Forum Debian Users Gang

matiss · 2013-07-03 16:03:36

Na początek witam wszystkich,
mam następujący problem, zrobiłem sobie wirtualne środowisko:
- Router (Debian) ma 6 interfejsów (nas będą interesować 3), na eth0 jest Internet, na eth1 jest LAN, na eth5 DMZ
- komputer (XP) - podłączony do eth1
- serwer www i dns (Debian) - podłączony do eth5

Na routerze mam ustawione przekierowanie, jeśli coś przyjdzie na jego "publiczny adres" (eth0) robi przekierowanie na 80 i 53 do serwera w DMZ. O ile z zewnątrz (od strony eth0) mogę się dostać po publicznym adresie, o tyle XP, może dostać się do www tylko po jego wewnętrznym adresie (tym którym jest podłączony do eth5), czyli krótko mówiąc, przekierowanie działa z zewnątrz, ale nie działa z Lanu, i nie wiem dlaczego :/

Dołączam listing mojej zapory:

Kod:

#!/bin/bash
echo "1" >/proc/sys/net/ipv4/ip_forward

iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat

###DOMYSLNE###
#iptables -P INPUT DROP
iptables -P INPUT ACCEPT
iptables -P FORWARD DROP
#iptables -P FORWARD ACCEPT

###FIREWALL###
#z uwagi na to ze wszystkie sieci powinny miec dostep do tych samych uslug
#adres zrodlowy zawiera wszystkie podsieci
iptables -A FORWARD -d 10.0.0.0/21 -m state --state ESTABLISHED,RELATED -j ACCEPT

###DOSTEP DO ROUTERA TYLKO PO SSH
iptables -A INPUT -d 192.168.111.137 -p tcp --dport 22 -j ACCEPT

####NAT####
iptables -t nat -A POSTROUTING -s 10.0.0.0/21 -d 0/0 -j MASQUERADE
#ze wzgledu na brak dostepu do publicznej adresacji powyzsza linijka zostala
#stworzona do testow, w srodowisku rzeczywistym nalezy je zakomentowac i odkomentowac ponizsze linie
#iptables -t nat -A POSTROUTING -s 10.0.1.0/26 -o eth0 -j SNAT --to 88.220.77.193
#iptables -t nat -A POSTROUTING -s 10.0.2.0/28 -o eth0 -j SNAT --to 88.220.77.193
#iptables -t nat -A POSTROUTING -s 10.0.3.0/25 -o eth0 -j SNAT --to 88.220.77.193
#iptables -t nat -A POSTROUTING -s 10.0.4.0/25 -o eth0 -j SNAT --to 88.220.77.193
#iptables -t nat -A POSTROUTING -s 10.0.5.8/29 -o eth0 -j SNAT --to 88.220.77.193

###SIECI nie moga miec dostepu do siebie nawzajem, poza www, ftp i dns
iptables -A FORWARD -s 10.0.0.0/21 -d 10.0.5.0/28 -p tcp --dport 80 -j ACCEPT #http
iptables -A FORWARD -s 10.0.0.0/21 -d 10.0.5.0/28 -p udp --dport 53 -j ACCEPT #http
iptables -A FORWARD -s 10.0.0.0/21 -d 10.0.5.0/28 -p tcp --dport 20:21 -j ACCEPT #http
##SIEC GOSCIE
iptables -A FORWARD -s 10.0.1.0/26 -d 10.0.2.0/28 -j REJECT
iptables -A FORWARD -s 10.0.1.0/26 -d 10.0.3.0/25 -j REJECT
iptables -A FORWARD -s 10.0.1.0/26 -d 10.0.4.0/25 -j REJECT
iptables -A FORWARD -s 10.0.1.0/26 -d 10.0.5.8/29 -j REJECT
##SIEC PRACOWNICY
iptables -A FORWARD -s 10.0.2.0/28 -d 10.0.1.0/26 -j REJECT
iptables -A FORWARD -s 10.0.2.0/28 -d 10.0.3.0/25 -j REJECT
iptables -A FORWARD -s 10.0.2.0/28 -d 10.0.4.0/25 -j REJECT
iptables -A FORWARD -s 10.0.2.0/28 -d 10.0.5.8/29 -j REJECT
##SIEC KONF PARTER
iptables -A FORWARD -s 10.0.3.0/25 -d 10.0.2.0/28 -j REJECT
iptables -A FORWARD -s 10.0.3.0/25 -d 10.0.1.0/26 -j REJECT
iptables -A FORWARD -s 10.0.3.0/25 -d 10.0.4.0/25 -j REJECT
iptables -A FORWARD -s 10.0.3.0/25 -d 10.0.5.8/29 -j REJECT
##SIEC KONF PIETRO
iptables -A FORWARD -s 10.0.4.0/25 -d 10.0.2.0/28 -j REJECT
iptables -A FORWARD -s 10.0.4.0/25 -d 10.0.1.0/26 -j REJECT
iptables -A FORWARD -s 10.0.4.0/25 -d 10.0.3.0/25 -j REJECT
iptables -A FORWARD -s 10.0.4.0/25 -d 10.0.5.8/29 -j REJECT
##DMZ
iptables -A FORWARD -s 10.0.5.8/29 -d 10.0.2.0/28 -j REJECT
iptables -A FORWARD -s 10.0.5.8/29 -d 10.0.1.0/26 -j REJECT
iptables -A FORWARD -s 10.0.5.8/29 -d 10.0.3.0/25 -j REJECT
iptables -A FORWARD -s 10.0.5.8/29 -d 10.0.4.8/25 -j REJECT


