p3t1na csináltam egy scriptet de igy se megy a net a kliens gépeken.. pedig elvileg jó...
#!/bin/bash
###Loading modules###
modprobe ip_conntrack_ftp
echo "Modulok betöltése.....[ OK ]"
###Flushing all rules###
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
echo "Szabályok törlése.....[ OK ]"
###Set the default policy###
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
echo "Alap szabályok beállítása.....[ OK ]"
###Allow unlimited traffic on loopback###
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
echo "Forgalom engedélyezése a Localhoston.....[ OK ]"
###Masking, Net sharing###
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
ifconfig eth0 192.168.0.1
/etc/init.d/dhcp3-server force-reload
echo "Internet megosztás beállítása.....[ OK ]"
###Define INPUT Rules###
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Alaprendszerhez szukseges portok
iptables -A INPUT -p udp --dport 68 --sport 67 -j ACCEPT
iptables -A INPUT -p udp -m multiport --dport 123,161,5353,1900 -j ACCEPT
# Messenger portok(MSN, others need to add)
iptables -A INPUT -p udp -m multiport --dport 6891:6900,6901 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dport 1863,6891:6900,6901 -j ACCEPT
# EXTRA Rendszerhez szukseges portok, Szerver portok
iptables -A INPUT -p tcp -m multiport --dport 20,21,80,139,445 -j ACCEPT
iptables -A INPUT -p udp -m multiport --dport 137,138 -j ACCEPT
# Log
iptables -A INPUT -j LOG --log-prefix „INPUT_DROP:”
iptables -A INPUT -j DROP
echo "Bejövő kapcsolatok szabályozása.....[ OK ]"
###Define OUTPUT Rules###
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Alaprendszerhez szukseges portok
iptables -A OUTPUT -p tcp --dport 68 --sport 67 -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --dport 80,443,25,465,143,993,110,995 -j ACCEPT
iptables -A OUTPUT -p udp -m multiport --dport 53,5353,123,161,1900 -j ACCEPT
# Messenger portok(MSN, others need to add)
iptables -A OUTPUT -p udp -m multiport --dport 6891:6900,6901 -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --dport 1863,6891:6900,6901 -j ACCEPT
# EXTRA Rendszerhez szukseges portok, Szerver portok
iptables -A OUTPUT -p tcp -m multiport --dport 20,21,139,445 -j ACCEPT
iptables -A OUTPUT -p udp -m multiport --dport 137,138 -j ACCEPT
# Log
iptables -A OUTPUT -j LOG --log-prefix „OUTPUT_DROP:”
iptables -A OUTPUT -j DROP
echo "Kimenő kapcsolatok engedélyezése.....[ OK ]"
###Define FORWARD Rules###
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A FORWARD -o eth0 -j ACCEPT
echo "Hálózat beállítása.....[ OK ]"
Elileg igy ugye engedélyeztem az ipv4 forwardot az elején aztán engedélyeztem a megfelelő portokat ki be és engedélyeztem (forwardoltam) minden kapcsolatot a lan fele néző kártyáról... de mégse megy...
a cél az lenne h ne menjen se ki se be semmi csak amit engedek... és legyen net a kliens gépeken de úgy, hogy a kliens gépek is csak azokat a portokat használják amiket én engedtem... és ez most az én szemszögemből igy van ... de mégsem megy... mit rontottam el..? meg nem igazán értem ezeket a 67, 68 portokat se ezeknek minek kell benne lenni már több firewall scriptben is láttam de mindenhol másképp...
Légyszi segíts megvalósitani az elképzelésemet...
SZERK:::
Háhá mire nem jó ha az ember nézi a logokat... :) megvan... a 67 és 68 port volt rosszul konfigolva meg nem volt engedélyezve az 53-as bejövő port.. most megy a net a többi gépen is... :)
De akkor szerinted ez a tűzfal igy most jó arra amire használni akarom...? meg még egy kérdés hogy tudom azt megcsinálni, hogy pl. egy kliens gépen kell egy port kifele ill befele de a szerveren azt a portot nem akarom engedélyezni.. akkor ezt h tudom kivitelezni?
erre lenne a pre/postrouting?
pl engedélyezni szeretném a 65535 portot a kliens gépekenek ki is meg be is akkor ezt h kell definiálni?