Oprettet fre. d. 11. september 2009 kl. 10:39:05

100 point uddelt | 2 kommentarer

lillholm (10.740 point. Point ude: 0)

hjaelp til iptables

Jeg skal ha redirectet(maaske?) trafikken i min firewall så alt trafik fra subnet 192.168.223.0/24 paa port 80 der forsoeger at komme ud bliver sendt til 192.168.223.1:80(firewallen selv)

Giver det mening?

Jeg har været ude i at prøve noget med:
iptables -t nat -A INPUT -s 192.168.223.0/24 -p tcp --dport 80 -j REDIRECT --to-destination 192.168.223.1:80

Er det korrekt? jeg tænker lidt at den bare vil loope og til sidst droppe pakken?

Nogen der har et løsnings forslag?

Her er en liste over mine interfaces og nuværende iptables.

wireless:/# ifconfig
eth0 Link encap:Ethernet HWaddr 00:c0:9f:09:d2:c2
inet addr:130.226.217.203 Bcast:130.226.217.223 Mask:255.255.255.224
inet6 addr: fe80::2c0:9fff:fe09:d2c2/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:592114658 errors:0 dropped:0 overruns:0 frame:0
TX packets:830280341 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:2421290898 (2.2 GiB) TX bytes:2961439949 (2.7 GiB)

eth1 Link encap:Ethernet HWaddr 00:02:b3:da:78:e8
inet addr:192.168.223.1 Bcast:192.168.223.255 Mask:255.255.255.0
inet6 addr: fe80::202:b3ff:feda:78e8/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:825673034 errors:1036 dropped:0 overruns:0 frame:1036
TX packets:585979957 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:3152120804 (2.9 GiB) TX bytes:4286640463 (3.9 GiB)

eth1:2 Link encap:Ethernet HWaddr 00:02:b3:da:78:e8
inet addr:192.168.224.1 Bcast:192.168.224.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

eth2 Link encap:Ethernet HWaddr 00:08:c7:19:4a:b6
inet addr:192.168.1.50 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::208:c7ff:fe19:4ab6/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:367741 errors:0 dropped:0 overruns:0 frame:0
TX packets:10735 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:22135675 (21.1 MiB) TX bytes:608806 (594.5 KiB)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:111587 errors:0 dropped:0 overruns:0 frame:0
TX packets:111587 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:23063345 (21.9 MiB) TX bytes:23063345 (21.9 MiB)

wireless:/etc/dhcp3# cat iptables.conf
#!/bin/sh

iptables -t nat -F
iptables -F

iptables -t nat -A POSTROUTING -s 192.168.224.0/22 -j SNAT --to 130.226.217.203

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -m mac --mac-source 00:11:f5:4b:21:35 -s 192.168.224.10 -j ACCEPT
iptables -A FORWARD -m mac --mac-source 00:1d:4f:f9:6d:3b -s 192.168.224.11 -j ACCEPT
iptables -A FORWARD -m mac --mac-source 00:0d:93:eb:a4:e0 -s 192.168.224.12 -j ACCEPT
iptables -A FORWARD -m mac --mac-source 00:24:d2:b5:42:46 -s 192.168.224.13 -j ACCEPT
iptables -A FORWARD -m mac --mac-source 00:13:e8:70:62:9d -s 192.168.224.14 -j ACCEPT
iptables -A FORWARD -m mac --mac-source 00:22:43:15:43:e1 -s 192.168.224.15 -j ACCEPT
iptables -A FORWARD -m mac --mac-source 00:1b:63:02:dc:16 -s 192.168.224.16 -j ACCEPT
iptables -A FORWARD -m mac --mac-source 00:0e:35:36:27:d1 -s 192.168.224.17 -j ACCEPT
iptables -A FORWARD -m mac --mac-source 00:26:b0:b4:62:f3 -s 192.168.224.18 -j ACCEPT
iptables -A FORWARD -m mac --mac-source 00:1e:c2:c0:de:24 -s 192.168.224.76 -j ACCEPT
iptables -A FORWARD -m mac --mac-source 00:16:e3:a0:c0:bb -s 192.168.224.9 -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT

iptables -A INPUT -s 192.168.223.0/24 -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -s 192.168.223.0/24 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -s 192.168.223.0/24 -p udp --dport 67:68 --sport 67:68 -j ACCEPT
iptables -A INPUT -s 192.168.223.0/24 -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -s 192.168.224.0/22 -p udp --dport 67:68 --sport 67:68 -j ACCEPT
iptables -A INPUT -s 192.168.224.0/22 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 192.168.224.0/22 -p tcp --dport 22 -j ACCEPT

iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP

Anmeld misbrug

Skriv et svar | Skriv en kommentar

Skrevet man. d. 21. september 2009 kl. 18:19:29| #1

Accepteret svar!100 point tildelt

lillholm (10.740 point)

Tjaa....

