Toon posts:

iptables: routing gaat goed,maar server geen inet meer

Pagina: 1
Acties:

zaterdag 29 november 2003 20:44

Acties:
  • savale
  • Registratie: Oktober 2000
  • Laatst online: 19:22

savale

Topicstarter
ik heb een server die fungeert als server en router maar nu wil ik dus een firewall draaien: eth0 heeft ip 213.84.xxx.xxx en hangt direct aan het internet.
eth1 is 192.168.0.1
nu gebruik ik de volgende commando''s voor masquerading:

$> iptables -F; iptables -t nat -F; iptables -t mangle -F
$> iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
$> echo 1 > /proc/sys/net/ipv4/ip_forward
$> iptables -A INPUT ! eth0 -j ACCEPT ;dit om ervoor te zorgen dat niet iedereen vanaf inet mij als router kan gebruiken

nu heb ik op mijn clients internet en op mijn server.

dan doe ik het volgende:

$> iptables -P INPUT DROP
$> iptables -A INPUT --protocol tcp --dport 80 -j ACCEPT

nu heb ik een firewall met alleen poort 80 open voor apache op mijn server. dit werkt goed maar door dit commando:
$> iptables -P INPUT DROP
kan ik niets meer emergen want ik heb geen internet verbinding meer. weet iemand wat ik hieraan kan doen?

[ Voor 4% gewijzigd door savale op 29-11-2003 20:45 ]

zaterdag 29 november 2003 22:15

Acties:
  • Tomaat
  • Registratie: November 2001
  • Laatst online: 23-02 11:41

Tomaat

Je zou ook een bestaand firewall script kunnen downloaden en eens bekijken hoe ze dat daarin doen ;)

zaterdag 29 november 2003 22:19

Acties:
  • savale
  • Registratie: Oktober 2000
  • Laatst online: 19:22

savale

Topicstarter
Tomaat schreef op 29 november 2003 @ 22:15:
Je zou ook een bestaand firewall script kunnen downloaden en eens bekijken hoe ze dat daarin doen ;)
ik heb er 2 geprobeerd maar beide waren veels te complex opgezet. ik hoef alleen al het uitwendig verkeer te blokkeren op een paar poorten na en te masqueraden. niks door te routen oid.

zaterdag 29 november 2003 22:21

Acties:
  • Tomaat
  • Registratie: November 2001
  • Laatst online: 23-02 11:41

Tomaat

Dan stel ik voor de iptables HOWTO eens te bekijken

zaterdag 29 november 2003 22:55

Acties:
  • pierre-oord
  • Registratie: April 2002
  • Laatst online: 18:44

pierre-oord

savale schreef op 29 november 2003 @ 20:44:
ik heb een server die fungeert als server en router maar nu wil ik dus een firewall draaien: eth0 heeft ip 213.84.xxx.xxx en hangt direct aan het internet.
eth1 is 192.168.0.1
nu gebruik ik de volgende commando''s voor masquerading:

$> iptables -F; iptables -t nat -F; iptables -t mangle -F
$> iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
$> echo 1 > /proc/sys/net/ipv4/ip_forward
$> iptables -A INPUT ! eth0 -j ACCEPT ;dit om ervoor te zorgen dat niet iedereen vanaf inet mij als router kan gebruiken

nu heb ik op mijn clients internet en op mijn server.

dan doe ik het volgende:

$> iptables -P INPUT DROP
$> iptables -A INPUT --protocol tcp --dport 80 -j ACCEPT

nu heb ik een firewall met alleen poort 80 open voor apache op mijn server. dit werkt goed maar door dit commando:
$> iptables -P INPUT DROP
kan ik niets meer emergen want ik heb geen internet verbinding meer. weet iemand wat ik hieraan kan doen?
Ik weet even niet precies hoe iptables dit oppakt, maar ik doe enkel een gok, en dat is dat de forward policy misschien door de input policy automatisch op DROP komt te staan?

Probeer er eens bij te zetten:
code:
1
2
3

iptables --policy FORWARD DROP (standaard blokkeren)
iptables --append FORWARD --in-interface eth0 --out-interface eth1 --match state --state ESTABLISHED,RELATED --jump ACCEPT
iptables --append FORWARD --in-interface eth1 --out-interface eth0 --jump ACCEPT


En kijk wat dat doet. Bekijk anders ook even mijn site waarover ik net een howto heb geschreven voor een router, misschien als je dat logisch opgebouwde script gebruikt, je eruit komt. Mijn script blokkeerd simpelweg alle connecties van buiten, tenzij er eerst een connectie naar buiten toe is gemaakt en dat een antwoord pakketje is.

