:strip_icc():strip_exif()/u/436304/14020.jpg?f=community)
Hallo iedereen,
Ik zit met een probleem.
Voor school moet ik een linux router/firewall bouwen met linux doormiddel van iptables.
Ik gebruik VMware workstation 10.0.0.1 ( herinstall lost het probleem niet op)
Ook een nieuwe virtuele machine aanmaken lost het probleem niet op... het komt voor op OpenSuse 12.3 en 13.1 ( up to dat )
Hoe ziet het netwerk eruit:
1 router met 3 netwerkkaarten. (1 DHCP, 1 op 10 range, 1 op 172 range)
dhcp = voor internet enz
10 range = lan
172 = DMZ
Router heb ik getest op OpenSuse 12.3 en 13.1 ( Volledig up to date)
lan = windows servers en clients. ( zowel met eigen DNS als 8.8.8.8. geprobeerd vast in te stellen)
De iptables kloppen ( alles werkt voor +/- 15 min ) Na deze tijd krijg ik opeens geen internet meer op mijn onderliggend clients en DC's. Zelfs de router zelf verliest internet.
Ik kan wel pingen naar 8.8.8.8 maar niet meer naar www.google.nl. Het probleem zit dus in DNS.
Als ik pingen constant open laat op de router blijft pingen mogelijk naar www.google.nl. Maar toch krijg ik geen internet in de browser ( naar 15 min) voor die tijd kan het wel zonder problemen....
Als ik pingen uitzet krijg ik naar 16 min " cannot resolve www.google.nl"
Ik had uitgevonden dat als ik " forward op ACCEPT zet, iptables uitvoer. forward weer op drop zet en hem weer uitvoer dan werkt het weer voor 15 min...
Maar dat is natuurlijk geen oplossing.
Hieronder staan mijn iptables ( het stuk dat er toe doet) Ik hoop dat iemand enig idee heeft hoe dit kan
:
#!/bin/sh
iptables -F
iptables -X
iptables -t nat -F
#ipforwarding aanzetten
echo 1 > /proc/sys/net/ipv4/ip_forward
#name aangeven
wan=eth0
dmz=eth2
lan=eth1
#nat aanzetten
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#iptables policies droppen
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
#forward
iptables -A FORWARD -i $lan -o $wan -m conntrack --ctstate ESTABLISHED,RELATED -p tcp --dport http -j ACCEPT
iptables -A FORWARD -i $lan -o $wan -m conntrack --ctstate ESTABLISHED,RELATED -p tcp --sport http -j ACCEPT
iptables -A FORWARD -i $wan -o $lan -m conntrack --ctstate ESTABLISHED,RELATED -p tcp --dport http -j ACCEPT
iptables -A FORWARD -i $wan -o $lan -m conntrack --ctstate ESTABLISHED,RELATED -p tcp --sport http -j ACCEPT
#https
iptables -A FORWARD -i $lan -o $wan -m conntrack --ctstate ESTABLISHED,RELATED -p tcp --dport https -j ACCEPT
iptables -A FORWARD -i $lan -o $wan -m conntrack --ctstate ESTABLISHED,RELATED -p tcp --sport https -j ACCEPT
iptables -A FORWARD -i $wan -o $lan -m conntrack --ctstate ESTABLISHED,RELATED -p tcp --dport https -j ACCEPT
iptables -A FORWARD -i $wan -o $lan -m conntrack --ctstate ESTABLISHED,RELATED -p tcp --sport https -j ACCEPT
#dns
iptables -A FORWARD -i $lan -o $wan -m conntrack --ctstate ESTABLISHED,RELATED -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -i $lan -o $wan -m conntrack --ctstate ESTABLISHED,RELATED -p udp --sport 53 -j ACCEPT
iptables -A FORWARD -i $lan -o $wan -m conntrack --ctstate ESTABLISHED,RELATED -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -i $lan -o $wan -m conntrack --ctstate ESTABLISHED,RELATED -p tcp --sport 53 -j ACCEPT
iptables -A FORWARD -i $wan -o $lan -m conntrack --ctstate ESTABLISHED,RELATED -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -i $wan -o $lan -m conntrack --ctstate ESTABLISHED,RELATED -p udp --sport 53 -j ACCEPT
iptables -A FORWARD -i $wan -o $lan -m conntrack --ctstate ESTABLISHED,RELATED -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -i $wan -o $lan -m conntrack --ctstate ESTABLISHED,RELATED -p tcp --sport 53 -j ACCEPT
# hyper text tranfer protocol
iptables -A FORWARD -i $lan -o $wan -m conntrack --ctstate NEW,ESTABLISHED,RELATED -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -i $lan -o $wan -m conntrack --ctstate NEW,ESTABLISHED,RELATED -p tcp --sport 443 -j ACCEPT
iptables -A FORWARD -i $wan -o $lan -m conntrack --ctstate NEW,ESTABLISHED,RELATED -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -i $wan -o $lan -m conntrack --ctstate NEW,ESTABLISHED,RELATED -p tcp --sport 443 -j ACCEPT
# i ports
iptables -A FORWARD -i $lan -o $wan -m conntrack --ctstate NEW,ESTABLISHED,RELATED -p tcp --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -i $lan -o $wan -m conntrack --ctstate NEW,ESTABLISHED,RELATED -p tcp --sport 1024:65535 -j ACCEPT
iptables -A FORWARD -i $wan -o $lan -m conntrack --ctstate NEW,ESTABLISHED,RELATED -p tcp --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -i $wan -o $lan -m conntrack --ctstate NEW,ESTABLISHED,RELATED -p tcp --sport 1024:65535 -j ACCEPT
#Laat een lijst zien van de iptables
iptables -n -L
Ik zit met een probleem.
Voor school moet ik een linux router/firewall bouwen met linux doormiddel van iptables.
Ik gebruik VMware workstation 10.0.0.1 ( herinstall lost het probleem niet op)
Ook een nieuwe virtuele machine aanmaken lost het probleem niet op... het komt voor op OpenSuse 12.3 en 13.1 ( up to dat )
Hoe ziet het netwerk eruit:
1 router met 3 netwerkkaarten. (1 DHCP, 1 op 10 range, 1 op 172 range)
dhcp = voor internet enz
10 range = lan
172 = DMZ
Router heb ik getest op OpenSuse 12.3 en 13.1 ( Volledig up to date)
lan = windows servers en clients. ( zowel met eigen DNS als 8.8.8.8. geprobeerd vast in te stellen)
De iptables kloppen ( alles werkt voor +/- 15 min ) Na deze tijd krijg ik opeens geen internet meer op mijn onderliggend clients en DC's. Zelfs de router zelf verliest internet.
Ik kan wel pingen naar 8.8.8.8 maar niet meer naar www.google.nl. Het probleem zit dus in DNS.
Als ik pingen constant open laat op de router blijft pingen mogelijk naar www.google.nl. Maar toch krijg ik geen internet in de browser ( naar 15 min) voor die tijd kan het wel zonder problemen....
Als ik pingen uitzet krijg ik naar 16 min " cannot resolve www.google.nl"
Ik had uitgevonden dat als ik " forward op ACCEPT zet, iptables uitvoer. forward weer op drop zet en hem weer uitvoer dan werkt het weer voor 15 min...
Maar dat is natuurlijk geen oplossing.
Hieronder staan mijn iptables ( het stuk dat er toe doet) Ik hoop dat iemand enig idee heeft hoe dit kan
: #!/bin/sh
iptables -F
iptables -X
iptables -t nat -F
#ipforwarding aanzetten
echo 1 > /proc/sys/net/ipv4/ip_forward
#name aangeven
wan=eth0
dmz=eth2
lan=eth1
#nat aanzetten
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#iptables policies droppen
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
#forward
iptables -A FORWARD -i $lan -o $wan -m conntrack --ctstate ESTABLISHED,RELATED -p tcp --dport http -j ACCEPT
iptables -A FORWARD -i $lan -o $wan -m conntrack --ctstate ESTABLISHED,RELATED -p tcp --sport http -j ACCEPT
iptables -A FORWARD -i $wan -o $lan -m conntrack --ctstate ESTABLISHED,RELATED -p tcp --dport http -j ACCEPT
iptables -A FORWARD -i $wan -o $lan -m conntrack --ctstate ESTABLISHED,RELATED -p tcp --sport http -j ACCEPT
#https
iptables -A FORWARD -i $lan -o $wan -m conntrack --ctstate ESTABLISHED,RELATED -p tcp --dport https -j ACCEPT
iptables -A FORWARD -i $lan -o $wan -m conntrack --ctstate ESTABLISHED,RELATED -p tcp --sport https -j ACCEPT
iptables -A FORWARD -i $wan -o $lan -m conntrack --ctstate ESTABLISHED,RELATED -p tcp --dport https -j ACCEPT
iptables -A FORWARD -i $wan -o $lan -m conntrack --ctstate ESTABLISHED,RELATED -p tcp --sport https -j ACCEPT
#dns
iptables -A FORWARD -i $lan -o $wan -m conntrack --ctstate ESTABLISHED,RELATED -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -i $lan -o $wan -m conntrack --ctstate ESTABLISHED,RELATED -p udp --sport 53 -j ACCEPT
iptables -A FORWARD -i $lan -o $wan -m conntrack --ctstate ESTABLISHED,RELATED -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -i $lan -o $wan -m conntrack --ctstate ESTABLISHED,RELATED -p tcp --sport 53 -j ACCEPT
iptables -A FORWARD -i $wan -o $lan -m conntrack --ctstate ESTABLISHED,RELATED -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -i $wan -o $lan -m conntrack --ctstate ESTABLISHED,RELATED -p udp --sport 53 -j ACCEPT
iptables -A FORWARD -i $wan -o $lan -m conntrack --ctstate ESTABLISHED,RELATED -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -i $wan -o $lan -m conntrack --ctstate ESTABLISHED,RELATED -p tcp --sport 53 -j ACCEPT
# hyper text tranfer protocol
iptables -A FORWARD -i $lan -o $wan -m conntrack --ctstate NEW,ESTABLISHED,RELATED -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -i $lan -o $wan -m conntrack --ctstate NEW,ESTABLISHED,RELATED -p tcp --sport 443 -j ACCEPT
iptables -A FORWARD -i $wan -o $lan -m conntrack --ctstate NEW,ESTABLISHED,RELATED -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -i $wan -o $lan -m conntrack --ctstate NEW,ESTABLISHED,RELATED -p tcp --sport 443 -j ACCEPT
# i ports
iptables -A FORWARD -i $lan -o $wan -m conntrack --ctstate NEW,ESTABLISHED,RELATED -p tcp --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -i $lan -o $wan -m conntrack --ctstate NEW,ESTABLISHED,RELATED -p tcp --sport 1024:65535 -j ACCEPT
iptables -A FORWARD -i $wan -o $lan -m conntrack --ctstate NEW,ESTABLISHED,RELATED -p tcp --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -i $wan -o $lan -m conntrack --ctstate NEW,ESTABLISHED,RELATED -p tcp --sport 1024:65535 -j ACCEPT
#Laat een lijst zien van de iptables
iptables -n -L