IPtables: povolení pouze NATu

[martin]

Ahoj, mam nesledujici sitovou topologii http://www.imagehosting.cz/images/netfirewal.png

Router A je pripojeny k Internetu a bezi na nem hodne sluzeb (server). Router B dela pouze NAT pro klienty v LAN B a krome DHCP a DNS cache na nem nic nebezi.

Pocitace pripojene k routeru A musi mit plny pristup na Router A ke vsem sluzbam, zadne omezovani.
Pocitace v LAN B musi mit pristup na internet pres router A ale jinak se nesmi dostat k zadnym sluzbam na routeru A, krome DNS a SSH. Take se nesmi dostat k pocitacum v LAN A.

Mam nasledujici pravidla:

Kód: [Vybrat]

echo 1 > /proc/sys/net/ipv4/ip_forward

WAN="eth0"   # internet
LAN_A="eth1" # PC pripojene k routeru A
RA_RB="eth2" # spoj mezi routery

iptables -F
iptables -X

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
 
iptables -t nat -A POSTROUTING -o $WAN -j MASQUERADE

iptables -A INPUT -i $RA_RB -p tcp --dport 53 -j ACCEPT # DNS
iptables -A INPUT -i $RA_RB -p udp --dport 53 -j ACCEPT # DNS

iptables -A INPUT -i $LAN_A -j ACCEPT
iptables -A INPUT -i $RA_RB -j REJECT

iptables -A FORWARD -m state --state=RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -m state --state INVALID -j DROP

iptables -A INPUT -p icmp -j ACCEPT
iptables -A FORWARD -p icmp -j ACCEPT

iptables -A OUTPUT -o eth0 -j ACCEPT

iptables -I INPUT -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -j REJECT --reject-with icmp-admin-prohibited
Muze se mi prosim nekdo znaly podivat, jestli na to jdu dobre a na co jsem pripadne zapomnel?

[Reklama]

[Ondřej Caletka]

Všechna povolující pravidla pro chain OUTPUT jsou zbytečná, je-li jeho výchozí politika ACCEPT.  Dále bych řekl, že tam chybí povolení FORWARDu provozu začínajícího v sítích A a B, a končícího v internetu, tedy něco jako

Kód: [Vybrat]

iptables -A FORWARD -i $LAN_A -o $WAN -j ACCEPT
iptables -A FORWARD -i $LAN_B -o $WAN -j ACCEPT

[j]

1) ZAPOMEN ze existuje nejakej NAT a zrus ho, okamzite, takova konfigurace je na odmenu za tvoji vrazdu (a uzivatele to s radosti udelaji gratis).
2) vazne tam potrebujes router? Duvod?
3) VESKERA konfigurace patri VYHRADNE na A a resi se to nastavenim firewallu. A to pouze a vyhradne tak, ze se zakaze pristup vsem a povoli jen tem, kteri pristup mit maji. Pricemz ber v potaz, ze to je konfigurace v kazdem pripade nedostatecna, protoze zmenit si IP je nejtrivialnejsi ukon - pokud to tedy nevyresis jinak, viz niz.


a) porid si adresy od toho, kdo ti poskytuje ten "internet" ... ja vim, privatnich adres je malo ...
b) na B patri switch ... a vlan. Ten switch samozrejme staci jeden, pokud jde o fyzicky jednu lokalitu, pripojej se do nej vsichni.

---
Kdo prispeje na fond na likvidaci NATovacu?

[laco]

myslim ze nikto kto ma naozaj velku siet

[Tuxik]

Mas to cely nejaky zmateny...
jak bylo receno, chybi forward z B do netu, mas zbytecny pravidlo na OUTPUTu, chybi ti SSH z B do PC v A (nemas tam forward, pouze input), FORWARD related a established je myslim zbytecny zkoumani stavu, staci povolit forward z A kamkoliv a z B do netu a pouze pouzite porty na A, related a established na INPUT jsou asi taky k nicemu, pokud povolis jen potrebne porty k pristupu na A.

Co se tyka NATu, ne ze bych ho mel rad, ale vzhledem k tomu, ze nemas verejnou adresu ani na wanu, tak s klidem komentar od j ignoruj, dostatek adres pravdepodobne nedostanes, pokud to nechces resit ipv6 only.

[Reklama]

[Tuxik]

A jinak samozrejme, router B je zbytecnost uplne, pokud k tomu nemas nejaky moooooc zvlastni duvod. Staci switch a resit vse na A.

[Fantomas]

Asi ti neudelam radost, ale na takove otazky ti musim doporucit pouze rtfm. Stavet firewall, resit banalni problemy v diskuzi a ke vsemu neznat ani zaklady, to si jinou odpoved opravdu nezaslouzi. Vazne si to nastuduj, staci pohledat serialy tady na rootu.

[Tuxik]

nebo varianta další, vyzkoušet tu správnou kategorii fóra, např. zde http://forum.root.cz/index.php?board=24.0

[martin]

1) ZAPOMEN ze existuje nejakej NAT a zrus ho, okamzite, takova konfigurace je na odmenu za tvoji vrazdu (a uzivatele to s radosti udelaji gratis).
2) vazne tam potrebujes router? Duvod?
3) VESKERA konfigurace patri VYHRADNE na A a resi se to nastavenim firewallu. A to pouze a vyhradne tak, ze se zakaze pristup vsem a povoli jen tem, kteri pristup mit maji. Pricemz ber v potaz, ze to je konfigurace v kazdem pripade nedostatecna, protoze zmenit si IP je nejtrivialnejsi ukon - pokud to tedy nevyresis jinak, viz niz.
b) na B patri switch ... a vlan. Ten switch samozrejme staci jeden, pokud jde o fyzicky jednu lokalitu, pripojej se do nej vsichni.

