2.3.2004

PŘIDÁNÍ PRAVIDLA DOPROSTŘED CHAINU IPTABLES

Filed under: Linux — nax @ 01:07

Asi jsem se v neděli nezmínil, že FoTomův server (tedy počítač, který používají pro sambu s uživateli na té síti) si nějak neopingnul nic v czfree i když routu měl nastavenou korektně. Přesněji řečeno to hlásilo tohle:

# ping 10.27.0.8
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted

Funkčnost nastavení na hraničním routeru do czfree (tedy tom slacku) jsem si ověřil tak, že jsem ještě u něj doma nastavil v jeho windows xp routu přímo na ten slack a to pak fungovalo.

Tedy bylo jasnĂŠ, Ĺže problĂŠm byl někde v tom serveru. TĂ­pnu jsem to na firewall a pravě jsem přiĹĄel na to, Ĺže mĂĄm pravdu. Dnes jsem o tom docela dost uvaĹžoval a dokonce jsem na cvičenĂ­ z předmětu Unix (kterĂ˝ mne mimochodem bude docela dost bavit 😉 byl celou dobu na jednom terminĂĄlu připojenĂ˝ k němu na serveru (ono to bylo hezkĂ˝ kolečko jak jsem se k němu připojoval – nejdřív ke mně na server, potom přes wifi k němu na slacka a pak teprve k němu na router – zmĂ­nil jsem se uĹž Ĺže mĂĄ ten firewall tak paranoidně nakonfigurovanĂ˝, Ĺže i to ssh, coĹž je jedinĂ˝ port otevřenĂ˝ směrem ven mĂĄ omezenĂ˝ jen z několika mĂĄlo IP?).

Jak už jsem ale poznamenal výše, přišel jsem na to až před chvílí. Už jsem vypnul dokonce počítač, že půjdu spát, ale ve vaně mne napadlo použít všemocný google a taky, že jsem důvod té divné hlášky nakonec našel. Podíval jsem se tedy do jeho output chainu a hned jsem poznal, proč mi nefungovalo, když jsem dal default politiku na všechno ACCEPT. Ono se totiž na konci všechno posílá do logdrop user chainu. Zapátral jsem ještě trošku a po chvilce jsem našel příspěvek v diskusi pod článkem na rootu, kde někdo popsal přesně to co jsem potřeboval: přidání pravidla do už rozjetého firewallu někam doprostřed tabulky. Výsledné příkazy pak vypadaly takhle:

iptables -I OUTPUT 4 -o eth0 -d 10.0.0.0/8 -j ACCEPT
iptables -I INPUT 2 -i eth0 -s 10.0.0.0/8 -j ACCEPT
iptables -I FORWARD 2 -i eth0 -o eth0 -d 10.0.0.0/8 -j ACCEPT

Comments are closed.

Powered by WordPress