Forum

Bildirimler
Hepsini Temizle

IPTABLES

9 Yazılar
4 Üyeler
0 Reactions
568 Görüntüleme
(@alibirinci)
Gönderiler: 278
Reputable Member
Konu başlatıcı
 

Selam Arkadaşlar;

Centos 5.2 Kurulu.. 2 adet ethernet kartım var. Amacım Gateway olarak ayarlamak.. ayarlarım şu şekilde.

 iptables version : 1.3.5

NEtwork

eht0 :  10.1.1.254                        eth1 : 172.16.0.254

mask: 255.255.0.0                      mask : 255.255.0.0

GT : 10.1.1.17                           GT : -

Yaptığım işlemler:

  1.  lsmod komutu ile  iptable_nat yüklü olup olmadığını kontrol ettim. yüklü..
  2. /etc/sysctl.conf dosyasının içindeki net.ipv4.ip_forward=1  olacak şeklinde değiştirdim.
  3. Aşağıdaki Komutları tek tek yaptım..
  • iptables -P FORWARD DROP
  • iptables -A FORWARD -i eth1 -j ACCEPT
  • iptables -A FORWARD -o eth1 -j ACCEPT
  • iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Sonrasında durumu gozlemek için  service iptables status  Komutu ile aşapğıdaki cıktıyı aldım.

[root@localhost ~]# iptables -P FORWARD DROP
[root@localhost ~]# iptables -A FORWARD -i eth1 -j ACCEPT
[root@localhost ~]# iptables -A FORWARD -o eth1 -j ACCEPT
[root@localhost ~]# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
[root@localhost ~]# service iptables status
Table: nat
Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination
1    MASQUERADE  all  --  0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Table: filter
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain FORWARD (policy DROP)
num  target     prot opt source               destination
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

 Okuduğum makaleler komplex.  şu anki durumum client internete hala cıkarmıyor..  Yukarıda belirttiğim amacıma ulaşmak için yardımlarınızı bekliyorum..

 

 
Gönderildi : 30/12/2008 18:38

(@ErdemHACISALIHOGLU)
Gönderiler: 542
Honorable Member
 

CAUSE Where you have more than 2 networks cards on your ISA server and the main router is on the external interface, the ISA server cannot route in internal because you have only a default route to external. Sample : ROUTE 0.0.0.0 MASK 0.0.0.0 GW 192.168.0.1 RESOLUTION Create a local route to send the traffic to internal gateway with the command “route”. If you want to route the subnet 172.16.0.0 with a mask of 255.255.255.0 to the gateway 10.88.2.1, use “–p” to force the route as persistent. Sample : route -p ADD 172.16.0 MASK 255.255.255.0 10.88.9.1

 
Gönderildi : 30/12/2008 18:44

(@esersolmaz)
Gönderiler: 3204
Illustrious Member Yönetici
 

Merhaba;


service iptables start dedinizmi yani iptables çalışıyormu ?


bide


  • iptables -P FORWARD DROP
  • iptables -A FORWARD -i eth1 -j ACCEPT
  • iptables -A FORWARD -o eth1 -j ACCEPT

  • Demek pek mantıklı olmamış nendeni ise policy yi drop yapıyosunuz sonra iki interfacedide any any accept yapınca policy nin drop olması mantıksız oluyor ...


    iptables -F yapın ardından
    iptables -P FORWARD ACCEPT yapıp policy i accept hale getirin..


    sonrasında ise kullanıcıdan gw e ping atın iki bacagınada durumlarını kontrol edin ...


    bir yerde atladıgınız ufak bir şey var...


    birde emin olmak için echo 1 > /proc/sys/net/ipv4/ip_forward gibi bi şey di tab ile tamamlayıp degeri çek edin ...


    Durumu bildirirsiniz.


     


    İyi çalışmalar...


     


     

     
    Gönderildi : 30/12/2008 18:49

    (@alibirinci)
    Gönderiler: 278
    Reputable Member
    Konu başlatıcı
     

    Durum Şu anda sizin soylediğiniz şekilde. 172.16.0.254 Client ping atıyor.. ama hala nete cıkamıyor

     
    Gönderildi : 30/12/2008 19:14

    (@alikemalturker)
    Gönderiler: 1016
    Noble Member
     

    Bu kartlardan hangisi Gateway olarak hizmet veriyor eth0 mı? eth 1mi? eth0  ise IP adresi 10.1.1.254 ise GT i nasıl değişik oluyor...

    Öncellikle eth0 bacağı nereye bağlı ve IP adresi nedir, eth1 ayağı nereye bağlı?

    Tahminimce eth0 ayağı DSL modeminize bağlı değil mi? DSL modem Ip adresi de 10.1.1.17 mi?
     

     
    Gönderildi : 30/12/2008 19:49

    (@alikemalturker)
    Gönderiler: 1016
    Noble Member
     

    Bir de Eserin dediği gibi DROP poliçesi yukarıda... Bunun latına ne yazarsanız yazın ilk police olarak herşeyi DROP ediyor.. Ayrıca  senin  istemcilerin dışarı çıksa bile  kurulmuş  bağlantıların  içerisi  girmesi  ile  ilgili  bir  police  yok....  RELATED, ESTABLISHED  paketlerine izin  vermen gerekli..

    Kolay gele

    ps: Bu arada ESER bakıyorum artık Linux konularına cevap vermeye başladın 🙂 Yarasın 🙂

     

     

     
    Gönderildi : 30/12/2008 19:58

    (@esersolmaz)
    Gönderiler: 3204
    Illustrious Member Yönetici
     


    ps: Bu arada ESER bakıyorum artık Linux konularına cevap vermeye başladın 🙂 Yarasın 🙂



    Amacımız belli yardımcı olmak elimden geldigi kadar deniyorum işte ...

     
    Gönderildi : 31/12/2008 00:42

    (@alibirinci)
    Gönderiler: 278
    Reputable Member
    Konu başlatıcı
     

    iptables -F
    iptables -P FORWARD ACCEPT
    /sbin/modprobe iptable_nat
    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptables - INPUT -m state --state ESTABLISHED,RELATED -i eth0

     Şu anda bunları yapmış durumdayım.. ip_forward yolu doğru.   Buradaki      makaleye bakarak network dosyasına FORWARD_IPV4=YES ekledim. ve bir değişiklik olmadı. Erdal hocam 10.1.1.17 başka bir firewall. ama her şey açık orada.orada bir sıkıntı olmadığına eminim. 

    Acaba diyorum. linux sürümlerinden dolayı kaynaklanan komut hatası olabilirmi acaba?  tek kaynakdan faydalanmıyorum.. Firewall olarak Centos doğru bir tercihmidir.  Linux üzerinde VPn , Paket filter vede içerik filitremesi ile ilgileniyorum.. Önerilere açığım..

     

    yardımlarınız için tşk..

     

     

     
    Gönderildi : 31/12/2008 11:30

    (@esersolmaz)
    Gönderiler: 3204
    Illustrious Member Yönetici
     

    Merhaba;


    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE bu satırı eklemez iseniz port based NAt işlemi olmaz...


    öncelikle içerdeki birini dışarı çıkaralaım sonrasına devam edersiniz.... ama eger vpn ilede ilgileniyor iseniz kesinlikle endian kullanın derim... Hatta inceleyin biraz...



     

     
    Gönderildi : 31/12/2008 18:26

    Paylaş: