Likes Likes:  0
Resultaten 1 tot 4 van de 4
Geen
  1. #1
    Router Firewall Debian
    geregistreerd gebruiker
    479 Berichten
    Ingeschreven
    22/10/06

    Locatie
    Hoogerheide

    Post Thanks / Like
    Mentioned
    2 Post(s)
    Tagged
    0 Thread(s)
    5 Berichten zijn liked


    Naam: Jimmy
    Registrar SIDN: nee
    Ondernemingsnummer: nvt

    Thread Starter

    Router Firewall Debian

    Misschien dat iemand me met dit vraagstuk kan helpen want volgens mij zie ik iets over het hoofd maar krijg het na een aantal uurtjes nog altijd niet werkend.

    Ik heb als testopstelling een server waar Debian wheezy op geinstalleerd is, deze heeft een /29 ( public IP's ) uit het netwerk welke geconfigureerd is op onze routers, de WAN kant om zo maar even te zeggen.
    Naar het eerste IP uit die /29 is een /27 ( public IP's ) statisch geroute.

    Nu heeft eth0 het IP uit die /29 en eth1 het eerste IP uit die /27, een testserver erachter heeft het tweede IP uit die /27 met het IP van de router als gateway. Dit werkt verder prima met ip forwarding op de router.

    Maar nu wil ik op de testserver erachter alles kunnen firewallen en alleen bijv ssh openzetten voor bepaalde IP's, hier loop ik op spaak.

    Als ik de iptables forwarding policy op accept zet laat deze alles door ongeacht wat er verder op staat, ook al staat INPUT op drop.
    Zet ik de forward policy op drop laat die niks door, logisch.

    Maar ik krijg er dan ook totaal niks doorheen..

    de volgende regel werkt wel, ik kan de server erachter dan ook daadwerkelijk pingen van buitenaf.
    -A FORWARD -p icmp -j ACCEPT

    Zodra ik hetzelfde voor SSH probeer te doen werkt dit niet.
    -A FORWARD -d 1.2.3.4 -p tcp -m tcp --dport 22 -j ACCEPT

    Ik wil dus niks met natting gaan doen, het zijn allemaal public ip's, waarbij de router gewoon als firewall moet fungeren voor servers daarachter.

    Wat doe ik hier verkeerd dat het niet werkt?

  2. #2
    Router Firewall Debian
    geregistreerd gebruiker
    1.554 Berichten
    Ingeschreven
    20/07/10

    Locatie
    's-Gravenhage

    Post Thanks / Like
    Mentioned
    20 Post(s)
    Tagged
    0 Thread(s)
    308 Berichten zijn liked



    Citaat Oorspronkelijk geplaatst door Jimmy1987 Bekijk Berichten
    Misschien dat iemand me met dit vraagstuk kan helpen want volgens mij zie ik iets over het hoofd maar krijg het na een aantal uurtjes nog altijd niet werkend.

    Ik heb als testopstelling een server waar Debian wheezy op geinstalleerd is, deze heeft een /29 ( public IP's ) uit het netwerk welke geconfigureerd is op onze routers, de WAN kant om zo maar even te zeggen.
    Naar het eerste IP uit die /29 is een /27 ( public IP's ) statisch geroute.

    Nu heeft eth0 het IP uit die /29 en eth1 het eerste IP uit die /27, een testserver erachter heeft het tweede IP uit die /27 met het IP van de router als gateway. Dit werkt verder prima met ip forwarding op de router.

    Maar nu wil ik op de testserver erachter alles kunnen firewallen en alleen bijv ssh openzetten voor bepaalde IP's, hier loop ik op spaak.

    Als ik de iptables forwarding policy op accept zet laat deze alles door ongeacht wat er verder op staat, ook al staat INPUT op drop.
    Zet ik de forward policy op drop laat die niks door, logisch.

    Maar ik krijg er dan ook totaal niks doorheen..

    de volgende regel werkt wel, ik kan de server erachter dan ook daadwerkelijk pingen van buitenaf.
    -A FORWARD -p icmp -j ACCEPT

    Zodra ik hetzelfde voor SSH probeer te doen werkt dit niet.
    -A FORWARD -d 1.2.3.4 -p tcp -m tcp --dport 22 -j ACCEPT

    Ik wil dus niks met natting gaan doen, het zijn allemaal public ip's, waarbij de router gewoon als firewall moet fungeren voor servers daarachter.

    Wat doe ik hier verkeerd dat het niet werkt?
    Ik denk dat je in deze ene regel niks verkeerd doet.
    In je hele policy waarschijnlijk wel iets.

    Kijk naar - nog een iptables op de ontvangende server (daar is het de INPUT chain) of die wel ssh accepteert.
    en : rule die het retour verkeer (dus met source 1.2.3.4 ) doorlaat .

    Misschien via een established match , anders expliciet.

    En natuurlijk : kijk met tcpdump op elke hop of je nog binnenkomend verkeerd ziet, en tot waar je antwoord verkeer ziet komen.



  3. #3
    Router Firewall Debian
    geregistreerd gebruiker
    479 Berichten
    Ingeschreven
    22/10/06

    Locatie
    Hoogerheide

    Post Thanks / Like
    Mentioned
    2 Post(s)
    Tagged
    0 Thread(s)
    5 Berichten zijn liked


    Naam: Jimmy
    Registrar SIDN: nee
    Ondernemingsnummer: nvt

    Thread Starter
    Uiteindelijk na nog eens 2 uur zeoeken bleek dat ook al doe je niet aan masquarading je nog altijd wat preroute regels nodig hebt.
    Nu werkt het namelijk precies zoals zou moeten

    *nat
    :PREROUTING ACCEPT [112:6255]
    :INPUT ACCEPT [12:837]
    UTPUT ACCEPT [4:284]
    :POSTROUTING ACCEPT [10:512]
    COMMIT
    *filter
    :INPUT ACCEPT [10:884]
    :FORWARD DROP [1:94]
    UTPUT ACCEPT [7:984]
    -A FORWARD -s 3.4.5.6 -d 1.2.3.4 -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 22 -j ACCEPT
    -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A FORWARD -i eth1 -o eth0 -j ACCEPT

    Wat er in de regels als accept staat wordt doorgelaten, wat er niet in staat wordt geblokkeerd.

  4. #4
    Router Firewall Debian
    Web hosting diensten
    4.705 Berichten
    Ingeschreven
    09/02/04

    Locatie
    Rotterdam

    Post Thanks / Like
    Mentioned
    10 Post(s)
    Tagged
    0 Thread(s)
    110 Berichten zijn liked


    Bedrijf: DreamHost.nl Web hosting
    Functie: Managing Director
    URL: www.dreamhost.nl
    Registrar SIDN: JA
    KvK nummer: 24269577

    Tip: Gebruik [ CODE ] ... [ /CODE ] om je code.
    DreamHost.nl Web hosting - cPanel hosting om bij weg te dromen.

Webhostingtalk.nl

Contact

  • Rokin 113-115
  • 1012 KP, Amsterdam
  • Nederland
  • Contact
© Copyright 2001-2021 Webhostingtalk.nl.
Web Statistics