Jde o dve budovy, mezi kterymi je WiFi spoj.
IP si zmeni, proto mam v rpavidlech sitovou kartu.
Bylo by krasne mit adresy pro vsechny. IPv6 mi ISP neda a verejnou IPv4 mam jednu. Pro vsechny mobily, tiskarny, pc atd. ji nepotrebuji (i kdyz by to bylo pekne).

[Tuxik]

Tak teď bych napsal FUJ já, na wifi se vykašli, natáhni optiku , ale stejně, jaký důvod je k tomu routeru B? je ta wifi natolik nespolehlivá, že by neprošlo ani DHCP a dokázalo to shodit i celou síť B? (jestli ano, nad zrušením wifi bych se vážně zamyslel) a i tak, je možnost, že budou některé služby v síti B fungovat i autonomě po odpojení wifiny?
Wifi bych nahradil drátem, na druhou stranu dal jen switch a přiopojil to na samostatný interface v A, případně to samý bez rušení wifiny, předpokládám, že wifi je bridge.

[j]

Mas to cely nejaky zmateny...
jak bylo receno, chybi forward z B do netu, mas zbytecny pravidlo na OUTPUTu, chybi ti SSH z B do PC v A (nemas tam forward, pouze input), FORWARD related a established je myslim zbytecny zkoumani stavu, staci povolit forward z A kamkoliv a z B do netu a pouze pouzite porty na A, related a established na INPUT jsou asi taky k nicemu, pokud povolis jen potrebne porty k pristupu na A.

Co se tyka NATu, ne ze bych ho mel rad, ale vzhledem k tomu, ze nemas verejnou adresu ani na wanu, tak s klidem komentar od j ignoruj, dostatek adres pravdepodobne nedostanes, pokud to nechces resit ipv6 only.

Jasne, tech privatnich je malo ...  co nechapes na tom, ze kdyz uz nekomu nedavam internet, ale jakysi pseudo cosi, tak mu aspon NAROUTUJU IPcek kolik si bude prat? Prave proto aby nemusel delat druhej ... pripadne jeste TRETI nat, o coz se tazatel zjevne snazi?

Jde o dve budovy, mezi kterymi je WiFi spoj.
IP si zmeni, proto mam v rpavidlech sitovou kartu.
Bylo by krasne mit adresy pro vsechny. IPv6 mi ISP neda a verejnou IPv4 mam jednu. Pro vsechny mobily, tiskarny, pc atd. ji nepotrebuji (i kdyz by to bylo pekne).

Sitova karta ti nijak nepomuze, jak bylo receno rtfm.

B nastavit jako bridge + vlan.  By me zajimalo, odkdy je 192.168.. verejna IP. Preju mnoho zabavnych veceru a noci pri zjistovani, proc neco dostava Ipcka z jinyho rozsahu, nez si myslis ze by melo.

Router se dava tam, kde je treba firewall (= rekneme vstupni bod do site) nebo tam, kde je treba resit vice cest. To sice muze byt i uvnitr site, ale je to stav spis vyjimecny. Jinak je to jen zbytecna administrace a naklady navic.

BTW: Metr optiky stoji cca dvacku.

[Tuxik]

Joooo taaaakkhle... už ti rozumím... a firewall budeš řešit přes brtables na bridgi, ne? Nebo ti ho rovnou vyřeší provider, určitě tě bude milovat... tohle zkus navrhnout nějakýmu většímu providerovi...

[johanson14]

Pokus sa nastudovat toto:
http://deja-vix.sk/sysadmin/firewall.html

Na konci mas skript ktory si mozes upravit podla svojich potrieb. Pouzivam to na brane do Internetu v podobnom zapojeni viac ako 10 rokov a nieje s tym ziadny problem.

[j]

Joooo taaaakkhle... už ti rozumím... a firewall budeš řešit přes brtables na bridgi, ne? Nebo ti ho rovnou vyřeší provider, určitě tě bude milovat... tohle zkus navrhnout nějakýmu většímu providerovi...

Nj, kdyz negramotnej kreten neumi cist tak bude lepsi, kdyz nebude ani psat...

Mimochodem ty demente, KAZDEJ vetsi ISP doda k zakaznikovi cisco, ktery si administruje a na kterym ma kupodivu klidne i firewall.

[Tuxik]

Urážky si nech pro někoho, koho zajímají. To že jsem si neuvědomil tvůj záměr s dodávkou IP z neveřejnýho rozsahu, to je moje chyba, ale možná to bude tím, že jsem si ani nepřipustil, že bys něco takovýho chtěl řešit. To, že si NAT neuděláš sám a raději si ho necháš udělat na Ciscu od providera není rozhodně řešení, maximáně se můžeš plácat po zádech, že nejsi ten špatnej, kdo ten NAT zapnul, ale na topologii to nic nezmění. Mimochodem, pokud máš na WANu veřejnou IP, je celkem pravděpodobný, že pokud provider není extrémní prase, dostala se ti tam bez NATu a první a jediný NAT v cestě si pořešíš na svém routeru.
Co se týče FW na zařízení providera, ano, velmi rádi ti to nastaví, nebudeš k tomu mít přístup, budeš je otravovat s každou změnou a zaplatíš si za to. Jako správce sítě budeš velmi dobře obhajovat u nadřízených, že sice síť funguje, ale vlastně nemáš tušení, jestli je FW správně a opravdu skvěle se ti budou řešit problémy.
Tohle je totiž řešení pro malou bohatou firmu s 10ti PC bez vlastního IT, ale rozhodně ne pro větší sítě.