opis zedytowany, ulepszony, zakutalizowany, dopieszczony etc... (tamten był do dupy 
)
To coś w sam raz dla Neostradowiczow z modemem lucenta - takich jak ja - ale gladko pojdzie na wszystkim co ma interfejs ppp0
.
Instalować wpierwej pakiet MC (cos a'la norton commander). Ulatwi to nam przedzieranie sie przez mnoga ilosc katalogow..
"apt-get install mc"
1. Konfiguracja połączenia ppp
Wchodzimy do /usr/sbin i uruchamiamy pppoeconf - bardzo ladny program konfiguracyjny dla tych co nie lubia edycji plikow tekstowych
2. Stworzymy w katalogu /etc/init.d poleceniem 'touch nazwa_pliku' plik o dowolnej nazwie, np. du..
tzn.
firewall. Nadajemy mu artybut wykonywalny poleceniem '
chmod 744 /etc/init.d/firewall'
Ważniejsze założenia przyjęte w tym przecudownym pliku ( w razie różnic należy je zmienić bo nie bedzie dzialac ;p )
- neostrada podlaczona do pierwszej karty sieciowej (eth0) jako interfejs ppp0
- druga karta sieciowa (eth1) podłączona do naszego lan'u
- numer IP naszej sieci to 192.168.0.0
- numer IP serwera to 192.168.0.1
Teraz wklejamy caly ten syf w plik w 'firewall' a jesli konieczne to go edytujemy..
[do wklejania przyda nam się program z obsługą telnetu lub ssh, np.
ZOC(wymaga małej konfiguracji) lub
PuTTY. Albo... mozna podlaczyc sie do serwera przez ftp i tak wyedytowac.
#!/bin/sh
echo -e "\nFirewall - Uruchamianie.\n"
# Tu dajemy wlasciwe sciezki do plikow
IPTABLES=/sbin/iptables
GREP=/bin/grep
IFCONFIG=/sbin/ifconfig
# Interfejs zewnetrzny (INTERNET).
EXTIF="ppp0"
# Interfejs wewnetrznej sieci (LAN)
INTIF="eth1"
echo " Zewnetrzny Interfejs: $EXTIF"
echo " Wewnetrzny Interfejs: $INTIF"
# zewnetrzne ip.. skrypt wyciagajacy ip z ifconfig..narazie zbedne
# EXTIP="`$IFCONFIG | grep -A1 $EXTIF | tail -n 1 | cut -d : -f 2 | cut -d ' ' -f 1`"
echo " ..."
# Adres IP wewn. sieci (LAN)
INTNET="192.168.0.0/24"
# Adres IP tego komputera w LAN'ie
INTIP="192.168.0.1"
echo " Wewnetrzna Siec: $INTNET"
echo " Wewnetrzne IP: $INTIP"
echo " ..."
UNIVERSE="0.0.0.0/0"
# --- --- --- --- ---
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
echo " ..."
echo " Usuwanie istniejacej konfiguracji i ustawieanie docelowaj polityki.."
$IPTABLES -P INPUT DROP
$IPTABLES -F INPUT
$IPTABLES -P OUTPUT DROP
$IPTABLES -F OUTPUT
$IPTABLES -P FORWARD DROP
$IPTABLES -F FORWARD
$IPTABLES -F -t nat
if [ -n "`$IPTABLES -L | $GREP drop-and-log-it`" ]; then
$IPTABLES -F drop-and-log-it
fi
$IPTABLES -X
$IPTABLES -Z
echo " Tworzenie lancucha logujacego z odrzucaniem.."
$IPTABLES -N drop-and-log-it
$IPTABLES -A drop-and-log-it -j LOG --log-level info
$IPTABLES -A drop-and-log-it -j DROP
echo -e "\n - Ladowanie regul lancucha wejsciowego (INPUT)"
$IPTABLES -A INPUT -i lo -s $UNIVERSE -d $UNIVERSE -j ACCEPT
$IPTABLES -A INPUT -i $INTIF -s $INTNET -d $UNIVERSE -j ACCEPT
$IPTABLES -A INPUT -i $EXTIF -s $INTNET -d $UNIVERSE -j drop-and-log-it
$IPTABLES -A INPUT -i $EXTIF -s $UNIVERSE -m state --state ESTABLISHED,RELATED -j ACCEPT
# DHCP
$IPTABLES -A INPUT -i $INTIF -p tcp --sport 68 --dport 67 -j ACCEPT
$IPTABLES -A INPUT -i $INTIF -p udp --sport 68 --dport 67 -j ACCEPT
$IPTABLES -A INPUT -s $UNIVERSE -d $UNIVERSE -j drop-and-log-it
echo -e " - Ladowanie regul lancucha wyjsciowego (OUTPUT)"
$IPTABLES -A OUTPUT -o lo -s $UNIVERSE -d $UNIVERSE -j ACCEPT
$IPTABLES -A OUTPUT -o $INTIF -d $INTNET -j ACCEPT
$IPTABLES -A OUTPUT -o $EXTIF -s $UNIVERSE -d $INTNET -j drop-and-log-it
$IPTABLES -A OUTPUT -o $EXTIF -d $UNIVERSE -j ACCEPT
# DHCP
$IPTABLES -A OUTPUT -o $INTIF -p tcp -s $INTIP --sport 67 -d 255.255.255.255 --dport 68 -j ACCEPT
$IPTABLES -A OUTPUT -o $INTIF -p udp -s $INTIP --sport 67 -d 255.255.255.255 --dport 68 -j ACCEPT
$IPTABLES -A OUTPUT -s $UNIVERSE -d $UNIVERSE -j drop-and-log-it
echo -e " - Ladowanie regul lancucha FORWARD"
echo -e " - FWD: Przekierowania.."
#GOSTEK="192.168.0.5"
#$IPTABLES -A PREROUTING -i $EXTIF -s ! $INTNET -t nat -p tcp --dport 6666 -j DNAT --to $GOSTEK:6666
#$IPTABLES -A PREROUTING -i $EXTIF -s ! $INTNET -t nat -p udp --dport 6666 -j DNAT --to $GOSTEK:6666
#$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -p tcp --dport 6666 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -p udp --dport 6666 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
echo " - FWD: Wszystko wyjsc moze, nic samo (bez powiazan) wejsc nie moze.."
$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
$IPTABLES -A FORWARD -j drop-and-log-it
echo " - NAT: Uruchamianie maskarady na interfejsie $EXTIF"
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
echo -e "Firewall - Uruchomiony.\n"
To samo tylko po anglish language znajdziecie w poradniku "
Linux IP Masquerade HOWTO" w poblizu 'stronger firewall'.
3. Wpisujemy
update-rc.d firewall defaults aby po starcie ppp uruchomil sie firewall.
No i gotowe. Restartujemy a polaczenie, firewall i maskarada pięknie działa.
Zaloguj się
Zarejestruj się
FAQ
Szukaj
ale dzieki za pomoc - za moment poprawie
. troche męczyłem się z tym draństwem i nie mogłem dojsc dlaczego firewall nie startuje poprawnie.. dopiero olsnilo mnie zeby uspic go na chwile az ppp0 pojawi sie w ifconfig.. i od tej pory dziala.. oczywiscie gdy ip statycznie to smialo mozna 'sleep' usunac.
. i tak samo maskarade..
