bøvl igen igen med masquerading, transparent proxy... og ufw
-
- Indlæg: 2667
- Tilmeldt: 21. nov 2006, 10:06
- Geografisk sted: Fredericia
bøvl igen igen med masquerading, transparent proxy... og ufw
Jeg har bøvlet lidt med at få en server til at fungere med masquerading, transparent proxy ... og ufw (altså firewall).
Opsætningen er som følger:
Jeg har fået både masquerading og den transparente proxy til at køre som en drøm... men det er kun indtil jeg aktiverer ufw - så går det galt
Jeg har lagt følgende iptables ind i /etc/rc.local:
Og det hele kører som det skal ... lige indtil jeg aktiverer ufw - så mister jeg forbindelsen'
Jeg har forsøgt at få masquerading til at fingere med udgangspunkt i ufw, men det er ikke lykkedes for mig selvom jeg har fulgt vejledningen til punkt og prikke (https://help.ubuntu.com/12.04/serverguide/firewall.html).
Jeg har også forsøgt at smide de ovenstående iptables ind i /etc/ufw/before.rules, men det løser ikke problemet.
Er der nogen der har erfaring med at anvende ufw sammen med masquerading og transperent proxy - som kan se hvad jeg gør forkert?
De virtuelle maskiner er sat op i virtualbox 4.3.6 og testet i den nyeste versoin 4.3.8
Opsætningen er som følger:
Kode: Vælg alt
NAT _____SERVER_____
Dynamisk adresse | |
Nettet ------------------------|---- eth0 |
| |
| 192.168.1.10 | Ubuntu 12.04.4 LTS
| | DHCP /
| eth1 ----|----------------klient
| | \
|______________| Win7
Jeg har fået både masquerading og den transparente proxy til at køre som en drøm... men det er kun indtil jeg aktiverer ufw - så går det galt
Jeg har lagt følgende iptables ind i /etc/rc.local:
Kode: Vælg alt
#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
#Masquearading from eth1 to eth0
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
#Transparent proxy (squid3)
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-des$
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to$
exit 0
Og det hele kører som det skal ... lige indtil jeg aktiverer ufw - så mister jeg forbindelsen'
Jeg har forsøgt at få masquerading til at fingere med udgangspunkt i ufw, men det er ikke lykkedes for mig selvom jeg har fulgt vejledningen til punkt og prikke (https://help.ubuntu.com/12.04/serverguide/firewall.html).
Jeg har også forsøgt at smide de ovenstående iptables ind i /etc/ufw/before.rules, men det løser ikke problemet.
Er der nogen der har erfaring med at anvende ufw sammen med masquerading og transperent proxy - som kan se hvad jeg gør forkert?
De virtuelle maskiner er sat op i virtualbox 4.3.6 og testet i den nyeste versoin 4.3.8
Forfatter til Ubuntuguiden: http://www.vidas.dk/guides/ubuntuguiden.html
Kører LTS udgaverne.
"It's always easy if you know how to do it."
Kører LTS udgaverne.
"It's always easy if you know how to do it."
-
- Indlæg: 5095
- Tilmeldt: 27. apr 2008, 02:16
- IRC nickname: lars_t_h
- Geografisk sted: Fyn
Re: bøvl igen igen med masquerading, transparent proxy... og
thj01 skrev:Er der nogen der har erfaring med at anvende ufw sammen med masquerading og transperent proxy - som kan se hvad jeg gør forkert?
Jeg kender ikke til den kombination, men
Kode: Vælg alt
sudo iptables --list
.. lister alle firewall chains - også dem ufw laver. (der er godt nok seriøst mange ufw firewall chains).
Så kan du måske se om en ufw firewall chain dropper pakker før de når til dine NAT regler. (Det er nok det der sker.)
Der er også en backup kommando for iptables regler. Den kommando hedder iptables-save, og den bruges sådan her:
Kode: Vælg alt
sudo iptables-save > ~/iptables_save.txt;sudo chown $USER ~/iptables_save.txt;sudo chgrp $USER ~/iptables_save.txt
Du kan også udvælge en enkel firewall chain (table), sådan her:
Kode: Vælg alt
sudo iptables-save -t NAVN_PAA_FW_CHAIN > ~/iptables_save_NAVN_PAA_FW_CHAIN.txt;sudo chown $USER ~/iptables_save_NAVN_PAA_FW_CHAIN.txt;sudo chgrp $USER ~/iptables_save_NAVN_PAA_FW_CHAIN.txt[
Med iptables-restore kan man så indsætte gemte firewall regler igen (eller kopiere dem over til en anden maskine).
Hvis du gør det så husk at nuke alle firewall regler først med:
Kode: Vælg alt
sudo iptables --flush
Håber at det hjælper dig på vej til en løsning
/Lars
Jeg er Software ingeniør (Diplomingeniør) i Informationsteknologi og indlejede systemer, hvor indlejrede systemer er computer (microcontroller) + elektronik i for eksempel et TV, en router, en vaskemaskine og den slags
-
- Indlæg: 2667
- Tilmeldt: 21. nov 2006, 10:06
- Geografisk sted: Fredericia
Re: bøvl igen igen med masquerading, transparent proxy... og
@lath
Ja der er seriøst mange regler i UFW, og hvis man ikke er en iptables haj, så får man en masse uforståelig output af de kommandoer. Men jeg løste problemet ved et rent tilfælde - og det var noget "DROP" noget
Der skulle ændres en fil mere i /etc/default/ufw nemlig filen ( se: https://bugs.launchpad.net/ubuntu/+source/ufw/+bug/550976 )
til
Jeg kan så ikke gennemskue om det gennemhuller firewall'en også. Det undrer mig blot, at det ikke er skrevet i dokumentationen......
EDIT...
Og efter at ændre fra DROP til ACCEPT, så overruler ufw ikke de iptabels man lægger ind i rc.local
Ja der er seriøst mange regler i UFW, og hvis man ikke er en iptables haj, så får man en masse uforståelig output af de kommandoer. Men jeg løste problemet ved et rent tilfælde - og det var noget "DROP" noget
Der skulle ændres en fil mere i /etc/default/ufw nemlig filen ( se: https://bugs.launchpad.net/ubuntu/+source/ufw/+bug/550976 )
Kode: Vælg alt
DEFAULT_INPUT_POLICY="DROP"
til
Kode: Vælg alt
DEFAULT_INPUT_POLICY="ACCEPT"
Jeg kan så ikke gennemskue om det gennemhuller firewall'en også. Det undrer mig blot, at det ikke er skrevet i dokumentationen......
EDIT...
Og efter at ændre fra DROP til ACCEPT, så overruler ufw ikke de iptabels man lægger ind i rc.local
Forfatter til Ubuntuguiden: http://www.vidas.dk/guides/ubuntuguiden.html
Kører LTS udgaverne.
"It's always easy if you know how to do it."
Kører LTS udgaverne.
"It's always easy if you know how to do it."
-
- Forfatter
- Indlæg: 793
- Tilmeldt: 21. jan 2007, 17:45
- Geografisk sted: Christianshavn
Re: bøvl igen igen med masquerading, transparent proxy... og
Jeg blev først nogenlunde glad for at tilrette firewall efter en kollega gjorde mig opmærksom på Firehol toolet
http://firehol.org
http://firehol.org
Claus Gårde Henriksen / Jeg bruger ikke Ubuntu / Debian Stable 12
-
- Indlæg: 2667
- Tilmeldt: 21. nov 2006, 10:06
- Geografisk sted: Fredericia
Re: bøvl igen igen med masquerading, transparent proxy... og
HÅRH... jeg ELSKER KISS software.
Det skal jeg have undersøgt!
Det skal jeg have undersøgt!
Forfatter til Ubuntuguiden: http://www.vidas.dk/guides/ubuntuguiden.html
Kører LTS udgaverne.
"It's always easy if you know how to do it."
Kører LTS udgaverne.
"It's always easy if you know how to do it."
-
- Indlæg: 5095
- Tilmeldt: 27. apr 2008, 02:16
- IRC nickname: lars_t_h
- Geografisk sted: Fyn
Re: bøvl igen igen med masquerading, transparent proxy... og
ubuntuuser42 skrev:Jeg blev først nogenlunde glad for at tilrette firewall efter en kollega gjorde mig opmærksom på Firehol toolet
http://firehol.org
+ 1 mio.!
Det var nok dagens hotte tip
/Lars
Jeg er Software ingeniør (Diplomingeniør) i Informationsteknologi og indlejede systemer, hvor indlejrede systemer er computer (microcontroller) + elektronik i for eksempel et TV, en router, en vaskemaskine og den slags
Tilbage til "Server: Guides, installation og opsætning"
Hvem er online
Brugere der læser dette forum: [Bot] og 0 gæster