linux-l: iptables (v2.3)
Robin S. Socha
robin at socha.net
Sa Apr 29 19:25:04 CEST 2000
* Robin S Socha <robin at socha.net> writes:
> AAAAAAAAAAAAAAAAAAAAAHHHHHHHHHHHHHHHHHHHHHHHHHHH!!!!!!!!!!!!!!!!!!!!!!!
Wimmer hier nicht rum, Idiot...
$ ipnatctl -I -s $LAN -o ppp0 -b source -m masquerade
gibt es nämlich ganz einfach nicht mehr. iptables sind irgendwie
unterdokumentiert, aber http://deja.com/ ist Dein Freund.
Voilá:
,----[ root at radioactive ~> iptables -L ]
| Chain INPUT (policy ACCEPT)
| target prot opt source destination
| acctboth all -- anywhere anywhere
|
| Chain FORWARD (policy ACCEPT)
| target prot opt source destination
| ACCEPT all -- 192.168.1.0/24 !192.168.1.0/24
| ACCEPT all -- !192.168.1.0/24 192.168.1.0/24
| ACCEPT all -- !192.168.1.0/24 192.168.1.0/24
|
| Chain OUTPUT (policy ACCEPT)
| target prot opt source destination
| acctboth all -- anywhere anywhere
|
| Chain acctboth (2 references)
| target prot opt source destination
| all -- radioactive.socha.net anywhere
| all -- anywhere radioactive.socha.net
| all -- 212.XXXXXXXXX anywhere
| all -- anywhere 212.XXXXXXXXX
| all -- anywhere anywhere
`----
War gar nicht so schwer...
$ insmod ip_conntrack
$ insmod ip_tables
$ insmod iptables_nat
$ insmod ipt_MASQUERADE # hahaha... *argh!!*
Das übliche:
$ echo 1 > /proc/sys/net/ipv4/ip_forward
Mein lokales Netz definieren:
$ LAN="192.168.1.0/24"
und jetzt die rules:
1. Mein Rechner soll kein router für das Internet werden:
$ iptables -P FORWARD DENY
2. Alles, was aus meinem Netz (-s $LAN) über die Netzwerkkarte raus
(-d !$LAN) geht, geht raus:
$ iptables -A FORWARD -i eth0 -s $LAN -d ! $LAN -j ACCEPT
3. Und das Ganze noch einmal von aussen nach innen:
$ iptables -A FORWARD -i ppp0 -s ! $LAN -d $LAN -j ACCEPT
Vielleicht hilft es ja noch jemandem. Der Kernel läuft hier jedenfalls
seit 3 Tagen unter Vollast mit allem, was man so im privaten Netz
braucht - wer Spass am Spielen hat, kann sich 2.3.99-pre6 holen, würde
ich sagen ;-)
Aus der Reihe "niedliche Dinge, die Robin im Netz findet" heute:
Bandmin (c)1998-1999 J. Nick Koston (BlueDraco) - A simple Bandwidth Monitor
Beobachtet das Netz und spuckt HTML aus.
ftp://missinglink.darkorb.net/pub/bandmin/
Und aus der Reihe "Häh? Robin steht auf dem Schlauch":
,----[ nmap ]
| Port State Service
| 21/tcp open ftp
| 22/tcp open ssh
| 25/tcp open smtp
| 80/tcp open http
| 113/tcp open auth
| 119/tcp open nntp
| 139/tcp open netbios-ssn
| 143/tcp open imap2
| 513/tcp open login
| 514/tcp open shell
| 515/tcp open printer
| 587/tcp open submission
| 714/tcp open unknown
| 2049/tcp open nfs
| 3128/tcp open squid-http
| 3306/tcp open mysql
| 6000/tcp open X11
`----
Was sind submission und unknown?
Oh. Und weiss jemand, wie ich das root-password für MySQL ändere, wenn
ich das root-password vergessen habe? *Don't* ask...
Mehr Informationen über die Mailingliste linux-l