firewoll sekce forward

[Pavel Knežik]

Dobry den,

takze rozjel jsem si na kompu se dvemi sitovkami debian a pomoci 
nejakejch how to atd. jsem nastavil prava na firewall.

Vypis ze sekce FORWARD:

#
# Retezec FORWARD
#

# Paket je oznacen jako NEW, ale nema nastaveny priznak SYN, pryc s nim
$IPTABLES -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP

# Nechceme rezervovane adresy na internetovem rozhrani
$IPTABLES -A FORWARD -i $INET_IFACE -j IN_FW

# Routing zevnitr site ven neomezujeme
#$IPTABLES -A FORWARD -i $LAN1_IFACE -j ACCEPT

************************************************************************

Tak a tady ja potrebuju aby ven mohli jen vybrani uzivatele podle 
vnitrni ip adresy.
Standartne je tam vsechni z venku vsude. vis up ; ).

Tak jsem tam pripsal

$IPTABLES -A FORWARD -s 223.233.100143 -j ACCEPT
                                                    ^-- lokal ip adresa

cili pokud bude zdroj 223.233.100.143 tak to muze vsude.
Nebo jsem to pochopil blbe? Dalo by se to vyresit prip jinak?

Proc se ptam protoze to normalne funguje muzu normalne ven ale presto mi 
to nejaky pakety zahazuje.
Coz je jaksi nesmysl nebo uz nevidim kde je chyba.
Log vypisuje:
Forward drop: IN=eth1 OUT=eth0 src=223.233.100.143 dst=81.101.131.130 
len=1210 tos=0x00 prec=0x00 ttl=127 id=3146 DF proto=tcp spt=3397 
dpt=4662 window=65351 res=0x00 ack psh urgp=0


************************************************************************


# Routing zvenku dovnitr pouze pro navazana spojeni (stavovy firewall)
$IPTABLES -A FORWARD -i $INET_IFACE -o $LAN1_IFACE \
  -m state --state ESTABLISHED,RELATED -j ACCEPT

# Ostatni pakety budou zahozeny, tak je budeme logovat (12 x 5 pkt/hod)
$IPTABLES -A FORWARD -m limit --limit 12/h -j LOG --log-prefix "forward 
drop: "




Poradi nekdo uz do toho cumim asi moc dlouho a nevidim tu chybu jdu si 
otevrit nejakou flasku a sprazim se treba to pak pujde lip ; ). Diky za 
kazdy nakopnuti.

PK