Directe link site: http://pierre-oord.mine.nu/linux/ en dan kiezen voor "firewall instellen"

Sterkte!

edit:
sorry voor de layout.... maar zo volledig uitgeschreven op 1 regel vind ik wel het duidelijkst. Ik gebruik ook niet de afkortingen, maar de volledige tekst, zodat je de regels als het ware kunt lezen :) . Het script op mijn site zou ik gebruiken, duidelijk, en doet precies wat je wilt. Er staat ook bij hoe je een portmap maakt, ik geloof namelijk dat je niet gewoon simpel kunt een input kunt accepteren, omdat die dan eerst een NAT uitvoert. Zie ook weer m'n site, staat ook een script tussen waarin je dat simpel en overzichtelijk in kunt stellen.

[ Voor 16% gewijzigd door pierre-oord op 29-11-2003 22:57 ]

Ondernemer in tech (oud LOQED.com, nu UpToMore.com)

zondag 30 november 2003 00:58

Acties:
  • eborn
  • Registratie: April 2000
  • Laatst online: 23-02 17:17

eborn

pierre-oord schreef op 29 november 2003 @ 22:55:
sorry voor de layout.... maar zo volledig uitgeschreven op 1 regel vind ik wel het duidelijkst. Ik gebruik ook niet de afkortingen, maar de volledige tekst, zodat je de regels als het ware kunt lezen :)
Je kunt het natuurlijk ook overdrijven :P Wat is er mis met -i en -o? ;) Maar goed, smaken verschillen gelukkig!

zondag 30 november 2003 01:11

Acties:
  • Oet
  • Registratie: Mei 2000
  • Laatst online: 09-02 18:23

Oet

[DPC]TG & MoMurdaSquad AYBABTU

U'mm kan aan mij liggen dus misschien zie ik het helemaal verkeerd, maar anders:

Volgens mij pak je het verkeerd om aan: ik zie dat je eerst al het verkeer dropt en dan pas iets doorlaat, dat werkt dus niet zo, je moet het eerst doorlaten, en dan pas al het overige droppen...... Zo werkt het bij mij wel iig!!

There are 11 kind of people in the world, ones that can read binary, ones that can't and ones that complain about my signature
PC Specs | Mo Murda Squad Clan

zondag 30 november 2003 01:15

Acties:

Verwijderd

savale schreef op 29 november 2003 @ 22:19:
[...]


ik heb er 2 geprobeerd maar beide waren veels te complex opgezet. ik hoef alleen al het uitwendig verkeer te blokkeren op een paar poorten na en te masqueraden. niks door te routen oid.
Doe zoals ik als je geen verstand ervan hebt, en er niet al te veel tijd aan wil besteden. Neem een bezoekje aan www.shorewall.net

zondag 30 november 2003 01:29

Acties:
  • Oet
  • Registratie: Mei 2000
  • Laatst online: 09-02 18:23

Oet

[DPC]TG & MoMurdaSquad AYBABTU

btw dat emergen gaat via http verkeer he? zou je dat niet ff source port 80 binnenkoment op je wan-nic accepten?

There are 11 kind of people in the world, ones that can read binary, ones that can't and ones that complain about my signature
PC Specs | Mo Murda Squad Clan

zondag 30 november 2003 08:01

Acties:
  • pierre-oord
  • Registratie: April 2002
  • Laatst online: 18:44

pierre-oord

screamteam schreef op 30 november 2003 @ 01:29:
btw dat emergen gaat via http verkeer he? zou je dat niet ff source port 80 binnenkoment op je wan-nic accepten?
Je zou weleens gelijk kunnen hebben ja, misschien komt HTTP helemaal niet aan op poort 80 van z'n clients! Je zou zeggen dat het verkeer van 80 naar 80 loopt, maar je weet maar nooit he :P

Ennuh, ik zal d'r eens over denken om toch wat afkortingen te gebruiken :+

Ondernemer in tech (oud LOQED.com, nu UpToMore.com)

zondag 30 november 2003 17:17

Acties:
  • savale
  • Registratie: Oktober 2000
  • Laatst online: 19:22

savale

Topicstarter
thanx voor alle reply's beetje jammer dat mijn hardeschijf het heeft begeven :( kan eventjes niets meer testen tot ik een nieuwe binnen heb :'( maar het leek mij een beetje overdreven om een heel ingewikkeld script voor zoiets simpels te installeren :) ik ga wel even kijken naar shorewall en anders zelf even klooien nog.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq