Kirjoittaja Aihe: Virtualinterfacet ja iptables sääntöongelma  (Luettu 2775 kertaa)

_Pete_

  • Käyttäjä
  • Viestejä: 1845
  • Fufufuuffuuu
    • Profiili
Virtualinterfacet ja iptables sääntöongelma
« : 11.03.06 - klo:12.36 »
Taustaa:

Otin adsl-modeemistani NAT:n pois päältä, jotta kaikki koneet saavat internettiin oman IP-osoitteen.
Jotta lähiverkko toimisi samalla tavalla kuin NAT:n kanssa, päätin ottaa käyttöön virtualinterfacet, eli
eth0 liitynnälle annetaan ensin ip-osoite DHCP:llä palveluntarjoajalta ja sen jälkeen asetataan toinen
ip-osoite lähiverkkoa varten, tämän ohjeen mukaisesti:
http://www.debian.org/doc/manuals/reference/ch-gateway.en.html (kappale 10.6.1.7)

Eli nyt on seuraavanlainen tilanne:

eth0 saa ip:n DHCP:llä ISP:ltä
eth0:0 static ip 192.168.0.x

Nyt pitäisi vielä saada palomuuri toimimaan halutulla tavalla. Mitkään valmiit ratkaisut kuten firestarter tai arno's
firewall scripti ei toimi vaan ne blokkaavat kaiken liikenteen eth0:0 liitynnästä.

Pitäisi siis saada niin että eth0 sallitaan sisäänpäin halutut tcp/upd portit ja ulospäin kaikki.
eth0:0 virtuaaliliitynnästä sallitaan kaikki liikenne.

Voisiko joku auttaa scriptin tekemiseen tai neuvoa mistä löytyy sopiva pohja tällaiseen tapaukseen, oma kokemus
niiden tekemiseen ennen tätä on pyörä 0! :)

Thanks!


Kupuntu

  • Käyttäjä
  • Viestejä: 804
  • Kubuntu 8.10 @ Amilo A1645
    • Profiili
Re: Virtualinterfacet ja iptables sääntöongelma
« Vastaus #1 : 11.03.06 - klo:12.42 »
Taustaa:

Otin adsl-modeemistani NAT:n pois päältä, jotta kaikki koneet saavat internettiin oman IP-osoitteen.
Jotta lähiverkko toimisi samalla tavalla kuin NAT:n kanssa, päätin ottaa käyttöön virtualinterfacet, eli
eth0 liitynnälle annetaan ensin ip-osoite DHCP:llä palveluntarjoajalta ja sen jälkeen asetataan toinen
ip-osoite lähiverkkoa varten, tämän ohjeen mukaisesti:
http://www.debian.org/doc/manuals/reference/ch-gateway.en.html (kappale 10.6.1.7)

Eli nyt on seuraavanlainen tilanne:

eth0 saa ip:n DHCP:llä ISP:ltä
eth0:0 static ip 192.168.0.x

Nyt pitäisi vielä saada palomuuri toimimaan halutulla tavalla. Mitkään valmiit ratkaisut kuten firestarter tai arno's
firewall scripti ei toimi vaan ne blokkaavat kaiken liikenteen eth0:0 liitynnästä.

Pitäisi siis saada niin että eth0 sallitaan sisäänpäin halutut tcp/upd portit ja ulospäin kaikki.
eth0:0 virtuaaliliitynnästä sallitaan kaikki liikenne.

Voisiko joku auttaa scriptin tekemiseen tai neuvoa mistä löytyy sopiva pohja tällaiseen tapaukseen, oma kokemus
niiden tekemiseen ennen tätä on pyörä 0! :)

Thanks!


Firestarterilla sallit kaikki portit eth0:0:sta (0-65635). Ja sitten vaan sallit kaikki ne portit sisäänpäin mitä haluat. Helppoa, eikö?
Amilo A1645: AMD 3300+ 2.0 Ghz, 512 mb RAM, 80 gb kiintolevy.
Last.fm

Juhhe1

  • Käyttäjä
  • Viestejä: 1062
    • Profiili
    • Valokuva albumini
Re: Virtualinterfacet ja iptables sääntöongelma
« Vastaus #2 : 11.03.06 - klo:13.04 »
Taustaa:

Otin adsl-modeemistani NAT:n pois päältä, jotta kaikki koneet saavat internettiin oman IP-osoitteen.
Jotta lähiverkko toimisi samalla tavalla kuin NAT:n kanssa, päätin ottaa käyttöön virtualinterfacet, eli
eth0 liitynnälle annetaan ensin ip-osoite DHCP:llä palveluntarjoajalta ja sen jälkeen asetataan toinen
ip-osoite lähiverkkoa varten, tämän ohjeen mukaisesti:
http://www.debian.org/doc/manuals/reference/ch-gateway.en.html (kappale 10.6.1.7)

Eli nyt on seuraavanlainen tilanne:

eth0 saa ip:n DHCP:llä ISP:ltä
eth0:0 static ip 192.168.0.x

Nyt pitäisi vielä saada palomuuri toimimaan halutulla tavalla. Mitkään valmiit ratkaisut kuten firestarter tai arno's
firewall scripti ei toimi vaan ne blokkaavat kaiken liikenteen eth0:0 liitynnästä.

Pitäisi siis saada niin että eth0 sallitaan sisäänpäin halutut tcp/upd portit ja ulospäin kaikki.
eth0:0 virtuaaliliitynnästä sallitaan kaikki liikenne.

Voisiko joku auttaa scriptin tekemiseen tai neuvoa mistä löytyy sopiva pohja tällaiseen tapaukseen, oma kokemus
niiden tekemiseen ennen tätä on pyörä 0! :)

Thanks!


Firestarterilla sallit kaikki portit eth0:0:sta (0-65635). Ja sitten vaan sallit kaikki ne portit sisäänpäin mitä haluat. Helppoa, eikö?

Tai sitten sallii kaiken liikenteen 192.168.0.x ip osoitteista

Tlp-WS (Workstation) - .:Ubuntu 10.10:.
Xenophobic (Laptop) - .:Ubuntu 10.04:.
Xenophobic-II (Laptop) - .:Ubuntu 10.10:.
TlpEEE (Asus EEE) - .:Crunchbang 10 Statle

_Pete_

  • Käyttäjä
  • Viestejä: 1845
  • Fufufuuffuuu
    • Profiili
Re: Virtualinterfacet ja iptables sääntöongelma [RATKAISTU]
« Vastaus #3 : 13.03.06 - klo:08.31 »
Joo tosiaankin ongelma sitten ratkesi laittamalla Firestart:riin säännön, joka sallii kaiken
liikenteen LAN verkossa.

Eli nyt on onnistuneesti suoritettu NAT -> ei NAT siirtyminen, kaikki toimii samalla tapaa kuin NAT:n kanssa vaikka
kaikilla koneilla on oma ip-osoite verkkoon.