Re: Més iptables
2006/9/18, Ramon Cuñé: iptables -A FORWARD -p tcp -i eth0 -d 195.77.223.23/32 --dport 3035 -j ACCEPT iptables -A FORWARD -i eth0 -j DROP Si poses la segona instrucció (cosa normal) DIRIA (algú a la sala que ho confirmi?) que també has de donar permís perqué els paquets tornin, és a dir, que has de fer: iptables -A FORWARD -p tcp -i eth1 -s 195.77.223.23/32 --sport 3035 -j ACCEPT I tal com molt bé et comenten, hauràs de fer un NAT per tal que la màquina 195.77.223.23 respongui a qui li toca (el teu servidor proxy). Per cert, vaig llegir que si la màquina que fa NAT té ip fixa és millor fer SNAT i no MASQUERADE. Si ho fas així la regla seria: iptables -t nat -A POSTROUTING -s 192.168.1.0 -o eth1 -d 195.77.223.23/32 --dport 3035 -j SNAT --to-source IP_ETH1_MÀQUINA_PROXY Salut, Marc. -- Be who you are and say what you feel, because those who mind don't matter and those who matter don't mind. (Dr. Seuss)
Re: Més iptables
Hola Ramon, t'oblides de deixar que els paquets tornin, és a dir permets el Forward dels paquets que VAN a 195.77.223.23 però no els que VENEN d'aquesta adreça. Prova d'afegir: iptables -A FORWARD -p tcp -i $eth_que_toqui -s 195.77.223.23/32 --sport 3035 -j ACCEPT Aquesta mena de coses són les que toquen els pebrots de l'iptables :( No sé si hi ha algún lloc millor, jo poso l'script a /etc/network/if-up.d, aquests scripts s'executen quan es s'activa una interfície de xarxa, i pots saber quina interfície s'està activant mitjançant diferents variables d'entorn. Per més informació pots fer una ullada al 'man interfaces' i companyia. A Dilluns 18 Setembre 2006 17:08, Ramon Cuñé va escriure: Tinc el següent codi en un proxy Squid: iptables -F iptables -X iptables -Z iptables -t nat -F iptables -A INPUT -p tcp -i eth0 --dport 8080 -j ACCEPT iptables -A INPUT -p icmp -i eth0 -j ACCEPT iptables -A INPUT -i eth0 -j DROP iptables -A FORWARD -p tcp -i eth0 -d 195.77.223.23/32 --dport 3035 -j ACCEPT iptables -A FORWARD -i eth0 -j DROP - Com a proxy funcionar perfectament, però tinc el problema que algunes màquines a més tenen que poder accedir a l'ip 195.77.223.23:3035, i amb el codi anterior no em funciona. A que pot ésser degut? - Per altra banda, m'agradaria saber quin és el lloc més adient per a posar aquest codi perque s'executi a l'arrencar la màquina. Gràcies! -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Més iptables
Tinc el següent codi en un proxy Squid: iptables -F iptables -X iptables -Z iptables -t nat -F iptables -A INPUT-p tcp -i eth0 --dport 8080 -j ACCEPT iptables -A INPUT-picmp -i eth0 -j ACCEPT iptables -A INPUT-i eth0 -j DROP iptables -AFORWARD-p tcp -i eth0 -d 195.77.223.23/32 --dport 3035 -j ACCEPT iptables -A FORWARD -i eth0 -j DROP - Com a proxy funcionar perfectament, però tinc el problema que algunes màquines a més tenen que poder accedir a l'ip 195.77.223.23:3035, i amb el codi anterior no em funciona. A que pot ésser degut? - Per altra banda, m'agradaria saber quin és el lloc més adient per a posar aquest codi perque s'executi a l'arrencar la màquina. Gràcies!
Re: Més iptables
Hola, Has activat el bit de forwarding? S'ha d'afegir a l'escript. echo 1 /proc/sys/net/ipv4/ip_forward Per altra banda, per sortir a fora hauries de fer nat, algo aixi: iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -d 195.77.223.23/32 --dport 3035 -j MASQUERADE On 192.168.1.0/24 és la xarxa local. A Dilluns 18 Setembre 2006 17:08, Ramon Cuñé va escriure: Tinc el següent codi en un proxy Squid: iptables -F iptables -X iptables -Z iptables -t nat -F iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT iptables -A INPUT -p tcp -i eth0 --dport 8080 -j ACCEPT iptables -A INPUT -p icmp -i eth0 -j ACCEPT iptables -A INPUT -i eth0 -j DROP iptables -A FORWARD -p tcp -i eth0 -d 195.77.223.23/32 --dport 3035 -j ACCEPT iptables -A FORWARD -i eth0 -j DROP - Com a proxy funcionar perfectament, però tinc el problema que algunes màquines a més tenen que poder accedir a l'ip 195.77.223.23:3035, i amb el codi anterior no em funciona. A que pot ésser degut? - Per altra banda, m'agradaria saber quin és el lloc més adient per a posar aquest codi perque s'executi a l'arrencar la màquina. Gràcies!