jedne site (zkousel
jsem,ale bez uspechu)?
3) kdyz budu nastavovat routovani ,jak mam nastavit sitove masky?
4)neda se  muj problem vyresit nejak lepe (ochrana sit firewallem)?
5) pro fungujici aktivni FTP  staci povolit 21,20 tcp

DIKY MOC PREDEM ZA JAKOUKOLIV RADU,UZ SI FAKT NEVIM RADY:)))

S pozdravem student Jan Krnavek 0603/563516 BRNO
Ps: kdybych se mohl s nekym poradit pres mobil ,byl bych velmi rad .. treba
za pivko:)))








Další informace o konferenci Linux