[RIJEŠENO] Ping & IPTables

mird · February 14, 2007, 9:33am

Pokusam od jednog starog racunara napraviti firewall. kao zamjenu za postojeci uredjaj (za slucaj kvara)…

Problem mi predstavljaju postavke koje bi trebale omoguciti pinganje.

Postavka je slijedeca:
(po mom tumacenju, trebala bi da omoguci ping ka i sa adrese 172.16.5.30 tj, echo-request & echo-reply (portovi 8 & 0)

$IPTABLES -A INPUT -p icmp --icmp-type 8 -s 0/0
-d 172.16.5.30 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A OUTPUT -p icmp --icmp-type 0 -s 172.16.5.30
-d 0/0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A OUTPUT -p icmp --icmp-type 8 -s 172.16.5.30
-d 0/0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A INPUT -p icmp --icmp-type 0 -s 0/0
-d 172.16.5.30 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Iako nije prikljuceno nista na komp, mislim na kablove, ukoliko ispravno radi trebalo bi barem da izbaci “destination unreacble…” ili nesto slicno. Medjutim, konstantno dosadjuje sa “ping: sendmsg: operation not permitted”.

Prijedlozi, misljenja, ideje?
P.S.
od guglanja na ovu temu mi se pocinje povracati…

amar-ze · February 14, 2007, 1:30pm

Da probas:

adis · February 14, 2007, 3:54pm

## dozvoli ping iptables -A INPUT -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT iptables -A INPUT -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
8 i 11 su tipovi ICMP paketa koje koristi ping komanda.

EDIT: Ispravka, paket tipa 11 koristi traceroute

mird · February 14, 2007, 4:36pm

[quote=Adis]## dozvoli ping iptables -A INPUT -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT iptables -A INPUT -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
8 i 11 su tipovi ICMP paketa koje koristi ping komanda.[/quote]
Ovo me malo buni:
http://en.wikipedia.org/wiki/Internet_Control_Message_Protocol

IPTables ce prihvatiti kao argument --icmp-type echo-request & echo-reply itd…
Da li ICMP timer potreban (ukoliko je tacan ovaj clanak na wikipediji)?

Privremeno sam rijesio problem sa:

$IPTABLES -I INPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -I OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Ali, naravno ovo nije stalno rijesenje…

Kada probam pingati sa kao rezultat dobijam ispis:

PING 172.16.5.30 (172.16.0.1) 56(84) bytes of data.

(prekidam sa ctrl+c)

— 172.16.5.30 ping statistics —
3 packets transmitted, 0 received, 100% packet loss, time 1999ms

Samo da napomenem da sam prikljucio komp sa tom ip adresom i da je komp u stanju pingati eth2 (interface na koji je prikljucen) ali kada se pinga sa firewall-a ping “ne izlazi” iz firewall-a tj, dobijam gornji ispis…

Predpostavljam da je sada problem rutama, s obzirom da imam vise interfejsa a nemam default gateway?
Usput, zna li neko gdje CentOS 4.4 drzi conf file za rute?
Na netu (a i CentOS conf fajlovima npr. /etc/sysconfig/network-scripts/ifup-route) obicno upucuju na /etc/sysconfig/network-scripts/route-eth0 (ili 1,2) koji kod mene na sistemu ne postoje. Probao sam ih napravit rucno ali bez uspjeha. Moze li neko postati jedan cat /etc/sysconfig//network-scripts/route-eth0 ili me uputiti kako dalje?

Hvala unaprijed!

adis · February 14, 2007, 8:21pm

Što se tiče linuxa, iptables i sl. autoritativni izvor je http://netfilter.org

Evo zašto trebaš 8, a ne i 0 na INPUT lancu (na paket tipa 8 odgovaraš sa 0): http://iptables-tutorial.frozentux.net/iptables-tutorial.html#ICMPECHO
(Oscarov tutorijal je jedan od najpotpunijih/najpraktičnijih dokumenata o iptables)

Inače, što se tiče firewalla, idi polako, liniju po liniju; generalna praksa je “deny by default”, a dozvoli/uključi samo ono što ti treba …