Linuxrouter/server

Håller själv på med samma sak, ska köra en dchub, cod4 server och låta den vara router. Att den inte skulle klara det har jag svårt att tro.

Bara att leka med iptables för att skapa ett nat, kanske finns nån trevligt grafiskt interface åt det om du inte gillar att skriva. Men om du vill lära dig är grafiskt inte att rekommendera alls :).

Någon flaskhals som router/brandvägg blir den inte utan tvärtom. En 500 MHz Pentium klarar av att routa 10 Gbit/s.
http://lartc.org/
http://www.policyrouting.org/iproute2-toc.html
http://iptables-tutorial.frozentux.net/

Jag använder shorewall som var jätte lätt att sätta upp här är en guide som är lätt att följa http://www.shorewall.net/shorewall_quickstart_guide.htm

Jag använder shorewall som var jätte lätt att sätta upp här är en guide som är lätt att följa http://www.shorewall.net/shorewall_quickstart_guide.htm

En annan bra Shorewall guide.

Det finns ju en shorewall modul till webmin också om du vill ha ett grafiskt skal (web gui)

Processorn kanske klarar det, men hur är det med rundliggande systembussar. PCI klarar ju knappast 10Gbit t.ex.

Jag rekommenderar en titt på OpenBSD. PacketFilter är otroligt mycket trevligare än NetFilter i mitt tycke.

Det är inte överdrift. Kom ihåg att routern inte behöver göra annat en skicka paketen vidare på basen av headern.

Att filtrera den datamängden fodrar dock mera även om en vanlig brandvägg filtrerar på paketens huvud och inte på innehåll.

Har du öppnat portarna för MSN/Wow eller bara gjort forwarding? Har du all behövliga moduler laddade?
Du har tydligen ingen regel som tillåter surfande från server/routerdatorn. Att surfa med brandväggen är inte att rekommendera då hål i webbläsaren eventuellt kan utnyttjas för att ändra brandväggsinställningarna.

Utan att veta vilka regler du har är det omöjligt att säga vad du missat. Du får brandväggsinställningarna utskrivna till en fil (text) med: iptables-save > filnamn

Ska väl ändå inte behövas öppnas några portar för msn och wow? Kör iptables på min routerburk, var inte alltför svårt men tog ett tag, enda portar jag öppnat och forwardat är för dc och utorrent.

Så nåt måste vara knas med din konfig iaf.

Jag skulle gissa på att related och established inte går igenom, men är inte hundra :P.

Här är min iptables config iaf:

#!/bin/bash



# Rensa

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X


# Loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Drop all input
iptables -P INPUT DROP
iptables -P FORWARD DROP

# Accept lan
iptables -A INPUT -i eth0 -j ACCEPT

# Nat

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -A FORWARD -i eth0 -j ACCEPT

# Accept existing and related sessions
iptables -A INPUT -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT


# Öppna portar för servern

# SSH:
iptables -A INPUT -i eth1 -p TCP --dport 22 -j ACCEPT

# COD4 UDP
iptables -A INPUT -i eth1 -p UDP --dport 28960 -j ACCEPT
iptables -A INPUT -i eth1 -p UDP --dport 20800 -j ACCEPT
iptables -A INPUT -i eth1 -p UDP --dport 20810 -j ACCEPT


# Verlihub 4111 to 411
iptables -A INPUT -i eth1 -p TCP --dport 4111 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 411 -j REDIRECT --to-port 4111

## Port forwarding

# Dator1
# Torrent
iptables -I FORWARD -i eth1 -p tcp --dport 32459 -d 192.168.0.11 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 32459 -j DNAT --to-destination 192.168.0.11:32459
# DC
iptables -I FORWARD -i eth1 -p tcp --dport 25431 -d 192.168.0.11 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 25431 -j DNAT --to-destination 192.168.0.11:25431

# Dator2
# Torrent
iptables -I FORWARD -i eth1 -p tcp --dport 24312 -d 192.168.0.12 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 24312 -j DNAT --to-destination 192.168.0.12:24312
# DC
iptables -I FORWARD -i eth1 -p tcp --dport 11037 -d 192.168.0.12 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 11037 -j DNAT --to-destination 192.168.0.12:11037

# Loggning
iptables -A FORWARD -i eth1 -j LOG
iptables -A INPUT -i eth1 -j LOG

Du kan ju posta din iptables -L.

Har du modulen ip_conntrack_irc laddad? Behövs för att MSN skall fungera. Kolla i loggen vad som kastats när du försöker ansluta till MSN resp. Wow. Kan vara att protokollen för dem även använder UDP.

Varför öppnar du för SSH till brandväggen från Internet? Det är en säkerhetsrisk. Om du behöver komma in i servern från t.ex skola/arbetsplats så skall du begränsa tillgången till dess IP-nummer.

Man ska ALDRIG ha SSH på standardporten om man är lite intresserad av säkerhet på sin server.

Vadå aldrig, på vilket sätt skulle man aldrig vilja det om man är intresserad av säkerhet? Den säkerhet man får om man byter från standardporten är väl mest att man har lättare att klara sej med veka lösenord. Visst, Risken att upptäckas av "scriptkiddies" minskar ju också. Men i det stora hela så spelar det ingen större roll.

Är man rädd för att någon ska försöka ta sej in på servern så är det en mycket mer pålitlig lösning att sätta max 3 misslyckade försök per var tredje minut eller någont sådant.

Jag är säker på att det här leder till deras webbserver. Och att dom är intresserad av säkerhet
ssh://www.debian.org
ssh://www.freebsd.org

Program som MSN, FTP m.fl. använder flera förbindelser av vilka endel inleds av en annan dator. Därför behöver de här protokollen speciella moduler för att kunna se relationen till den förbindelse, som öppnats från din dator. Saknas modulerna så fungerar det inte. Kolla att modulen ip_conntrack_irc (MSN) är laddad med lsmod. Modulen för FTP är ip_conntrack_ftp.

För OUTPUT-kedjan kan du ha policyn ACCEPT utan att säkerheten nämnvärt försämras. Men blockera portar utåt som används för lokal broadcasting. Men INPUT och FORWARD kedjorna bör ha policyn DROP. INPUT-kedjan har ingen inverkan på vilka paket som släpps igenom till datorer på det lokala nätet. Den filterar endast paket till brandväggsdatorn.