Iptables reitittämään sisäverkko langattaman kautta

Internet ja tietoliikenne
1

Moro

Nyt on joku häikkä, jota en saa itse fiksailtua. Eli pitäisi saada fedora 11 reitittämään sisäinen liikenne eth0:sta wlan1:n kautta maailmalle. Periaatteessa oon kopioinut tuon http://linux.fi/wiki/Iptables#Esimerkkej.C3.A4 iptables taulukon, vaihtanut siihen
#Muuttujat
LAN=eth0
LAN_IP=192.168.11.1/255.255.255.0
WAN=wlan1
IPTABLES=/sbin/iptables

Linux-kone siis menee nettiin wlanilla, mutta reitittimien kautta en saa tietoa kulkemaan ulos. Sisäverkon ping toimii sekä reitittimeen, että linuxiin. Oisko ideoita tai iptables-konfiguraatiota heittää? Ping ei toimi sisäverkosta linuxia edemmäs.

ifconfig antaa seuraavaa:
eth0 Link encap:Ethernet HWaddr 00:1A:92:E5:26:B9
inet addr:192.168.11.2 Bcast:192.168.11.255 Mask:255.255.255.0
inet6 addr: fe80::21a:92ff:fee5:26b9/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:402 errors:0 dropped:0 overruns:0 frame:0
TX packets:562 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:42759 (41.7 KiB) TX bytes:96720 (94.4 KiB)
Interrupt:20

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:62 errors:0 dropped:0 overruns:0 frame:0
TX packets:62 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:8169 (7.9 KiB) TX bytes:8169 (7.9 KiB)

wlan1 Link encap:Ethernet HWaddr 00:16:01:7D:FA:62
inet addr:poistettu Bcast:poistettu Mask:255.255.252.0
inet6 addr: fe80::216:1ff:fe7d:fa62/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:14398 errors:0 dropped:0 overruns:0 frame:0
TX packets:10138 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:6944503 (6.6 MiB) TX bytes:2549577 (2.4 MiB)

wmaster0 Link encap:UNSPEC HWaddr 00-16-01-7D-FA-62-E1-B9-00-00-00-00-00-00-00-00
UP RUNNING MTU:0 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

2

[quote=“jussi-ite, post:1, topic:955”]Moro

Nyt on joku häikkä, jota en saa itse fiksailtua. Eli pitäisi saada fedora 11 reitittämään sisäinen liikenne eth0:sta wlan1:n kautta maailmalle. Periaatteessa oon kopioinut tuon http://linux.fi/wiki/Iptables#Esimerkkej.C3.A4 iptables taulukon, vaihtanut siihen
#Muuttujat
LAN=eth0
LAN_IP=192.168.11.1/255.255.255.0
WAN=wlan1
IPTABLES=/sbin/iptables

Linux-kone siis menee nettiin wlanilla, mutta reitittimien kautta en saa tietoa kulkemaan ulos. Sisäverkon ping toimii sekä reitittimeen, että linuxiin. Oisko ideoita tai iptables-konfiguraatiota heittää? Ping ei toimi sisäverkosta linuxia edemmäs.

ifconfig antaa seuraavaa:
eth0 Link encap:Ethernet HWaddr 00:1A:92:E5:26:B9
inet addr:192.168.11.2 Bcast:192.168.11.255 Mask:255.255.255.0
inet6 addr: fe80::21a:92ff:fee5:26b9/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:402 errors:0 dropped:0 overruns:0 frame:0
TX packets:562 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:42759 (41.7 KiB) TX bytes:96720 (94.4 KiB)
Interrupt:20

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:62 errors:0 dropped:0 overruns:0 frame:0
TX packets:62 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:8169 (7.9 KiB) TX bytes:8169 (7.9 KiB)

wlan1 Link encap:Ethernet HWaddr 00:16:01:7D:FA:62
inet addr:poistettu Bcast:poistettu Mask:255.255.252.0
inet6 addr: fe80::216:1ff:fe7d:fa62/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:14398 errors:0 dropped:0 overruns:0 frame:0
TX packets:10138 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:6944503 (6.6 MiB) TX bytes:2549577 (2.4 MiB)

wmaster0 Link encap:UNSPEC HWaddr 00-16-01-7D-FA-62-E1-B9-00-00-00-00-00-00-00-00
UP RUNNING MTU:0 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)[/quote]

ip_forward pitää ainakin enabloida.


Eero

3

No sepä se.

Kiitos Eero.

4

Jaahas.

Semmoinen vielä, että kuinkas tuo voi toimia siten, että tällä linux purkilla en voi lähettää esimerkiksi tätä viestiä, mutta tuolla sisäverkossa olevilta koneilta se lähtee?

Jos otan palomuurin pois päältä niin homma toimii… Mikäs tähän voi vaikuttaa?

Ilmeisesti noiden rivien pitäisi mahdollistaa tämä homma:

#sallitaan sisältäpäin avattu paluuliikenne
${IPTABLES} -A INPUT -i ${WAN} -p TCP -m state --state RELATED,ESTABLISHED -j ACCEPT
${IPTABLES} -A INPUT -i ${WAN} -p UDP -m state --state RELATED,ESTABLISHED -j ACCEPT

5

[quote=“jussi-ite, post:4, topic:955”]Jaahas.

Semmoinen vielä, että kuinkas tuo voi toimia siten, että tällä linux purkilla en voi lähettää esimerkiksi tätä viestiä, mutta tuolla sisäverkossa olevilta koneilta se lähtee?

Jos otan palomuurin pois päältä niin homma toimii… Mikäs tähän voi vaikuttaa?

Ilmeisesti noiden rivien pitäisi mahdollistaa tämä homma:

#sallitaan sisältäpäin avattu paluuliikenne
${IPTABLES} -A INPUT -i ${WAN} -p TCP -m state --state RELATED,ESTABLISHED -j ACCEPT
${IPTABLES} -A INPUT -i ${WAN} -p UDP -m state --state RELATED,ESTABLISHED -j ACCEPT[/quote]

Voi olla että output liikenne ei ole sallittu, mutta forward on.


Eero

6

Mun mielestä olen sallinut kaiken output-liikenteen. iptables -L antaa:

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all – localhost.localdomain anywhere
ACCEPT all – 192.168.11.0/24 anywhere
DROP tcp – anywhere anywhere tcp dpts:spr-itunes:1023
DROP udp – anywhere anywhere udp dpts:0:1023
DROP tcp – anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN
DROP icmp – anywhere anywhere
ACCEPT tcp – anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp – anywhere anywhere state RELATED,ESTABLISHED
DROP all – anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination
DROP tcp – anywhere anywhere tcp dpts:spr-itunes:1023
DROP udp – anywhere anywhere udp dpts:0:1023
DROP tcp – anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN
DROP icmp – anywhere anywhere
ACCEPT all – 192.168.11.0/24 anywhere
ACCEPT tcp – anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp – anywhere 192.168.11.0/24 state RELATED,ESTABLISHED
ACCEPT udp – anywhere 192.168.11.0/24 state RELATED,ESTABLISHED
DROP all – anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

7

Vastaan itse itselleni, jos jollakulla ilmenee vastaavaa ongelmaa.

Ratkaisu löytyi kun sallin icmp protokollan input osiosta eli rivi
DROP icmp – anywhere anywhere
aiheutti ongelmat.

Sitä en ymmärrä miksi tuo tuolta sisäverkon koneilta toimi…