iptables problema do roteador “Ajuda”

Navegue suas respostas
2

O script abaixo não funciona sem o iptables -P INPUT, OUTPUT, FORWARD ACCEPT. Eu devo estar perdendo uma regra, mas não consigo encontrá-la. Eu sou novo no iptables, então espero que um dos gênios aqui possa me ajudar. ETH0 é a WAN e ETH1 é LAN.

// o encaminhamento do edit 2 está ativado em sysctl.conf. 

#downen network interfaces

ifconfig eth0 down
ifconfig eth1 down

#droppen traffic
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -t nat -F

#verkeer naar buiten toe laten en nat aanzetten
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#RDP forward voor windows servers

iptables -t nat -A PREROUTING -p tcp --dport 3389 -i eth1 -j DNAT --to destination 192.168.2.10
iptables -t nat -A PREROUTING -p tcp --dport 3340 -i eth1 -j DNAT --to destination 192.168.2.12

#toestaan SSH verkeer
iptables -t nat -A PREROUTING -p tcp --dport 22 -i eth0 -j DNAT --to destination 192.168.2.1
iptables -t nat -A PREROUTING -p udp --dport 22 -i eth0 -j DNAT --to destination 192.168.2.1

#toestaan verkeer loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#toestaan lokaal netwerk
iptables -A OUTPUT -o eth1 -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT

#netwerk kaarten aanzetten
ifconfig eth0 XXXXXXXX
ifconfig eth1 192.168.2.1/24
route add default gw XXXXXXXXXX

ifconfig eth0 up
ifconfig eth1 up
    
por The_cobra666 12.01.2010 / 11:29

2 respostas

3

Você diz que precisa definir a política para aceitar em todas as tabelas. Isso também funciona quando você o configura para aceitar apenas a tabela FORWARD?

Além disso, suponho que você esteja de fato testando somente o encaminhamento e não da máquina local? No caso deste último, você precisa fazer isso também: 

iptables -A INPUT --match state --state RELATED,ESTABLISHED -j ACCEPT --match comment --comment "Accept traffic from outgoing connections and stuff like FTP."

Como um sidenote, eu usaria a opção de comentário iptables, então o iptables -L também fornece uma saída útil.

    
por 12.01.2010 / 14:55
1

Você deve ativar o encaminhamento de ip com

echo 1 > /proc/sys/net/ipv4/ip_forward

Você também pode fazer isso via sysctl.

    
por 12.01.2010 / 11:45

Tags

Ajuda para escolher uma placa PERC RAID para um MD3000 Código incorporado em documentos PDF