Nelamurire bucata de cod iptables

3 posts / 0 new
Last post
4di
4di's picture
Nelamurire bucata de cod iptables

IFext="eth0"
IFint="eth1"
lannet="192.168.1.0/16"
staticaddr="192.168.0.2/32"
dhcpgate="192.168.0.1"

Am gasit o abordare de script iptables , apartinand unui om care lucreaza pentru o univeristate americana,abordare foarte frumoasa in care include si optimizari de trafic , etc  etc ... si ma gandesc sa o adaptez la serverul meu de la servici... dar am o mica jenanta problema .

Serverul de web merge super ... insa am incercat sa il fac si router (modem - server care va fi router - switch - calculatoare ) si aici au aparut problemele care pare sa se rezolve cu acest script,  lannet="192.168.1.0/16" vor fi ip-urile din reteau locala, dar staticaddr="192.168.0.2/32" dhcpgate="192.168.0.1" , m-au bagat in ceata (e prima data cand fac un router si sunt multe lucruri care nu le inteleg) la fel ca prima data cu serverul de web care acum il inteleg si merge foarte bine ...

1.La eth0= IP extern , eth1=Ip intern , dar care ? 1.x sau 0.x din exemplu dat mai sus? ce ip trebuie sa aiba eth1?
2. Cum fac ca acest script sa ruleze la boot-are? Am citit ca ar merge "update rc.d" dar trebuie script separat cu start si stop....ceva mai simplu ...

ing. Patkos Csaba
ing. Patkos Csaba's picture
Re: Nelamurire bucata de cod iptables

In primul rand, bucata aia de cod mare sens nu are fara restul. Aici defineste doar niste variabile, iar functionalitatea se implementeaza in alta parte. Oricum mi se pare o implementare mai complicata, sigur peste ce ai tu nevoie ... eu administrez multe retele, dar tot nu am spart in subretele de /16 si /32 pana acum nimic, ca nu am avut nevoie... In fine, raspunzand la intrebarile tale:

1) nu conteaza IP-ul, conteza interfata. "route" si "iptables" in Linux stie lucra direct cu placa dupa denumire, adica "eth0" si "eth1", indiferent de IP. Definirea IP-urilor o faci in cu totul alta parte, mai precis /etc/sysconfig/network-scripts/ifcfg-eth0 (si 1)

2) de exemplu, pune scriptul in /root/scripts/ cu numele de "firewall" (sau cum vrei tu sa-l denumesti si unde vrei sa-l pui, nu conteaza), dupa aceea editezi /etc/rc.d/rc.local si adaugi la capat /root/scripts/firewall (sau cum ai denumit to scriptul). Fii atent sa lasi o linie goala la capat de fisier.

Totusi, informatiile astea sunt mult prea putine, pentru tine, ca sa incepi routing, trebuie sa intelegi intai conceptul de baza.
Exista mai multe aplicatii la mijloc care conlucreaza pentru a face routare, unul dintre astea este IPTables, dar nu aici este esenta. IPTables nu e necesar pentru a face routare. Pe scurt:
- Routarea se face cu "route" si prin setarea "ipforward" la "1"
- IPTables face filtrarea si NAT (Network Address Translation)

Routarea si NAT-uirea sunt 2 concepte diferite, dar care pot conlucra in vederea unei comunicari mai bune/structurate.

Daca mai ai nevoie de ajutor, intreaba cu curaj, dar intai de toate trebuie sa intelegi ce inseamana fiecare termen, trebuie sa intelegi semnificatia retelelor si subretelelor si trebuie sa stii ce merita si ce nu merita sa aplici intr-o situatie anume.

Csabi's BLOG

Linux registered user # 457717

4di
4di's picture
Re: Nelamurire bucata de cod iptables

Am inteles ca sunt 3 lucruri esentiale :
- Routarea se face cu "route" - asta chiar nu stiam ...degeaba ma enervam eu cu iptables si nat
- setarea "ipforward" la "1" - asta am facut-o deja
- IPTables face filtrarea si NAT (Network Address Translation) , - ramane de invatat

Multumesc frumos, revin azi daca e cazul cu interbari.

---------------------
[url=http://counter.li.org/cgi-bin/runscript/display-person.cgi?user=432155]L... Registered User 432155 [/url]