/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
iptables. hvad går der galt?
Fra : Heine Laursen


Dato : 17-11-02 01:57

Hejsa. Jeg har opgraderet min kernel til 2.4.19, og
dermed også valgt at forsøge mig med iptables.
i ipchains ville jeg have skrevet reglen sådan her:
ipchains -A forward -p udp -s 912.168.0.0/24 -d 0/ 53 -j MASQ

Men når jeg prøver med iptables får jeg fejlmeddelser!

debian# iptables -t nat -A PREROUTE -p udp -s 192.168.0.0/255.255.255.0
-d 0.0.0.0/0 53 -j DNAT
Bad argument `53'
Try `iptables -h' or 'iptables --help' for more information.
debian# iptables -t nat -A PREROUTE -p udp -s 192.168.0.0/255.255.255.0
-d 0.0.0.0/0:53 -j DNAT
iptables v1.2.6a: You must specify --to-destination
Try `iptables -h' or 'iptables --help' for more information.
debian# iptables -t nat -A PREROUTE -p udp -s 192.168.0.0/255.255.255.0
--to-destination 0.0.0.0/0:53 -j DNAT
iptables v1.2.6a: Unknown arg `--to-destination'
Try `iptables -h' or 'iptables --help' for more information.
debian#

Jeg har læst http://iptables-tutorial.haringstad.com/chunkyhtml/index.html
som inspiration.

Findes der enlig noget ipchains to iptables convertion? Jge syntes ikke
jeg kan finde noget.

--
Mvh
Heine Laursen

 
 
Jacob Bunk Nielsen (17-11-2002)
Kommentar
Fra : Jacob Bunk Nielsen


Dato : 17-11-02 02:07

Heine Laursen <gozar@myrealbox.com> writes:

> debian# iptables -t nat -A PREROUTE -p udp -s 192.168.0.0/255.255.255.0
> -d 0.0.0.0/0 53 -j DNAT
> Bad argument `53'
> Try `iptables -h' or 'iptables --help' for more information.

Prøv med:
iptables -t nat -A PREROUTE -p udp -s 192.168.0.0/24 --dport 53 -j
DNAT --to-destination a.b.c.d

Det forwarder alt hvad der kommer ind fra 192.168.0.0/24 med
destinationsport 53/udp til den maskine der har IP-adressen a.b.c.d.

Jeg er dog ikke overbevist om at det er det du vil. Du har måske bedre
chancer for et brugbart svar, hvis du fortæller hvad det er du prøver
at opnå.

--
Jacob - www.bunk.cc
Preserve wildlife -- pickle a squirrel today!

Heine Laursen (17-11-2002)
Kommentar
Fra : Heine Laursen


Dato : 17-11-02 02:09

In article <spamdrop+m3lm3tvwbi.fsf@paven.bunk.cc>, Jacob Bunk Nielsen wrote:
> Heine Laursen <gozar@myrealbox.com> writes:
>
> Jeg er dog ikke overbevist om at det er det du vil. Du har måske bedre
> chancer for et brugbart svar, hvis du fortæller hvad det er du prøver
> at opnå.

At reslove dns adresser til ip

--
Mvh
Heine LAursen

Jacob Bunk Nielsen (17-11-2002)
Kommentar
Fra : Jacob Bunk Nielsen


Dato : 17-11-02 02:19

Heine Laursen <gozar@myrealbox.com> writes:
> In article <spamdrop+m3lm3tvwbi.fsf@paven.bunk.cc>, Jacob Bunk Nielsen wrote:
>>
>> Jeg er dog ikke overbevist om at det er det du vil. Du har måske bedre
>> chancer for et brugbart svar, hvis du fortæller hvad det er du prøver
>> at opnå.
>
> At reslove dns adresser til ip

Ja? Det må du altså lige præcisere.

Vil du fx blot tillade at trafik fra 192.168.0.0/24 passerer igennem
din firewall til din udbyders DNS-servere? Eller skal folk udefra
kunne nå din DNS-server, som står bag firewallen? Det fremgår ikke
rigtig af det du postede, for det virkede mest som om du blandede de
to situationer sammen.

Vil du det første så skal du lave noget i retning af (utestet):

iptables -A INPUT -m state --protocol udp --state NEW,RELATED,ESTABLISHED -s 192.168.0.0/24 --destination-port domain -j ACCEPT
iptables -A FORWARD -m state --protocol udp --state NEW,RELATED,ESTABLISHED -s 192.168.0.0/24 --destination-port domain -j ACCEPT

Vil du det andet, så skal du noget i retning af (stadig utestet):

iptables -A INPUT -m state --protocol udp --state NEW,RELATED,ESTABLISHED --destination-port domain -j ACCEPT
iptables -t nat -A PREROUTING --protocol udp --destination-port domain -j DNAT --to a.b.c.d

Husk i øvrigt at DNS også bruger TCP-forbindelser til zone-transfers
eller hvis svaret ikke kan være i en enkelt UDP-pakke på 500 bytes
eller deromkring.

--
Jacob - www.bunk.cc
overflow error in /dev/null

Heine Laursen (17-11-2002)
Kommentar
Fra : Heine Laursen


Dato : 17-11-02 10:48

In article <spamdrop+m3heehvvrj.fsf@paven.bunk.cc>, Jacob Bunk Nielsen wrote:
> Heine Laursen <gozar@myrealbox.com> writes:
>> In article <spamdrop+m3lm3tvwbi.fsf@paven.bunk.cc>, Jacob Bunk Nielsen wrote:
>>>
>> At reslove dns adresser til ip
>
> Ja? Det må du altså lige præcisere.

Resolve dns til min ydbyders dns adresser

> Vil du fx blot tillade at trafik fra 192.168.0.0/24 passerer igennem
> din firewall til din udbyders DNS-servere? Eller skal folk udefra
> kunne nå din DNS-server, som står bag firewallen? Det fremgår ikke
> rigtig af det du postede, for det virkede mest som om du blandede de
> to situationer sammen.
>
> Vil du det første så skal du lave noget i retning af (utestet):
>
> iptables -A INPUT -m state --protocol udp --state NEW,RELATED,ESTABLISHED -s 192.168.0.0/24 --destination-port domain -j ACCEPT
> iptables -A FORWARD -m state --protocol udp --state NEW,RELATED,ESTABLISHED -s 192.168.0.0/24 --destination-port domain -j ACCEPT
>
Hvoffor har du ACCEPT på i forward?

Skal det ikke være masqurade eller lign?

--
Mvh
Heine Laursen

Heine Laursen (17-11-2002)
Kommentar
Fra : Heine Laursen


Dato : 17-11-02 11:09

In article <3dd765d7$0$130$edfadb0f@dtext02.news.tele.dk>, Heine Laursen wrote:
> In article <spamdrop+m3heehvvrj.fsf@paven.bunk.cc>, Jacob Bunk Nielsen wrote:
>> Heine Laursen <gozar@myrealbox.com> writes:
>>> In article <spamdrop+m3lm3tvwbi.fsf@paven.bunk.cc>, Jacob Bunk Nielsen wrote:
>>>>

Hmm nu kar jeg fyret en:
iptables -t nat -A POSTROUTE -p all -j MASQUERADE

Det virker da også. Alt bliver msaqueraded, men nu vil jeg så gerne
slætte denne regl igen. iptables -F fjerner den ikke, og jeg kan ikke
ikke se reglen med -LMS

debian# iptables -LMS
iptables: Table does not exist (do you need to insmod?)

Alle moduler til netfiler er loaded med modconf.

--
Mvh
Heine Laursen

Jacob Bunk Nielsen (17-11-2002)
Kommentar
Fra : Jacob Bunk Nielsen


Dato : 17-11-02 12:51

Heine Laursen <gozar@myrealbox.com> writes:

> Resolve dns til min ydbyders dns adresser

OK

> Hvoffor har du ACCEPT på i forward?

Fordi jeg antog at den pågældende maskine routede mellem et eksternt
net og 192.168.0.0/24.

> Skal det ikke være masqurade eller lign?

Jo, hvis ikke du NAT'er andre steder skal der.

--
Jacob - www.bunk.cc
When you don't know what to do, walk fast and look worried.

Heine Laursen (18-11-2002)
Kommentar
Fra : Heine Laursen


Dato : 18-11-02 01:52

Jacob Bunk Nielsen <spam@bunk.cc> wrote in
news:spamdrop+m3d6p4za6c.fsf@paven.bunk.cc:

> Heine Laursen <gozar@myrealbox.com> writes:
>> Hvoffor har du ACCEPT på i forward?
>
> Fordi jeg antog at den pågældende maskine routede mellem et eksternt
> net og 192.168.0.0/24.
>
>> Skal det ikke være masqurade eller lign?
>
> Jo, hvis ikke du NAT'er andre steder skal der.
>

tak for info. Rat at vide jeg ikke helt er faldet bag en hestevogn

--
Mvh
Heine Laursen

Jacob Bunk Nielsen (17-11-2002)
Kommentar
Fra : Jacob Bunk Nielsen


Dato : 17-11-02 12:54

Heine Laursen <gozar@myrealbox.com> writes:

> iptables -t nat -A POSTROUTE -p all -j MASQUERADE
>
> Det virker da også. Alt bliver msaqueraded, men nu vil jeg så gerne
> slætte denne regl igen. iptables -F fjerner den ikke, og jeg kan ikke
> ikke se reglen med -LMS

Du skal angive '-t' nat for at få fat i nat-tabellen.

--
Jacob - www.bunk.cc
I hear what you're saying but I just don't care.

Heine Laursen (18-11-2002)
Kommentar
Fra : Heine Laursen


Dato : 18-11-02 01:50

Jacob Bunk Nielsen <spam@bunk.cc> wrote in
news:spamdrop+m38yzsza1p.fsf@paven.bunk.cc:

> Du skal angive '-t' nat for at få fat i nat-tabellen.

Mener jeg har prøvet det som gav samme fejlmeddelse (ellers var det
iptables -Lt), man skal nok lige chekke når jeg får maskinen op at stå
igen.

--
Mvh
Heine Laursen

Heine Laursen (18-11-2002)
Kommentar
Fra : Heine Laursen


Dato : 18-11-02 15:03

Heine Laursen <gozar@myrealbox.com> wrote in
news:Xns92CA125CF3C41gozarmyrealboxcom@62.243.74.163:

> Jacob Bunk Nielsen <spam@bunk.cc> wrote in
> news:spamdrop+m38yzsza1p.fsf@paven.bunk.cc:
>
>> Du skal angive '-t' nat for at få fat i nat-tabellen.
>
> Mener jeg har prøvet det som gav samme fejlmeddelse (ellers var det
> iptables -Lt), man skal nok lige chekke når jeg får maskinen op at stå
> igen.

Mange tak for hjælpen. Det virker.

Reglerne som jeg bygger virker også nu.

--
Mvh
Heine Laursen

Søg
Reklame
Statistik
Spørgsmål : 177557
Tips : 31968
Nyheder : 719565
Indlæg : 6408872
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste