Latest posts for the topic "Cho mình hỏi cấu hình iptables cho máy có 2 card mạng"

Cho mình hỏi cấu hình iptables cho máy có 2 card mạng

wirzfog — GMT

Mình có mô hình như thế này Client --- (eth1) Server (eth0) -- Gateway Gateway: 10.0.2.2 eth0: 10.0.2.15 eth1: 192.168.1.10 Client: 192.168.1.100 Trên máy Server mình cài dịch vụ DNS. Mình muốn thiết lập rule để client có thể truy vấn được Code:

#iptables -A INPUT -s 192.168.1.0/24 -i eth1 -p udp --sport 53 --dport 1024:65535 -j ACCEPT

Nhưng trên máy Client vẫn chưa thể truy vấn được dịch vụ DNS. Vậy cho mình hỏi lệnh trên mình còn thiết sót những gì? Thanks

Cho mình hỏi cấu hình iptables cho máy có 2 card mạng

kakarottbatdong — GMT

thử cái này xem sao #iptables -A INPUT -s 192.168.1.0/24 -i eth1 -p udp --dport 53 -j ACCEPT

Cho mình hỏi cấu hình iptables cho máy có 2 card mạng

cino — GMT

wirzfog wrote:

Mình muốn thiết lập rule để client có thể truy vấn được Code:
#iptables -A INPUT -s 192.168.1.0/24 -i eth1 -p udp --sport 53 --dport 1024:65535 -j ACCEPT

Rule đó là rule của máy nào? Mà bác INPUT mà không OUTPUT thì.. ngậm sâm mà chờ. :D

Cho mình hỏi cấu hình iptables cho máy có 2 card mạng

wirzfog — GMT

@kakarottbatdong: Thanks bạn, nhưng không được @cino: Rule trên máy Server. mình thêm rule tại chain OUTPUT Code:

#iptables -A INPUT -s 192.168.1.0/24 -i eth1 -p udp --sport 53 --dport 1024:65535 -d 192.168.1.10 -j ACCEPT
#iptables -A OUTPUT -s 192.168.1.10 -o eth1 -p udp --dport 53 --sport 1024:65535 -d 192.168.1.0/24 -j ACCEPT

Thử đổi 2 giá trị --sport và --dport cho nhau nhưng kết quả vẫn vậy :|

Cho mình hỏi cấu hình iptables cho máy có 2 card mạng

kakarottbatdong — GMT

Bồ thảy hết rule của iptables lên xem

Cho mình hỏi cấu hình iptables cho máy có 2 card mạng

cino — GMT

wirzfog wrote:

@cino: Rule trên máy Server. mình thêm rule tại chain OUTPUT Code:
#iptables -A INPUT -s 192.168.1.0/24 -i eth1 -p udp --sport 53 --dport 1024:65535 -d 192.168.1.10 -j ACCEPT
#iptables -A OUTPUT -s 192.168.1.10 -o eth1 -p udp --dport 53 --sport 1024:65535 -d 192.168.1.0/24 -j ACCEPT
Thử đổi 2 giá trị --sport và --dport cho nhau nhưng kết quả vẫn vậy :|

Sao lại thay đổi sport và dport lòng vòng 1 cách... vô ý thức vậy bác. Trước hết bác phải chắc chắn là "Server" của bác (DNS server) phải chạy được, chỉnh servername/nameserver gì đó trong /etc/resolv.conf về 127.0.0.1 và off iptables xem cái DNS server này chạy ổn hay không cái đã (kiếm domain nào đó ping thử). Nếu ok, bật iptables lên để xem có cản trở gì không rồi mới tính tới việc chỉnh rules để allow cho clients. Cứ mần từ từ từng bước một. O-)

Cho mình hỏi cấu hình iptables cho máy có 2 card mạng

wirzfog — GMT

[root@centos ~]# iptables -L -n Code:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
ACCEPT     udp  --  192.168.1.0/24       192.168.1.10        udp spt:1024:65535 dpts:53

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     udp  --  192.168.1.10         192.168.1.0/24      udp spts:53 dpt:1024:65535

[root@centos ~]# cat /etc/sysconfig/iptables Code:

# Generated by iptables-save v1.4.7 on Wed Jul 18 00:17:10 2012
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [24:2272]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A INPUT -s 192.168.1.0/24 -d 192.168.1.10/32 -i eth1 -p udp -m udp --sport 1024:65535 --dport 53 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -s 192.168.1.10/32 -d 192.168.1.0/24 -o eth1 -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
COMMIT
# Completed on Wed Jul 18 00:17:10 2012

@cino: Mình thử stop iptables thì truy vấn được dịch vụ DNS. Như vậy chứng tỏ dịch vụ đã bị cản bởi iptables.

Cho mình hỏi cấu hình iptables cho máy có 2 card mạng

2009 — GMT

DNS sử dụng cả 2 giao thức là TCP và UDP , nên mình nghĩ bạn nên thiết lập 1 rule nữa cho TCP. Nếu không chắc chắn thì bạn thử stop iptables và dùng wireshark để bắt các gói tin DNS để kiểm tra ( mình nhớ là DNS bây giờ hầu như dùng TCP , UDP thì mình chưa bắt được gói nào )

Cho mình hỏi cấu hình iptables cho máy có 2 card mạng

quocviet1024 — GMT

wirzfog wrote:

[root@centos ~]# iptables -L -n -A INPUT -s 192.168.1.0/24 -d 192.168.1.10/32 -i eth1 -p udp -m udp --sport 1024:65535 --dport 53 -j ACCEPT -A OUTPUT -s 192.168.1.10/32 -d 192.168.1.0/24 -o eth1 -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT @cino: Mình thử stop iptables thì truy vấn được dịch vụ DNS. Như vậy chứng tỏ dịch vụ đã bị cản bởi iptables.

Các rules đều set cho mạng LAN thì DNS server của bác truy vấn được cái gì đây. Trên server của bác. Bác output cho lệnh này thử? cat /etc/resolv.conf Chèn dòng này vào đầu iptables sau đó thử coi nó (dns srv) đã hoạt động chưa: iptables -A INPUT -p udp --sport 53 --dport 1024:65535 -j ACCEPT Bác dùng cái gì làm DNS server? Hay là tớ hiểu sai mô hình của bác nhỉ.

Cho mình hỏi cấu hình iptables cho máy có 2 card mạng

wirzfog — GMT

quocviet1024 wrote:

wirzfog wrote:

[root@centos ~]# iptables -L -n -A INPUT -s 192.168.1.0/24 -d 192.168.1.10/32 -i eth1 -p udp -m udp --sport 1024:65535 --dport 53 -j ACCEPT -A OUTPUT -s 192.168.1.10/32 -d 192.168.1.0/24 -o eth1 -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT @cino: Mình thử stop iptables thì truy vấn được dịch vụ DNS. Như vậy chứng tỏ dịch vụ đã bị cản bởi iptables.
Các rules đều set cho mạng LAN thì DNS server của bác truy vấn được cái gì đây. Trên server của bác. Bác output cho lệnh này thử? cat /etc/resolv.conf Chèn dòng này vào đầu iptables sau đó thử coi nó (dns srv) đã hoạt động chưa: iptables -A INPUT -p udp --sport 53 --dport 1024:65535 -j ACCEPT Bác dùng cái gì làm DNS server? Hay là tớ hiểu sai mô hình của bác nhỉ.

Thì mình dùng DNS này cho các máy trong mạng LAN mà. /etc/resolv.conf nameserver 192.168.1.10 Như mấy post trước mình có nói, hệ thống DNS này đã hoạt động rồi (đã test thử thành công khi stop iptables) Mình không hiểu vì sao rule đã mở port 53 rồi mà client vẫn không truy vấn được. Server DNS là CentOS-6 dùng BIND.

Cho mình hỏi cấu hình iptables cho máy có 2 card mạng

Cuc.Sat — GMT

Bác wirzfog query DNS thế nào ? local domain hay external domain. Nếu là external domain thì bác phải thêm rule cho DNS access Internet nữa.

2009 wrote:

DNS sử dụng cả 2 giao thức là TCP và UDP , nên mình nghĩ bạn nên thiết lập 1 rule nữa cho TCP. Nếu không chắc chắn thì bạn thử stop iptables và dùng wireshark để bắt các gói tin DNS để kiểm tra ( mình nhớ là DNS bây giờ hầu như dùng TCP , UDP thì mình chưa bắt được gói nào )

Đúng là DNS dùng cả 2 giao thức TCP và UDP nhưng không biết nó chạy trên TCP luôn từ khi nào vì chỗ em vẫn thấy nó chạy trên UDP :-?

Cho mình hỏi cấu hình iptables cho máy có 2 card mạng

cino — GMT

wirzfog wrote:

quocviet1024 wrote:

wirzfog wrote:

[root@centos ~]# iptables -L -n -A INPUT -s 192.168.1.0/24 -d 192.168.1.10/32 -i eth1 -p udp -m udp --sport 1024:65535 --dport 53 -j ACCEPT -A OUTPUT -s 192.168.1.10/32 -d 192.168.1.0/24 -o eth1 -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT @cino: Mình thử stop iptables thì truy vấn được dịch vụ DNS. Như vậy chứng tỏ dịch vụ đã bị cản bởi iptables.
Các rules đều set cho mạng LAN thì DNS server của bác truy vấn được cái gì đây. Trên server của bác. Bác output cho lệnh này thử? cat /etc/resolv.conf Chèn dòng này vào đầu iptables sau đó thử coi nó (dns srv) đã hoạt động chưa: iptables -A INPUT -p udp --sport 53 --dport 1024:65535 -j ACCEPT Bác dùng cái gì làm DNS server? Hay là tớ hiểu sai mô hình của bác nhỉ.
Thì mình dùng DNS này cho các máy trong mạng LAN mà. /etc/resolv.conf nameserver 192.168.1.10 Như mấy post trước mình có nói, hệ thống DNS này đã hoạt động rồi (đã test thử thành công khi stop iptables) Mình không hiểu vì sao rule đã mở port 53 rồi mà client vẫn không truy vấn được.

