| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| Blokowanie sieci zewnetrznej na firewalu http://forum.freesco.pl/viewtopic.php?f=22&t=14644 |
Strona 1 z 1 |
| Autor: | fander [ piątek, 26 stycznia 2007, 14:03 ] |
| Tytuł: | Blokowanie sieci zewnetrznej na firewalu |
Witam Postawiłem sobie ruter na nnd. Jest on jednym z urządzeń w sieci lokalnej o adresacji 172.16.xxx.xxx, ruter na eth0 ma adres 172.16.22.22 z maska 255.255.0.0 i brama o adresie 172.16.10.1 w sieci lokalnej, z której dostaje Internet. Na eth1 o adresie 192.168.1.1 Ustawione jest automatycznie przydzielanie adresów z zakresu 192.168.1.10 do 192.168.1.200 z brama o adresie 192.168.1.1 dla hostow, które będą sie łączyły do tej sieci. Mój problem polega na tym, aby tak skonfigurować NND, aby komputery, które dostają dhcp z eth1 nie miały dostępu do sieci 172.16.x.x prócz adresu 172.16.10.1(Który to adres jest bramą postępową rutera do Internetu. Pozdrawiam i bardzo dziękuję za pomoc |
|
| Autor: | tasiorek [ piątek, 26 stycznia 2007, 14:12 ] |
| Tytuł: | |
iptables -I FORWARD -d 172.16.0.0/16 -j DROP iptables -I FORWARD -d 172.16.10.1 -j ACCEPT |
|
| Autor: | fander [ poniedziałek, 29 stycznia 2007, 16:09 ] |
| Tytuł: | |
Dziękuje za odpowiedz, ale te polecenia nie działają, nie wiem czy robię dobrze, ale wpisuje je prosto w konsoli, no chyba ze należy dodać te regułki gdzieś do jakiegoś pliku. Pozdrawiam |
|
| Autor: | tasiorek [ poniedziałek, 29 stycznia 2007, 16:27 ] |
| Tytuł: | |
Tak chodzilo mi po wpisanie ich z palca. Dziwne, bo reguly dzialac powinny. Pokaz wynik polecenia iptables -L FORWARD -n i narysuj schemat tej sieci. |
|
| Autor: | fander [ poniedziałek, 29 stycznia 2007, 21:29 ] |
| Tytuł: | |
Struktura sieci... schematyczna http://img263.imageshack.us/my.php?image=siecjw3.jpg Komunikat po wpisaniu komendy iptables -L FORWARD -n http://img300.imageshack.us/my.php?imag ... leseh6.jpg Powyżej źle przepisałem adres bramki... przepraszam za to ale to raczej nie robi różnicy |
|
| Autor: | tasiorek [ poniedziałek, 29 stycznia 2007, 22:28 ] |
| Tytuł: | |
Wszystko wyglada prawidlowo. Spytam sie jeszcze raz, bo powoli glupieje: z kompa o adresie 192.168.1.5 dziala ping na 172.16.6.50 (zakladajac, ze takie kompy istnieja)? |
|
| Autor: | fander [ poniedziałek, 29 stycznia 2007, 22:52 ] |
| Tytuł: | |
dokałdnie z komputera któremu nnd przydzielił z dhcp adres 192.168.1.XXX jestem w stanie ping-owac wszystkie komputery w sieci za nnd np 172.16.5.10 który to jest moim 2 routerem czy 172.16.6.40 ps masz może jakiego linka do manualna o iptables albo obszerny opis. |
|
| Autor: | tasiorek [ poniedziałek, 29 stycznia 2007, 23:04 ] |
| Tytuł: | |
Jesli mam byc szczery, to nie spotkalem sie jeszcze z takim przypadkiem. Pokaz wynik polecenia traceroute -n 172.16.5.10 wpisanego z kompa o adresie 192.168.1.XXX (nie routera z NND) jesli to linux, albo tracert -d 172.16.5.10 jesli to windows. |
|
| Autor: | fander [ wtorek, 30 stycznia 2007, 22:17 ] |
| Tytuł: | |
Przepraszam za kłopot teraz wszystko jest ok... ale gdybym chciał na tym routerze udostępnić tylko połączenie http, imap, smtp, pop3 oraz VPN to jakich regułek musiałbym użyć ?. |
|
| Autor: | tasiorek [ wtorek, 30 stycznia 2007, 23:40 ] |
| Tytuł: | |
fander pisze: Przepraszam za kłopot teraz wszystko jest ok...
To jeszcze napisz co bylo nie tak i jak to rozwiazales. Co do udostepnienia uslug zrob podobnie jak w poprzednim przypadku, tylko najpierw wrzuc dropa na forward z tej sieci (rozumiem, ze te uslugi nie znajduja sie na routerze z nnd, tylko dalej), a pozniej accept na forward poszczegolnych uslug z tej sieci. |
|
| Autor: | zciech [ środa, 31 stycznia 2007, 00:13 ] |
| Tytuł: | |
fander pisze: to jakich regułek musiałbym użyć ?.
V V V V V |
|
| Autor: | fander [ środa, 31 stycznia 2007, 12:50 ] |
| Tytuł: | |
Problem polegał na tym, że to nie ja podłączałem ten sprzęt tylko zleciłem to tamtejszemu informatykowi, który do głównego switcha podłączył switcha, w którym wpięte były 3 główne apki oraz NND na eth1, poza tym ze względu na to ze daleko mam do tego obiektu to proszę tego informatyka o połączenie sie do tej sieci i sprawdzenie czy na pewno działa to, co ustawiłem wiec sądzę ze olał sprawę i tego nawet nie sprawdził... Przepraszam za kłopot:(. ps. usługi działają na portach tcp/udp 80, 443, 25, 110 , 143, 1194, wiec Wpisałem następujące regułki iptables -I FORWARD -d 172.16.0.0/16 -j DROP iptables -I FORWARD -d 172.16.6.100 -p tcp -m multiport 80, 443,25,110, 143,1194 -j ACCEPT iptables -I FORWARD -d 172.16.6.100 -p udp -m multiport 80, 443,25,110, 143,1194 -j ACCEPT Czy te regułki sa poprawne może należy to zrobić na innych łańcuchach? |
|
| Strona 1 z 1 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|
