English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận hệ điều hành *nix Cho mình hỏi cấu hình iptables cho máy có 2 card mạng  XML
  [Question]   Cho mình hỏi cấu hình iptables cho máy có 2 card mạng 17/07/2012 13:47:57 (+0700) | #1 | 266938
wirzfog
Member
[Minus]    0    [Plus]
Joined: 20/09/2009 09:00:56
Messages: 32
Offline
[Profile] [PM]
Mình có mô hình như thế này

Client --- (eth1) Server (eth0) -- Gateway

Gateway: 10.0.2.2

eth0: 10.0.2.15
eth1: 192.168.1.10

Client: 192.168.1.100

Trên máy Server mình cài dịch vụ DNS. Mình muốn thiết lập rule để client có thể truy vấn được
Code:
#iptables -A INPUT -s 192.168.1.0/24 -i eth1 -p udp --sport 53 --dport 1024:65535 -j ACCEPT


Nhưng trên máy Client vẫn chưa thể truy vấn được dịch vụ DNS. Vậy cho mình hỏi lệnh trên mình còn thiết sót những gì?

Thanks
[Up] [Print Copy]
  [Question]   Cho mình hỏi cấu hình iptables cho máy có 2 card mạng 17/07/2012 14:16:47 (+0700) | #2 | 266941
kakarottbatdong
Member
[Minus]    0    [Plus]
Joined: 02/05/2009 19:27:06
Messages: 55
Offline
[Profile] [PM]
thử cái này xem sao
#iptables -A INPUT -s 192.168.1.0/24 -i eth1 -p udp --dport 53 -j ACCEPT
[Up] [Print Copy]
  [Question]   Cho mình hỏi cấu hình iptables cho máy có 2 card mạng 17/07/2012 14:54:12 (+0700) | #3 | 266946
cino
Member
[Minus]    0    [Plus]
Joined: 29/11/2010 00:50:44
Messages: 37
Offline
[Profile] [PM]

wirzfog wrote:
Mình muốn thiết lập rule để client có thể truy vấn được
Code:
#iptables -A INPUT -s 192.168.1.0/24 -i eth1 -p udp --sport 53 --dport 1024:65535 -j ACCEPT

 


Rule đó là rule của máy nào? Mà bác INPUT mà không OUTPUT thì.. ngậm sâm mà chờ. smilie
[Up] [Print Copy]
  [Question]   Cho mình hỏi cấu hình iptables cho máy có 2 card mạng 17/07/2012 16:08:30 (+0700) | #4 | 266970
wirzfog
Member
[Minus]    0    [Plus]
Joined: 20/09/2009 09:00:56
Messages: 32
Offline
[Profile] [PM]
@kakarottbatdong: Thanks bạn, nhưng không được
@cino: Rule trên máy Server. mình thêm rule tại chain OUTPUT
Code:
#iptables -A INPUT -s 192.168.1.0/24 -i eth1 -p udp --sport 53 --dport 1024:65535 -d 192.168.1.10 -j ACCEPT
#iptables -A OUTPUT -s 192.168.1.10 -o eth1 -p udp --dport 53 --sport 1024:65535 -d 192.168.1.0/24 -j ACCEPT


Thử đổi 2 giá trị --sport và --dport cho nhau nhưng kết quả vẫn vậy smilie
[Up] [Print Copy]
  [Question]   Cho mình hỏi cấu hình iptables cho máy có 2 card mạng 17/07/2012 19:11:10 (+0700) | #5 | 266989
kakarottbatdong
Member
[Minus]    0    [Plus]
Joined: 02/05/2009 19:27:06
Messages: 55
Offline
[Profile] [PM]
Bồ thảy hết rule của iptables lên xem
[Up] [Print Copy]
  [Question]   Cho mình hỏi cấu hình iptables cho máy có 2 card mạng 17/07/2012 23:21:16 (+0700) | #6 | 267008
cino
Member
[Minus]    0    [Plus]
Joined: 29/11/2010 00:50:44
Messages: 37
Offline
[Profile] [PM]

wirzfog wrote:

@cino: Rule trên máy Server. mình thêm rule tại chain OUTPUT
Code:
#iptables -A INPUT -s 192.168.1.0/24 -i eth1 -p udp --sport 53 --dport 1024:65535 -d 192.168.1.10 -j ACCEPT
#iptables -A OUTPUT -s 192.168.1.10 -o eth1 -p udp --dport 53 --sport 1024:65535 -d 192.168.1.0/24 -j ACCEPT


Thử đổi 2 giá trị --sport và --dport cho nhau nhưng kết quả vẫn vậy smilie  

Sao lại thay đổi sport và dport lòng vòng 1 cách... vô ý thức vậy bác.

Trước hết bác phải chắc chắn là "Server" của bác (DNS server) phải chạy được, chỉnh servername/nameserver gì đó trong /etc/resolv.conf về 127.0.0.1 và off iptables xem cái DNS server này chạy ổn hay không cái đã (kiếm domain nào đó ping thử). Nếu ok, bật iptables lên để xem có cản trở gì không rồi mới tính tới việc chỉnh rules để allow cho clients. Cứ mần từ từ từng bước một. smilie
[Up] [Print Copy]
  [Question]   Cho mình hỏi cấu hình iptables cho máy có 2 card mạng 17/07/2012 23:21:18 (+0700) | #7 | 267009
wirzfog
Member
[Minus]    0    [Plus]
Joined: 20/09/2009 09:00:56
Messages: 32
Offline
[Profile] [PM]
[root@centos ~]# iptables -L -n
Code:
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
ACCEPT     udp  --  192.168.1.0/24       192.168.1.10        udp spt:1024:65535 dpts:53

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     udp  --  192.168.1.10         192.168.1.0/24      udp spts:53 dpt:1024:65535


[root@centos ~]# cat /etc/sysconfig/iptables
Code:
# Generated by iptables-save v1.4.7 on Wed Jul 18 00:17:10 2012
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [24:2272]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A INPUT -s 192.168.1.0/24 -d 192.168.1.10/32 -i eth1 -p udp -m udp --sport 1024:65535 --dport 53 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -s 192.168.1.10/32 -d 192.168.1.0/24 -o eth1 -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
COMMIT
# Completed on Wed Jul 18 00:17:10 2012


@cino: Mình thử stop iptables thì truy vấn được dịch vụ DNS. Như vậy chứng tỏ dịch vụ đã bị cản bởi iptables.
[Up] [Print Copy]
  [Question]   Cho mình hỏi cấu hình iptables cho máy có 2 card mạng 18/07/2012 09:15:43 (+0700) | #8 | 267015
[Avatar]
 2009
Member
[Minus]    0    [Plus]
Joined: 07/06/2012 06:25:58
Messages: 12
Offline
[Profile] [PM]
DNS sử dụng cả 2 giao thức là TCP và UDP , nên mình nghĩ bạn nên thiết lập 1 rule nữa cho TCP. Nếu không chắc chắn thì bạn thử stop iptables và dùng wireshark để bắt các gói tin DNS để kiểm tra ( mình nhớ là DNS bây giờ hầu như dùng TCP , UDP thì mình chưa bắt được gói nào )
[Up] [Print Copy]
  [Question]   Cho mình hỏi cấu hình iptables cho máy có 2 card mạng 18/07/2012 09:35:24 (+0700) | #9 | 267017
quocviet1024
Member
[Minus]    0    [Plus]
Joined: 07/06/2007 00:14:10
Messages: 6
Offline
[Profile] [PM]

wirzfog wrote:
[root@centos ~]# iptables -L -n

-A INPUT -s 192.168.1.0/24 -d 192.168.1.10/32 -i eth1 -p udp -m udp --sport 1024:65535 --dport 53 -j ACCEPT
-A OUTPUT -s 192.168.1.10/32 -d 192.168.1.0/24 -o eth1 -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT


@cino: Mình thử stop iptables thì truy vấn được dịch vụ DNS. Như vậy chứng tỏ dịch vụ đã bị cản bởi iptables. 

Các rules đều set cho mạng LAN thì DNS server của bác truy vấn được cái gì đây.

Trên server của bác.

Bác output cho lệnh này thử? cat /etc/resolv.conf

Chèn dòng này vào đầu iptables sau đó thử coi nó (dns srv) đã hoạt động chưa: iptables -A INPUT -p udp --sport 53 --dport 1024:65535 -j ACCEPT

Bác dùng cái gì làm DNS server? Hay là tớ hiểu sai mô hình của bác nhỉ.
[Up] [Print Copy]
  [Question]   Cho mình hỏi cấu hình iptables cho máy có 2 card mạng 18/07/2012 11:12:52 (+0700) | #10 | 267031
wirzfog
Member
[Minus]    0    [Plus]
Joined: 20/09/2009 09:00:56
Messages: 32
Offline
[Profile] [PM]

quocviet1024 wrote:

wirzfog wrote:
[root@centos ~]# iptables -L -n

-A INPUT -s 192.168.1.0/24 -d 192.168.1.10/32 -i eth1 -p udp -m udp --sport 1024:65535 --dport 53 -j ACCEPT
-A OUTPUT -s 192.168.1.10/32 -d 192.168.1.0/24 -o eth1 -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT


@cino: Mình thử stop iptables thì truy vấn được dịch vụ DNS. Như vậy chứng tỏ dịch vụ đã bị cản bởi iptables. 

Các rules đều set cho mạng LAN thì DNS server của bác truy vấn được cái gì đây.

Trên server của bác.

Bác output cho lệnh này thử? cat /etc/resolv.conf

Chèn dòng này vào đầu iptables sau đó thử coi nó (dns srv) đã hoạt động chưa: iptables -A INPUT -p udp --sport 53 --dport 1024:65535 -j ACCEPT

Bác dùng cái gì làm DNS server? Hay là tớ hiểu sai mô hình của bác nhỉ. 

Thì mình dùng DNS này cho các máy trong mạng LAN mà.
/etc/resolv.conf
nameserver 192.168.1.10

Như mấy post trước mình có nói, hệ thống DNS này đã hoạt động rồi (đã test thử thành công khi stop iptables)
Mình không hiểu vì sao rule đã mở port 53 rồi mà client vẫn không truy vấn được.

Server DNS là CentOS-6 dùng BIND.
[Up] [Print Copy]
  [Question]   Cho mình hỏi cấu hình iptables cho máy có 2 card mạng 18/07/2012 12:12:07 (+0700) | #11 | 267035
Cuc.Sat
Member
[Minus]    0    [Plus]
Joined: 29/08/2011 04:32:50
Messages: 52
Offline
[Profile] [PM]
Bác wirzfog query DNS thế nào ? local domain hay external domain.
Nếu là external domain thì bác phải thêm rule cho DNS access Internet nữa.

2009 wrote:

DNS sử dụng cả 2 giao thức là TCP và UDP , nên mình nghĩ bạn nên thiết lập 1 rule nữa cho TCP. Nếu không chắc chắn thì bạn thử stop iptables và dùng wireshark để bắt các gói tin DNS để kiểm tra ( mình nhớ là DNS bây giờ hầu như dùng TCP , UDP thì mình chưa bắt được gói nào )
 

Đúng là DNS dùng cả 2 giao thức TCP và UDP nhưng không biết nó chạy trên TCP luôn từ khi nào vì chỗ em vẫn thấy nó chạy trên UDP smilie
[Up] [Print Copy]
  [Question]   Cho mình hỏi cấu hình iptables cho máy có 2 card mạng 18/07/2012 12:53:04 (+0700) | #12 | 267037
cino
Member
[Minus]    0    [Plus]
Joined: 29/11/2010 00:50:44
Messages: 37
Offline
[Profile] [PM]

wirzfog wrote:

quocviet1024 wrote:

wirzfog wrote:
[root@centos ~]# iptables -L -n

-A INPUT -s 192.168.1.0/24 -d 192.168.1.10/32 -i eth1 -p udp -m udp --sport 1024:65535 --dport 53 -j ACCEPT
-A OUTPUT -s 192.168.1.10/32 -d 192.168.1.0/24 -o eth1 -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT


@cino: Mình thử stop iptables thì truy vấn được dịch vụ DNS. Như vậy chứng tỏ dịch vụ đã bị cản bởi iptables. 