Giục cái client qua một bên đi bác. Bật iptables lên. Xử rules cho cái server trước, server này cần "móc" ra ngoài DNS rootzone nữa. Mà sao thấy rules toàn là accept không vậy cà? Có thấy đoạn nào reject đâu nhỉ. Bác gửi toàn bộ thao tác với iptables của bác lên coi sao. O-) Code:

Chain INPUT (policy ACCEPT)
Chain OUTPUT (policy ACCEPT)

Cho mình hỏi cấu hình iptables cho máy có 2 card mạng

wirzfog — GMT

Đây là khi mình tắt iptables

Rule trên iptables thì mình chỉ mới đặt những rule như trên thôi, không có thêm rule nào khác.

Cho mình hỏi cấu hình iptables cho máy có 2 card mạng

wirzfog — GMT

Không ai có giải pháp nào sao? :((

Cho mình hỏi cấu hình iptables cho máy có 2 card mạng

cino — GMT

wirzfog wrote:

Không ai có giải pháp nào sao? :((

Giải pháp là allow cho kết nối từ Bind ra mạng ngoài nữa đó rồi bác/ Tôi nghĩ bác cần đọc thêm về iptables, add rules tường minh qua script. Nếu trực tiếp gõ rules, add, insert, remove.. thì sẽ rất khó trace ra vì rule trước đá rule sau. Thử coi sao nhé (IP trong tự điền hoặc khỏi điền) Code:

eth0:
iptables -A INPUT -i eth0 -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -i eth0 -p udp --dport 53 -j ACCEPT

eth1:
iptables -A INPUT -i eth1 -p udp -s any/0 --sport 1024:65535 --dport 53  -j ACCEPT
iptables -A OUTPUT -o eth1 -p udp -any/0 --sport 1024:65535 -d any/0--dport 53 -j ACCEPT

Cho mình hỏi cấu hình iptables cho máy có 2 card mạng

wirzfog — GMT

Thanks 4 reply! Mình thử hết cả mấy rule ở trên rồi, nhưng đều không được. Bây giờ mình tạo 1 máy ảo mới, chỉ có 1 card mạng eth0 (192.168.1.10) nối trực tiếp với máy client (192.168.1.100). Mình set rule như sau: #iptables -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT #iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT Và, kết quả là client vẫn không thể truy vấn được DNS Server. Sao kỳ vậy ta =.='

Cho mình hỏi cấu hình iptables cho máy có 2 card mạng

cino — GMT

wirzfog wrote:

Thanks 4 reply! Mình thử hết cả mấy rule ở trên rồi, nhưng đều không được. Bây giờ mình tạo 1 máy ảo mới, chỉ có 1 card mạng eth0 (192.168.1.10) nối trực tiếp với máy client (192.168.1.100). Mình set rule như sau: #iptables -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT #iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT Và, kết quả là client vẫn không thể truy vấn được DNS Server. Sao kỳ vậy ta =.='

DNS Server lấy nguồn ở đâu ra để hồi đáp IP cho client? Còn một nguyên nhân nữa, với iptables mà hễ cứ thích là add rules ACCEPT lung tung thì sử dụng chưa kịp đã bị REJECT bởi rules trước nó rồi. Nên tìm hiểu iptables trước khi muốn áp dụng cho services cụ thể.

Cho mình hỏi cấu hình iptables cho máy có 2 card mạng

Cuc.Sat — GMT

wirzfog wrote:

Thanks 4 reply! #iptables -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT #iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT

Phải là #iptables -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT #iptables -A OUTPUT -o eth0 -p udp --sport 53 -j ACCEPT chứ. Mà nếu vẫn không chạy bác thử flush iptables rồi add rule lại xem. Với policy drop hết nhé.

Cho mình hỏi cấu hình iptables cho máy có 2 card mạng

wirzfog — GMT

Ừm, nhầm chút. Đã thay rule OUPUT như trên, nhưng ... vẫn không được :(

Cho mình hỏi cấu hình iptables cho máy có 2 card mạng

somenuchi — GMT

Trong mấy cái rule mà bạn đưa lên chẳng có cái rule này DROP bất cứ thứ gì cả. Bạn thử trả lời những câu hỏi sau xem có giúp ích được không. 1. Bạn có hiểu rõ ý nghĩa của từng rule trong bảng iptables mà bạn đã add không ? 2. Bạn đã thử xoá hết các rule đi để kiểm tra chưa ? 3. Bạn đã Disable SElinux chưa ?