firewoll sekce forward

Antonín Micka antonin.micka na megasphera.cz
Pátek Říjen 31 10:02:54 CET 2003 

Dobry den,

Pokud vse funguje jak ma,tedy z toho stroje je provoz k inetu v poradku, pak 
bude pricina asi nekde jinde. Chtelo by to zjistit, co je pricinou, nebot 
takhle na dalku se mi to zda byt v poradku. Jedinou nesrovnalost spatruji v 
tom, ze vse, co prijde z vnitrni site povolite:
> # Routing zevnitr site ven neomezujeme
> #$IPTABLES -A FORWARD -i $LAN1_IFACE -j ACCEPT
Ale to by snad nemel byt problem.

 Dne pá 31. říjen 2003 08:53 Pavel Knežik napsal(a): 

> Dobry den,
>
> takze rozjel jsem si na kompu se dvemi sitovkami debian a pomoci
> nejakejch how to atd. jsem nastavil prava na firewall.
>
> Vypis ze sekce FORWARD:
>
> #
> # Retezec FORWARD
> #
>
> # Paket je oznacen jako NEW, ale nema nastaveny priznak SYN, pryc s nim
> $IPTABLES -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
>
> # Nechceme rezervovane adresy na internetovem rozhrani
> $IPTABLES -A FORWARD -i $INET_IFACE -j IN_FW
>
> # Routing zevnitr site ven neomezujeme
> #$IPTABLES -A FORWARD -i $LAN1_IFACE -j ACCEPT
>
> ************************************************************************
>
> Tak a tady ja potrebuju aby ven mohli jen vybrani uzivatele podle
> vnitrni ip adresy.
> Standartne je tam vsechni z venku vsude. vis up ; ).
>
> Tak jsem tam pripsal
>
> $IPTABLES -A FORWARD -s 223.233.100143 -j ACCEPT
>                                                     ^-- lokal ip adresa
>
> cili pokud bude zdroj 223.233.100.143 tak to muze vsude.
> Nebo jsem to pochopil blbe? Dalo by se to vyresit prip jinak?
>
> Proc se ptam protoze to normalne funguje muzu normalne ven ale presto mi
> to nejaky pakety zahazuje.
> Coz je jaksi nesmysl nebo uz nevidim kde je chyba.
> Log vypisuje:
> Forward drop: IN=eth1 OUT=eth0 src=223.233.100.143 dst=81.101.131.130
> len=1210 tos=0x00 prec=0x00 ttl=127 id=3146 DF proto=tcp spt=3397
> dpt=4662 window=65351 res=0x00 ack psh urgp=0
>
> ************************************************************************
> # Routing zvenku dovnitr pouze pro navazana spojeni (stavovy firewall)
> $IPTABLES -A FORWARD -i $INET_IFACE -o $LAN1_IFACE \
>   -m state --state ESTABLISHED,RELATED -j ACCEPT
>
> # Ostatni pakety budou zahozeny, tak je budeme logovat (12 x 5 pkt/hod)
> $IPTABLES -A FORWARD -m limit --limit 12/h -j LOG --log-prefix "forward
> drop: "
>
> Poradi nekdo uz do toho cumim asi moc dlouho a nevidim tu chybu jdu si
> otevrit nejakou flasku a sprazim se treba to pak pujde lip ; ). Diky za
> kazdy nakopnuti.
>
> PK

-- 

Antonín Mička
===========

Další informace o konferenci Linux