Problemer med iptables

30. juli 2005

God kveld

Sitter her med ClarkConnect-routeren min og suller litt. Firewall-scriptene der er ganske gode, og folk med LAN-ip på WAN-siden kommer ikke gjennom. Så det jeg trenger hjelp til er iptables.

Det jeg trenger er å NATe pakker med lan-ip fra utsiden til innsiden.

Internett -> Router -> Nettverk

Fra "internett" skal pakker med alle normale adresser kunne passere, det fungerer. I tillegg skal alle pakker fra 10.0.0.0/8 NATes videre til "nettverk" akkurat som vanlige pakker.

Er dette mulig uten for mye stress?

Ha en god kveld

EDIT: Har to NIC;

eth0 er WAN

eth1 er LAN

Endret 30. juli 2005 av Slettet+6132

xeon · 31. juli 2005

Folk med lan-ip på wan-siden kommer ikke gjennom?

Hva er problemet egentlig? Sikker på at du ikke skal forwarde porter til en server eller.no?

31. juli 2005

Folk med lan-ip på wan-siden kommer ikke gjennom?

Hva er problemet egentlig? Sikker på at du ikke skal forwarde porter til en server eller.no?

Jeg vil at folk med lan-ip skal komme gjennom akkuerat som en vanlig bruker med normal ip.

Jeg har lyse, så de som fikk lyse i begynnelsen og som ikke bestillte fast ip vil ha en ip fra subnettet 10.0.0.0/8 bak lyse sine routere. Det vil si at jeg ikke kan koble meg til dem, og vice versa.

Så jeg trenger å slippe gjennom lan-trafikk gjennom som vanlig trafikk (må jo såklart bli NATet, siden mitt subnett og lyses subnett er like så da vil det kræsje)

Jeg er ikke så god til å forklare, håper dere forstår

xeon · 31. juli 2005

har du satt opp nat'ing til eth0 da?

edit: bah.. har du samme subnet på begge sider av ruteren?

Endret 31. juli 2005 av xeon

31. juli 2005

har du satt opp nat'ing til eth0 da?

edit: bah.. har du samme subnet på begge sider av ruteren?

eth0 skal slippe gjennom:

alle routbare iper (det gjør den allerede)

10.0.0.0/8 (alle 10-iper, disse MÅ NATes)

Altså, tillate LAN-trafikk å passere gjenom routeren begge veier.

La meg ta et eksempel:

Hvis jeg skal koble til på en kompis sin FTP som har vanlig routbar ip så blir det slik:

10.0.0.2 (meg) -> 10.0.0.1 (router) - NATes til 213.<sensur> -> Kompis sin FTP (213.<sensur>

Men hvis jeg skal koble meg til en annen kompis som IKKE har fast ip så vil ikke det gå i dag, men jeg vil at det skal bli slik:

10.0.0.2 (meg) -> 10.0.0.1 (router) - NATes til 213.<sensur> -> annen kompis sin FTP (10.<en eller annen ip fra lyse>

Forstår du hvor jeg vil, eller bare roter jeg?

EDIT: Det skal være to separate nettverk, bare at lyses LAN-trafikk skal NATes gjennom som normalt.

Endret 31. juli 2005 av Slettet+6132

xeon · 31. juli 2005

du roter...

få han til å sette opp dyndns e.l. i stedet..

31. juli 2005

du roter...

få han til å sette opp dyndns e.l. i stedet..

Å herregud da, hva hjelper det?

Jeg tok et eksempel. I praksis er det flere hundre brukere fra lyse som sitter med en LAN-ip som jeg ikke kan koble meg til og som ikke kan koble seg til. Det jeg vil er at når de kobler seg til min eksterne ip så skal deres LAN-ip NATes som en vanlig bruker som har vanlig ip, slik at de kan koble seg til.

EDIT: Unnskyld at jeg spør, men vet du i det heletatt hva iptables og NAT er?

Endret 31. juli 2005 av Slettet+6132

xeon · 31. juli 2005

du roter...

få han til å sette opp dyndns e.l. i stedet..

Å herregud da, hva hjelper det?

Jeg tok et eksempel. I praksis er det flere hundre brukere fra lyse som sitter med en LAN-ip som jeg ikke kan koble meg til og som ikke kan koble seg til. Det jeg vil er at når de kobler seg til min eksterne ip så skal deres LAN-ip NATes som en vanlig bruker som har vanlig ip, slik at de kan koble seg til.

EDIT: Unnskyld at jeg spør, men vet du i det heletatt hva iptables og NAT er?

Nei.

Edit: jeg kan forøvrig tilføye at jeg er en av de få som hjelper til når det er problemer med iptables og at det ikke er noen grunn til å bli frekk.

Endret 31. juli 2005 av xeon

31. juli 2005

EDIT: Unnskyld at jeg spør, men vet du i det heletatt hva iptables og NAT er?

Nei.

Da ønsker jeg at noen som har litt mer peiling enn meg hjelper.

Harkonnen · 31. juli 2005

Kjører du samme iprange på begge sider av routeren ?

31. juli 2005

Kjører du samme iprange på begge sider av routeren ?

Ja, men det har ikke noe å si, det må NATes.

Harkonnen · 31. juli 2005

hvorfor skal du ha en router på det gamle lyse nettet uansett ?

Du har jo ett hav av tilgjengelige iper

31. juli 2005

hvorfor skal du ha en router på det gamle lyse nettet uansett ?

Du har jo ett hav av tilgjengelige iper

eth0 har 213.<skjult> som ip (jeg har kjøpt fast ip og har alltid hatt det)

eth1 har ip 10.0.0.1

Når noen fra lyse med 10-ip kobler til 213-ipen min blir de droppa pga. firewallen ikke er konfigurert til å NATe dem.

Når noen med vanlig ip kobler til 213-ipen min kommer de gjennom, fordi de NATes.

Laka · 31. juli 2005

iptables -A INPUT -i <eksternt interface> -s <ip-rekken> -j ACCEPT

iptables -I INPUT -i <eksternt interface> -m state --state ESTABLISHED,RELATED -j ACCEPT

31. juli 2005

iptables -A INPUT -i <eksternt interface> -s <ip-rekken> -j ACCEPT
iptables -I INPUT -i <eksternt interface> -m state --state ESTABLISHED,RELATED -j ACCEPT

Noe slikt ja, men skulle jo vært innom nat da...

EDIT: Kommer vel ikke så langt hvis den ikke går gjennom nat.

Endret 31. juli 2005 av Slettet+6132

31. juli 2005

Kanskje det hjelper litt å vise gjeldende regler?

[root@gw-lan-01 ~]# iptables -nL
Chain INPUT (policy DROP)

target prot opt source destination

ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 0

ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 3

ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 11

ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8

DROP icmp -- 0.0.0.0/0 0.0.0.0/0

DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID

REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x12/0x12 state NEW reject-with tcp-reset

DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x16/0x02 state NEW

ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

drop-reserved all -- 127.0.0.0/8 0.0.0.0/0

drop-reserved all -- 2.0.0.0/8 0.0.0.0/0

drop-reserved all -- 96.0.0.0/3 0.0.0.0/0

drop-reserved all -- 169.254.0.0/16 0.0.0.0/0

drop-reserved all -- 223.0.0.0/8 0.0.0.0/0

drop-reserved all -- 224.0.0.0/4 0.0.0.0/0

drop-reserved all -- 240.0.0.0/4 0.0.0.0/0

ACCEPT udp -- 0.0.0.0/0 <eksternip> udp spt:67 dpt:68

ACCEPT tcp -- 0.0.0.0/0 <eksternip> tcp spt:67 dpt:68

ACCEPT tcp -- 0.0.0.0/0 <eksternip> tcp dpt:1875

ACCEPT tcp -- 0.0.0.0/0 <eksternip> tcp dpt:53

ACCEPT tcp -- 0.0.0.0/0 <eksternip> tcp dpt:25

ACCEPT udp -- 0.0.0.0/0 <eksternip> udp dpts:1024:65535 state RELATED,ESTABLISHED

ACCEPT tcp -- 0.0.0.0/0 <eksternip> tcp dpts:1024:65535 state RELATED,ESTABLISHED

DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy DROP)

target prot opt source destination

ACCEPT tcp -- 0.0.0.0/0 10.0.0.2 tcp dpt:15001

ACCEPT udp -- 0.0.0.0/0 10.0.0.2 udp dpt:15001

ACCEPT tcp -- 0.0.0.0/0 10.0.0.2 tcp dpt:4096

ACCEPT udp -- 0.0.0.0/0 10.0.0.2 udp dpt:4096

ACCEPT tcp -- 0.0.0.0/0 10.0.0.2 tcp dpts:5000:5100

ACCEPT tcp -- 0.0.0.0/0 10.0.0.2 tcp dpts:15100:15200

ACCEPT tcp -- 0.0.0.0/0 10.0.0.2 tcp dpt:15000

ACCEPT tcp -- 0.0.0.0/0 10.0.0.3 tcp dpt:113

ACCEPT tcp -- 0.0.0.0/0 10.0.0.3 tcp dpt:53

ACCEPT udp -- 0.0.0.0/0 10.0.0.3 udp dpt:53

ACCEPT tcp -- 0.0.0.0/0 10.0.0.3 tcp dpts:2000:3000

ACCEPT tcp -- 0.0.0.0/0 10.0.0.3 tcp dpt:80

ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED

DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy DROP)

target prot opt source destination

ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0

ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

ACCEPT udp -- <eksternip> 0.0.0.0/0 udp spt:68 dpt:67

ACCEPT tcp -- <eksternip> 0.0.0.0/0 tcp spt:68 dpt:67

ACCEPT tcp -- <eksternip> 0.0.0.0/0 tcp spt:1875

ACCEPT tcp -- <eksternip> 0.0.0.0/0 tcp spt:53

ACCEPT tcp -- <eksternip> 0.0.0.0/0 tcp spt:25

ACCEPT all -- <eksternip> 0.0.0.0/0

DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain drop-lan (0 references)

target prot opt source destination

DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain drop-reserved (7 references)

target prot opt source destination

DROP all -- 0.0.0.0/0 0.0.0.0/0

[root@gw-lan-01 ~]# iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)

target prot opt source destination

DNAT tcp -- 0.0.0.0/0 <eksternip> tcp dpt:15001 to:10.0.0.2:15001

DNAT udp -- 0.0.0.0/0 <eksternip> udp dpt:15001 to:10.0.0.2:15001

DNAT tcp -- 0.0.0.0/0 <eksternip> tcp dpt:4096 to:10.0.0.2:4096

DNAT udp -- 0.0.0.0/0 <eksternip> udp dpt:4096 to:10.0.0.2:4096

DNAT tcp -- 0.0.0.0/0 <eksternip> tcp dpts:5000:5100 to:10.0.0.2

DNAT tcp -- 0.0.0.0/0 <eksternip> tcp dpts:15100:15200 to:10.0.0.2

DNAT tcp -- 0.0.0.0/0 <eksternip> tcp dpt:15000 to:10.0.0.2:15000

DNAT tcp -- 0.0.0.0/0 <eksternip> tcp dpt:113 to:10.0.0.3:113

DNAT tcp -- 0.0.0.0/0 <eksternip> tcp dpt:53 to:10.0.0.3

DNAT udp -- 0.0.0.0/0 <eksternip> udp dpt:53 to:10.0.0.3

DNAT tcp -- 0.0.0.0/0 <eksternip> tcp dpts:2000:3000 to:10.0.0.3

DNAT tcp -- 0.0.0.0/0 <eksternip> tcp dpt:80 to:10.0.0.3:80

Chain POSTROUTING (policy ACCEPT)

target prot opt source destination

SNAT tcp -- 10.0.0.0/8 10.0.0.2 tcp dpt:15001 to:10.0.0.1

SNAT udp -- 10.0.0.0/8 10.0.0.2 udp dpt:15001 to:10.0.0.1

SNAT tcp -- 10.0.0.0/8 10.0.0.2 tcp dpt:4096 to:10.0.0.1

SNAT udp -- 10.0.0.0/8 10.0.0.2 udp dpt:4096 to:10.0.0.1

SNAT tcp -- 10.0.0.0/8 10.0.0.2 tcp dpts:5000:5100 to:10.0.0.1

SNAT tcp -- 10.0.0.0/8 10.0.0.2 tcp dpts:15100:15200 to:10.0.0.1

SNAT tcp -- 10.0.0.0/8 10.0.0.2 tcp dpt:15000 to:10.0.0.1

SNAT tcp -- 10.0.0.0/8 10.0.0.3 tcp dpt:113 to:10.0.0.1

SNAT tcp -- 10.0.0.0/8 10.0.0.3 tcp dpt:53 to:10.0.0.1

SNAT udp -- 10.0.0.0/8 10.0.0.3 udp dpt:53 to:10.0.0.1

SNAT tcp -- 10.0.0.0/8 10.0.0.3 tcp dpts:2000:3000 to:10.0.0.1

SNAT tcp -- 10.0.0.0/8 10.0.0.3 tcp dpt:80 to:10.0.0.1

MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

Slik ser det ut nå, håper det hjelper litt.

EDIT: Verbose var unødvendig

Endret 31. juli 2005 av Slettet+6132

Harkonnen · 31. juli 2005

Er ikke så veldig lett å hjelpe deg når en ikkje forstår hva problemet ditt er

31. juli 2005

Er ikke så veldig lett å hjelpe deg når en ikkje forstår hva problemet ditt er

Hva er så vanskelig å forstå med at Jeg vil at når en bruker med ip 10.x.y.z kobler seg til på min ip 213.x.x.x (som er eth0) så skal dette NATes akkurat som om brukeren hadde hatt en hvilken som helst ip. Slik det er nå vil brukeren med 10.x.y.z som ip bare få timeout, det samme vil jeg få.

EDIT: Jeg vet jeg ikke er noe god på å forklare, beklager

EDIT: Hvis jeg bytter mitt LAN-subnett til 192.168.*, blir det lettere da?

Endret 31. juli 2005 av Slettet+6132

Harkonnen · 31. juli 2005

Hvordan skal egentlig en bruker med 10.x.x.x ip komme frem til din 213.x.x.x ip ?

Zenit · 31. juli 2005

Finn ut om de med 10. IP-er i lyse sitt nett NAT-es til en offisiell IP når de prøver å nå deg. Jeg har en viss følelse at det er det som skjer siden du har en 213. IP på WAN-interfacet. Få noen til å ta en traceroute mot din offisielle IP.

Hvis det er som du sier at forespørslene utenfra har 10. IP-er, ja da får du det problemet du beskriver med å nå disse adressene fordi du nå bruker samme IP-serie lokalt. Hvis du også har samme subnet vil du nå få problemer med å nå en 10. adresse utenfor ditt nett fordi gw-en vil tro at denne befinner seg lokalt.

Da må du enten bruke et annet subnet enn det lyse har, eller rett og slett som du foreslo bruke en annen IP-serie (f.eks. 192.168.). I tillegg må du åpne for 10.0.0.x serien i firewallen. Men det siste har du allerede fått et par tips om.

Problemer med iptables

Anbefalte innlegg

Gjest Slettet+6132

Lenke til kommentar

Videoannonse

Lenke til kommentar

Gjest Slettet+6132

Lenke til kommentar

Lenke til kommentar

Gjest Slettet+6132

Lenke til kommentar

Lenke til kommentar

Gjest Slettet+6132

Lenke til kommentar

Lenke til kommentar

Gjest Slettet+6132

Lenke til kommentar

Lenke til kommentar

Gjest Slettet+6132

Lenke til kommentar

Lenke til kommentar

Gjest Slettet+6132

Lenke til kommentar

Lenke til kommentar

Gjest Slettet+6132

Lenke til kommentar

Gjest Slettet+6132

Lenke til kommentar

Lenke til kommentar

Gjest Slettet+6132

Lenke til kommentar

Lenke til kommentar

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Opprett konto

Logg inn

Hvem er aktive 0 medlemmer