Salvarea si restaurarea regulilor
iptables-save
iptables-restore
Default comanda iptables-save va afisa rezultatul pe ecran. Acest rezultat trebuie redirectionat intr-un fisier pentr a fi salvat. Din respectivul fisier, folosind utilitarul iptables-restore sa va putea reface configuratia din momentul ultimei folosiri a lui iptables-save cu redirectionare.
iptables-save > /etc/iptables-rules - redirectioneaza rezultatul comenzii in fisierul /etc//iptables-rules
iptables-restore < /etc/iptables-rules - restaureaza din fisierul /etc/iptables-rules in comanda iptables-restore
Ex:
1. O regula care face DROP la toate pachetele venite pe ICMP
iptables -A INPUT -p ICMP -j DROP - rezultatul este ca nu mai merge ping-ul
Se dau urmatoarele calculatoare cu urmatoarele ip-uri:
PC7 192.168.0.7 PC8 192.168.0.8 PC9 192.168.1.2 PC10 192.168.2.10
255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0
PC7 si PC8 sint in reteaua 0, PC7 si PC9 sint in reteaua 1, iar PC8 si PC10 in reteaua 2.
Sa se faca o rout-are intre aceste retele, astfel incit PC9 sa raspunda la pingul lui PC10 si vice-versa (sa se vada intre ele).
- se seteaza gateway-ul pt. PC9 192.168.1., iar pt. PC10 192.168.2.1
se verifica ip_forward sa fie 1 (pornit)
se verifica tabela de rout-are unde trebuie sa existe ruta intre PC7 si PC8
conectivitatea intre PC7 si PC8 cu ..0.0 era facuta
se mai adauga pt PC7 ip-ul 192.168.1.1, adaugindu-se automat ruta intre PC7 si PC9, vazindu-se intre ele.
apoi se adauga pt PC8 ip-ul 192.168.2.1, adaugindu-se automat ruta intre PC8 si PC10, vazindu-se intre ele.
se face rout-area pachetelor venite de la PC9 la PC10 pe PC8 cu comanda:
iptables route add 192.168.2.0/24 via 192.168.0.8 dev eth0 (daca se facea rout-area pentru mai multe retele - internet, atunci in loc de 192.168.2.0/24 se putea trece defaul.)
- via tine loc cumva de gateway
in final, tabela de rout-are pe PC7 trebuie sa arate astfel:
192.168.2.0/24 via 192.168.0.8 dev eth0
192.168.1.1/24 dev eth0 proto kernel scope link src 192.168.1.1
192.168.0.0/24 dev eth0 proto kernel scope link src 192.168.0.7
127.0.0.0/8 dev lo scope link
Sa se schimbe intre PC7 si PC8 reteaua in 10.0.0.x si sa se adauge o regula ca orice vine cu 192.168.0.0 sa fie rejectat.
DE LA BOGDAN SAU CINE-O VREA SA COMPLETEZE
Se considera ca PC10 reprezinta internetul (192.168.2.10)
PC8 este ISP (10.0.0.8)
PC7 este rout-er pt. LAN (10.0.0.7)
PC9 este LAN (192.168.1.0)
Sa se rout-eze si sa se masquarade-eze pachetele astfel incit LAN-ul sa aibe acces la net.
pe PC8 se sterge regula default pt. ca PC8 nu mai trebuie sa rout-eze pachetele venite din internet.
PC8 trebuie sa dea DROP la pachetele cu 192.168.1.x, cu comanda
iptables -A FORWARD -s 192.168.1.0/24 -j DROP
- se face SNAT (in loc de masquerade intre LAN si router (PC9-PC7) cu comanda iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 10.0.0.7 src ip in_respectiva_retea
- se face SNAT (in loc de masquerade intre router si internet (PC8-PC10) cu comanda iptables -t nat -A POSTROUTING -s 10.0.0.7 -j SNAT --to-source 10.0.0.8
- in acest moment LAN-ul trebuie sa aibe raspuns la ping-ul in internet, adica ping 192.168.2.10 trebuie sa mearga
Sa se faca un script care sa faca start, stop si reload pentru firewall-ul creat mai sus.
DE LA BOGDAN
Scriptul se pune in /etc/rc.d/init.d, dupa care se adauga un script in unul din fisierele rcx.d catre acest script.
Scriptul trebuie pornit inainte de pornirea lui eth0.
|
