2. Fórumok
  3. OS, alkalmazások
  4. IPtables topic
Keresés

Új hozzászólás Aktív témák

  • #163 eziskamu addikt quby #157
    Új Válasz #163
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    eziskamu

    addikt

    válasz quby #157 üzenetére

    Ha még érdekel, megmutatom.
    Ha van valami ötlet a gyorsabbá tételéhez, vagy van valami komolyabb biztonsági baki (a belső hálóban bízom, onnan bárki csatlakozhat a szerver bármely szolgáltatására, és ezen nem változtatnék) akkor örömmel veszem. Mindezt megfejeltem még Linux-IGD-vel, hogy (remélhetőleg) a felhasználói programok portot nyissanak (, és az utorrent müxik is, bezöldül) .
    A ma délutáni állapota (folyamatosan toldozom-foldozom) :
    #!/bin/sh
    IPTABLES='/sbin/iptables'
    # Set interface values
    EXTIF="ppp0"
    INTIF="eth1"
    # Set WAN speed values in Kbit
    DOWNLINK="2500"
    UPLINK="155"
    # squid server IP
    SQUID_SERVER="192.168.1.42"
    # Squid port
    SQUID_PORT="4128"
    # Load IPTABLES modules for NAT and IP conntrack support
    modprobe ip_conntrack
    modprobe ip_nat_ftp
    modprobe ip_conntrack_ftp
    # modprobe ip_nat_rtsp
    # modprobe ip_conntrack_rtsp
    modprobe ip_nat_h323
    modprobe ip_conntrack_h323
    modprobe ip_nat_pptp
    modprobe ip_conntrack_pptp
    # modprobe ip_nat_proto_gre
    # modprobe ip_conntrack_proto_gre

    # For TCP Vegas protocol
    modprobe tcp_vegas
    #Connection settings

    echo 16384 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max
    #echo 1024 > /proc/sys/net/ipv4/netfilter/ip_conntrack_buckets

    # Connection timeouts from openwrt

    echo 600 > /proc/sys/net/ipv4/netfilter/ip_conntrack_generic_timeout
    echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout
    echo 60 > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream

    echo 1800 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
    echo 120 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_syn_sent
    echo 60 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_syn_recv
    echo 120 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_fin_wait
    echo 120 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_time_wait
    echo 10 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close
    echo 60 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait
    echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_last_ack



    # Enable forwarding
    echo 1 > /proc/sys/net/ipv4/ip_forward
    # Enable TCP Vegas
    echo vegas > /proc/sys/net/ipv4/tcp_congestion_control




    # flush rules and delete chains
    $IPTABLES -F
    $IPTABLES -X

    #Enable masquerading to allow LAN internet access
    $IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

    #Forward LAN traffic from LAN $INTIF to Internet $EXTIF
    $IPTABLES -A FORWARD -i $INTIF -o $EXTIF -m state --state NEW,ESTABLISHED -j ACCEPT

    #Allowing access to the SSH server"
    $IPTABLES -A INPUT -i $INTIF -j ACCEPT
    #$IPTABLES -A INPUT --protocol tcp --dport 22 -j ACCEPT

    #Allowing access to the HTTP server"
    #$IPTABLES -A INPUT --protocol tcp --dport 80 -j ACCEPT

    # block out all other Internet access on $EXTIF
    $IPTABLES -A INPUT -i $EXTIF -m state --state NEW,INVALID -j DROP
    $IPTABLES -A FORWARD -i $EXTIF -m state --state NEW,INVALID -j DROP

    #Redirect TCP port 25 to another internal computer
    #$IPTABLES -A FORWARD -i $EXTIF -d 10.0.0.5 -p tcp --dport 25 -j ACCEPT
    #$IPTABLES -t nat -A PREROUTING -i $EXTIF -p tcp --dport 25 -j DNAT --to-destination 10.0.0.6:25

    # DNAT port 80 request comming from LAN systems to squid 3128 ($SQUID_PORT) aka transparent proxy
    $IPTABLES -t nat -A PREROUTING -i $INTIF -p tcp --dport 80 -j DNAT --to $SQUID_SERVER:$SQUID_PORT
    # if it is same system
    $IPTABLES -t nat -A PREROUTING -i $EXTIF -p tcp --dport 80 -j REDIRECT --to-port $SQUID_PORT

    #Traffic shaping
    wondershaper $EXTIF $DOWNLINK $UPLINK

  • #161 Osiris őstag quby #160
    Új Válasz #161
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    Osiris

    őstag

    válasz quby #160 üzenetére

    ..ja igen, ezt akartam írni:
    echo 1 > /proc/sys/net/ipv4/ip_forward

  • #158 Osiris őstag quby #153
    Új Válasz #158
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    Osiris

    őstag

    válasz quby #153 üzenetére

    ezt próbáld:
    iptables -P FORWARD ACCEPT

  • #156 eziskamu addikt quby #155
    Új Válasz #156
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    eziskamu

    addikt

    válasz quby #155 üzenetére

    A Neptunra is kiengedett. De mindegy már, közben összegugliztam egy másik NAT szabályzatot, és azzal már megy :DDD

Új hozzászólás Aktív témák