[an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive]
 
[an error occurred while processing this directive] [an error occurred while processing this directive]
Skåne Sjælland Linux User Group - http://www.sslug.dk Home   Subscribe   Mail Archive   Forum   Calendar   Search
MhonArc Date: [Date Prev] [Date Index] [Date Next]   Thread: [Date Prev] [Thread Index] [Date Next]   MhonArc
 

Re: [NETVAERK] Spørgsmål omkring IPTABLES(SOLVED)



Per Jørgensen skrev:

Donald Axel skrev:

On Sun, 20 Aug 2006 07:53:16 +0000 (UTC)
sslug@sslug (Per Jørgensen) wrote:

# Enable routing inden regler starter
echo 1 > /proc/sys/net/ipv4/ip_forward

Dette virker således at der er hul udefra og ind til serveren i DMZ!
Men fra LAN kan jeg ikke komme ind til DMZ!

Hej Per,

Jeg kan se, at du har rettet så ip_forward bliver sat til true.
Desværre har jeg ikke tid til at gennemgå det lange script, men det
er ikke ret meget for langt, det skal ikke bekymre dig.

Du har tilsyneladende en vis bit-skepsis eller har ikke checket, hvordan
iptables virker. Det er da vist ikke nødvendigt at flushe en
ny-regel-kæde som man lige har lavet. Altså nøjes med
   iptables -N minnyekede

Brug iptables -t filter -L -v og
iptables -t nat -L -v

for at se, hvad du har fået op at køre.

Jeg måtte klippe scriptet over i vim for overblikket og søge efter
hvor du laver network-address-translation (NAT)


iptables -t nat -A PREROUTING -i $ETH_WAN -d $WAN -p tcp --dport 22 -j
DNAT --to-destination $ATANLTIS:22
iptables -A wantodmz -d $ATLANTIS -p tcp --dport 22 -j ACCEPT

Her har du stavet forkert.

     Du bliver nødt til at gøre, som Jon foreslog. Lav scriptet en
linie ad gangen eller så lidt som muligt (en etage) og se så om du kan
køre det og om effekten, er, som den skal være.

     Der er ingen, der kan debugge et script som dette i fuld længde,
heller ikke genier:-)

God fornøjelse.
Hej Igen!

Jamen det har jeg så gjort og bikset og bakset som gal med dette ! Problemet var som så:
Jeg havde i efter middags fået det hele til at virke og for at teste genstarter jeg min firewall. Derefter er al forbindelse fra LAN til DMZ forsvundet! Jeg har i min DNS benævnt min server med externe IP. og dette fungerer efter SSlugs HOWTO.

Derefter har jeg følgende regler for mine kæder:
LAN:
$IPTABLES -A INPUT -i $LAN -m state --state NEW -j ACCEPT
LANTOWAN:
$IPTABLES -A lantowan -s $LAN_NET -j ACCEPT
Min Forwardning:
## HTTP ##
$IPTABLES -t nat -A PREROUTING -d $WAN_IP -p tcp --dport 80 -j DNAT --to-destination $ATLANTIS:80
$IPTABLES -A wantodmz -d $ATLANTIS -p tcp --dport 80 -j ACCEPT

## SSH ##
$IPTABLES -t nat -A PREROUTING -d $WAN_IP -p tcp --dport 22 -j DNAT --to-destination $ATLANTIS:22
for SSH in $SSHHOSTS;do
$IPTABLES -A wantodmz -s $SSH -d $ATLANTIS -p tcp --dport 22 -j ACCEPT
done

## SMTP ##
$IPTABLES -t nat -A PREROUTING -d $WAN_IP -p tcp --dport 25 -j DNAT --to-destination $ATLANTIS:25
$IPTABLES -A wantodmz -d $ATLANTIS -p tcp --dport 25 -j ACCEPT

## IMAP ##
$IPTABLES -t nat -A PREROUTING -d $WAN_IP -p tcp --dport 143 -j DNAT --to-destination $ATLANTIS:143
$IPTABLES -A wantodmz -d $ATLANTIS -p tcp --dport 143 -j ACCEPT

Tilsidst jeg tilføjer kæderne til FORWARD:
$IPTABLES -A FORWARD -i $WAN -o $DMZ -j wantodmz
$IPTABLES -A FORWARD -i $LAN -o $DMZ -j lantodmz

Så et eller andet sted mangler jeg noget - og jeg kan godt nok ikke finde det problem.

Løsningen er følgende for OUTPUT:
$IPTABLES -t nat -A POSTROUTING -s $LAN_NET -d $ATLANTIS -j SNAT --to $WAN_IP


Dermed virker det ! Ikke sikker på at det er den rigtige løsning - men det virker !!!! Tak for hjælpen undervejs i denne processen! MVH
Per Jørgensen




 
Home   Subscribe   Mail Archive   Index   Calendar   Search

 
 
Questions about the web-pages to <www_admin>. Last modified 2006-09-01, 02:01 CEST [an error occurred while processing this directive]
This page is maintained by [an error occurred while processing this directive]MHonArc [an error occurred while processing this directive] # [an error occurred while processing this directive] *