Изпечатай

[anakinn]

Привет
не мога да си го обесня как трябва да стане.
Имам две физически разделени мрежи
едната уиндоуси с айпита 192.168.10.X i GW /DNS 192.168.10.1
втората също уиндоуси - 192.168.1.X GW/DNS 192.168.1.1
от мрежа две достъпвам приложение от мрежа едно посредством firewall на генту

Как да си разреша rdp ?
от 192.168.1.x към 192.168.10.22 примерно ?

ето скрипта по-надолу

Код

GeSHi (Bash):
EXTERNAL_IP="192.168.1.101"
INTERNAL_IP="192.168.10.5"
TARGET_IP="192.168.10.15"
TARGET_PORT="3050"
EXT_IF="eth0"
INT_IF="eth1"
ANY="0.0.0.0/0"
USERS_FILE="/etc/fw/user_ip.txt"
 
 
# Gives all machines defs
# =======================
if [ -f $USERS_FILE ]; then
   USER_IP=`cat $USERS_FILE`
else
   USER_IP="1.2.3.4|00:00:00:00:00:00"
fi
 
# End all machines defs
# *********************
 
# Flush tables
# ============
iptables -F
iptables -X
iptables -t nat -F
 
# End Flush tables
# ****************
 
# Set Default Policy
# ==================
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
 
# Innput chain exception
# ======================
iptables -A INPUT -s 192.168.10.0/24 -d 192.168.10.5 -j ACCEPT
iptables -A INPUT -p icmp -d $EXTERNAL_IP --icmp-type echo-request -j ACCEPT
iptables -A INPUT -d 127.0.0.1 -m state --state NEW -j ACCEPT
 
# Add remote administration
iptables -A INPUT -p TCP -s 192.168.1.XX -m mac --mac-source macadresa -d $EXTERNAL_IP --dport 20:22 -j ACCEPT
iptables -A INPUT -p TCP -m mac --mac-source macadresa -d $EXTERNAL_IP --dport 20:22 -j ACCEPT
 
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
 

[laskov]

//офф Странно, защо няма отговори...
*АКО* на това генту *НЯМА* друга мрежова връзка, осигуряваща достъп до Интернет, онова

iptables -P FORWARD DROP

го замени с

iptables -P FORWARD ACCEPT

Пробвай и кажи дали е станало. Това ще направи така, че двете мрежи ще бъдат видими помежду си и това генту вече НЯМА ДА Е firewall между тях. Ако това не ти харесва, пиши.
А отговори вероятно няма, щото ситуацията не е съвсем ясна. Или ти не си публикувал цялата настройка на защитната стена, или има нещо гнило.

Забравих да пиша, че след като замениш горното, или ще трябва да стартираш скрипта, или да рестартираш машината, или пък да стартираш второто като root в конзола. Всъщност последното ще е достатъчно за проба.

[anakinn]

gentoo е с две мрежови карти 192.168.10. и 192.168.1.1
интернет има само в 1.1 мрежа, 10.1 няма и не искам да има
не съм пуснал края на скрипта защото са изброени няколко айпита, които
имат досъп до гентуту за фтп, фв и др.

като заменя iptables -P FORWARD DROP с ACCEPT
няма ли да "разреша" нета до 10.1 мрежа ?

[ray]

Здравей,

Може да прехвърлиш само връзките на даден порт:
Forward TCP port 3389 to the destination computer's IP address
Това е само за порта по подразбиране (Google).
Успех, Румен

[anakinn]

примерен ред може ли ?

п.с. на машината от 192.168.10. мрежа с гейт 192.168.10.1 трябва ли да добавя route към 192.168.1.1 ?

[ray]

Здравей,

Вече от доста време не съм гледал/писал правила за iptables, но ето инфо по памет:
Правилата (в дадена верига) се изпълняват по ред на номерата (от горе на долу):
As far as the ordering of rule in the chain: The rules will be processed from top to bottom of each chain (you can view the order of rules in a chain with iptables -L or iptables -t nat -L). Keep in mind though that a packet does not have to pass through every chain and will do so in different orders depending on the flow of traffic (local packets will pass through a different chain order than will packets being forwarded through the system).
Ако няма изрично правила за дадения пакет се изпълнява политиката по подразбиране за тази верига (напр. FORWARD -P DROP).
Сега не мога да се сетя каква точно беше разликата между Линукс и BSD политиките за защитни стени: май едната изпълняваше първото срещнато валидно правило, а другата последното, виж как точно е.
Идеята е да имаш правило за пренасочване на пакети към даден порт към адрес от другата мрежа:

Код

GeSHi (Bash):
iptables -A PREROUTING -t nat -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.1.50:80
iptables -A INPUT -p tcp -m state --state NEW --dport 80 -i eth1 -j ACCEPT

Това са примерни стойности: смени eth1,адреса,порта и т.н.
Успех, Румен

[anakinn]

какво ли не правих с редовете не става и не става
спря ли фв-то всичко работи

не мога ли с един ред някъде да разреша 3389 към 192.168.10.22 ??

[ray]

Здравей,

Какъв резултат дава следната команда (като root):

Код

GeSHi (Bash):
#cat /proc/sys/net/ipv4/ip_forward

[Astor]

Здравей anakinn,

Първо си изясни разликата м/у NAT (DNAT) и routing. На теб ти трябва обикновено маршрутизиране.
Изчисти си взички правила в iptables - INPUT, OUTPUT, FORWARD и др. вериги ако си създавал.
после както ти е казал ray даваш:

Код

GeSHi (Bash):
echo 1 > cat /proc/sys/net/ipv4/ip_forward 

(разрешаваш packet forwarding-a).
Спри firewall-a на windows rdp цлиентската машина.
Пробвай дали имаш ping, после с nmap например дали е отворен този порт.
Така би трябвало да стане, след което си добавяш iptables правилата които ти трябват и виждаш кога/дели ще спреш да имаш remote desctop.
Иначе като цяло ти трябва да е разрешен FORWARD м/у двата интерфейса (eth0 и eth1) в двете посоки. Груб пример пример:

Код

GeSHi (Bash):
iptables -I FORWARD -i eth0 -o eth1 -j ACCEPT

и обратната връзка:

Код

GeSHi (Bash):
iptables -I FORWARD -i eth1 -o eth0 -j ACCEPT

.

[anakinn]

резултата е ->
 cat /proc/sys/net/ipv4/ip_forward
1

fw-ите на уондоусите не работят

как да направя проверката ?
От машина 192.168.1.Х пингвам 192.168.10.1 - което е линукса - той отговаря, но телнет на 3389 или mstsc на 192.168.10.22 нямам
пробвах и  двата реда -  пак не
гентуто е старо, не знам дали има значение, мисля, че нещо не мога да наглася реда за редирект на 3389 към 192.168.10.22

[ray]

резултата е ->
 cat /proc/sys/net/ipv4/ip_forward
1

fw-ите на уондоусите не работят

как да направя проверката ?
От машина 192.168.1.Х пингвам 192.168.10.1 - което е линукса - той отговаря, но телнет на 3389 или mstsc на 192.168.10.22 нямам
пробвах и  двата реда -  пак не
гентуто е старо, не знам дали има значение, мисля, че нещо не мога да наглася реда за редирект на 3389 към 192.168.10.22

Здравей,

След като вече имаш прехвърляне на трафика между двете карти е по-удачно да тестваш (ping) не само към рутера (линукса-джентоо) а и към някои от компютрите от другата мрежа (192.168.10.22).
Активира ли RDC на компютъра за да приема връзки?
Успех, Румен

[anakinn]

нямам пинг, до нито една машина
fw са спрени и в двете мрежи, рдп е пуснато и работи
ползват се и в двете мрежи

в чудо се видях с това вече...

[ray]

Здравей,

Има нещо грешно в конфигурацията, иначе няма защо да не работи.
Сега гледам скрипта и се чудя дали там всичко е наред:
1.какъв е резултата от #ifconfig (за адресите на картите).
2.тези променливи правилни ли са:
EXT_IF="eth0"
INT_IF="eth1"
3.какво има в този файл: USERS_FILE="/etc/fw/user_ip.txt"
Това определено не е наред: USER_IP="1.2.3.4|00:00:00:00:00:00" (нямаш такава мрежа)
4.тази команда забранява всичкия входящ трафик (освен изрично разрешения):
iptables -P INPUT DROP (отделно че важи и за двата интерфейса).
По-принцип такива скриптове са параметризирани и е добре да се видят параметрите.
За друго не се сещам.
PS: май ще е добре като се задават правилата да пишеш за кой интерфейс става дума:
iptables -A INPUT -s 192.168.10.0/24 -d 192.168.10.5 -j ACCEPT
iptables -A INPUT -i eth0/eth1 -s 192.168.10.0/24 -d 192.168.10.5 -j ACCEPT
Успех, Румен

[anakinn]

1 ->
eth0      Link encap:Ethernet  HWaddr 00:XXXXXXXXXXX
          inet addr:192.168.1.X Bcast:192.168.1.255  Mask:255.255.255.0

eth1      Link encap:Ethernet  HWaddr 00:XXXXXXXXXXXX
          inet addr:192.168.10.X  Bcast:10.1.1.255  Mask:255.255.255.0

2 -> мисля, че да

3 - cat /etc/fw/user_ip.txt
192.168.1.107|00:1f:29:7c:ec:b8
192.168.1.61|00:15:f2:35:da:81
192.168.1.56|00:15:F2:BA:8E:07 - и други

[Acho]

Само за какво бяха тия X-ове ? За да не ти ги види някой точните IP и MAC адреси ? От локалните ти мрежи, дето сигурно са зад 10 NAT-а и 15 firewall-а. За какво ги криеш, какво те притеснява ?