Oprettet fre. d. 11. september 2009 kl. 10:39:05

100 point uddelt | 2 kommentarer

lillholm (13.090 point. Point ude: 400)

hjaelp til iptables

Jeg skal ha redirectet(maaske?) trafikken i min firewall så alt trafik fra subnet 192.168.223.0/24 paa port 80 der forsoeger at komme ud bliver sendt til 192.168.223.1:80(firewallen selv)

Giver det mening?

Jeg har været ude i at prøve noget med:
iptables -t nat -A INPUT -s 192.168.223.0/24 -p tcp --dport 80 -j REDIRECT --to-destination 192.168.223.1:80

Er det korrekt? jeg tænker lidt at den bare vil loope og til sidst droppe pakken?

Nogen der har et løsnings forslag?

Her er en liste over mine interfaces og nuværende iptables.

wireless:/# ifconfig
eth0 Link encap:Ethernet HWaddr 00:c0:9f:09:d2:c2
inet addr:130.226.217.203 Bcast:130.226.217.223 Mask:255.255.255.224
inet6 addr: fe80::2c0:9fff:fe09:d2c2/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:592114658 errors:0 dropped:0 overruns:0 frame:0
TX packets:830280341 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:2421290898 (2.2 GiB) TX bytes:2961439949 (2.7 GiB)

eth1 Link encap:Ethernet HWaddr 00:02:b3:da:78:e8
inet addr:192.168.223.1 Bcast:192.168.223.255 Mask:255.255.255.0
inet6 addr: fe80::202:b3ff:feda:78e8/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:825673034 errors:1036 dropped:0 overruns:0 frame:1036
TX packets:585979957 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:3152120804 (2.9 GiB) TX bytes:4286640463 (3.9 GiB)

eth1:2 Link encap:Ethernet HWaddr 00:02:b3:da:78:e8
inet addr:192.168.224.1 Bcast:192.168.224.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

eth2 Link encap:Ethernet HWaddr 00:08:c7:19:4a:b6
inet addr:192.168.1.50 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::208:c7ff:fe19:4ab6/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:367741 errors:0 dropped:0 overruns:0 frame:0
TX packets:10735 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:22135675 (21.1 MiB) TX bytes:608806 (594.5 KiB)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:111587 errors:0 dropped:0 overruns:0 frame:0
TX packets:111587 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:23063345 (21.9 MiB) TX bytes:23063345 (21.9 MiB)

wireless:/etc/dhcp3# cat iptables.conf
#!/bin/sh

iptables -t nat -F
iptables -F

iptables -t nat -A POSTROUTING -s 192.168.224.0/22 -j SNAT --to 130.226.217.203

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -m mac --mac-source 00:11:f5:4b:21:35 -s 192.168.224.10 -j ACCEPT
iptables -A FORWARD -m mac --mac-source 00:1d:4f:f9:6d:3b -s 192.168.224.11 -j ACCEPT
iptables -A FORWARD -m mac --mac-source 00:0d:93:eb:a4:e0 -s 192.168.224.12 -j ACCEPT
iptables -A FORWARD -m mac --mac-source 00:24:d2:b5:42:46 -s 192.168.224.13 -j ACCEPT
iptables -A FORWARD -m mac --mac-source 00:13:e8:70:62:9d -s 192.168.224.14 -j ACCEPT
iptables -A FORWARD -m mac --mac-source 00:22:43:15:43:e1 -s 192.168.224.15 -j ACCEPT
iptables -A FORWARD -m mac --mac-source 00:1b:63:02:dc:16 -s 192.168.224.16 -j ACCEPT
iptables -A FORWARD -m mac --mac-source 00:0e:35:36:27:d1 -s 192.168.224.17 -j ACCEPT
iptables -A FORWARD -m mac --mac-source 00:26:b0:b4:62:f3 -s 192.168.224.18 -j ACCEPT
iptables -A FORWARD -m mac --mac-source 00:1e:c2:c0:de:24 -s 192.168.224.76 -j ACCEPT
iptables -A FORWARD -m mac --mac-source 00:16:e3:a0:c0:bb -s 192.168.224.9 -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT

