[linux] IP uctovanie
Michal Michalac
michal.michalac na ehs.sk
Čtvrtek Únor 6 07:14:09 CET 2003
Dobry den,
prve vyhovujuce pravidlo s -j ACCEPT/DROP/REJECT/... ukonci
prechadzanie iptables, tzn. musis dat najprv pocitadla (pravidla bez
-j) a az potom pravidla s -j. Vid man iptables
S pozdravom
Michal Michalac
> Zdravim,
> uz sa ohladom tohoto nieco pred casom pytal, ale stale mam trocha halusky z
> nasledujuceho. Klasika, lokalna siet + RH 7.1 gateway. Snazim sa nastavit
> uctovanie tak, aby som zachytil celu prevadzku cez eth0 (smerom na
> internet).
> (1.) ####### toto by malo zaratat vsetko bez ohladu na protokol a
> source/dest
> iptables -A FORWARD -i eth0 -j ACCEPT
> iptables -A FORWARD -o eth0 -j ACCEPT
> nieco to narata, ale vzdy menej ako u providera, ale:
> ####### podla protokolu
> iptables -A FORWARD -i eth0 -m tcp -p tcp
> iptables -A FORWARD -o eth0 -m tcp -p tcp
> iptables -A FORWARD -i eth0 -m udp -p udp
> iptables -A FORWARD -o eth0 -m udp -p udp
> iptables -A FORWARD -i eth0 -m icmp -p icmp
> iptables -A FORWARD -o eth0 -m icmp -p icmp
> tuto sa mi neobjavi absolutne nic, aj ked (1.) nieco zarata. Ako je to mozne
> ? Ake ine protokoly ako tcp, udp a icmp sa pouzivaju, ked sa to na nich
> neprejavi ?
> Dalej:
> ###### podla IP adresy
> iptables -A FORWARD -s 192.168.1.0/24 -d 0.0.0.0/0 -j ACCEPT -o eth0
> iptables -A FORWARD -s 0.0.0.0/0 -d 192.168.1.0/24 -j ACCEPT -i eth0
> tu sa tiez neobjavi nic, aj ked je to IMHO totozne s (1.), pretoze
> forwarduje sa len do/z 192.168.1.0/24
> dalej som spravil analogicky pravidla pre kazdu IP adresu v lokalnej sieti
> iptables -A FORWARD -s 0.0.0.0/0 -d 192.168.1.2 -j ACCEPT -i eth0
> iptables -A FORWARD -s 192.168.1.2 -d 0.0.0.0/0 -j ACCEPT -o eth0
> kde sa tiez nic nezarata, takze vystup vyzera asi takto:
> ============================================================================
> =========
> Chain INPUT (policy ACCEPT 17831 packets, 1734938 bytes)
> pkts bytes target prot opt in out source
> destination
> 816 70035 all -- eth0 any anywhere anywhere
> Chain FORWARD (policy ACCEPT 163328 packets, 84031108 bytes)
> pkts bytes target prot opt in out source
> destination
> 877 319K ACCEPT all -- eth0 any anywhere anywhere
> 1180 616K ACCEPT all -- any eth0 anywhere anywhere
> 0 0 tcp -- eth0 any anywhere anywhere
> tcp
> 0 0 tcp -- any eth0 anywhere anywhere
> tcp
> 0 0 udp -- eth0 any anywhere anywhere
> udp
> 0 0 udp -- any eth0 anywhere anywhere
> udp
> 0 0 icmp -- eth0 any anywhere anywhere
> icmp echo-reply
> 0 0 icmp -- any eth0 anywhere anywhere
> icmp echo-reply
> 0 0 all -- any eth0 192.168.1.0/24 anywhere
> 0 0 all -- eth0 any anywhere
> 192.168.1.0/24
> 0 0 all -- any eth0 NAKUP1 anywhere
> 0 0 all -- eth0 any anywhere NAKUP1
> 0 0 all -- any eth0 SKLAD2 anywhere
> 0 0 all -- eth0 any anywhere SKLAD2
> Chain OUTPUT (policy ACCEPT 14317 packets, 2226947 bytes)
> pkts bytes target prot opt in out source
> destination
> 803 138K all -- any eth0 anywhere anywhere
> Som uz z toho trocha na narvy, kde robim chybu ?
> Ciel:
> 1.) zachytit celu prevadzku cez eth0 a dosiahnut aspon ciastocnu zhodu s
> providerom
> 2.) zistit, z ktorej stanice ide kolko trafficu smerov von
> Thanx in advance.
> Palo
> _______________________________________________
> http://lists.linux.sk/listinfo/linux
> Prehladavanie archivu: http://search.lists.linux.sk
> Meta FAQ: http://faq.lists.linux.sk
---------------------------------
Ing. Michal Michalac
EHS Skalica
pplk Pljusta
909 01 Skalica 1
http://www.ehs.sk/
tel.: +421 34 664 6589
ICQ: 25923311
_
Další informace o konferenci linux