2. Fórumok
  3. OS, alkalmazások
  4. IPtables topic
Keresés

Új hozzászólás Aktív témák

  • #164 eziskamu addikt
    Új Válasz #164
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    eziskamu

    addikt

    Ha valaki felhasználná, és a változókat be is lövi, ne csodálkozzon, ha nem müxik a web, mert transparent Squid is kell hozzá :)

    Amúgy mennyire fontos, hogy leállításkor töröljük az iptables szabályokat?
    Van egy szkript az /etc/init.d-ben, aminek a start "metódusa" hívja ezt a szkriptet, de a stop ágába még csak egy echo "Not implemented yet" van, ami szépen le is fut :DDD

  • #163 eziskamu addikt quby #157
    Új Válasz #163
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    eziskamu

    addikt

    válasz quby #157 üzenetére

    Ha még érdekel, megmutatom.
    Ha van valami ötlet a gyorsabbá tételéhez, vagy van valami komolyabb biztonsági baki (a belső hálóban bízom, onnan bárki csatlakozhat a szerver bármely szolgáltatására, és ezen nem változtatnék) akkor örömmel veszem. Mindezt megfejeltem még Linux-IGD-vel, hogy (remélhetőleg) a felhasználói programok portot nyissanak (, és az utorrent müxik is, bezöldül) .
    A ma délutáni állapota (folyamatosan toldozom-foldozom) :
    #!/bin/sh
    IPTABLES='/sbin/iptables'
    # Set interface values
    EXTIF="ppp0"
    INTIF="eth1"
    # Set WAN speed values in Kbit
    DOWNLINK="2500"
    UPLINK="155"
    # squid server IP
    SQUID_SERVER="192.168.1.42"
    # Squid port
    SQUID_PORT="4128"
    # Load IPTABLES modules for NAT and IP conntrack support
    modprobe ip_conntrack
    modprobe ip_nat_ftp
    modprobe ip_conntrack_ftp
    # modprobe ip_nat_rtsp
    # modprobe ip_conntrack_rtsp
    modprobe ip_nat_h323
    modprobe ip_conntrack_h323
    modprobe ip_nat_pptp
    modprobe ip_conntrack_pptp
    # modprobe ip_nat_proto_gre
    # modprobe ip_conntrack_proto_gre

    # For TCP Vegas protocol
    modprobe tcp_vegas
    #Connection settings

    echo 16384 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max
    #echo 1024 > /proc/sys/net/ipv4/netfilter/ip_conntrack_buckets

    # Connection timeouts from openwrt

    echo 600 > /proc/sys/net/ipv4/netfilter/ip_conntrack_generic_timeout
    echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout
    echo 60 > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout_stream

    echo 1800 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
    echo 120 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_syn_sent
    echo 60 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_syn_recv
    echo 120 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_fin_wait
    echo 120 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_time_wait
    echo 10 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close
    echo 60 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait
    echo 30 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_last_ack



    # Enable forwarding
    echo 1 > /proc/sys/net/ipv4/ip_forward
    # Enable TCP Vegas
    echo vegas > /proc/sys/net/ipv4/tcp_congestion_control




    # flush rules and delete chains
    $IPTABLES -F
    $IPTABLES -X

    #Enable masquerading to allow LAN internet access
    $IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

    #Forward LAN traffic from LAN $INTIF to Internet $EXTIF
    $IPTABLES -A FORWARD -i $INTIF -o $EXTIF -m state --state NEW,ESTABLISHED -j ACCEPT

    #Allowing access to the SSH server"
    $IPTABLES -A INPUT -i $INTIF -j ACCEPT
    #$IPTABLES -A INPUT --protocol tcp --dport 22 -j ACCEPT

    #Allowing access to the HTTP server"
    #$IPTABLES -A INPUT --protocol tcp --dport 80 -j ACCEPT

    # block out all other Internet access on $EXTIF
    $IPTABLES -A INPUT -i $EXTIF -m state --state NEW,INVALID -j DROP
    $IPTABLES -A FORWARD -i $EXTIF -m state --state NEW,INVALID -j DROP

    #Redirect TCP port 25 to another internal computer
    #$IPTABLES -A FORWARD -i $EXTIF -d 10.0.0.5 -p tcp --dport 25 -j ACCEPT
    #$IPTABLES -t nat -A PREROUTING -i $EXTIF -p tcp --dport 25 -j DNAT --to-destination 10.0.0.6:25

    # DNAT port 80 request comming from LAN systems to squid 3128 ($SQUID_PORT) aka transparent proxy
    $IPTABLES -t nat -A PREROUTING -i $INTIF -p tcp --dport 80 -j DNAT --to $SQUID_SERVER:$SQUID_PORT
    # if it is same system
    $IPTABLES -t nat -A PREROUTING -i $EXTIF -p tcp --dport 80 -j REDIRECT --to-port $SQUID_PORT

    #Traffic shaping
    wondershaper $EXTIF $DOWNLINK $UPLINK

  • #156 eziskamu addikt quby #155
    Új Válasz #156
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    eziskamu

    addikt

    válasz quby #155 üzenetére

    A Neptunra is kiengedett. De mindegy már, közben összegugliztam egy másik NAT szabályzatot, és azzal már megy :DDD

  • #154 eziskamu addikt
    Új Válasz #154
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    eziskamu

    addikt

    Csinálnék egy maszek PC-s routert debian alapon, de elakadtam.
    Azt nem tudjátok, ha a belső hálóról mindent kiengedek a net felé, a NAT is be van állítva és megy a https-et használó Neptun is rendben, akkor az OTP Direct esetén miért nem tudok továbbjutni a bejelentkezőképernyőn, míg a Linksys routerrel megy rendben? Van valami ötletetek, vagy hogy tudnám ellenőrízni, hogy miért nem mrgy tovább az oldal.?

Új hozzászólás Aktív témák