maybe :: Something smarter than us is going to emerge


node:	maybe
template:	4
parent:	Re[3]: LINUX pro uplne zacatecniky
owner:	ventYl
viewed by:
created:	20.06.2006 - 17:54:54

cwbe coordinatez:
101
63540
63542
2109677
63692
2471489
2471773
2471863
2472051

ABSOLUT
KYBERIA

permissions
you:	r,
system:	public
net:	yes

neurons
stats|by_visit|by_K source tiamat K|my_K|given_K last commanders polls
total descendants::
total children::1
1 ❤️

show[ 2 | 3] flat

no tie 2 pravidla na ten squid sa mi zdaju byt dobre (ale zase profesionalne v tom nechodim, takze performance ti neohodnotim)
jednoducho:
iptables -A PREROUTING -t nat -p tcp -s 10.0.0.0/24 -i eth0 --dport 80 -j REDIRECT --to-ports 3128
potom za to hodis napriklad
iptables -A PREROUTING -t nat -p tcp -s 10.0.0.0/24 -i eth0 --dport 22,110,... -j MASQUERADE
(tusim), to ti pusti cez NATku veskery traffice na tie porty, ktore proxy neumi, alebo ich nepotrebujes tlacit cez proxy a hned za tym hodis
iptables -A PREROUTING -t nat -p tcp -s 10.0.0.0/24 -i eth0 -j DROP
co zabezpeci, ze vsetky ostatne packety to zahodi (nic sa cez router nedostane).
Potom, keby si chcel dat za ten router nejaky pocitac, ktory ma byt vidno zvonku, tak mu prihodis do chainu nasledovne pravidlo na 1. miesto:
iptables -I PREROUTING -t nat 1 -s 10.1.2.3 -i etho -j MASQUERADE
cim zabezpecis, ze kazdy packet, ktory prijde z toho stroja, co je tam, bude bez ohladu na to, na ktory port ide, pusteny (samozrejme preklad IP zapnuty, forwardovanie niektorych portov, alebo trocha ine pravidlo, ak to chces aj s externou IP).

00000101000635400006354202109677000636920247148902471773024718630247205102472140

nikdy som ani teoreticky o niecom takom nerozmyslal a malo o tom viem ale intuitivne z toho mala co viem o iptables sa mi toto pozdava, vobec som si neuvedomil ze pravidla idu od vrchu dole a ze sa nemusi v jednom pravidle riesit dve veci naraz ... neviem aky rozdiel je medzi MASQUERADE a SNAT, na tom gatewayi je co sa tyka SNAT (MASQUERADE tam nikde nie je zatial) taketo nieco:

target prot opt in out source destination
SNAT all -- any eth1 10.0.0.0/24 anywhere to:10.11.123.4

ta ip 10.11.123.4 je ip adresa eth1 rozhrania ale nie verejna ip, eth1 je zapojene do DSL modemu (ten ma ip typu 10.11.123.5 na vnutornom rozhrani) a ten je vraj nastaveny nejak transparentne co neviem co znamena, asi nieco ze prevadzku nijak neobmedzuje

- zrejme ale splietam ine, ked spominam SNAT na eth1, ked spominas MASQUERADE na eth0, ale mozno by som mohol na tychto dvoch veciach pochopit rozdiel SNAT a MASQUERADE (zda sa mi ze MASQUERADE je to iste ako SNAT ale MASQUERADE sa pouziva pri dynamickej IP asi, ja mam ale vsade staticku)

- cize zatial neviem ze co s forwardingom, mozno to staci na tom mail/gateway/firewall/proxy to co tam uz momentalne je nastavene:
target prot opt in out source destination
ACCEPT all -- any any anywhere 10.0.0.0/24
ACCEPT all -- any any 10.0.0.0/24 anywhere

- a potom neviem co znamena "-t nat 1" v tom tretom pravidle uvedenom v tvojom prispevku, ci to nie je chyba

