zacatecnik - ipchains, iptables, MASQ...

Ing. Miroslav Cabarka mirodoma na arka.sk
Úterý Červen 12 23:00:05 CEST 2001 

On Tuesday 12 June 2001 16:19, you wrote:
> ahoj,
>
> mam problem s nastavenim site.
>
> Pozival jsem winroute, ktere nevim jak moc dobre funguje ale ( jsem
> opravdu laik) vsichni mi rikali 'udelej si linux masinu a tam si to
> nastav - je to jednoduche'. ve winroute jsem vcelku chapal jak to
> funguje: sleduje tcp komunikaci a dela si nejakou tabulku podle
> ktere pozna zda prichazejici paket byl iniciovan z lokalni site
> nebo ne. podle toho ho zakaze nebo propusti. paketovy filtr byl
> taky jasny. nemam nejmensi tuseni jak to funguje v linuxu. po
> kamaradech 'dobrych radcech' se slehla zem.
>
> byl by nekdo ochoten napsat (obecne) neco o ipchains, iptables,
> MASQ o co vlastne jde? nejak polopate pro windows usera ;)

ipchains a iptables sluzia na nastavenie tych tabuliek v kerneli, 
ktore spominate vyssie. ipchains je pre kernely 2.2.x a iptables pre 
2.4.x.

Tie tabulky pouzije kernel na to, aby s paketom vykonal nejaku akciu, 
napr. PUSTIT, ZAHODIT, MASKOVAT a pod. Do tej tabulky sa zadavaju 
pravidla, ktore ked paket splni, vykona sa prislusna akcia. Pravidla 
sa tykaju zdrojovej adresy, cielovej adresy, rozhrania, protokolu, 
portu, znacky 1. paketu spojenia. Treba poznat teoriu jednotlivych 
aplikacnych protokolov, napr. takto: mail prichadza na port 25 
servera, z portu klienta >1024 a vybera sa protokolom POP3 tak, ze 
klient vyvola spojenie z >1024 na port 110 servera. Potom treba 
vediet toto prelozit do "reci paketoveho filtra", teda vlastne 
vyplnit spominanu tabulku. Bez studia dokumentacie alebo 
specializovanej literatury to ale nepojde tak lahko. V cestine 
existuje napr. kniha FIREWALLY, kde sa dobre popisuje protokol IP, 
TCP a UDP, ich funkcia a zasady budovania firewallov.

> ipchains -L: ( porad se meni, po bootu a prihlaseni se z lokalu pre
> ssh je tam tohle) ------------
> Chain input (policy ACCEPT):
> target     prot opt     source                destination          
> ports -          tcp  ------  anywhere             anywhere        
>      any ->   netbios-ns:netbios-ssn -          udp  ------ 
> anywhere             anywhere              any ->  
> netbios-ns:netbios-ssn Chain forward (policy ACCEPT):
> target     prot opt     source                destination          
> ports MASQ       all  ------  192.168.1.0/29       anywhere        
>      n/a MASQ       all  ------  192.168.2.0/29       anywhere     
>         n/a

To je nic. Vsetko je otvorene dokoran - policy ACCEPT.

>
> /etc/rc.d/rc.firewall:
> ----------------------
>
> /sbin/depmod -a
> echo "1" > /proc/sys/net/ipv4/ip_forward
> /sbin/ipchains -M -S 7200 10 160
> /sbin/ipchains -A forward -s 192.168.1.0/29 -p all -j MASQ
> /sbin/ipchains -A forward -s 192.168.2.0/29 -p all -j MASQ
> /sbin/ipchains -A input -i eth0 --destination-port 137:139 -p tcp
> /sbin/ipchains -A input -i eth0 --destination-port 137:139 -p udp
> #/sbin/ipfwadm -F -p masquerade

Len nastavene maskovanie, ale aj to je zle.

Ak mate zaujem, mozem Vam poslat nejake vzorove skripty na sukromny 
mail.

Prijemny den.
-- 
Ing. Miroslav Cabarka
mcabarka na arka.sk
mirodoma na arka.sk
ARKA, a.s.

Další informace o konferenci Linux