:strip_icc():strip_exif()/u/35401/crop624342fd85a76_cropped.jpg?f=community)
Hallo iedereen
Ik zit hier al tijdje met iets wat ik niet volledig begrijp. Ik heb dus een linux server met 2 netwerkkaarten, 1e staat op NAT, andere staat op een virtueel netwerk.
Alles is ingesteld, alles werkt perfect.
Ik stel in via iptables:
Iptables –P FORWARD DROP
iptables –P OUTPUT DROP
iptables –P INPUT DROP
dus, op mijn client geen verkeer meer
vervolgens:
iptables -A FORWARD -p tcp --sport 53 -j ACCEPT
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -p udp --sport 53 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
Iptables –A FORWARD –p tcp - - dport 80 –j ACCEPT
Iptables –A FORWARD –p tcp - - sport 80 –j ACCEPT
Dus DNS verkeer laat ik door, en http verkeer.
nu heb ik volgende vragen:
1) Ik kan surfen op mijn client, maar waarom is dit? als ik kijk via netstat-a zie ik dat http verkeer dus poorten crieert (1000-65000)? Waarom laat mijn firewall dan dit verkeer door? Zou hij deze normalitter niet moeten blokkeren? Als ik kijk op mijn client met wireshark, zie ik als destination : nfa (1150) (dus port nummer achter nfa, maar wat is nfa?)
2) om dit alles in orde te krijgen heb ik hetvolgende gezet in sysctl.conf:
net.ipv4.ip_forward = 1
Vervolgens heb ik
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
eenmalig uitgevoerd, en was in orde, maar normaal moet je dit bovenstaande toch in een startup script plaatsen? Elke keer ik herstart werkt alles, maar toch voer ik die regel niet in, en staat ook niet in de iptables -n nat -L ?
Normaal gezien moet je toch deze elke keer ingeven?
Alvast bedankt
Ik zit hier al tijdje met iets wat ik niet volledig begrijp. Ik heb dus een linux server met 2 netwerkkaarten, 1e staat op NAT, andere staat op een virtueel netwerk.
Alles is ingesteld, alles werkt perfect.
Ik stel in via iptables:
Iptables –P FORWARD DROP
iptables –P OUTPUT DROP
iptables –P INPUT DROP
dus, op mijn client geen verkeer meer
vervolgens:
iptables -A FORWARD -p tcp --sport 53 -j ACCEPT
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -p udp --sport 53 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
Iptables –A FORWARD –p tcp - - dport 80 –j ACCEPT
Iptables –A FORWARD –p tcp - - sport 80 –j ACCEPT
Dus DNS verkeer laat ik door, en http verkeer.
nu heb ik volgende vragen:
1) Ik kan surfen op mijn client, maar waarom is dit? als ik kijk via netstat-a zie ik dat http verkeer dus poorten crieert (1000-65000)? Waarom laat mijn firewall dan dit verkeer door? Zou hij deze normalitter niet moeten blokkeren? Als ik kijk op mijn client met wireshark, zie ik als destination : nfa (1150) (dus port nummer achter nfa, maar wat is nfa?)
2) om dit alles in orde te krijgen heb ik hetvolgende gezet in sysctl.conf:
net.ipv4.ip_forward = 1
Vervolgens heb ik
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
eenmalig uitgevoerd, en was in orde, maar normaal moet je dit bovenstaande toch in een startup script plaatsen? Elke keer ik herstart werkt alles, maar toch voer ik die regel niet in, en staat ook niet in de iptables -n nat -L ?
Normaal gezien moet je toch deze elke keer ingeven?
Alvast bedankt
/u/20461/crop57d9660f4ca9e_cropped.png?f=community)
. FORWARD is geen NAT. Zou je het willen blokkeren, moet je dat in de NAT tabel doen, 
)/u/8/oog3.png?f=community)
(maarja, dan hadden we ipv6 ook allang moeten hebben).
:strip_icc():strip_exif()/u/44267/wap11.jpg?f=community)
/u/34216/rei-60-xmas.png?f=community)