View previous topic :: View next topic |
Author |
Message |
andybrandorff n00b
Joined: 03 Aug 2004 Posts: 57 Location: denmark
|
Posted: Thu Dec 15, 2005 12:28 am Post subject: wirewall & dhcp |
|
|
Hej jeg har en server med 2 netkort eth0= Internettet & eth1 til lokalnettet
Jeg har sat en lokal dhcp server som udeler ip adresser på eth1 & det virker ok.
Men hvis jeg ikke skriver min internetudbyders DNS server ind i min DHCP server kommer mine bruger ikke på nettet. "er det sikkert nok eller hvad"
Min firewall fil ser sådan ud
Code: | #!/bin/sh
# Set location of iptables
IPT=/sbin/iptables
NAME="195.82.195.101"
NET="eth0"
LAN="eth1"
CONNECTION_TRACKING="1"
$IPT -F; iptables -t nat -F; iptables -t mangle -F
$IPT -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/conf/all/forwarding
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -m state --state NEW -i ! eth0 -j ACCEPT
$IPT -A INPUT -p icmp -j ACCEPT
$IPT -A INPUT -m state --state NEW -p udp -d $NAME -j ACCEPT
$IPT -A INPUT -m state --state NEW -p tcp -d $NAME -j ACCEPT |
men det hjælper ikke med de 2 sidste linjer uden at jeg putter en extern DNS server ind i dhcp filen. Er den ikke korekt.
eller hvordan laver jeg så jeg kan bruge extern dns & dhcp.
Er min fil helt forkert?
har er min dhcp fil
Code: | default-lease-time 6000; # in seconds..
max-lease-time 7200;
ddns-update-style ad-hoc;
authoritative; # as it's the only dhcp-server
log-facility local7;
subnet 192.168.0.0 netmask 255.255.255.0
{
range dynamic-bootp 192.168.0.20 192.168.0.40;
option domain-name-servers 195.82.195.101;
option subnet-mask 255.255.255.0;
# option netbios-name-servers 192.168.0.1; # see next++ chapter
# option netbios-name-servers 195.82.195.101;
option broadcast-address 192.168.0.255;
option routers 192.168.0.1;
host some_host_name
{
# hardware ethernet 00:C0:DA:FD:AA:1D;
# fixed-address 192.168.0.20;
}
}
|
håber at en kan hjælpe mine klient maskiner sikkert på nettet. |
|
Back to top |
|
|
patrix_neo Guru
Joined: 08 Jan 2004 Posts: 520 Location: The Maldives
|
Posted: Thu Dec 15, 2005 11:33 am Post subject: |
|
|
Ja, du behöver dns-upplösning även på dina 'klienter' och därmed behöver dhcp-servern dela ut detta till dina workstations kopplade mot eth1.
Jag kör statisk ip, men lagt in i /etc/resolv.conf samma värde som jag har på min fw/server burk. (internet dns ip).
Men att tillåta inkommande trafik till en ip-adress du inte har lokalt (de 2 sista INPUT) är meningslöst som jag ser det.
Code: |
$IPT -A INPUT -m state --state NEW -p udp -d $NAME -j ACCEPT
$IPT -A INPUT -m state --state NEW -p tcp -d $NAME -j ACCEPT
|
Testa att sätta '-s' i stället för '-d'. Dvs all trafik FRÅN $NAME accepteras när state = NEW && -p=ALL
Du behöver nog se över denna firewall ganska noga. Ta en titt på denna goda HowTo, om du inte redan har, som finns här på forumet....
https://forums.gentoo.org/viewtopic-t-159710-highlight-iptables+howto.html
Väldigt bra. Tar hand om attacker/spoofing/DDoS DNS hantering, farliga portar...you name it. |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
|
|