2.3.2004

P??ID?N? PRAVIDLA DOPROST??ED CHAINU IPTABLES

Filed under: Linux — nax @ 01:07

Asi jsem se v ned?li nezm?nil, ?e FoTom??v server (tedy poč?tač, kter?? pou??vaj? pro sambu s u?ivateli na t? s?ti) si n?jak neopingnul nic v czfree i kdy? routu m?l nastavenou korektn?. P??esn?ji ??ečeno to hl??silo tohle:

# ping 10.27.0.8
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted

Funkčnost nastaven? na hraničn?m routeru do czfree (tedy tom slacku) jsem si ov???il tak, ?e jsem je??t? u n?j doma nastavil v jeho windows xp routu p???mo na ten slack a to pak fungovalo.

Tedy bylo jasn?, ?e probl?m byl n?kde v tom serveru. T?pnu jsem to na firewall a prav? jsem p??i??el na to, ?e m??m pravdu. Dnes jsem o tom docela dost uva?oval a dokonce jsem na cvičen? z p??edm?tu Unix (kter?? mne mimochodem bude docela dost bavit 😉 byl celou dobu na jednom termin??lu p??ipojen?? k n?mu na serveru (ono to bylo hezk?? kolečko jak jsem se k n?mu p??ipojoval – nejd???v ke mn? na server, potom p??es wifi k n?mu na slacka a pak teprve k n?mu na router – zm?nil jsem se u? ?e m?? ten firewall tak paranoidn? nakonfigurovan??, ?e i to ssh, co? je jedin?? port otev??en?? sm?rem ven m?? omezen?? jen z n?kolika m??lo IP?).

Jak u? jsem ale poznamenal v????e, p??i??el jsem na to a? p??ed chv?l?. U? jsem vypnul dokonce poč?tač, ?e p??jdu sp??t, ale ve van? mne napadlo pou??t v??emocn?? google a taky, ?e jsem d??vod t? divn? hl????ky nakonec na??el. Pod?val jsem se tedy do jeho output chainu a hned jsem poznal, proč mi nefungovalo, kdy? jsem dal default politiku na v??echno ACCEPT. Ono se toti? na konci v??echno pos?l?? do logdrop user chainu. Zap??tral jsem je??t? tro??ku a po chvilce jsem na??el p???sp?vek v diskusi pod čl??nkem na rootu, kde n?kdo popsal p??esn? to co jsem pot??eboval: p??id??n? pravidla do u? rozjet?ho firewallu n?kam doprost??ed tabulky. V??sledn? p???kazy pak vypadaly takhle:

iptables -I OUTPUT 4 -o eth0 -d 10.0.0.0/8 -j ACCEPT
iptables -I INPUT 2 -i eth0 -s 10.0.0.0/8 -j ACCEPT
iptables -I FORWARD 2 -i eth0 -o eth0 -d 10.0.0.0/8 -j ACCEPT

Comments are closed.

Powered by WordPress