sslug-teknik team mailing list archive

Thread
Date

Iptables konfig på MDK9.1

To: sslug-teknik@xxxxxxxx
From: Kenneth Ahn Jensen <kaj@xxxxxx>
Date: Tue, 25 Nov 2003 09:41:02 +0100
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: SSLUG
User-agent: KNode/0.7.2

Jeg forsøger at sætte min webserver til at lege NAT-router/firewall for min
DSL forbindelse, og dermed sparke Netgear routeren ud. Jeg kører Mandrake
9.1 og har "taget udgangspunkt" i en iptables konfig fra en Rødhætte 8.0
boks, men MDK vil ikke godtage scriptet - den kræver tilsyneladende at man
bruger iptables-save til at generere konfigurationen.
Irriterende, da jeg synes den "gamle" syntax er ret overskuelig og nemmere
at ændre/genbruge... 

Kan nogen give et svar på om disse to konfig'er stemmer overens? 
*filter-delen kan jeg forstå, men jeg er usikker på om *nat delen er god nok
i 1'eren... 

Endvidere; tallene i firkant-parenteser, er de pakkeantal som har triggeret
hver regel, men _skal_ de stå der?  De roder! ;)

PFT
Kenneth


Konfig 1 (genereret af iptables-save):
-----------------------------
*nat
:PREROUTING ACCEPT [203:13726]
:POSTROUTING ACCEPT [15:1962]
:OUTPUT ACCEPT [15:1962]
COMMIT

*filter
:INPUT DROP [209:15163]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1335:175969]
[14:1778] -A INPUT -i lo -j ACCEPT
[2273:169380] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
[0:0] -A INPUT -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
[0:0] -A FORWARD -i eth0 -o eth1 -m state --state NEW -j ACCEPT
[0:0] -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
[14:1778] -A OUTPUT -o lo -j ACCEPT
COMMIT
### -------------------- ###


Konfig 2 (genereret af Kenneth :-):
-------------------------
EXTIF=eth1
INTIF=eth0

/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
echo "1" > /proc/sys/net/ipv4/ip_forward

$IPTABLES -P INPUT DROP
$IPTABLES -F INPUT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -F OUTPUT
$IPTABLES -P FORWARD DROP
$IPTABLES -F FORWARD
$IPTABLES -t nat -F
$IPTABLES -t nat -X

$IPTABLES -A INPUT -i lo -p all -j ACCEPT
$IPTABLES -A OUTPUT -o lo -p all -j ACCEPT

$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A INPUT -p icmp --icmp-type ping -j ACCEPT

$IPTABLES -A INPUT -i $EXTIF -p tcp --dport 22 -j ACCEPT
$IPTABLES -A INPUT -i $INTIF -p tcp --dport 22 -j ACCEPT

$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

### ----------------------- ###


-- 
Mvh
Kenneth

Follow ups

Re: Iptables konfig på MDK9.1
From: donald_j_axel, 2003-11-25