iptables -A INPUT -s 192.168.223.0/24 -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -s 192.168.223.0/24 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -s 192.168.223.0/24 -p udp --dport 67:68 --sport 67:68 -j ACCEPT
iptables -A INPUT -s 192.168.223.0/24 -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -s 192.168.224.0/22 -p udp --dport 67:68 --sport 67:68 -j ACCEPT
iptables -A INPUT -s 192.168.224.0/22 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 192.168.224.0/22 -p tcp --dport 22 -j ACCEPT

iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP

Anmeld misbrug

Skriv et svar | Skriv en kommentar

Skrevet man. d. 21. september 2009 kl. 18:19:29| #1

Accepteret svar!100 point tildelt

lillholm (13.090 point)

Tjaa....

Det ser dersvære ikke ud til nogen kan hjælpe så lukker.

Anmeld misbrug

Skriv et svar | Skriv en kommentar

Skrevet ons. d. 28. oktober 2009 kl. 19:52:42| #2

langbein (50.767 point)

Tja, dette likner vel det som man setter opp i forbindelse med transparant Squid proxy.

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Da hopper den vel ut av nat chain og over til lokal server port 3128.

Har ikke testet men vil ikke se bort fra at dette kunne virket:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 80

.. Slik at den da treffer den lokale web server som kjører på gatewayen.

Ellers en referanse: http://www.faqs.org/ (...)

Kan du teste og legge en kommentar om det virker ?!

Anmeld misbrug

Skriv et svar | Skriv en kommentar

Log ind

Opret bruger | Glemt adgangskode

Seneste spørgsmål

Linux hvad?

Oprettet den 22. januar 2012 kl. 21.41

MagnusELH giver 90 point for svar | Giv et svar »

PHPMyadmin import af store filer ( CentOS 6.2 )

Oprettet den 17. januar 2012 kl. 11.46

scum giver 50 point for svar | Giv et svar »

Søger hjælp til server/joomla optimering

Oprettet den 13. december 2011 kl. 11.09

xenosis giver 200 point for svar | Giv et svar »

Seneste guides

Den gode bruger

30. januar 2012 kl. 04.45 | Læs »

Adgang til NAS-server via WAN

23. januar 2012 kl. 11.55 | Læs »

Photoshop CS5 tutorial: Glossy knap til dit website

22. januar 2012 kl. 18.23 | Læs »

Kollektion af Batch tutorials (FJERNET)

22. januar 2012 kl. 15.09 | Læs »

Tilpas din YouTube afspiller

15. januar 2012 kl. 11.54 | Læs »

Se alle guides »

Seneste nyheder

Apple retter hele 51 sikkerhedshuller i Mac OS X

3. februar 2012 kl. 13.45 | Læs »

Så mange millioner tjener TDC om dagen

3. februar 2012 kl. 09.31 | Læs »

Samsung Galaxy S III på vej

3. februar 2012 kl. 09.02 | Læs »

Universitet: Derfor kan WiFi ikke erstatte vores kabler

3. februar 2012 kl. 09.00 | Læs »

Ubuntu-firma advarer: Her skal du passe på i cloud'en

3. februar 2012 kl. 08.32 | Læs »

Se alle nyheder »

Tips & Tricks fra PC World

Sådan fjerner du pladskrævende metadata fra dine fotos

Det er langt fra altid, at dine billeders metadata såsom kameramodel og geografisk placering er vigtige at bevare. JPG & PNG Stripper kan luge ud i billedfilerne, så de fylder meget mindre....

Læs mere »

Anmeldelser fra PC World

Test: Superlet bærbar med mange muligheder

Toshiba har med Satellite Z830 skabt en af verdens letteste ultrabooks. Den vejer 1,1 kilo, og computeren på 13 tommer ser på papiret ud til at være en oplagt rejsekammerat. Men den lave vægt har...

Læs mere »

Seneste blogindlæg

Tvangslukke spørgsmål: Hvad er den bedste løsning?

Hej Vi har mange åbne spørgsmål på Eksperten. Vi ville gerne tvangslukke dem - så et spørgsmål efter f.eks. 6 måneder lukkes. Men der er et par uklarheder som ville være gode at få lidt input til:...

Læs mere »