###reguly zezwalajace####

iptables -A FORWARD -s 10.0.0.0/21 -p tcp --dport 443 -j ACCEPT #https
iptables -A FORWARD -s 10.0.0.0/21 -p udp --dport 53 -j ACCEPT #dns
iptables -A FORWARD -s 10.0.0.0/21 -p tcp --dport 20:21 -j ACCEPT #ftp
iptables -A FORWARD -s 10.0.0.0/21 -p tcp --dport 25 -j ACCEPT #pop3
iptables -A FORWARD -s 10.0.0.0/21 -p tcp --dport 110 -j ACCEPT #pop3s
iptables -A FORWARD -s 10.0.0.0/21 -p tcp --dport 25 -j ACCEPT #smtp
iptables -A FORWARD -s 10.0.0.0/21 -p tcp --dport 465 -j ACCEPT #smtps
iptables -A FORWARD -s 10.0.0.0/21 -p tcp --dport 143 -j ACCEPT #imap
iptables -A FORWARD -s 10.0.0.0/21 -p tcp --dport 993 -j ACCEPT #imaps


###REGULY ZEZWALAJACE NA DOSTEP DO USLUG W DMZ
iptables -A FORWARD -d 10.0.5.12 -p tcp --dport 80 -j ACCEPT #http
iptables -A FORWARD -s 10.0.5.12 -p tcp --sport 80 -j ACCEPT #http

iptables -A FORWARD -d 10.0.5.12 -p tcp --dport 20:21 -j ACCEPT #ftp
iptables -A FORWARD -s 10.0.5.12 -p tcp --sport 20:21 -j ACCEPT #ftp

iptables -A FORWARD -d 10.0.5.12 -p udp --dport 53 -j ACCEPT #dns
iptables -A FORWARD -s 10.0.5.12 -p udp --sport 53 -j ACCEPT #dns

iptables -A FORWARD -d 10.0.5.12 -p tcp --dport 3389 -j ACCEPT #mstsc
iptables -A FORWARD -s 10.0.5.12 -p tcp --sport 3389 -j ACCEPT #mstsc

####PRZEKIEROWANIA####
iptables -t nat -A PREROUTING -i eth0 -d 192.168.111.137 -p tcp --dport 80 -j DNAT --to-destination 10.0.5.12:80
iptables -t nat -A PREROUTING -i eth0 -d 192.168.111.137 -p tcp --dport 20 -j DNAT --to-destination 10.0.5.12:20
iptables -t nat -A PREROUTING -i eth0 -d 192.168.111.137 -p tcp --dport 21 -j DNAT --to-destination 10.0.5.12:21
iptables -t nat -A PREROUTING -i eth0 -d 192.168.111.137 -p udp --dport 53 -j DNAT --to-destination 10.0.5.12:53
iptables -t nat -A PREROUTING -i eth0 -d 192.168.111.137 -p tcp --dport 3389 -j DNAT --to-destination 10.0.5.12:3389

Dzięki za pomoc

matiss · 2013-07-03 18:07:19

Ok nieistotne głupi błąd, niepotrzebnie w przekierowaniach wskazałem interfejs, temat można zamknąć

urbinek · 2013-07-04 22:12:42

ciesze się, że mogłem pomóc ;)

Time (s)	Query
0.00017	SET CHARSET latin2
0.00008	SET NAMES latin2
0.00186	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.118.149.55' WHERE u.id=1
0.00102	REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.118.149.55', 1732493762)
0.00067	SELECT * FROM punbb_online WHERE logged<1732493462
0.00104	DELETE FROM punbb_online WHERE ident='185.191.171.15'
0.00105	SELECT topic_id FROM punbb_posts WHERE id=236486
0.00134	SELECT id FROM punbb_posts WHERE topic_id=23878 ORDER BY posted
0.00086	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=23878 AND t.moved_to IS NULL
0.00007	SELECT search_for, replace_with FROM punbb_censoring
0.00104	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=23878 ORDER BY p.id LIMIT 0,25
0.00332	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=23878
Total query time: 0.01252 s

Forum Debian Users Gang

Ogłoszenie

#1 2013-07-03 16:03:36

matiss - Użytkownik

Problem z IPTABLES

Kod:

#2 2013-07-03 18:07:19

matiss - Użytkownik

Re: Problem z IPTABLES

#3 2013-07-04 22:12:42

urbinek - Użytkownik

Re: Problem z IPTABLES

Stopka forum

Informacje debugowania