Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Ubuntu Server + DHCPd + UFW firewall

Pagina: 1
Acties:

maandag 14 september 2015 20:36

Acties:
  • Jack Flushell
  • Registratie: Juli 2000
  • Laatst online: 12-10 12:54

Jack Flushell

BIEM!

Topicstarter
Server Ubuntu 14.04.3 LTS op een ProLiant MicroServer Gen8
Deze server heeft 2 netwerkinterfaces (em1 en em2).

Ik heb een setup waarbij em1 is verbonden met het modem ('het internet') en em2 is aangesloten op een switch waar de rest van mijn interne netwerk is aangeloten. Op de modem is alle firewall-functionaliteit uitgeschakeld en is alles via DMZ doorgeschakeld naar mijn Ubuntu Server.

Ik heb een dhcp server (isc-dhcp-server) opgezet zodat apparaten in het interne netwerk een ip-address krijgen. Dit werkt uitstekend:

/etc/default/isc-dhcp-server:
code:
1

INTERFACES="em2"


/etc/dhcp/dhcpd.conf:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

log-facility local7;
ddns-update-style none;
authoritative;

subnet 192.168.2.0 netmask 255.255.255.0 {
 option routers 192.168.2.1;
 option subnet-mask 255.255.255.0;
 option broadcast-address 192.168.2.255;
 option domain-name-servers 93.158.205.94,192.71.249.83,62.141.38.230;
 option domain-name "em2.lan";
 default-lease-time 600;
 max-lease-time 7200;
 range 192.168.2.10 192.168.2.100;
}

#Laptop fixed IP
host HostnameLaptop {
hardware ethernet xx:xx:xx:xx:xx:xx;
fixed-address 192.168.2.22;
}


/etc/network/interfaces:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface (verbonden met router)
auto em1
iface em1 inet static
    address 192.168.1.2
    netmask 255.255.255.0
    gateway 192.168.1.1
    network 192.168.1.0
    broadcast 192.168.1.255
    dns-nameservers 93.158.205.94 192.71.249.83 62.141.38.230

# The secondary network interface (verbonden met switch)
auto em2
iface em2 inet static
    address 192.168.2.1
    network 192.168.2.0
    netmask 255.255.255.0
    broadcast 192.168.2.255


Ik heb ufw (als frontend van iptables) als firewall geïnstalleerd volgens deze tutorial.

Het 'probleem' dat ik heb is met de laatste stap van deze tutorial, waar de file /etc/ufw/before.rules moet bewerken om NAT aan de praat te krijgen.
Stap 1 en 2 (ipv4 forwarding) moet ik wel uitvoeren.
The final step is to add NAT to ufw’s configuration. Add the following to /etc/ufw/before.rules just before the filter rules.

# NAT table rules
*nat
:POSTROUTING ACCEPT [0:0]

# Forward traffic through eth0 - Change to match you out-interface
-A POSTROUTING -s 192.168.2.0/24 -o em1 -j MASQUERADE

# don't delete the 'COMMIT' line or these nat table rules won't
# be processed
COMMIT
Het is namelijk zo dat als ik deze laatste stap (aangepast aan mijn netwerk zoals ik hierboven al gedaan heb) niet uitvoer, de boel ook gewoon werkt... :? Fijn zul je zeggen, alles werkt toch, wat zeur je nou. Nou dat is het nou juist,ik wil weten waarom het zonder die stap ook werkt. Ik denk dat het het maken heeft met het feit dat ik al een dhcp server heb lopen en 2 interfaces heb opgezet... Ik begrijp waarschijnlijk iets essentieels niet, ik realseer me dat, maar ik kom er na lang zoeken niet uitgekomen.

Dank voor uw tijd en moeite.

maandag 14 september 2015 22:33

Acties:
  • Thralas
  • Registratie: December 2002
  • Laatst online: 15:20

Thralas

Het heeft in ieder geval niets met DHCP te maken.

Verder lees ik op de Github-pagina waarnaar je linkt dat ufw de before.rules iedere keer opnieuw applied zonder de vorige ruleset ongedaan te maken. Weet je zeker dat je niet op 'oude' rules meelift?

Als het dat niet is kan ik hier moeilijk wat over zeggen, aangezien ik in m'n glazen bol niet kan zien wat ufw standaard allemaal doet.

Ik kan me sowieso niet voorstellen dat de eerste regel nuttig is, in de POSTROUTING chain kun je helemaal niets droppen, dus het lijkt me niet logisch als de default policy anders is dan ACCEPT.

De MASQUERADE rule heb je toch echt nodig als ufw standaard inderdaad geen NAT doet. Zonder gaat het dan echt niet werken, dus dan zul je wel meeliften op een eerdere toepassing van die rule.

dinsdag 15 september 2015 07:50

Acties:
  • Jack Flushell
  • Registratie: Juli 2000
  • Laatst online: 12-10 12:54

Jack Flushell

BIEM!

Topicstarter
Thralas schreef op maandag 14 september 2015 @ 22:33:
Het heeft in ieder geval niets met DHCP te maken.

Verder lees ik op de Github-pagina waarnaar je linkt dat ufw de before.rules iedere keer opnieuw applied zonder de vorige ruleset ongedaan te maken. Weet je zeker dat je niet op 'oude' rules meelift?

Als het dat niet is kan ik hier moeilijk wat over zeggen, aangezien ik in m'n glazen bol niet kan zien wat ufw standaard allemaal doet.

Ik kan me sowieso niet voorstellen dat de eerste regel nuttig is, in de POSTROUTING chain kun je helemaal niets droppen, dus het lijkt me niet logisch als de default policy anders is dan ACCEPT.

De MASQUERADE rule heb je toch echt nodig als ufw standaard inderdaad geen NAT doet. Zonder gaat het dan echt niet werken, dus dan zul je wel meeliften op een eerdere toepassing van die rule.
Je had gelijk, ik 'lifte mee', erg bedankt
Nadat ik ufw had uitgeschakeld en met dit script alle iptables rules had geflushed en daarna networking gerestart en ufw weer aan had gedaan, was NAT "gelukkig" stuk. Toen ik de POSTROUTING regel weer had aangepast en networking en ufw gerestart had, werkte het weer. Ik dacht dat ik gek was geworden 8)7, maar gelukkig maakte ik een denkfout (en ik had het kunnen lezen).
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq