[Question] Cấu hình firewall (iptables) đi qua modem ADSL |
12/01/2007 09:28:20 (+0700) | #1 | 35781 |
|
tam_itvn
Member
|
0 |
|
|
Joined: 27/08/2004 22:44:55
Messages: 11
Offline
|
|
Theo như mình biết thì iptables chỉ cấu hình khi đi ra ngoài với IP tĩnh. mà modem ADSL thì lại thay đổi IP mỗi lần khởi động. Nên mình dùng NAT PREROUTING (biên dịch địa chỉ IP trước khi dẫn đường).
Mô hình:
Cấu hình như sau :
Code:
modprobe iptable_nat
external_int = "eth0"
external_ip = "" ifconfig $external_int | grep 'inet addr' awk '{print $2}' | sed -e 's/. * ://'""
echo 1 > /proc/sys/net/ipv4/ipforward
iptables -t nat -A PREROUTING -i eth0 -s 0/0 -o $external_ip -d 0/0
Bây giờ mình cho phép các máy trong mạng đi ra ngoài qua port web 80
Code:
iptables -A FORWARD -p tcp -i eth0 -o eth1 -s 192.168.1.0/24 - d0/0 --sport 80 -m state --state NEW -j ACCEPT
iptables -A FORWARD -t filter -o eth0 -m state --state NEW.ESTABLESHED,RELATED -j ACCEPT
iptables - A FORWARD -t filter -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Mình không chắc source cấu hình trên có đúng không . vì không có modem ADSL để thử. Bác nào biết còn sai hoặc thiếu hoặc dư thừa chỗ nào xin chỉ giúp. Cảm ơn các bác nhiều.
|
|
Panpic.vn |
|
|
|
[Question] Re: Cấu hình firewall (iptables) đi qua modem ADSL |
12/01/2007 20:52:45 (+0700) | #2 | 35832 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Câu này sai rồi:
external_ip = "" ifconfig $external_int | grep 'inet addr' awk '{print $2}' | sed -e 's/. * ://'""
Nó phải là:
external_ip=`ifconfig $external_int | grep 'inet' | awk '{print $2}' | sed -e 's/.*://'`
Trên *nix command, cẩn thận từng chữ, từng dấu (kể cả khoảng trống trên dòng lệnh).
Câu này:
iptables -t nat -A PREROUTING -i eth0 -s 0/0 -o $external_ip -d 0/0
dùng cho mục đích gì vậy?
Ba câu:
iptables -A FORWARD -p tcp -i eth0 -o eth1 -s 192.168.1.0/24 - d0/0 --sport 80 -m state --state NEW -j ACCEPT
iptables -A FORWARD -t filter -o eth0 -m state --state NEW.ESTABLESHED,RELATED -j ACCEPT
iptables - A FORWARD -t filter -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Vô ích nếu không có phần POSTROUTING đi trước.
Các state tách rời nhau bằng dấu phẩy (,), đoạn NEW.ESTABLESHED,RELATED sẽ tạo error.
Nói chung, mục đích của bồ là gì?
Trên ADSL modem đã có NAT chưa? |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: Cấu hình firewall (iptables) đi qua modem ADSL |
12/01/2007 22:05:33 (+0700) | #3 | 35834 |
|
tam_itvn
Member
|
0 |
|
|
Joined: 27/08/2004 22:44:55
Messages: 11
Offline
|
|
conmale wrote:
Câu này:
iptables -t nat -A PREROUTING -i eth0 -s 0/0 -o $external_ip -d 0/0
dùng cho mục đích gì vậy?
Đổi địa chỉ trước khi dẫn đường . Vì đang cấu hình kiểm soát client đi ra ngoài .
conmale wrote:
Ba câu:
iptables -A FORWARD -p tcp -i eth0 -o eth1 -s 192.168.1.0/24 - d0/0 --sport 80 -m state --state NEW -j ACCEPT
iptables -A FORWARD -t filter -o eth0 -m state --state NEW.ESTABLESHED,RELATED -j ACCEPT
iptables - A FORWARD -t filter -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Vô ích nếu không có phần POSTROUTING đi trước.
Mĩnh đã có REROUTING bên trên rồi mà.
conmale wrote:
Nói chung, mục đích của bồ là gì?
Trên ADSL modem đã có NAT chưa?
Mục đích của mình cấu hình iptables kiểm soát client đi ra ngoài qua server kết nối modem ADSL đi ra ngoài.
Nếu như server là IP tĩnh thì đơn giản rồi. nhưng ở đây là dùng modem ADSL (ip động) . nên phải làm sao đó mỗi lần IP server thay đổi theo modem thì thì các luật (iptables) kiểm soát, cho phép,... chặn (client) của mình vẫn hiểu.
|
|
Panpic.vn |
|
|
|
[Question] Re: Cấu hình firewall (iptables) đi qua modem ADSL |
12/01/2007 22:19:21 (+0700) | #4 | 35837 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
tam_itvn wrote:
conmale wrote:
Câu này:
iptables -t nat -A PREROUTING -i eth0 -s 0/0 -o $external_ip -d 0/0
dùng cho mục đích gì vậy?
Đổi địa chỉ trước khi dẫn đường . Vì đang cấu hình kiểm soát client đi ra ngoài .
Hì hì, PREROUTING là đi ra hay đi vào?
tam_itvn wrote:
conmale wrote:
Ba câu:
iptables -A FORWARD -p tcp -i eth0 -o eth1 -s 192.168.1.0/24 - d0/0 --sport 80 -m state --state NEW -j ACCEPT
iptables -A FORWARD -t filter -o eth0 -m state --state NEW.ESTABLESHED,RELATED -j ACCEPT
iptables - A FORWARD -t filter -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Vô ích nếu không có phần POSTROUTING đi trước.
Mĩnh đã có REROUTING bên trên rồi mà.
PREROUTING != POSTROUTING. Bồ xem lại 2 cái này cho thật kỹ.
tam_itvn wrote:
conmale wrote:
Nói chung, mục đích của bồ là gì?
Trên ADSL modem đã có NAT chưa?
Mục đích của mình cấu hình iptables kiểm soát client đi ra ngoài qua server kết nối modem ADSL đi ra ngoài.
Không thấy 1 cơ chế (rule) nào kiểm soát trong đoạn script của bồ cả. Tớ hỏi về nat ở ADSL modem là vì nếu bồ đã nat trên modem và tiếp tục nat trên Linux server, bồ có thể sẽ gặp một số trở ngại với một số giao thức.
tam_itvn wrote:
Nếu như server là IP tĩnh thì đơn giản rồi. nhưng ở đây là dùng modem ADSL (ip động) . nên phải làm sao đó mỗi lần IP server thay đổi theo modem thì thì các luật (iptables) kiểm soát, cho phép,... chặn (client) của mình vẫn hiểu.
Tĩnh hay động ở đây không nằm trong iptables rule mà nằm ở chỗ cơ chế nào làm cho iptables rules được áp dụng sau khi IP thay đổi. Ví dụ, cơ chế nào làm IP thay đổi (pppoe hay dhcp) thì cơ chế đó kèm theo dòng lệnh reload lại firewall rule set. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: Cấu hình firewall (iptables) đi qua modem ADSL |
13/01/2007 03:12:43 (+0700) | #5 | 35888 |
|
tam_itvn
Member
|
0 |
|
|
Joined: 27/08/2004 22:44:55
Messages: 11
Offline
|
|
Hì hì, PREROUTING là đi ra hay đi vào?
Hôm nọ có đọc cuốn Linux Home Networking Mình dịch
NAT PREROUTING : đi ra.
NAT POSTROUTING là đi vào.
Vậy là mình sai, phải ngược lại hả Bác ?
Không thấy 1 cơ chế (rule) nào kiểm soát trong đoạn script của bồ cả. Tớ hỏi về nat ở ADSL modem là vì nếu bồ đã nat trên modem và tiếp tục nat trên Linux server, bồ có thể sẽ gặp một số trở ngại với một số giao thức.
Mình chưa cấu hình kiềm soát từng máy, mà mới cho NAT cho nó hiểu modem đã. Mình chỉ NAT ở Server thôi còn modem để mặc định.
cơ chế nào làm IP thay đổi (pppoe hay dhcp) thì cơ chế đó kèm theo dòng lệnh reload lại firewall rule set.
Nếu vậy mình chỉ cần thêm đoạn code sau vào NAT là được hả bác ?
Code:
ip address outside pppoe setroute
ip address inside 192.168.1.1 255.255.255.0
dhcpd auto_config outside
Mình cũng mới tìm hiểu về iptables được vài bữa, mà lại không có modem ADSL để test nên cũng không chắc chắn. Nếu có thể mong bác chỉ giúp. Cảm ơn bác nhiều.
|
|
Panpic.vn |
|
|
|
[Question] Re: Cấu hình firewall (iptables) đi qua modem ADSL |
17/01/2007 00:17:57 (+0700) | #6 | 36659 |
subnetwork
Member
|
0 |
|
|
Joined: 05/09/2004 06:08:09
Messages: 1666
Offline
|
|
Hôm nọ có đọc cuốn Linux Home Networking Mình dịch
NAT REROUTING : đi ra.
NAT POSTROUTING là đi vào.
Vậy là mình sai, phải ngược lại hả Bác ?
Không phải REROUTING mà là PREROUTING mới đúng . Đây là quá trình NAT đi từ bên trong ra bên ngoài qua định tuyến của firewall . Mô tả cho phương thức này người ta dùng "kỹ thuật" DNAT .
POSTROUTING thì tiếp theo quá trình định tuyến, mô tả cho phương thức này người ta dùng "kỹ thuật" SNAT (NAT từ bên ngoài vào bên trong mạng)
Thân |
|
Quản lý máy chủ, cài đặt, tư vấn, thiết kế, bảo mật hệ thống máy chủ dùng *nix
http://chamsocmaychu.com |
|
|
|
[Question] Cấu hình firewall (iptables) đi qua modem ADSL |
17/01/2007 10:27:38 (+0700) | #7 | 36746 |
|
PureMoon
Member
|
0 |
|
|
Joined: 21/07/2006 12:16:07
Messages: 41
Location: FullMoon
Offline
|
|
Theo mình biết thì :
- PREROUTING : ( Destination NAT ) Thay đổi địa chỉ Des trước khi routing ( Ít sử dụng, hầu hết dùng để phù hợp với bảng định tuyến của Router khi trên mạng có dải địa chỉ trùng lặp tại Router >> bảng định tuyến có sự trùng lặp về routing). Nên trong trường hợp này PREROUTING là không hợp lý vì với các IP 192.168.1.x thì phải Source NAT.
- POSTROUTING: (Source NAT ) Thay đổi địa chỉ Source trước khi route. Rất thường thấy trong các thiết bị Modem ADSL. Nó thay cái địa chỉ Source của gói tin IP thành địa chỉ Source nào đó trong 1 pool nào đó đã chỉ định ( mặc định là IP của nó luôn).
- Nếu Modem ADSL để mặc định thì có nghĩa là nó đã SNAT trên đó rồi. Nên trên Firewall có thể không cần NAT nữa . ADSL ở VN chủ yếu là dựa trên PPPoE nên có lẽ là cái ADSL sẽ quay PPPoE luôn rồi . Như vậy con FW Có IP động hay tĩnh là do bạn . Nếu bạn để cái Interface cắm vô cái ADSL là DHCP thì nó sẽ có IP động , và ngược lại .
- Nếu không quay PPPoE trên ADSL thì bạn phải quay PPPoE trên FW . Cái này có lẽ không hay nên mình chưa gặp ai làm ( Applicance có lẽ tốt hơn ) .
Thiết bị nào quay PPPoE sẽ nhận IP từ ISP , Và ra Internet nếu không có gì đặc biệt thì chỉ cần điểm SNAT, nếu có 2 điểm NAT trở lên bạn phải config thêm về Route trên Modem ADSL. Đó có lẽ là vấn đề của bạn . |
|
|
|
|
[Question] Re: Cấu hình firewall (iptables) đi qua modem ADSL |
18/01/2007 01:04:45 (+0700) | #8 | 36850 |
giangnt_vne
Member
|
0 |
|
|
Joined: 15/01/2007 11:27:06
Messages: 3
Offline
|
|
@Puremoon: bạn nói rõ hơn về ứng dụng của PREROUTING : ( Destination NAT ) không? Cám ơn bạn. |
|
|
|
|
[Question] Re: Cấu hình firewall (iptables) đi qua modem ADSL |
18/01/2007 08:18:54 (+0700) | #9 | 36907 |
|
tam_itvn
Member
|
0 |
|
|
Joined: 27/08/2004 22:44:55
Messages: 11
Offline
|
|
- Nếu Modem ADSL để mặc định thì có nghĩa là nó đã SNAT trên đó rồi. Nên trên Firewall có thể không cần NAT nữa .
Đúng là mình để Modem mặc định. Nhưng mình nghĩ vẫn phải NAT (mình chỉ NAT trên Server).
Code:
modprobe iptable_nat
external_int = "eth0"
external_ip=`ifconfig $external_int | grep 'inet' | awk '{print $2}' | sed -e 's/.*://'`
echo 1 > /proc/sys/net/ipv4/ipforward
iptables -t nat -A POSTROUTING -i eth1 -s 0/0 -o $external_ip -d 0/0 --dport 80 –-sport 1024:65535
Bác cho hỏi nếu mình NAT như trên đã đủ chưa ? hay còn cần yếu tố nào nữa ?
ADSL ở VN chủ yếu là dựa trên PPPoE nên có lẽ là cái ADSL sẽ quay PPPoE luôn rồi . Như vậy con FW Có IP động hay tĩnh là do bạn .
Đối tượng pppoe mình thực sự chưa rõ, bác có thể cho ví dụ cụ thể nếu dùng đối tượng đó không ?
Nếu bạn để cái Interface cắm vô cái ADSL là DHCP thì nó sẽ có IP động , và ngược lại .
Bác nói IP động ở đây là IP động do ISP cấp lúc quay modem hay cấp phát IP trong mạng LAN vậy ?
|
|
Panpic.vn |
|
|
|
[Question] Re: Cấu hình firewall (iptables) đi qua modem ADSL |
18/01/2007 23:33:38 (+0700) | #10 | 37031 |
subnetwork
Member
|
0 |
|
|
Joined: 05/09/2004 06:08:09
Messages: 1666
Offline
|
|
Vậy là bro có 1 IP động từ ISP và bro muốn lấy địa chỉ IP này để cung cấp cho các địa chỉ trong mạng của bro và bro muốn public chúng ra bên ngoài mạng internet để bà con ngắm nó !?
Nếu phải bro xem qua bài viết này
http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch14_:_Linux_Firewalls_Using_iptables
Chú ý phần Port Forwarding Type NAT (DHCP DSL)
In many cases home users may get a single DHCP public IP address from their ISPs. If a Linux firewall is also your interface to the Internet and you want to host a Web site on one of the NAT protected home servers, then you will have to use port forwarding. Here the combination of the firewall's single IP address, the remote server's IP address, and the source/destination port of the traffic can be used to uniquely identify a traffic flow. All traffic that matches a particular combination of these factors may then be forwarded to a single server on the private network.
Đây là Port Forwarding .
Thân |
|
Quản lý máy chủ, cài đặt, tư vấn, thiết kế, bảo mật hệ thống máy chủ dùng *nix
http://chamsocmaychu.com |
|
|
|
[Question] Re: Cấu hình firewall (iptables) đi qua modem ADSL |
19/01/2007 00:45:03 (+0700) | #11 | 37037 |
|
dabu
Elite Member
|
0 |
|
|
Joined: 03/03/2003 03:31:20
Messages: 226
Offline
|
|
ADSL ở VN chủ yếu là dựa trên PPPoE nên có lẽ là cái ADSL sẽ quay PPPoE luôn rồi . Như vậy con FW Có IP động hay tĩnh là do bạn .
Đối tượng pppoe mình thực sự chưa rõ, bác có thể cho ví dụ cụ thể nếu dùng đối tượng đó không ?
Nếu bạn để cái Interface cắm vô cái ADSL là DHCP thì nó sẽ có IP động , và ngược lại .
Bác nói IP động ở đây là IP động do ISP cấp lúc quay modem hay cấp phát IP trong mạng LAN vậy ?
PPPoE (Point-to-Point over Ethernet) là một giao thức giúp cho việc kết nối 1 máy PC với một Modem Broadband để đạt được một sự truy cập dữ liệu tốc độ cao. PPPoE là dạng giao thức point-to-point dựa trên nền tảng Ethernet.
Modem ADSL thực chất là thiết bị quay PPPoE, nếu quay PPPoE trên Modem ADSL, và trên Modem ADSL bật DHCP Server thì nó sẽ cấp phát IP trong IP pool xuống thiết bị DHCP client.
Hy vọng bạn hiểu được phần nào. )
|
|
It's time to build a new network. |
|
|
|
[Question] Re: Cấu hình firewall (iptables) đi qua modem ADSL |
19/01/2007 08:39:45 (+0700) | #12 | 37098 |
|
tam_itvn
Member
|
0 |
|
|
Joined: 27/08/2004 22:44:55
Messages: 11
Offline
|
|
bro muốn public chúng ra bên ngoài mạng internet để bà con ngắm nó !?
Bác đùa Em đã NAT rồi thì cái (IP) mà bà con ngắm là cái khác chứ đâu phải cái thực
Chú ý phần Port Forwarding Type NAT (DHCP DSL)
Em cũng đang địch phần đó Nhưng vẫn chưa hiểu khi NAT thì có cần phải có cả POSTROUTING & RREROUTING hay chỉ cần POSTROUTING thôi.
Modem ADSL thực chất là thiết bị quay PPPoE
Vậy khi lắp modem thì pppoe tự có hả bác hay mình cũng phải cấu hình nó ? |
|
Panpic.vn |
|
|
|
[Question] Cấu hình firewall (iptables) đi qua modem ADSL |
19/01/2007 20:31:31 (+0700) | #13 | 37159 |
|
mudzot
Elite Member
|
0 |
|
|
Joined: 26/06/2006 14:41:27
Messages: 76
Offline
|
|
Bạn cần xác định rõ nhu cầu NAT của bạn là SNAT hay DNAT.
Nếu bạn muốn chia sẻ Internet cho các máy trong mạng nội bộ thì cần dùng SNAT, đặt rule ở chain POSTROUTING.
Nếu bạn muốn tạo chạy một server trong mạng nội bộ (web server chẳng hạn) để mọi người ở ngoài Internet vào xem thì cần DNAT, đặt rule ở chain PREROUTING.
Hình như modem ADSL mặc định có NAT chứ nhẩy, NAT thêm lần nữa làm gì.
Trong mọi trường hợp bạn nên đọc cái này một lượt:
http://iptables-tutorial.frozentux.net/iptables-tutorial.html
Vì từ đầu đến cuối bạn vẫn chưa trả lời được câu hỏi rule này dùng để làm gì
Code:
iptables -t nat -A POSTROUTING -i eth1 -s 0/0 -o $external_ip -d 0/0 --dport 80 –-sport 1024:65535
Thêm 1 rule vào bảng NAT, chain POSTROUTING : iptables -t nat -A POSTROUTING
Tìm những packet nào thỏa mãn điều kiện sau : -i eth1 -s 0/0 -o $external_ip -d 0/0 --dport 80 –-sport 1024:65535
Rồi ... ko làm gì cả, chuyển sang rule tiếp theo. |
|
|
|
|
[Question] Re: Cấu hình firewall (iptables) đi qua modem ADSL |
20/01/2007 07:42:30 (+0700) | #14 | 37236 |
|
tam_itvn
Member
|
0 |
|
|
Joined: 27/08/2004 22:44:55
Messages: 11
Offline
|
|
Vì từ đầu đến cuối bạn vẫn chưa trả lời được câu hỏi rule này dùng để làm gì
Code:
Ý quên sửa lại :
iptables -t nat -A POSTROUTING -i eth1 -s 192.168.1.0/24 -o $external_ip -d 0/0 --dport 80 –-sport 1024:65535
Cho phép LAN đi ra qua nát đó bác ? |
|
Panpic.vn |
|
|
|
[Question] Cấu hình firewall (iptables) đi qua modem ADSL |
20/01/2007 16:17:35 (+0700) | #15 | 37283 |
|
mudzot
Elite Member
|
0 |
|
|
Joined: 26/06/2006 14:41:27
Messages: 76
Offline
|
|
Có thể tớ diễn đạt hơi khó hiểu nhưng cái rule bạn viết nó không làm gì cả . Bạn nên đọc tutorial lần nữa. |
|
|
|
|
[Question] Re: Cấu hình firewall (iptables) đi qua modem ADSL |
20/01/2007 22:48:23 (+0700) | #16 | 37302 |
|
tam_itvn
Member
|
0 |
|
|
Joined: 27/08/2004 22:44:55
Messages: 11
Offline
|
|
|
|
[Question] Re: Cấu hình firewall (iptables) đi qua modem ADSL |
24/09/2007 01:55:04 (+0700) | #17 | 86515 |
funzy
Member
|
0 |
|
|
Joined: 23/09/2007 12:26:00
Messages: 5
Offline
|
|
Hi moi nguoi.
minh cung dang co' config iptables firewall cho cai mang home o nha.
Doan script cua minh nhu sau (cai nay minh bat chuoc trong tai lieu):
#!/bin/sh
######Nap module iptable
modprobe iptable_nat
######Bat chuc nang dinh tuyen
echo 1 > /proc/sys/net/ipv4/ip_forward
##### -Interface eth0 ra mang 192.168.1.0/24
##### -Interface eth1 ra mang 10.10.9.0/24
iptables -A POSTROUTING -t nat -o eth0 -s 10.10.9.0/24 -d 0/0 -j MASQUERADE
##### Cho cac dang ket noi di qua:
iptables -A FORWARD -t filter -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -t filter -i eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
sau khi chay script thi rules cua iptables minh save ra duoc nhu the nay:
Generated by iptables-save v1.3.7 on Sat Sep 22 21:13:58 2007
*nat
REROUTING ACCEPT [19:1233]
OSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 10.10.9.0/255.255.255.0 -o eth0 -j MASQUERADE
COMMIT
# Completed on Sat Sep 22 21:13:58 2007
# Generated by iptables-save v1.3.7 on Sat Sep 22 21:13:58 2007
*filter
:INPUT ACCEPT [7:491]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [26:7078]
-A FORWARD -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Sat Sep 22 21:13:58 2007
Sau do minh thu ping tu may noi bo ra ngoai internet thi OK, sau do minh vao thu mot trang web cung OK. Sau do minh click thu mot link thi ko duoc. Kiem tra lai bang cach ping cac dia chi ngoai thi` luc nay lai ko duoc, ping ca? dia chi gateway o IPtables (de cac goi tin trong mang local gui den) cung ko duoc mac du chung chi noi voi nhau thong qua mot switch. MInh mo wireshark de capture cac goi tin, thi thay cac goi ICMP khong sang duoc ben IPtables ma chi toan` cac goi ARP request. Ban dau minh nghi co van de voi ARP nen kiem tra list arp cua ca may local va may iptables thi khong co MAC cua nhau. Mính da thu set ARP mac dinh nhung cung khong duoc.
Minh khoi dong lai Server iptables, va moi viec lai dien ra nhu cu~, tuc la cac may local co the truy nhap ra internet trong khoang mot thoi gian ngan roi sau do khong ket noi duoc nua.
Minh moi tim hieu ve Iptables va chua co nhieu kinh nghiem, mong moi nguoi chi giao.
Cam on nhieu. |
|
|
|
|
[Question] Re: Cấu hình firewall (iptables) đi qua modem ADSL |
24/09/2007 05:02:04 (+0700) | #18 | 86531 |
|
NguyenTracHuy
HVA Friend
|
Joined: 08/08/2003 15:34:40
Messages: 388
Offline
|
|
Vui lòng chỉnh lại bài viết của bạn. Bạn nên gõ tiếng việt có dấu khi viết bài.
Thân. |
|
|
|
|
[Question] Re: Cấu hình firewall (iptables) đi qua modem ADSL |
24/09/2007 05:33:58 (+0700) | #19 | 86533 |
funzy
Member
|
0 |
|
|
Joined: 23/09/2007 12:26:00
Messages: 5
Offline
|
|
Cám ơn bạn nhièu.
Mình đã phát hiện ra lỗi do card NIC của mình. Mình dùng thêm card cắm qua USB, từ card đó mình nối đến các máy trong mạng local của mình. Có lẽ do NIC này lởm, nên việc truy cập từ máy có NIC đó đến các máy khác đều có vấn đề. Sau khi mình chuyển sang NIC khác (onboard -- cái này NIC xịn của máy ) thì OK.
Mình đang tìm hiểu về IPtables mà máy chỉ có một NIC onboard, mình muốn tìm mua NIC tốt tốt một chút để thay NIC lỗi vừa rồi. Có bạn nào biết chỗ nào bán NIC cắm qua USB tốt không (laptop của mình không có PCMCIA ) .
Cảm ơn mọi người.
P/S: Mình đang ở Hà nội, nếu bạn nào biết thì báo mình nhé.
Thân. |
|
|
|
|
[Question] Re: Cấu hình firewall (iptables) đi qua modem ADSL |
24/09/2007 14:23:50 (+0700) | #20 | 86582 |
funzy
Member
|
0 |
|
|
Joined: 23/09/2007 12:26:00
Messages: 5
Offline
|
|
Hi các bác.
Xin lỗi vì làm phiền mọi người lần nữa.
Số là cái card mà mình đang dùng la DM9601 Ethernet card của Davicom . Một số Fedora user cũng gặp problem như mình vậy:
http://www.linuxquestions.org/questions/showthread.php?t=571295&highlight=dm9601
http://forums.fedoraforum.org/forum/showthread.php?p=869835#post869835
Không hiểu tại sao nó lại support cho Fedora kém thế (các dòng Linux khác mình chưa thử), với Window thì mọi việc bình thường.
Có bạn nào cách giải quyết vấn đề này không ah. Nếu không có solution nào thì mình đành phải đi tìm mua card khác vậy. Lần này chắc phải test kỹ trước khi mang về. |
|
|
|
|
[Question] Re: Cấu hình firewall (iptables) đi qua modem ADSL |
24/09/2007 20:44:02 (+0700) | #21 | 86611 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
funzy wrote:
Hi các bác.
Xin lỗi vì làm phiền mọi người lần nữa.
Số là cái card mà mình đang dùng la DM9601 Ethernet card của Davicom . Một số Fedora user cũng gặp problem như mình vậy:
http://www.linuxquestions.org/questions/showthread.php?t=571295&highlight=dm9601
http://forums.fedoraforum.org/forum/showthread.php?p=869835#post869835
Không hiểu tại sao nó lại support cho Fedora kém thế (các dòng Linux khác mình chưa thử), với Window thì mọi việc bình thường.
Có bạn nào cách giải quyết vấn đề này không ah. Nếu không có solution nào thì mình đành phải đi tìm mua card khác vậy. Lần này chắc phải test kỹ trước khi mang về.
Download source của driver do chính Davicom cung cấp ở:
http://www.davicom.com.tw/big5/download/Driver/dm9601/dm9601-2.6.tgz
Trong gói này có file readme.txt, đọc kỹ hướng dẫn trong đó mà làm theo.
Kinh nghiệm bản thân: tránh xa những network card fancy có những thứ linh tinh như USB --> Ethernet hoặc các network card chỉ sản xuất cụ thể cho Windows. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Cấu hình firewall (iptables) đi qua modem ADSL |
25/09/2007 00:54:04 (+0700) | #22 | 86659 |
xevathethao
Member
|
0 |
|
|
Joined: 27/03/2007 17:33:40
Messages: 16
Location: VIỆT NAM
Offline
|
|
tam_itvn wrote:
Theo như mình biết thì iptables chỉ cấu hình khi đi ra ngoài với IP tĩnh. mà modem ADSL thì lại thay đổi IP mỗi lần khởi động. Nên mình dùng NAT PREROUTING (biên dịch địa chỉ IP trước khi dẫn đường).
Mô hình:
Mình không chắc source cấu hình trên có đúng không . vì không có modem ADSL để thử. Bác nào biết còn sai hoặc thiếu hoặc dư thừa chỗ nào xin chỉ giúp. Cảm ơn các bác nhiều.
Tôi thấy bạn làm cho NAT của IPTABLES trở nên rắc rối mất rồi.. Để đơn giản bạn có thể làm thể này..
1. Nếu ADSL của bạn sử dụng phần cứng, có nghĩa là tự quay PPPoE va NAT rồi thì bạn chỉ cần set fules cho iptables thế này..
// trích trong bảng "cấu hình của iptables" - nếu không dùng thì hãy chuyển thành scripts để đẩy luật vào..
*nat
REROUTING ACCEPT [2172691:197258431]
OSTROUTING ACCEPT [25392:2364569]
:OUTPUT ACCEPT [600:99883]
-A POSTROUTING -o eth0 -j MASQUERADE
// NAT tự động qua giao diện eth0 ( cổng ethernet cua modem đấu thẳng vào eth0, eth0 chạy dhcp-client hay static đều OK ) , nếu không NAT tự động bạn có thể dùng SNAT để xác định chính xác client nào được phep NAT
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128
// Mở rộng nếu bạn muốn chuyển hết kết nối từ Client trong mạng LAN đến cổng 80 qua SQUID Cache xử lí, nó sẽ ko bị tác động vào cổng 80 khi bạn sử dụng chain FORWARD bên dưới.
2. Nếu ADSL của bạn sử dụng card modem ADSL ( giống bọn PHÁP thì phải) .. bạn sẽ phải cài đặt card modem này ..và đương nhiên đây là soft modem nên nó sẽ không tự động quay PPPoE cũng như NAT cho ban.. khi cài đặt xong thì sẽ sử dụng được card này.. muốn kết nối với tổng đài bạn phải active kết nối ( giông như dung 1260 cua VNN ngày xưa..) Tổng đài sẽ apply 1 IP cho giao diện ( giao diện sẽ có tên ppp0 ..nếu không có 1 thiết bị tương tự nào nữa.).. khi đó ban sẽ tiếp tục NAT cho CLIENT qua ppp0 chứ không phải eth0.
-A POSTROUTING -o ppp0 -j MASQUERADE
// NAT tự động qua giao diện ppp0 , nếu không NAT tự động bạn có thể dùng SNAT để xác định chính xác client nào được phep NAT
Ở đây bạn sẽ NAT trực tiếp thông qua IP cua ISP trên giao diện ppp0
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128
// Mở rộng nếu bạn muốn chuyển hết kết nối từ Client trong mạng LAN đến cổng 80 qua SQUID Cache xử lí, nó sẽ ko bị tác động vào cổng 80 khi bạn sử dụng chain FORWARD bên dưới.
