zacatecnik - ipchains, iptables, MASQ...
Miroslav Pragl
miroslav.pragl na omega-optix.cz
Úterý Červen 12 16:52:22 CEST 2001
> chapal jak to funguje: sleduje tcp komunikaci a dela si
> nejakou tabulku podle ktere pozna zda
> prichazejici paket byl iniciovan z lokalni site nebo ne.
> podle toho ho zakaze nebo propusti.
no tu tabulku zadate vy, on jen porovna adresy v packetu s tabulkou a podle
toho pusti/blokne/prelozi
> paketovy filtr byl taky jasny. nemam nejmensi tuseni jak to
> funguje v linuxu. po kamaradech
> 'dobrych radcech' se slehla zem.
velice podobne.
ipchains/tables "sleduje pakety" a NECO s nimi dela, a to pri:
1. prichodu
2. smerovani
3. odchodu
u IPCHAINS se uplatni klidne veskere 3 radky; IPTABLES je sofistikovanejsi a
tak pouzije pravidlo podel typu paketu - pro packet ktery konci na
localhostu pouze 1., pro paket "prochazejici" 2. a pro paket z localhostu
pouze 3.
Takze
echo "1" > /proc/sys/net/ipv4/ip_forward
povoli routing (NAT se tvari jako router), navic routujete 192.168.1.0 a
2.0. BTW proc kazdy zacina od 192.168.1.0 a nikoliv 192.168.0.0 :-) ????
/sbin/ipchains -M -S 7200 10 160
nastavi timeouty
/sbin/ipchains -A forward -s 192.168.1.0/29 -p all -j MASQ
/sbin/ipchains -A forward -s 192.168.2.0/29 -p all -j MASQ
tady je nejaka chyba, timhle prece maskaradujete veskere pakety z internich
segmentu - tedy i provoz mezi siti 192.168.1.0 a 2.0?! a ta maska????
osobne bych to zjednodusil na 1 radek(pokud nemate jine routery na siti)
/sbin/ipchains -A forward -s 192.168.0.0/255.255.0.0 -d
!192.168.0.0/255.0.0.0 -p all -j MASQ
tzn maskaradovat vse ze site 192.168.0.0/255.255.0.0 pokud to nesmeruje do
teze site (lokalni routing)
/sbin/ipchains -A input -i eth0 --destination-port 137:139 -p tcp
/sbin/ipchains -A input -i eth0 --destination-port 137:139 -p udp
tady chybi co s tim ma delat (povolit, zakazat, zahodit, skartovat)
MP
pokracovani priste
Další informace o konferenci Linux