[TLUG] juz nie wiem co robic - znowu iptablesy

Mateusz Papiernik mati@mati.rm.pl
05 Feb 2002 12:15:52 +0100


juz nie wiem co robie zle.
Zalozenia mam takie ze 
1) wycinam wszystko
2) wpuszczam wszystko z eth1
3) wpuszczam wszsytko z 212.244.86.66

napisalem tak:

dziala wszystko w sieci lokalnej, ale pingi na www.onet.pl czy cos
takiego juz nie ida. NAT wysiadl, ale to chyba nie tylko nat, bo
bezposrednio z gatewaya tez nie pinga. Co jest nie tak?



    ##########
    # MODULY #
    ##########
    echo "      Loading modules...";
    
    # ladowanie modulow iptablesow    
    for module in ip_conntrack ip_conntrack_ftp ip_conntrack_h323
iptable_nat iptable_mangle ip_nat_h323 iptable_filter ip_tables ipt_tos
ip_queue ip_nat_ftp
    do modprobe $module || echo "       Error: cannot load module
$module"
    done

    ############
    # FIREWALL #
    ############
    echo "      Setting rules for firewalling..."

    # odrzucamy wszystkie pakiety wchodzace
    iptables -P INPUT DROP
    # odrzucamy wszystkie pakiety forwardujace
    iptables -P FORWARD DROP   
    
    # zatwierdzamy pakiety urzadzenia wewnetrznego loopback
    iptables -A INPUT -i lo -j ACCEPT
    
    # wylaczamy odpowiedzi na pingi i takie tam
    #echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
    #echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts         
    #echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
    #echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
    #echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
    echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
    #echo "1" > /proc/sys/net/ipv4/conf/all/log_martians
    echo "1" > /proc/sys/net/ipv4/ip_forward

    ###################
    # SSH, DNS i SMTP #
    ###################
    echo "      Granting SSH,SMTP,DNS access...";
    
    # wpuszczamy z karty eth1
    iptables -A INPUT -i eth1 -j ACCEPT
    
    # wpuszczamy od igora
    iptables -A INPUT -i eth0 -s 212.244.86.66 -j ACCEPT

    ###########################
    # PORT FORWARDING & H.323 #
    ###########################
    
    echo "      Setting up port forwarding and H.323..."

    H323_PORTS="389 522 1503 1720 1731 8080"
    for PORT in $H323_PORTS; do
     iptables -t nat -A PREROUTING -i eth0 -p udp -d 212.244.86.90
--dport $PORT -m state --state NEW,ESTABLISHED,RELATED -j DNAT
--to-destination 192.168.1.2
    done

    #############
    # MASKARADA #
    #############
    echo "      Setting rules for masquerading..."
    # ustawiamy, ze kazdy pakiet ma dostac zrodla na zewnetrzny ip
    iptables -t nat -A POSTROUTING -o eth0 -j SNAT
--to-source=212.244.86.90





-- 
pozdrawiam
------------------------------------------------------------------
Registered Linux User:   248664 | Powered by: Debian GNU/Linux Sid
Mateusz Papiernik - Maticomp XP | www.mati.rm.pl | mati@mati.rm.pl