Documente online.
Username / Parola inexistente
  Zona de administrare documente. Fisierele tale  
Am uitat parola x Creaza cont nou
  Home Exploreaza
Upload




























Salvarea si restaurarea regulilor

linux




Salvarea si restaurarea regulilor




iptables-save

iptables-restore

Default comanda iptables-save va afisa rezultatul pe ecran. Acest rezultat trebuie redirectionat intr-un fisier pentr a fi salvat. Din respectivul fisier, folosind utilitarul iptables-restore sa va putea reface configuratia din momentul ultimei folosiri a lui iptables-save cu redirectionare.

iptables-save > /etc/iptables-rules - redirectioneaza rezultatul comenzii in fisierul /etc//iptables-rules

iptables-restore < /etc/iptables-rules - restaureaza din fisierul /etc/iptables-rules in       comanda iptables-restore

Ex:

1. O regula care face DROP la toate pachetele venite pe ICMP

iptables -A INPUT -p ICMP -j DROP - rezultatul este ca nu mai merge ping-ul

Se dau urmatoarele calculatoare cu urmatoarele ip-uri:

PC7 192.168.0.7 PC8 192.168.0.8 PC9 192.168.1.2 PC10 192.168.2.10

255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0

PC7 si PC8 sint in reteaua 0, PC7 si PC9 sint in reteaua 1, iar PC8 si PC10 in reteaua 2.

Sa se faca o rout-are intre aceste retele, astfel incit PC9 sa raspunda la pingul lui PC10 si vice-versa (sa se vada intre ele).

- se seteaza gateway-ul pt. PC9 192.168.1., iar pt. PC10 192.168.2.1

se verifica ip_forward sa fie 1 (pornit)

se verifica tabela de rout-are unde trebuie sa existe ruta intre PC7 si PC8

conectivitatea intre PC7 si PC8 cu ..0.0 era facuta

se mai adauga pt PC7 ip-ul 192.168.1.1, adaugindu-se automat ruta intre PC7 si PC9, vazindu-se intre ele.

apoi se adauga pt PC8 ip-ul 192.168.2.1, adaugindu-se automat ruta intre PC8 si PC10, vazindu-se intre ele.

se face rout-area pachetelor venite de la PC9 la PC10 pe PC8 cu comanda:

iptables route add 192.168.2.0/24 via 192.168.0.8 dev eth0 (daca se facea rout-area pentru mai multe retele - internet, atunci in loc de 192.168.2.0/24 se putea trece defaul.)

- via tine loc cumva de gateway

in final, tabela de rout-are pe PC7 trebuie sa arate astfel:



192.168.2.0/24 via 192.168.0.8 dev eth0

192.168.1.1/24 dev eth0 proto kernel scope link src 192.168.1.1

192.168.0.0/24 dev eth0 proto kernel scope link src 192.168.0.7

127.0.0.0/8 dev lo scope link

Sa se schimbe intre PC7 si PC8 reteaua in 10.0.0.x si sa se adauge o regula ca orice vine cu 192.168.0.0 sa fie rejectat.

DE LA BOGDAN SAU CINE-O VREA SA COMPLETEZE

Se considera ca PC10 reprezinta internetul (192.168.2.10)

PC8 este ISP (10.0.0.8)

PC7 este rout-er pt. LAN (10.0.0.7)

PC9 este LAN (192.168.1.0)

Sa se rout-eze si sa se masquarade-eze pachetele astfel incit LAN-ul sa aibe acces la net.

pe PC8 se sterge regula default pt. ca PC8 nu mai trebuie sa rout-eze pachetele venite din internet.

PC8 trebuie sa dea DROP       la pachetele cu 192.168.1.x, cu comanda

iptables -A FORWARD -s 192.168.1.0/24 -j DROP

- se face SNAT (in loc de masquerade intre LAN si router (PC9-PC7) cu comanda iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 10.0.0.7 src ip in_respectiva_retea

- se face SNAT (in loc de masquerade intre router si internet (PC8-PC10) cu comanda iptables -t nat -A POSTROUTING -s 10.0.0.7 -j SNAT --to-source 10.0.0.8

- in acest moment LAN-ul trebuie sa aibe raspuns la ping-ul in internet, adica ping 192.168.2.10 trebuie sa mearga

Sa se faca un script care sa faca start, stop si reload pentru firewall-ul creat mai sus.

DE LA BOGDAN

Scriptul se pune in /etc/rc.d/init.d, dupa care se adauga un script in unul din fisierele rcx.d catre acest script.

Scriptul trebuie pornit inainte de pornirea lui eth0.










Document Info


Accesari: 670
Apreciat:

Comenteaza documentul:

Nu esti inregistrat
Trebuie sa fii utilizator inregistrat pentru a putea comenta


Creaza cont nou

A fost util?

Daca documentul a fost util si crezi ca merita
sa adaugi un link catre el la tine in site

Copiaza codul
in pagina web a site-ului tau.




eCoduri.com - coduri postale, contabile, CAEN sau bancare

Politica de confidentialitate




Copyright Contact (SCRIGROUP Int. 2022 )