Добро пожаловать! Это — архивная версия форумов на «Хакер.Ru». Она работает в режиме read-only.
 
журналы новости статьи video форум подписка на «Хакер»

Конфигурирование межсетевого экрана(спасайте) =/

Пользователи, просматривающие топик: none

Зашли как: Guest
Все форумы >> [*nix/Linux] >> Конфигурирование межсетевого экрана(спасайте) =/
Имя
Сообщение << Старые топики   Новые топики >>
Конфигурирование межсетевого экрана(спасайте) =/ - 2007-01-06 19:39:40.700000   
FireOfHate

Сообщений: 3
Оценки: 0
Присоединился: 2007-01-06 19:35:35.336666
 Бьюсь головой о клавиатуру в страшных судорогах. Уже неделю не могу сделать так, что бы нормально заработал межсетевой экран. Спасайте, кто может Вопрос жизни и смерти (зачет)
Тема, конечно, замусоленная, но всеже…

Задача:
Две виртуальные машины под управлением Windows XP и Linux.
1) Для компьютера, функционирующего под управлением ОС Windows XP
- Выполнить настройку сетевого интерфейса. Задать IP-адрес, отличный от принятого стандарта в студенческой сети, т.е. отличный от 192.168.0.*. В качестве шлюза и DNS-сервера задать IP-адрес машины под управлением Linux.
- Рекомендуется использовать IP-адреса вида: 192.168.[номер машины].*, например: 192.168.11.2 (для машины user11)

2) Для компьютера, функционирующего под управлением ОС Linux
- Выполнить настройку второго сетевого интерфейса. Первый сетевой интерфейс получает сетевой адрес автоматически. Второй – задается статически из той же подсети, что и машина под управлением Windows.
- Сконфигурировать межсетевой экран, обеспечивающий для машины Windows:
- работающий DNS (протокол udp, порт 53)
DNS сервер студенческой сети: 192.168.0.1
- открытый доступ к http://bla.bla.bla.ru/ (http – протокол tcp, порт 80)
- попытка зайти на любой сайт в Интернете должна приводить к
отображению страницы по адресу http://blablawin/
- команда ping (протокол icmp, тип должна работать на любой сайт Интернета,
кроме bla.bla.bla.ru.
При попытке пропинговать bla.bla.bla.ru должно выдаваться сообщение об
ошибке: «Заданный протокол недоступен»


Как это сделал я(Не работает):
#Содержимое iptables
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#разрешаем использование dns – меняем адреса отправителя и получателя
-A PREROUTING -p udp -s 192.168.8.1 –dport 53 -j DNAT –to-destination 192.168.0.1
#
-A POSTROUTING -p udp -s 192.168.8.1 –dport 53 -j SNAT –to-source 192.168.0.73
#разрешаем просмотр странички bla.bla.bla.ru
-A PREROUTING -p tcp -s 192.168.8.1 -d 194.85.96.90 –dport 80 -j ACCEPT
#все остальные tcp запросы на blablawin
-A PREROUTING -p tcp -s 192.168.8.1 –dport 80 -j DNAT –to-destination 192.168.0.1
-A POSTROUTING -p tcp -s 192.168.8.1 –dport 80 -j SNAT –to-source 192.168.0.73
#меняем адрес отправителя для команды ping
#-A POSTROUTING -p icmp -s 192.168.8.1 –icmp-type 8 -j SNAT –to-source 192.168.0.73
COMMIT
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
#запрещаем ping с bla.bla.bla.ru
-A FORWARD -p icmp -s 192.168.8.1 -d 194.85.96.90 –icmp-type 8 -j REJECT –reject-with icmp-proto-unreachable
:OUTPUT ACCEPT [0:0]
COMMIT

Перечитал кучу разных док, но так и не понял, почему не работает.
В чем ошибка? Как сделать так, что бы это чудо ожило?
(как я понял, не пробрасываются DNS запросы, но не уверен)
Пы.Сы. Чур, тухлыми помидорами не кидаться, я начинающий в плане администрирования сетей.
Post #: 1
RE: Конфигурирование межсетевого экрана(спасайте) =/ - 2007-01-06 21:14:18.583333   
TheFeaR

Сообщений: 1923
Оценки: 0
Присоединился: 2006-01-25 18:16:33
 было бы во фре я б помог… единственное что могу посоветовать это делать все по порядку и смотреть на каком шагу все накрывается.. 
Post #: 2
RE: Конфигурирование межсетевого экрана(спасайте) =/ - 2007-01-08 02:09:40.290000   
LongLong

Сообщений: 4
Оценки: 0
Присоединился: 2007-01-08 01:56:53.700000
 Вобщем форум тута забавный,много народу а толку мало,все хакеры да фрикеры
2 FireOfHate
попробуй заклинание
echo 1 > /proc/sys/net/ipv4/ip_forward
сообщи о резуалтатах мож чего другого присоветую
Post #: 3
RE: Конфигурирование межсетевого экрана(спасайте) =/ - 2007-01-08 09:40:27.310000   
FireOfHate

Сообщений: 3
Оценки: 0
Присоединился: 2007-01-06 19:35:35.336666
 У меня в  /etc/rc.d/rc.local прописано:
 sysctl -w net.ipv4.ip_forward=1


Но, спасибо, попробую…
Post #: 4
RE: Конфигурирование межсетевого экрана(спасайте) =/ - 2007-01-08 10:03:30.063333   
LongLong

Сообщений: 4
Оценки: 0
Присоединился: 2007-01-08 01:56:53.700000
 iptables -nvL
ifconfig -A
iptables -t nat -nvL
Какой дистриб,ядро.
и все сюда тащи
а то телепаты в отпуске сегодня.
Post #: 5
RE: Конфигурирование межсетевого экрана(спасайте) =/ - 2007-01-08 10:35:30.586666   
FireOfHate

Сообщений: 3
Оценки: 0
Присоединился: 2007-01-06 19:35:35.336666
 Red Hat Linux
2.2.x
Post #: 6
RE: Конфигурирование межсетевого экрана(спасайте) =/ - 2007-01-08 22:45:00.670000   
LongLong

Сообщений: 4
Оценки: 0
Присоединился: 2007-01-08 01:56:53.700000
 Мда,жестко… обычно iptables шло с 2.4.Х c 2.2.Х шли ipchains
ты iptables туда прикручивал али ф комплекте шло
попробуй на виндузовой машинке сделать
nslookup ya.ru
узнаеш доходит ли запрос до DNSки
или на серваке dig ya.ru
или тотже nslookup ya.ru
Post #: 7
Страниц:  [1]
Все форумы >> [*nix/Linux] >> Конфигурирование межсетевого экрана(спасайте) =/







Связаться:
Вопросы по сайту / xakep@glc.ru

Предупреждение: использование полученных знаний в противозаконных целях преследуется по закону.