/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
IPtables problem
Fra : Carsten Keller


Dato : 03-10-03 13:22

Hej gruppe.
Vi har en firewall der kører IPtables. Bag denne firewall er der dels et net
130.225.184.0/22 og en gateway (gw1) til det private net 172.21.184.0/22 (vi
har flere net, men de andre er udeladt for overskuelighedens skyld). Mit
problem er nu som følger:

Host1 på 172.* kan ikke pinge host2 på130.*. Et kig i loggen på firewallen
viser at pakkerne der kommer retur fra host2 ved et ping fra host1 bliver
deny'et.:

Oct 3 14:13:07 ihafw kernel: RULE 38 -- DENY IN=eth0 OUT=eth0
SRC=130.225.184.44 DST=172.21.185.220 LEN=60 TOS=0x00 PREC=0x00 TTL=127
ID=49790 PROTO=ICMP TYPE=0 CODE=0 ID=512 SEQ=42496
Oct 3 14:13:08 ihafw kernel: RULE 38 -- DENY IN=eth0 OUT=eth0
SRC=130.225.184.44 DST=172.21.185.220 LEN=60 TOS=0x00 PREC=0x00 TTL=127
ID=49792 PROTO=ICMP TYPE=0 CODE=0 ID=512 SEQ=42752

Det omvendte kan sagtens lade sig gøre. Efter man har pinget host2==>host1
virker det fint begge veje, sikkert fordi host2 har lært at den skal gå
direkte til gw1 for at nå 172.21.184.0/22.
Dette på trods af at jeg har følgende fra iptables -L:

$IPTABLES -N Cid3F2E7AEB.0
$IPTABLES -A OUTPUT -s 130.225.184.0/22 -m state --state NEW -j
Cid3F2E7AEB.0
$IPTABLES -A OUTPUT -s 172.20.184.0/22 -m state --state NEW -j
Cid3F2E7AEB.0
$IPTABLES -A OUTPUT -s 172.21.184.0/22 -m state --state NEW -j
Cid3F2E7AEB.0
$IPTABLES -A OUTPUT -s 192.168.0.0/24 -m state --state NEW -j
Cid3F2E7AEB.0
$IPTABLES -A Cid3F2E7AEB.0 -d 130.225.184.0/22 -m state --state NEW -j
ACCEPT
$IPTABLES -A Cid3F2E7AEB.0 -d 172.20.184.0/22 -m state --state NEW -j
ACCEPT
$IPTABLES -A Cid3F2E7AEB.0 -d 172.21.184.0/22 -m state --state NEW -j
ACCEPT
$IPTABLES -A Cid3F2E7AEB.0 -d 192.168.0.0/24 -m state --state NEW -j
ACCEPT
$IPTABLES -N Cid3F2E7AEB.1
$IPTABLES -A INPUT -s 130.225.184.0/22 -m state --state NEW -j
Cid3F2E7AEB.1
$IPTABLES -A INPUT -s 172.20.184.0/22 -m state --state NEW -j
Cid3F2E7AEB.1
$IPTABLES -A INPUT -s 172.21.184.0/22 -m state --state NEW -j
Cid3F2E7AEB.1
$IPTABLES -A INPUT -s 192.168.0.0/24 -m state --state NEW -j
Cid3F2E7AEB.1
$IPTABLES -A Cid3F2E7AEB.1 -d 130.225.184.0/22 -m state --state NEW -j
ACCEPT
$IPTABLES -A Cid3F2E7AEB.1 -d 172.20.184.0/22 -m state --state NEW -j
ACCEPT
$IPTABLES -A Cid3F2E7AEB.1 -d 172.21.184.0/22 -m state --state NEW -j
ACCEPT
$IPTABLES -A Cid3F2E7AEB.1 -d 192.168.0.0/24 -m state --state NEW -j
ACCEPT
$IPTABLES -N Cid3F2E7AEB.2
$IPTABLES -A FORWARD -s 130.225.184.0/22 -m state --state NEW -j
Cid3F2E7AEB.2
$IPTABLES -A FORWARD -s 172.20.184.0/22 -m state --state NEW -j
Cid3F2E7AEB.2
$IPTABLES -A FORWARD -s 172.21.184.0/22 -m state --state NEW -j
Cid3F2E7AEB.2
$IPTABLES -A FORWARD -s 192.168.0.0/24 -m state --state NEW -j
Cid3F2E7AEB.2
$IPTABLES -A Cid3F2E7AEB.2 -d 130.225.184.0/22 -m state --state NEW -j
ACCEPT
$IPTABLES -A Cid3F2E7AEB.2 -d 172.20.184.0/22 -m state --state NEW -j
ACCEPT
$IPTABLES -A Cid3F2E7AEB.2 -d 172.21.184.0/22 -m state --state NEW -j
ACCEPT
$IPTABLES -A Cid3F2E7AEB.2 -d 192.168.0.0/24 -m state --state NEW -j
ACCEPT

Reglerne er lavet med fwbuilder, men jeg synes nu de ser ganske rigtige ud.
Nogen der kan se hvad jeg gør galt?

OS: RH 8.0
Kernel: 2.4.20-19.8smp
IPtables: iptables-1.2.6a-2

Takker
Keller



 
 
Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste