iptables - zoufalstvi - cele

[Michal Weinfurtner]

Vzdy kdyz se dostanu do problemu s iptables, udelam toto :

1) iptables -P INPUT ACCEPT
   iptables -P OUTPUT ACCEPT
   iptables -P FORWARD ACCEPT

2) iptables -N drop-and-log-it
   iptables -A drop-and-log-it -j LOG
   iptables -A drop-and-log-it -j DROP

3) Nastavim pravidla tak jak si myslim ze by mela fungovat 

4) na konec kazdeho chainu dam iptables -A INPUT/FORWARD/OUTPUT -j
drop-and-log-it 

5) zkousim spojeni o kterem si myslim ze by melo fungovat a v logu vidim
jeky pakety projdou pravidlem aniz by se ho dotkla nektera z vyse
nastavenych a tak vzdycky najdu chybu. V logu je videt odkud kam paket
sel a kde se zachytil.

6) vinikajicim pomocnikem je taky tcpdump :-)) 

Co se tyce NAT, pouzivam tuto kombinaci, a vzdy mi fungovala. V kazdem
pripade, musi byt vzdy povoleno nejak ve FORWARD chainu !! 

iptables -t nat -A POSTROUTING -o extif -j SNAT --to-source extip

Dovnitr je pak DNAT :-) 

Co se tyve forwardu, vzdy mi funguje 
echo 1 > /proc/sys/net/ipv4/ip_forward

i na RH 8.0 jadro 2.4.20-13 z posledniho updatu a bez natahovani modulu
rucne ( krom ftp trackingu ) 

echo 2 >/proc/sys/net/ipv4/conf/${interfaces}/rp_filter 
ale to by snad na funkcnost NAT nemelo mit vliv ! 

M.

On Čt, 2003-05-22 at 11:53, Kovar Jan wrote:
> > tezko rict. mate na stanicich v LAN nastavenou branu?
> 
> Mam nastavenou branu, DNS, vsechno je OK. Kontrolovano nescetnekrat.
> Resetovan switch. Vyzkouseno i jine PC. Ted to jeste odzkousime s krizenym
> kabelem. Proste uz blbneme.

------------- další část ---------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 189 bytes
Desc: [žádný popis není k dispozici]
URL: <http://www.linux.cz/pipermail/linux/attachments/20030522/ce84d318/attachment.sig>