- potom este mi napada ze napriklad port DNS asi treba povolit v tom:
iptables -A PREROUTING -t nat -p tcp -s 10.0.0.0/24 -i eth0 --dport 22,110,… -j MASQUERADE
inak toto MASQUERADE sposobi co konkretne ? nestaci/netreba tam skor nieco v style "iptables -A INPUT .... -j ACCEPT" ked eth0 je vnutorne rozhranie a vokajsie je eth1 a na eth1 je spominany SNAT a na servri s eth0/eth1 je povoleny forwarding z/do vnutornej siete kamkolvek/zkadialkolvek ako som vyssie uviedol (eth1 je stale vo vnutornej sieti a az za eth1 smerom do internetu je DSL modem s verejnou statickou ip)?. a podobne ci netreba miesto:
iptables -A PREROUTING -t nat -p tcp -s 10.0.0.0/24 -i eth0 -j DROP
dat:
iptables -A INPUT -p tcp -s 10.0.0.0/24 -i eth0 -j DROP
lebo "-t nat" asi treba len pre redirect do squidu, zvysok (mozno okrem toho jedneho pocitaca co ma byt dostupny zvonka) sa asi bude riesit normalne "-j ACCEPT" a "-j DROP"

dakujem zatial, na tomto priklade by som mohol nieco o iptables konecne realne aj ked teoreticky pochopit, posledna odrazka/otazkaa je asi najdolezitejsia ak je to neprehladne

poznamka: zda sa mi ze ked je v jednom pravidle viac portov tak asi vzdy treba pridat aj "-m multiport"

0000010100063540000635420210967700063692024714890247177302471863024720510247214002472534

ventYl 20.06.2006 - 21:04:14 [1K] , level: 2, UP NEW

SNAT je source network address translation, tusim, ze sa jedna o preklad IP adresy zdroja packetu
DNAT je destination network address translation, tusim, ze sa jedna o preklad IP adresy ciela
MASQUERADE je nejaky komplexny preklad adries

v tom sa nevyznam, spravcu smerovaca nerobim, presne som to nestudoval, viem akurat, ze moj notebook sa smeruje na pravidlo
iptables -t NAT -I POSTROUTING -o eth0 -j MASQUERADE
rozdiel bude zrejme v tom, ktore sa kde robi (PREROUTING/POSTROUTING)

v tom `-t nat ` mam chybu, ma to byt
iptables -t nat -I PREROUTING 1 ...
to -I PREROUTING 1 znamena, ze sa pravidlo zaradi na zaciatok (1. miesto) v chaine prerouting a teda bude sa checkovat ako prve (tym zaistim, ze sa packety vybavia skor tymto pravidlom, nez ostatnymi).

ale to je asi tak vsetko, co ti o maskarade viem povedat, viac by som ta asi odkazal na serial o iptables, co svojho casu bezal na roote, tam to bolo vysvetlene presnejsie a v cestine...

000001010006354000063542021096770006369202471489024717730247186302472051024721400247253402472810

maskarada a nat (nat vie podla manualu narozdiel od maskarady zmenit nielen IP ale aj IP:PORT a maskarada je asi len pre dynamicku ip ked sa nevie aka ip bude pridelena (napriklad dialup)) by sa mali robit na rozhrani kde sa chce skryt viac adries za jednu a to asi na rohrani eth0 ak je toto vo vnutornej sieti nema vyznam mozno ale na rohrani do internetu, samozrejme eth0 moze ist aj rovno/kvazirovno (ze je za tym rozhranim seste nejaky skok pred internetom, napr modem ktory nevie nat a ine veci co vie server) do internetu, je to len vec oznacenia ze ci je eth0 vnutri alebo von, ale SNAT/MASQUERADE ma podla manualu vyznam len s POSTROUTING ale nie PREROUTING, preto "-o eth0", o ako output a post na vystupe

tak mam asi takuto pracovnu verziu zatial snad realnejsiu (port 53 neviem ci je na klientovi treba tcp a/alebo udp):

iptables -A PREROUTING -t nat -m multiport -p tcp -s 10.0.0.0/24 -i eth0 --dports 21,80,443 -j REDIRECT --to-ports 3128
iptables -A INPUT -p tcp -s 10.0.0.0/24 -i eth0 --dport 53,25,110,143,5190 -j ACCEPT
iptables -A INPUT -p udp -s 10.0.0.0/24 -i eth0 --dport 53 -j ACCEPT
iptables -A INPUT -p tcp -s 10.0.0.0/24 -i eth0 -j DROP

