[LUGOS] iptables in ip forward
Blaz Podrzaj
b at thz.net
Fri Jan 11 11:42:15 CET 2008
Jah ne vem. Jaz tezko voham kako odprt/zaprt imas ti firewall in kaksna je
njegova default politika.
Daj se loti zadeve na zacetku, ne na koncu. Najprej se vprasaj kaj rabis -
luknjo skozi firewall do ene od notranjih masin. Potem se vprasaj kaj moras
narediti za to - glede na to da imas maskerado verjetno ze postavljeno, moras
preverit, ce na routerju sploh spuscas input promet na 1025... preverit moras
ce na kakrsen koli nacin blokiras forwarding promet v intranet, ce ga, potem
moras pred to blokado napisati rule, ki bo dovolil forwarding od nekod do
drugod, to je bistvenega pomena kar je ze Rok napisal... in na koncu postavis
se tunel od routerjevega porta 1025 do notranje masine in porta 22.
Prej si sicer napisal neka pravila, ki naj bi jih se imel vpisana, samo jaz
mocno dvomim da so to vsa pravila za tvoj firewall. Daj si poglej kompleten
output pravil z iptables -L -n -v in pozorno preveri vrstni red pri raznih
blokadah/deblokadah.
lp,B
Quoting Bostjan Jerko <mlist at japina.eu>:
>
> On Jan 10, 2008, at 10:26 AM, Blaz Podrzaj wrote:
>
>> Pri preroutingu v nat tabeli uporabi:
>>
>> -j DNAT --to-destination 192.168.0.10:22
>>
>> ...pri forwardingu v filter tabeli pa:
>>
>> -d 192.168.0.10 -p tcp -m tcp --dport 22 -j ACCEPT
>>
>> ...v kolikor imas forwarding kakor koli onemogocen.
>>
>> lp,B
>
>
> Poskusil sem vse to, pa mi nmap vedno javlja, da je port 1025 filtered
> in seveda ssh na ta port ne deluje.
> Sicer pa imam ubuntu 6.06 s kernelom 2.6.15.
>
> LP,
>
> B.
> _______________________________________________
> lugos-list mailing list
> lugos-list at lugos.si
> http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-list
>
>
----- End forwarded message -----
More information about the lugos-list
mailing list