Архив форумов ЦИТФорума

[free]

Подскажите, плз, как сделать граничный брэндмауэр на Linux?
Ситуация такая : есть комп с двумя сетевухами, одну цепляем к общей сети , вторую к хабу и на хаб вешаем рабочую станцию. Нужно организовать фильтрацию трафика компом с двумя сетевухами между рабочей станцией и общей сетью.
Нужны практические реализации на любых версиях Linux (RedHat 6.2, 7.0, 7.2, 7,3; Mandrake 8.0, 8.1). Что нужно делать, как перекомпилять ядро, если нужно, как организовать передачу пакетов между eth0 и eth1 компьютера-брэндмауэра ?
По умолчанию нифига не получается. Общая сеть пингуется с eth0 брэндмауэра, но не идет пинг ни с eth1 ни с рабочей станции. Из общей сети пингуется и eth0 и eth1 брэндмауэра.
Если есть дока, шлите, плз, на мыло.

[DmitriyS]

Тебе надо поставить ядро 2.4.19 (самое новое пока...) включить в ядро net_filter (т.е. iptables а не ipchains) сделать нат или маскарадинг между сетями, и почитать man iptables ... ( masquerade howto и firewall howto)

[nktn]

Хорошие доки лежат здесь http://www.how-to.ru/linux/howto

[Error]

#!/bin/sh
#
# rc.firewall - Initial SIMPLE IP Firewall test script for 2.4.x
#
# Author: Oskar Andreasson
# (c) of BoingWorld.com, use at your own risk, do whatever you please with
# it as long as you don't distribute this without due credits to
# BoingWorld.com
#

###########
# Configuration options, these will speed you up getting this script to
# work with your own setup.

#
# your LAN's IP range and localhost IP. /24 means to only use the first 24
# bits of the 32 bit IP adress. the same as netmask 255.255.255.0
#
# STATIC_IP is used by me to allow myself to do anything to myself, might
# be a security risc but sometimes I want this. If you don't have a static
# IP, I suggest not using this option at all for now but it's stil
# enabled per default and will add some really nifty security bugs for all
# those who skips reading the documentation=)

LAN_IP_RANGE="10.1.1.0/24"
LAN_IP="10.1.1.200"
LA.. Load all required IPTables modules
#

#
# Needed to initially load modules
#
/sbin/depmod -a

#
# Adds some iptables targets like LOG, REJECT and MASQUARADE.
#
/sbin/modprobe ipt_LOG
#/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE

#
# Support for owner matching
#
#/sbin/modprobe ipt_owner

#
# Support for connection tracking of FTP and IRC.
#
#/sbin/modprobe ip_conntrack_ftp
#/sbin/modprobe ip_conntrack_irc

#
# Enable ip_forward, this is critical since it is turned off as defaul in Linux.
#

echo "1" > /proc/sys/net/ipv4/ip_forward

#
# Dynamic IP users:
#
#echo "1" > /proc/sys/net/ipv4/ip_dynaddr

#
# Enable simple IP Forwarding and Network Address Translation
#

$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $STATIC_IP

#
# Bad TCP packets we don't want
#

$IPTABLES -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"
$IPTABLES -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP

#
# Accept the packets we actually want to forward
#

$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packet died: "

#
# Set default policies for the INPUT, FORWARD and OUTPUT chains
#

#$IPTABLES -P INPUT DROP
#$IPTABLES -P OUTPUT DROP
#$IPTABLES -P FORWARD DROP

#
# Create separate chains for ICMP, TCP and UDP to traverse
#

$IPTABLES -N icmp_packets
$IPTABLES -N tcp_packets
$IPTABLES -N udpincoming_packets

#
# The allowed chain for TCP connections
#

$IPTABLES -N allowed
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP

#
# ICMP rules
#

$IPTABLES -A icmp_packe ...

[Error]

Вот тут, типа http://www.linux.org.ru/books/gateway/