Det ser dersvære ikke ud til nogen kan hjælpe så lukker.

Anmeld misbrug

Skriv et svar | Skriv en kommentar

Skrevet ons. d. 28. oktober 2009 kl. 19:52:42| #2

langbein (47.637 point)

Tja, dette likner vel det som man setter opp i forbindelse med transparant Squid proxy.

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Da hopper den vel ut av nat chain og over til lokal server port 3128.

Har ikke testet men vil ikke se bort fra at dette kunne virket:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 80

.. Slik at den da treffer den lokale web server som kjører på gatewayen.

Ellers en referanse: http://www.faqs.org/docs/Linux-mini/TransparentProxy.html

Kan du teste og legge en kommentar om det virker ?!

Anmeld misbrug

Skriv et svar | Skriv en kommentar

Log ind

Opret bruger | Glemt adgangskode

Seneste spørgsmål

Redirect www.sub-domain.my-domain.com til sub.my-domain.com.

Oprettet den 26. juli 2010 kl. 10.06

eik1957 giver 60 point for svar | Giv et svar »

301 redirect med .htaccess

Oprettet den 21. juli 2010 kl. 11.25

eik1957 giver 60 point for svar | Giv et svar »

Ubuntu - To netværkskort

Oprettet den 19. juli 2010 kl. 23.08

aaanders giver 200 point for svar | Giv et svar »

Seneste guides

100% højde med CSS i alle browsere

14. juli 2010 kl. 11.31 | Læs »

Blogserie om MVVM pattern i C#/WPF til brug i...

8. juli 2010 kl. 08.36 | Læs »

XML

7. juli 2010 kl. 13.02 | Læs »

C++ Historie og Programmering - Del 1

2. juli 2010 kl. 23.38 | Læs »

Autocad / 3D Max / Revit til Salg.

24. juni 2010 kl. 10.24 | Læs »

Se alle guides »

Seneste nyheder

Test din viden med Computerworlds store sommerquiz

30. juli 2010 kl. 15.59 | Læs »

Viruskamp hos Mærsk: "Vores folk har brug for ro"

30. juli 2010 kl. 15.40 | Læs »

Video: Ugen der gik

30. juli 2010 kl. 15.20 | Læs »

Windows-udviklere lukker under halvdelen af sikkerhedshuller

30. juli 2010 kl. 13.30 | Læs »

Har du husket at kramme din systemadministrator i dag?

30. juli 2010 kl. 09.00 | Læs »

Se alle nyheder »

Tips & Tricks fra PC World

Sådan får du mest ud af batteriet på din bærbare

Batterierne i den bærbare lever sjældent op til forventningerne, men det er ikke altid batteriernes skyld. Se her hvordan du får mest muligt ud af dine batterier.

Læs mere »

Anmeldelser fra PC World

GTX460: Grafikkort med fin ydelse til rimelige penge

De store grafikkort løber med opmærksomheden, men det er i mellemklassen at de gode køb findes. Et af dem er det helt nye Nvidia GTX460. Se kortets resultater her.

Læs mere »

Seneste blogindlæg

Nu kan du slettes

Det sker af og til at en bruger ønsker at slette sin profil her på Eksperten. Det har vi haft svært ved, men nu kan du gøre det nemt og enkelt. Alt du skal gøre er at logge ind, gå ind på...

Læs mere »

Nyheder fra PC World

Test: Stream nye spil til gamle computere

Det er slut med at investere tusindvis af kroner i dyr hardware for at kunne spille de nyeste spil - amerikansk firma lader stor serverfarm klare arbejdet og streamer spillene til dig via nettet....

Læs mere »

Nyheder fra Computerworld

Test din viden med Computerworlds store sommerquiz

4. del: Brug agurketiden til at få opdateret din viden om it-branchen, og test for sjov om kollegerne på ferie eller derhjemme er lige så skarpe. Computerworld quizzer hver uge hele sommeren.

Læs mere »