← Back to team overview

sslug-teknik team mailing list archive

  1. sslug-teknik team
  2. Mailing list archive
  3. Message #32644

SV: MASQ firewall...

  Thread PreviousDate PreviousThread Next 

-----Oprindelig meddelelse-----
Fra: MONZ [mailto:monz@xxxxxxxxx]
Sendt: 25. januar 2001 14:13
Til: sslug-teknik@xxxxxxxx
Emne: Re: [TEKNIK] MASQ firewall...


Thomas Kongstad wrote:
> Jeg har et kabel modem koblet til eth0 og en intern net til eth1.
> eth0 = faar sin adr fra DHCP, lige nu er den vist 194.239.205.121
> eth1 = 192.168.1.1
> jeg har ogsaa installeret ndc..det virker.
> 
> Fra serveren :
> Kan jeg pinge alt..dvs alt paa det interne net og alt paa internettet..
> 
> Fra intern net :
> Kan jeg pinge baade eth1 og eth0.
> Men naar jeg pinger en www adresse faar jeg godt nok ip nummeret og og
> den foerste linje er noget i stil med "192.168.1.1 adressen er
> uopnaaelig", hvorefter der kommer 3 "forespoergelsen fik timeout".
> (maskinen er en WindowsME ip = 192.168.1.5).

> Her er hvordan min firewall fil ser ud..
> #!/bin/sh
> /sbin/depmod -a
> #
> /sbin/modprobe ip_masq_ftp
> #
> echo "1" > /proc/sys/net/ipv4/ip_forward
> echo "1" > /proc/sys/net/ipv4/ip_always_defrag
> echo "1" > /proc/sys/net/ipv4/ip_dynaddr
> echo "1" > /proc/sys/net/ipv4/ip_masq_udp_dloose
> /sbin/ipchains -M -S 7200 10 160
> /sbin/ipchains -A input -j ACCEPT -i eth0 -s 0/0 67 -d 0/0 68 -p udp
> /sbin/ipchains -P forward DENY
> /sbin/ipchains -A forward -i eth0 -s 192.168.1.1/24 -j MASQ

>Hvad er det du vil opnå; hvilke former for trafik vil du ha' igennem?



Jeg vil gerne have at det maskinerene fra det interne net kan surfe, ftp,
telnet, maile....osv, osv..



>
>Du kan ikke få ret meget svar uden minimum at tillade lokal trafik,
>indgående tcp og noget icmp:
>
># Allow private traffic (doesn't seen nessesary, though?):
>    for i in $PRIVATEINTERFACES; do
>        ipchains -A input -p all -i $i -j ACCEPT
>    done
>
># Allow incoming TCP not trying to setup a connection (no SYN):
>    ipchains -A input -p tcp -s 0/0 \! -y -j ACCEPT
>
># Allow some incoming ICMP:
>    ipchains -A input -p icmp -s 0/0 echo-reply -j ACCEPT
>    ipchains -A input -p icmp -s 0/0 time-exceed -j ACCEPT
>    ipchains -A input -p icmp -s 0/0 destination-unreachable -j ACCEPT
>    ipchains -A input -p icmp -s 0/0 parameter-problem -j ACCEPT
>
>Udmp tillader du allerede, dog ubegrænset, hvilket ikke er sikkert..
  Thread PreviousDate PreviousThread Next