[TLUG] juz nie wiem co robic - znowu iptablesy

Mateusz Papiernik mati@mati.rm.pl
05 Feb 2002 12:15:52 +0100


juz nie wiem co robie zle.
Zalozenia mam takie ze 
1) wycinam wszystko
2) wpuszczam wszystko z eth1
3) wpuszczam wszsytko z 212.244.86.66

napisalem tak:

dziala wszystko w sieci lokalnej, ale pingi na www.onet.pl czy cos
takiego juz nie ida. NAT wysiadl, ale to chyba nie tylko nat, bo
bezposrednio z gatewaya tez nie pinga. Co jest nie tak?  ##########
  # MODULY #
  ##########
  echo "   Loading modules...";
  
  # ladowanie modulow iptablesow  
  for module in ip_conntrack ip_conntrack_ftp ip_conntrack_h323
iptable_nat iptable_mangle ip_nat_h323 iptable_filter ip_tables ipt_tos
ip_queue ip_nat_ftp
  do modprobe $module || echo "    Error: cannot load module
$module"
  done

  ############
  # FIREWALL #
  ############
  echo "   Setting rules for firewalling..."

  # odrzucamy wszystkie pakiety wchodzace
  iptables -P INPUT DROP
  # odrzucamy wszystkie pakiety forwardujace
  iptables -P FORWARD DROP  
  
  # zatwierdzamy pakiety urzadzenia wewnetrznego loopback
  iptables -A INPUT -i lo -j ACCEPT
  
  # wylaczamy odpowiedzi na pingi i takie tam
  #echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
  #echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts     
  #echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
  #echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
  #echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
  echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
  #echo "1" > /proc/sys/net/ipv4/conf/all/log_martians
  echo "1" > /proc/sys/net/ipv4/ip_forward

  ###################
  # SSH, DNS i SMTP #
  ###################
  echo "   Granting SSH,SMTP,DNS access...";
  
  # wpuszczamy z karty eth1
  iptables -A INPUT -i eth1 -j ACCEPT
  
  # wpuszczamy od igora
  iptables -A INPUT -i eth0 -s 212.244.86.66 -j ACCEPT

  ###########################
  # PORT FORWARDING & H.323 #
  ###########################
  
  echo "   Setting up port forwarding and H.323..."

  H323_PORTS="389 522 1503 1720 1731 8080"
  for PORT in $H323_PORTS; do
   iptables -t nat -A PREROUTING -i eth0 -p udp -d 212.244.86.90
--dport $PORT -m state --state NEW,ESTABLISHED,RELATED -j DNAT
--to-destination 192.168.1.2
  done

  #############
  # MASKARADA #
  #############
  echo "   Setting rules for masquerading..."
  # ustawiamy, ze kazdy pakiet ma dostac zrodla na zewnetrzny ip
  iptables -t nat -A POSTROUTING -o eth0 -j SNAT
--to-source=212.244.86.90

-- 
pozdrawiam
------------------------------------------------------------------
Registered Linux User:  248664 | Powered by: Debian GNU/Linux Sid
Mateusz Papiernik - Maticomp XP | www.mati.rm.pl | mati@mati.rm.pl