iptables - zoufalstvi - cele
Michal Weinfurtner
weinfurt na tesmail.cz
Čtvrtek Květen 22 11:56:57 CEST 2003
Vzdy kdyz se dostanu do problemu s iptables, udelam toto :
1) iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
2) iptables -N drop-and-log-it
iptables -A drop-and-log-it -j LOG
iptables -A drop-and-log-it -j DROP
3) Nastavim pravidla tak jak si myslim ze by mela fungovat
4) na konec kazdeho chainu dam iptables -A INPUT/FORWARD/OUTPUT -j
drop-and-log-it
5) zkousim spojeni o kterem si myslim ze by melo fungovat a v logu vidim
jeky pakety projdou pravidlem aniz by se ho dotkla nektera z vyse
nastavenych a tak vzdycky najdu chybu. V logu je videt odkud kam paket
sel a kde se zachytil.
6) vinikajicim pomocnikem je taky tcpdump :-))
Co se tyce NAT, pouzivam tuto kombinaci, a vzdy mi fungovala. V kazdem
pripade, musi byt vzdy povoleno nejak ve FORWARD chainu !!
iptables -t nat -A POSTROUTING -o extif -j SNAT --to-source extip
Dovnitr je pak DNAT :-)
Co se tyve forwardu, vzdy mi funguje
echo 1 > /proc/sys/net/ipv4/ip_forward
i na RH 8.0 jadro 2.4.20-13 z posledniho updatu a bez natahovani modulu
rucne ( krom ftp trackingu )
echo 2 >/proc/sys/net/ipv4/conf/${interfaces}/rp_filter
ale to by snad na funkcnost NAT nemelo mit vliv !
M.
On Čt, 2003-05-22 at 11:53, Kovar Jan wrote:
> > tezko rict. mate na stanicich v LAN nastavenou branu?
>
> Mam nastavenou branu, DNS, vsechno je OK. Kontrolovano nescetnekrat.
> Resetovan switch. Vyzkouseno i jine PC. Ted to jeste odzkousime s krizenym
> kabelem. Proste uz blbneme.
------------- další část ---------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 189 bytes
Desc: [žádný popis není k dispozici]
URL: <http://www.linux.cz/pipermail/linux/attachments/20030522/ce84d318/attachment.sig>
Další informace o konferenci Linux