Toon posts:

[iptables] Portfw werkt ineens niet meer?

Pagina: 1
Acties:

maandag 9 september 2002 13:16

Acties:
  • WarPuppy
  • Registratie: Januari 2000
  • Laatst online: 17-05 18:46

WarPuppy

Electronic Technology

Topicstarter
Ik heb al een tijdje iptables perfect draaien, met een port 21 geforward. Maar nu ik VPN heb toegevoegd, werkt ineens me ftp, en vpn niet :?

Wat staat er hier fout :?
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78

#!/bin/sh

# Masquerading firewall (simpel)
# 13 augustus 2001
# Bart Geverts (bart@hakkefest.linux-site.net)

# Een hele eenvoudige masquerading firewall waarmee het mogelijk om met het
# hele achterliggende LAN het internet op te kunnen. Het 'firewall' gedeelte
# bestaat uit het afsluiten van een aantal poorten waarop relatief riskante
# servers draaien. Alleen de variabelen moeten aan de omgeving worden aangepast.


################################################################################
# variabelen

# waar iptables staat
IPTABLES="/sbin/iptables"

# interfaces
INTERNAL_INTERFACE="eth1"   # interface waarmee gateway aan lokale netwerk zit
EXTERNAL_INTERFACE="eth0"   # interface waarmee gateway aan het internet zit

# ipadressen / netwerken
LAN="192.168.0.0/24"        # lokale netwerk


################################################################################
# clean-up + init

# flush en clear alle rules en zet de tellers op 0
$IPTABLES -F
$IPTABLES -X
$IPTABLES -Z
$IPTABLES -t nat -F
$IPTABLES -t nat -X
$IPTABLES -t nat -Z

# set de default policies
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT


################################################################################
# initialiseren van de kernel

## Enable IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward


################################################################################
# masquerade

## Alles met afkomst van of bestemming lokale netwerk heeft forwarden
$IPTABLES -A POSTROUTING -t nat -o $EXTERNAL_INTERFACE -j MASQUERADE
$IPTABLES -A FORWARD -i $INTERNAL_INTERFACE -o $EXTERNAL_INTERFACE -s $LAN -d ! $LAN -j ACCEPT
$IPTABLES -A FORWARD -o $INTERNAL_INTERFACE -i $EXTERNAL_INTERFACE -d $LAN -s ! $LAN -j ACCEPT


################################################################################
# riskante servers afsluiten

## telnet afsluiten voor de buitenwereld
$IPTABLES -A INPUT -p tcp --destination-port 23 -i $EXTERNAL_INTERFACE -j DROP

################################################################################
# Servers interne netwerk doorlussen

## FTP
$IPTABLES -A PREROUTING -t nat -p tcp -d $EXTERNAL_INTERFACE  --dport 21 -j DNAT --to 192.168.0.4:21
$IPTABLES -A PREROUTING -t nat -p udp -d $EXTERNAL_INTERFACE  --dport 21 -j DNAT --to 192.168.0.4:21

## VPN
$IPTABLES -A PREROUTING -t nat -p tcp -d $EXTERNAL_INTERFACE  --dport 353 -j DNAT --to 192.168.0.5:353
$IPTABLES -A PREROUTING -t nat -p udp -d $EXTERNAL_INTERFACE  --dport 353 -j DNAT --to 192.168.0.5:353

maandag 9 september 2002 14:20

Acties:

Verwijderd

1) zet eens wat logging aan in je script, zodat we kunnen zien wat er fout gaat
2) ftp doet geen udp, dus die regel kan weg...

Zet bv de volgende regel boven de ftp regel:
code:
1

$IPTABLES -A PREROUTING -t nat -p tcp -d $EXTERNAL_INTERFACE  --dport 21 -j LOG --log-prefix 'INCOMING_FTP '

maandag 9 september 2002 14:31

Acties:
  • Dr. Boktor
  • Registratie: Januari 2001
  • Laatst online: 21-09-2025

Dr. Boktor

En ik neem aan dat je ftp op een andere computer (192.168.0.4) dan VPN gebruikt (192.168.0.5)?

maandag 9 september 2002 14:36

Acties:
  • WarPuppy
  • Registratie: Januari 2000
  • Laatst online: 17-05 18:46

WarPuppy

Electronic Technology

Topicstarter
Verwijderd schreef op 09 september 2002 @ 14:20:
1) zet eens wat logging aan in je script, zodat we kunnen zien wat er fout gaat
2) ftp doet geen udp, dus die regel kan weg...

Zet bv de volgende regel boven de ftp regel:
code:
1

$IPTABLES -A PREROUTING -t nat -p tcp -d $EXTERNAL_INTERFACE  --dport 21 -j LOG --log-prefix 'INCOMING_FTP '
Tnx, ik heb even dit gedaan:
code:
1
2
3
4
5
6
7
8

## FTP
$IPTABLES -A PREROUTING -t nat -p tcp -d $EXTERNAL_INTERFACE  --dport 21 -j LOG --log-prefix 'INCOMING_FTP' 
$IPTABLES -A PREROUTING -t nat -p tcp -d $EXTERNAL_INTERFACE  --dport 21 -j DNAT --to 192.168.0.4:21 --log-prefix 'INCOMING_FTP'

## VPN
$IPTABLES -A PREROUTING -t nat -p tcp -d $EXTERNAL_INTERFACE  --dport 353 -j LOG --log-prefix 'INCOMING_VPN' 
$IPTABLES -A PREROUTING -t nat -p tcp -d $EXTERNAL_INTERFACE  --dport 353 -j DNAT --to 192.168.0.5:353 
$IPTABLES -A PREROUTING -t nat -p udp -d $EXTERNAL_INTERFACE  --dport 353 -j DNAT --to 192.168.0.5:353
Dr.Boktor schreef op 09 september 2002 @ 14:31:
En ik neem aan dat je ftp op een andere computer (192.168.0.4) dan VPN gebruikt (192.168.0.5)?
Jeps ! FTP op mijn pc, VPN op die van me broer.

Nog iets, ik heb btw IPCHAINS uitstaan, maakt dat uit :?

maandag 9 september 2002 14:45

Acties:

Verwijderd

ipchains is de packetfilter administration tool voor de 2.2.x kernels. ipfwadm voor 2.0.x

heb je al logging?

[ Voor 0% gewijzigd door Verwijderd op 09-09-2002 14:45 . Reden: typo ]

maandag 9 september 2002 15:01

Acties:
  • WarPuppy
  • Registratie: Januari 2000
  • Laatst online: 17-05 18:46

WarPuppy

Electronic Technology

Topicstarter
Verwijderd schreef op 09 september 2002 @ 14:45:
ipchains is de packetfilter administration tool voor de 2.2.x kernels. ipfwadm voor 2.0.x

heb je al logging?
Jeps, zoals je me post hierboven al ziet.
Maar maakt dus niets uit, want als ik iptables gebruik, heb ik geen ipchains nodig, toch ?

How, log werkt, waar kan ik dat nu vinden
* WarPuppy is n00b in spe :)

[ Voor 0% gewijzigd door WarPuppy op 09-09-2002 15:41 . Reden: log werkt niet ]

maandag 9 september 2002 18:15

Acties:
  • Buffy
  • Registratie: April 2002
  • Laatst online: 26-12-2024

Buffy

Fire bad, Tree pretty

WarPuppy schreef op 09 september 2002 @ 13:16:
Ik heb al een tijdje iptables perfect draaien, met een port 21 geforward. Maar nu ik VPN heb toegevoegd, werkt ineens me ftp, en vpn niet :?

Wat staat er hier fout :?
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

#!/bin/sh

[...]

################################################################################
# variabelen

# interfaces
INTERNAL_INTERFACE="eth1"   # interface waarmee gateway aan lokale netwerk zit
EXTERNAL_INTERFACE="eth0"   # interface waarmee gateway aan het internet zit

# ipadressen / netwerken
LAN="192.168.0.0/24"        # lokale netwerk


[...]

## FTP
$IPTABLES -A PREROUTING -t nat -p tcp -d $EXTERNAL_INTERFACE  --dport 21 -j DNAT --to 192.168.0.4:21
$IPTABLES -A PREROUTING -t nat -p udp -d $EXTERNAL_INTERFACE  --dport 21 -j DNAT --to 192.168.0.4:21

## VPN
$IPTABLES -A PREROUTING -t nat -p tcp -d $EXTERNAL_INTERFACE  --dport 353 -j DNAT --to 192.168.0.5:353
$IPTABLES -A PREROUTING -t nat -p udp -d $EXTERNAL_INTERFACE  --dport 353 -j DNAT --to 192.168.0.5:353
De '-d' optie is de destination ip/net en niet de interface. Voor de interface moet je de '-i' (input interface) optie gebruiken.

That which doesn't kill us, makes us stranger - Trevor (AEon FLux)
When a finger points at the moon, the imbecile looks at the finger (Chinese Proverb)

maandag 9 september 2002 21:56

Acties:
  • WarPuppy
  • Registratie: Januari 2000
  • Laatst online: 17-05 18:46

WarPuppy

Electronic Technology

Topicstarter
Ej, bedankt!

dat was het probleem, nu weer helemaal opgelost !
Ik heb gewoon de -d $EXTERNAL_INTERFACE vervangen door -d 123.456.789.00, dat loste het op !
Pagina: 1
Reageer