nefungujici firewall (HELP uz si nevim rady:-))
Jan Marek
jmarek na jcu.cz
Čtvrtek Srpen 2 12:21:55 CEST 2001
Dobry den,
On Sun, Jul 30, 2000 at 11:21:10PM +0200, Jan Krnavek wrote:
> Dobry den,
> na nastavene ARP proxy se snazim rozjet firewall,ale nejak nefunguje..
>
> SIT:
>
> ISP (cisko 1720) eth0 eth1
> [195.227.33.1] ------------ [195.227.33.3][195.227.33.4] ----------- SIT
>
> Sit ma celkove 128 verejnych ip adres,maska 255.255.255.128
> Nastavena ARP proxy:
>
> Destination Gateway Genmask Iface
> 195.227.33.0 * 255.255.255.128 U eth1
> 195.227.33.1 * 255.255.255.255 U eth0
> default 195.227.33.1 0.0.0.0 UG eth0
>
> echo "1" > /proc/sys/net/ipv4/conf/eth0/proxy_arp
>
> -vnitrni pocitace maji gateway 194.288.33.4
> -forwardovani paketu povoleno....
> -zde napsane ip adresy jsou vymyslene...
>
>
> FIREWALL:
> ptables -F
> iptables -P FORWARD DROP
> iptables -P INPUT DROP
> iptables -P OUTPUT ACCEPT
>
> iptables -A INPUT -i lo -j ACCEPT
>
>
> iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 20 -j ACCEPT
> iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 21 -j ACCEPT
> iptables -A INPUT -p udp -s 0.0.0.0/0 --dport 21 -j ACCEPT
> iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 22 -j ACCEPT
> iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 25 -j ACCEPT
> iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 80 -j ACCEPT
> iptables -A INPUT -p udp -s 0.0.0.0/0 --dport 53 -j ACCEPT
> iptables -A INPUT -p tcp -s 0.0.0.0/0 --dport 53 -j ACCEPT
> iptables -A INPUT -p icmp -j ACCEPT
>
> iptables -A FORWARD -p tcp -s 0.0.0.0/0 --dport 20 -j ACCEPT
> iptables -A FORWARD -p tcp -s 0.0.0.0/0 --dport 21 -j ACCEPT
> iptables -A FORWARD -p udp -s 0.0.0.0/0 --dport 21 -j ACCEPT
> iptables -A FORWARD -p tcp -s 0.0.0.0/0 --dport 22 -j ACCEPT
> iptables -A FORWARD -p tcp -s 0.0.0.0/0 --dport 25 -j ACCEPT
> iptables -A FORWARD -p tcp -s 0.0.0.0/0 --dport 80 -j ACCEPT
> iptables -A FORWARD -p udp -s 0.0.0.0/0 --dport 53 -j ACCEPT
> iptables -A FORWARD -p tcp -s 0.0.0.0/0 --dport 53 -j ACCEPT
> iptables -A FORWARD -p icmp -j ACCEPT
> #--------------
>
> JADRO 2.4.7
> IPTABLES 1.2.2
> REDHAT 7.1CZ
>
> Sit je bez zapnuteho firewallu pruchodna....ale s nim ne...
> Co je zajimave ,ze kdyz zapnu a vypnu firewall (iptables -F)..zkontroluju
> pres iptables -L (melo by to byt pruchodne) ..tak jiz sit neni pruchodna
> (nepropingu se z vnitri site
> na CISCO)
asi vam nejake pravidlo jeste nekde zbylo... Zkuste iptable-save,
ono vam to vypise vsechna pravidla ve vsech "segmentech" iptables
(tohle se mi na iptables taky nelibi :-( )
Jinak: takhle mate povolenou dostupnost NA cilove porty, ale uz
ne Z cilovych portu. Pocitac tedy muzete na tech vyjmenovanych
portech kontaktovat, ale zahodite jeho odpoved... Je treba bud
povolit i stejna pravidla s -sport, nebo nastavit hlidani
otevrenych konexi a povolit pakety, ktere se vztahuji k
jednotlivym konexim (druhe je lepsi). (Ted presne nevim, jak se
to nastavi, hledejte v dokumentaci slovo RELATED).
>
> OTAZKY:
> 1)neni problem v tom,ze ta mam ARP proxy?
> 2) jestlize ano,jak mam nastavit routovani v ramci jedne site (zkousel
> jsem,ale bez uspechu)?
> 3) kdyz budu nastavovat routovani ,jak mam nastavit sitove masky?
> 4)neda se muj problem vyresit nejak lepe (ochrana sit firewallem)?
> 5) pro fungujici aktivni FTP staci povolit 21,20 tcp
>
> DIKY MOC PREDEM ZA JAKOUKOLIV RADU,UZ SI FAKT NEVIM RADY:)))
>
> S pozdravem student Jan Krnavek 0603/563516 BRNO
> Ps: kdybych se mohl s nekym poradit pres mobil ,byl bych velmi rad .. treba
> za pivko:)))
>
Pokud jste od Ceskych Budejovic, proc ne... ;-)
Zdravi
Honza Marek
--
Ing. Jan Marek
University of South Bohemia
Academic Computer Centre
Phone: +420-38-7772080
Další informace o konferenci Linux