COMMIT
// Phần xử lí cản lọc - dặc biệt chú ý đến CHAIN INPUT va FORWARD ..cái này ảnh hưởng đến truy cập của CLIENT.
*filter
:FORWARD DROP [0:0]
:INPUT DROP [0:0]
:OUTPUT DROP [0:0]
:SYNFLOOD - [0:0]
:UDPFLOOD - [0:0]
# Truy cap localhost
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
# định nghĩa OUTPUT INPUT FORWARD
-A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -m state --state ESTABLISHED -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
//chặn các kết nối lạ
-A INPUT -p tcp -s 0/0 -d 0/0--tcp-flags ALL NONE -j DROP
-A INPUT -p tcp -s 0/0 -d /0/--tcp-flags ALL ALL -j DROP
# Chong quet cong cua NMAP, Steals Scan
-A INPUT -p tcp -m tcp -i eth0 --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp -i eth0 --tcp-flags SYN,FIN SYN,FIN -j DROP
-A INPUT -p tcp -m tcp -i eth0 --tcp-flags SYN,RST SYN,RST -j DROP
-A INPUT -p tcp -m tcp -i eth0 --tcp-flags FIN,RST FIN,RST -j DROP
-A INPUT -p tcp -m tcp -i eth0 --tcp-flags ACK,FIN FIN -j DROP
-A INPUT -p tcp -m tcp -i eth0 --tcp-flags ACK,URG URG -j DROP
// cấp giấy phép cho kết nối TCP :syn ( 1 Client kết nối tới không được mở qua 5 connection)
-A INPUT -p tcp --syn -j SYNFLOOD
-A SYNFLOOD -m limit --limit 5/s --limit-burst 5 -j RETURN
-A SYNFLOOD -j DROP
-A FORWARD -p tcp --syn -j SYNFLOOD
-A SYNFLOOD -m limit --limit 5/s --limit-burst 5 -j RETURN
-A SYNFLOOD -j DROP
// Chong ngap lut UDP 2 giấy phép là quá đủ cho dịch vụ DNS
-A UDPFLOOD -m limit --limit 2/s --limit-burst 2 -j RETURN
-A UDPFLOOD -j DROP
-A INPUT -p udp -j UDPFLOOD
-A OUTPUT -p udp -j UDPFLOOD
-A FORWARD -p udp -j UDPFLOOD
# Giới hạn ICMP
-A INPUT -p icmp --icmp-type 0 -m limit --limit 10/s --limit-burst 1 -j ACCEPT
-A INPUT -p icmp --icmp-type 3 -m limit --limit 10/s --limit-burst 1 -j ACCEPT
-A INPUT -p icmp --icmp-type 4 -m limit --limit 10/s --limit-burst 1 -j ACCEPT
-A INPUT -p icmp --icmp-type 8 -m limit --limit 10/s --limit-burst 1 -j ACCEPT
-A INPUT -p icmp --icmp-type 11 -m limit --limit 10/s --limit-burst 1 -j ACCEPT
-A INPUT -p icmp -j DROP
-A OUTPUT -p icmp -j ACCEPT
-A FORWARD -p icmp --icmp-type 0 -m limit --limit 10/s --limit-burst 1 -j ACCEPT
-A FORWARD -p icmp --icmp-type 3 -m limit --limit 10/s --limit-burst 1 -j ACCEPT
-A FORWARD -p icmp --icmp-type 4 -m limit --limit 10/s --limit-burst 1 -j ACCEPT
-A FORWARD -p icmp --icmp-type 8 -m limit --limit 10/s --limit-burst 1 -j ACCEPT
-A FORWARD -p icmp --icmp-type 11 -m limit --limit 10/s --limit-burst 1 -j ACCEPT
// Luật cho Client s 0/0 hoặc xác định từng Host trong mang LAN
-A FORWARD -p tcp -m state -m multiport -s 0/0 --dport 20,21,22,80,443,5050,1433,8086 --syn --state NEW -j ACCEPT
COMMIT
Chú ý: Nếu sử dụng modem ADSL là phần cứng ( trường hơp 1 ) nghĩa là bạn phải NAT 2 lần vì vạy hãy config lại Kernel ( biên dịch lại nếu cần ) bật FULL NAT trong Kernel Option --mục Netfilter . nếu không rất nhiều dịch vụ không thể thực hiện được .. ví dụ FTP
Mong rằng cái này se có ích cho những người muốn tìm hiểu IPTABLES
|
|
|
|
|
|
|
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|