← Back to team overview

sslug-teknik team mailing list archive

  1. sslug-teknik team
  2. Mailing list archive
  3. Message #32636

Re: MASQ firewall...

  Thread PreviousDate PreviousThread Next 
Thomas Kongstad wrote:
> Jeg har et kabel modem koblet til eth0 og en intern net til eth1.
> eth0 = faar sin adr fra DHCP, lige nu er den vist 194.239.205.121
> eth1 = 192.168.1.1
> jeg har ogsaa installeret ndc..det virker.
> 
> Fra serveren :
> Kan jeg pinge alt..dvs alt paa det interne net og alt paa internettet..
> 
> Fra intern net :
> Kan jeg pinge baade eth1 og eth0.
> Men naar jeg pinger en www adresse faar jeg godt nok ip nummeret og og
> den foerste linje er noget i stil med "192.168.1.1 adressen er
> uopnaaelig", hvorefter der kommer 3 "forespoergelsen fik timeout".
> (maskinen er en WindowsME ip = 192.168.1.5).

> Her er hvordan min firewall fil ser ud..
> #!/bin/sh
> /sbin/depmod -a
> #
> /sbin/modprobe ip_masq_ftp
> #
> echo "1" > /proc/sys/net/ipv4/ip_forward
> echo "1" > /proc/sys/net/ipv4/ip_always_defrag
> echo "1" > /proc/sys/net/ipv4/ip_dynaddr
> echo "1" > /proc/sys/net/ipv4/ip_masq_udp_dloose
> /sbin/ipchains -M -S 7200 10 160
> /sbin/ipchains -A input -j ACCEPT -i eth0 -s 0/0 67 -d 0/0 68 -p udp
> /sbin/ipchains -P forward DENY
> /sbin/ipchains -A forward -i eth0 -s 192.168.1.1/24 -j MASQ

Hvad er det du vil opnå; hvilke former for trafik vil du ha' igennem?

Du kan ikke få ret meget svar uden minimum at tillade lokal trafik,
indgående tcp og noget icmp:

# Allow private traffic (doesn't seen nessesary, though?):
    for i in $PRIVATEINTERFACES; do
        ipchains -A input -p all -i $i -j ACCEPT
    done

# Allow incoming TCP not trying to setup a connection (no SYN):
    ipchains -A input -p tcp -s 0/0 \! -y -j ACCEPT

# Allow some incoming ICMP:
    ipchains -A input -p icmp -s 0/0 echo-reply -j ACCEPT
    ipchains -A input -p icmp -s 0/0 time-exceed -j ACCEPT
    ipchains -A input -p icmp -s 0/0 destination-unreachable -j ACCEPT
    ipchains -A input -p icmp -s 0/0 parameter-problem -j ACCEPT

Udmp tillader du allerede, dog ubegrænset, hvilket ikke er sikkert.
-- 
Regards,
              Mogens Valentin
    Networking - Security - Programming
  Linux configuration and troubleshooting
http://www.danbbs.dk/~monz - monz@xxxxxxxxx

References

  Thread PreviousDate PreviousThread Next