SNAT sa mi na rozhrani so statickou IP vykonova na eth1 ktore je smerom do internetu (za eth1 je ten DSL modem este), zatial je na servri na eth0 len to, ze to redirectuje 21,80,443 do 3128 a zvysok je povoleny vsetko vstupit do eth0 z vnutornej siete a vsetko je povolene forwardovat dalej na servri z vnutornej siete kamkolvek

00000101000635400006354202109677000636920247148902471773024718630247205102472140024725340247281002472944

DNS moze byt 53/TCP aj 53/UDP. Ak je to vacsia siet napriklad firemna, alebo nieco podobne, mozno by bolo vhodnejsie DNSka riesit skor, nez cez NAT zavedenim miestnej DNS cache. Jednak to zrychli vybavovanie DNS resolve poziadaviek na tie najpouzivanejsie servery a za druhe mas moznost zabezpecit, ze ti budu tunelovat traffic cez o 1 menej port, aj ked som videl tunelovanie trafficu uz aj cez DNS a ICMP packety.
Potom u toho posledneho pravidla je chyba v tom, ze ho mas definovane ako "zahod vsetky packety tcp prichadzajuce na interface eth1 z danej siete", co ti okrem toho, ze zahodi vsetky packety, ktore by sa snazili cez natku prejst a doteraz neboli akceptovane, zahodi aj vsetky packety, ktore sa snazili dojst len k serveru (intranetova webova stranka). Mozno je tam to pravidlo zbytocne, lebo ak to tak vezmes, mas tam pravidlo, ktore vsetok traffic na porte 80 presmeruje na transparentny squid proxy, vsetok traffic na portoch 21,22,110 atd. hodi na NATovanie. Z toho vyplyva, ze keby sa niekto snazil o konekciu na iny port, automaticky ho nechyti ani jedno z NAT pravidiel a tento packet netreba routovat, do chainu INPUT by sa nemal ani dostat (kedze tam idu len packety, ktore su urcene pre lokalny stroj) a ostatne packety netreba zahadzovat.

Konkretne ma teraz napada jeden problem, ktory vznikne s FTP, ktore vyuziva debilny system pridelovania portov a s tymto nastavenim ti zrejme nepotrebuje, treba si precitat manualove stranky k rozsireniu conntrack-ftp, alebo ako sa presne vola, to umi sledovat FTP komunikaciu a zistit, na ktory port pojde komunikacia a nasledne to do istej miery poriesit.

0000010100063540000635420210967700063692024714890247177302471863024720510247214002472534024728100247294402473108

asi som objavil podstatnu vec co som nevedel o INPUT chain co pises, ze do INPUT idu len pakety s lokalnym cielom, tak potom co smeruje von sa tyka FORWARD (na servri) a mne islo o obmedzenie FORWARDINGU na servri potom vlastne a ja som myslel aj tie vsetky porty 22,25,110,5190 ze vonku do internetu chcem povolit a ostatne porty nevymenovane zakazat, napr freeproxy vonku na internete na porte 8080 atd > FORWARD ale vlastne ich potrebujem povolit (napr 25,110) aj do intranetu na ten server co ale explicitne nemusim povolovat vlastne lebo to nepredstavuje problem aj ked sa povolia vsetky porty z lokalnej siete na ciel lokalny server > INPUT ....

a FORWARDING na servri (odchodziu prevadzku predavanu cez eth1 do internetu) teda asi este potrebujem obmedzit lebo doteraz polovluje vsetko z/do lokalnej siete hocikam/zhocikadial

znamena to ze ten jeden pocitac co ma byt z lokalnej siete pristupny z vonka tak mu musim povolit forwarding (na servri) na vsetky cielove porty von do internetu a inak vsetkym uzivatelom len forwarding ziadanych portov ktore nejdu ale cez squid ?

000001010006354000063542021096770006369202471489024717730247186302472051024721400247253402472810024729440247310802473704

http://www.root.cz/clanky/linux-jako-internetova-gateway-1/
http://www.root.cz/clanky/stavime-firewall-1/

this should help