Các rules đều set cho mạng LAN thì DNS server của bác truy vấn được cái gì đây.

Trên server của bác.

Bác output cho lệnh này thử? cat /etc/resolv.conf

Chèn dòng này vào đầu iptables sau đó thử coi nó (dns srv) đã hoạt động chưa: iptables -A INPUT -p udp --sport 53 --dport 1024:65535 -j ACCEPT

Bác dùng cái gì làm DNS server? Hay là tớ hiểu sai mô hình của bác nhỉ. 

Thì mình dùng DNS này cho các máy trong mạng LAN mà.
/etc/resolv.conf
nameserver 192.168.1.10

Như mấy post trước mình có nói, hệ thống DNS này đã hoạt động rồi (đã test thử thành công khi stop iptables)
Mình không hiểu vì sao rule đã mở port 53 rồi mà client vẫn không truy vấn được.
 

Giục cái client qua một bên đi bác. Bật iptables lên. Xử rules cho cái server trước, server này cần "móc" ra ngoài DNS rootzone nữa.

Mà sao thấy rules toàn là accept không vậy cà? Có thấy đoạn nào reject đâu nhỉ. Bác gửi toàn bộ thao tác với iptables của bác lên coi sao. smilie
Code:
Chain INPUT (policy ACCEPT)
Chain OUTPUT (policy ACCEPT)
[Up] [Print Copy]
  [Question]   Cho mình hỏi cấu hình iptables cho máy có 2 card mạng 18/07/2012 14:48:20 (+0700) | #13 | 267044
wirzfog
Member
[Minus]    0    [Plus]
Joined: 20/09/2009 09:00:56
Messages: 32
Offline
[Profile] [PM]
Đây là khi mình tắt iptables




Rule trên iptables thì mình chỉ mới đặt những rule như trên thôi, không có thêm rule nào khác.
[Up] [Print Copy]
  [Question]   Cho mình hỏi cấu hình iptables cho máy có 2 card mạng 19/07/2012 14:22:55 (+0700) | #14 | 267103
wirzfog
Member
[Minus]    0    [Plus]
Joined: 20/09/2009 09:00:56
Messages: 32
Offline
[Profile] [PM]
Không ai có giải pháp nào sao? smilie(
[Up] [Print Copy]
  [Question]   Cho mình hỏi cấu hình iptables cho máy có 2 card mạng 19/07/2012 16:04:58 (+0700) | #15 | 267110
cino
Member
[Minus]    0    [Plus]
Joined: 29/11/2010 00:50:44
Messages: 37
Offline
[Profile] [PM]

wirzfog wrote:
Không ai có giải pháp nào sao? smilie

Giải pháp là allow cho kết nối từ Bind ra mạng ngoài nữa đó rồi bác/

Tôi nghĩ bác cần đọc thêm về iptables, add rules tường minh qua script. Nếu trực tiếp gõ rules, add, insert, remove.. thì sẽ rất khó trace ra vì rule trước đá rule sau.

Thử coi sao nhé (IP trong tự điền hoặc khỏi điền)
Code:
eth0:
iptables -A INPUT -i eth0 -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -i eth0 -p udp --dport 53 -j ACCEPT

eth1:
iptables -A INPUT -i eth1 -p udp -s any/0 --sport 1024:65535 --dport 53  -j ACCEPT
iptables -A OUTPUT -o eth1 -p udp -any/0 --sport 1024:65535 -d any/0--dport 53 -j ACCEPT
[Up] [Print Copy]
  [Question]   Cho mình hỏi cấu hình iptables cho máy có 2 card mạng 19/07/2012 19:34:10 (+0700) | #16 | 267119
wirzfog
Member
[Minus]    0    [Plus]
Joined: 20/09/2009 09:00:56
Messages: 32
Offline
[Profile] [PM]
Thanks 4 reply!
Mình thử hết cả mấy rule ở trên rồi, nhưng đều không được.

Bây giờ mình tạo 1 máy ảo mới, chỉ có 1 card mạng eth0 (192.168.1.10) nối trực tiếp với máy client (192.168.1.100). Mình set rule như sau:

#iptables -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT
#iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT

Và, kết quả là client vẫn không thể truy vấn được DNS Server.
Sao kỳ vậy ta =.='
[Up] [Print Copy]
  [Question]   Cho mình hỏi cấu hình iptables cho máy có 2 card mạng 20/07/2012 09:27:53 (+0700) | #17 | 267164
cino
Member
[Minus]    0    [Plus]
Joined: 29/11/2010 00:50:44
Messages: 37
Offline
[Profile] [PM]

wirzfog wrote:
Thanks 4 reply!
Mình thử hết cả mấy rule ở trên rồi, nhưng đều không được.

Bây giờ mình tạo 1 máy ảo mới, chỉ có 1 card mạng eth0 (192.168.1.10) nối trực tiếp với máy client (192.168.1.100). Mình set rule như sau:

#iptables -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT
#iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT

Và, kết quả là client vẫn không thể truy vấn được DNS Server.
Sao kỳ vậy ta =.=' 


DNS Server lấy nguồn ở đâu ra để hồi đáp IP cho client?

Còn một nguyên nhân nữa, với iptables mà hễ cứ thích là add rules ACCEPT lung tung thì sử dụng chưa kịp đã bị REJECT bởi rules trước nó rồi. Nên tìm hiểu iptables trước khi muốn áp dụng cho services cụ thể.
[Up] [Print Copy]
  [Question]   Cho mình hỏi cấu hình iptables cho máy có 2 card mạng 20/07/2012 09:32:29 (+0700) | #18 | 267165
Cuc.Sat
Member
[Minus]    0    [Plus]
Joined: 29/08/2011 04:32:50
Messages: 52
Offline
[Profile] [PM]

wirzfog wrote:
Thanks 4 reply!

#iptables -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT
#iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT

 

Phải là
#iptables -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT
#iptables -A OUTPUT -o eth0 -p udp --sport 53 -j ACCEPT
chứ.
Mà nếu vẫn không chạy bác thử flush iptables rồi add rule lại xem. Với policy drop hết nhé.
[Up] [Print Copy]
  [Question]   Cho mình hỏi cấu hình iptables cho máy có 2 card mạng 20/07/2012 13:02:36 (+0700) | #19 | 267190
wirzfog
Member
[Minus]    0    [Plus]
Joined: 20/09/2009 09:00:56
Messages: 32
Offline
[Profile] [PM]
Ừm, nhầm chút.
Đã thay rule OUPUT như trên, nhưng ... vẫn không được smilie
[Up] [Print Copy]
  [Question]   Cho mình hỏi cấu hình iptables cho máy có 2 card mạng 20/07/2012 14:50:07 (+0700) | #20 | 267198
[Avatar]
 somenuchi
Member
[Minus]    0    [Plus]
Joined: 08/10/2011 09:19:02
Messages: 55
Offline
[Profile] [PM]
Trong mấy cái rule mà bạn đưa lên chẳng có cái rule này DROP bất cứ thứ gì cả. Bạn thử trả lời những câu hỏi sau xem có giúp ích được không.
1. Bạn có hiểu rõ ý nghĩa của từng rule trong bảng iptables mà bạn đã add không ?
2. Bạn đã thử xoá hết các rule đi để kiểm tra chưa ?
3. Bạn đã Disable SElinux chưa ?
vô thường
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|