Har:
* lakritstrollet (ubuntu-9.04/jaunty server)
- eth0: WAN (DHCP, ComHem) registrerat som ost.ath.cx via DynDNS
- eth1: LAN
- dhcp3-server ger ut IP baserat på MAC
* pellevin
- eth0: LAN
* filur
- eth0: LAN

Vill kunna:
* Komma åt lakritstrollet, pellevin och filur med namn från andra datorer i 192.168.0.0
* Komma åt {pellevin,filur}.ost.ath.cx utifrån

Problem:

* Var skall jag placera iptables-routingreglerna så jag kommer åt utsidan? Finns massvis med ställen man kan lägga dem, men jag hittar inget definitivt.
* Hur ställer jag in bind9 så lookup/reverse-lookup namn/ip fungerar:
- inifrån nätet (192.168.0.0)
- utifrån (foo.ost.ath.cx)

Har:
* lakritstrollet (ubuntu-9.04/jaunty server)
- eth0: WAN (DHCP, ComHem) registrerat som ost.ath.cx via DynDNS
- eth1: LAN
- dhcp3-server ger ut IP baserat på MAC
* pellevin
- eth0: LAN
* filur
- eth0: LAN

Vill kunna:
* Komma åt lakritstrollet, pellevin och filur med namn från andra datorer i 192.168.0.0
* Komma åt {pellevin,filur}.ost.ath.cx utifrån

Problem:

* Var skall jag placera iptables-routingreglerna så jag kommer åt utsidan? Finns massvis med ställen man kan lägga dem, men jag hittar inget definitivt.
* Hur ställer jag in bind9 så lookup/reverse-lookup namn/ip fungerar:
- inifrån nätet (192.168.0.0)
- utifrån (foo.ost.ath.cx)

Jag förmodar att du har kikat på http://ubuntu.se/forum/forum.php??:D

Ja, där står bara massa trams.

Fick lite hjälp med tankearbetet:D

Konfigurera och placera denna i /etc/init.d/rc.firewall
chmod +x rc.firewall

kör denna med
./rc.firewall start
./rc.firewall stop
./rc.firewall restart

***********************************
script
***********************************

#!/bin/sh

#

# iptables.sh

#

# Firewall script for iptables. Allows user defined ports and

# trusted hosts as well as blacklisted hosts.

#



firewall_start() {

################################################## #################

# Begin variable declarations and user configuration options ######

#

# Set the location of iptables (default).

IPTABLES=/sbin/iptables



# Local Interfaces

# This is the WAN interface that is our link to the outside world.

WAN_IFACE="eth0"



# For static IP, set it here!

WAN_IP=" "



# Set a list of public server port numbers here.

# These will be open to the world, so use caution.

# Smtp:25 maybe doesnt need to be totaly open. and not pop3 either.

PUBLIC_PORTS="80"



# If you need identd for a mail server, set this.

MAIL_SERVER=



# A list of unwelcome hosts or nets. These will be denied access

# to everything, even our 'Public' services.

#BLACKLIST="11.22.33.44 55.66.77.88"



# A list of "trusted" hosts and/or nets. These will have access to

# ALL protocols, and ALL open ports. Be selective here.

#TRUSTED="1.2.3.4/8 5.6.7.8"

TRUSTED=" "

#

# end user configuration options ##################################

################################################## #################



# Turning on forwarding

echo 1 > /proc/sys/net/ipv4/ip_forward


# Any and all addresses from anywhere.

ANYWHERE="0/0"



# These modules may need to be loaded:

modprobe ip_conntrack_ftp

modprobe ip_nat_ftp



# Start building chains and rules #################################

#

# Let's start clean and flush all chains to an empty state.

$IPTABLES -F

$IPTABLES -X



# Set the default policies of the built-in chains. If no match for any

# of the rules below, these will be the defaults that IPTABLES uses.

$IPTABLES -P FORWARD DROP

$IPTABLES -P OUTPUT ACCEPT

$IPTABLES -P INPUT DROP



# Accept localhost/loopback traffic.

$IPTABLES -A INPUT -i lo -j ACCEPT
# DNS SPOOF
$IPTABLES -t nat -I POSTROUTING -j MASQUERADE -o eth0
$IPTABLES -P FORWARD ACCEPT


# Get our dynamic IP now from the Inet interface. WAN_IP will be the

# address we are protecting from outside addresses.

[ -z "$WAN_IP" ] && WAN_IP=`ifconfig $WAN_IFACE |grep inet |cut -d : -f 2 |cut -d \ -f 1`



# Bail out with error message if no IP available! Default policy is

# already set, so all is not lost here.

[ -z "$WAN_IP" ] && echo "$WAN_IFACE not configured, aborting." && exit 1



WAN_MASK=`ifconfig $WAN_IFACE |grep Mask |cut -d : -f 4`

WAN_NET="$WAN_IP/$WAN_MASK"



## Reserved IPs:

#

# We should never see these private addresses coming in from outside

# to our external interface.

#$IPTABLES -A INPUT -i $WAN_IFACE -s 10.0.0.0/8 -j DROP

#$IPTABLES -A INPUT -i $WAN_IFACE -s 172.16.0.0/12 -j DROP

#$IPTABLES -A INPUT -i $WAN_IFACE -s 192.168.0.0/16 -j DROP

#$IPTABLES -A INPUT -i $WAN_IFACE -s 127.0.0.0/8 -j DROP

#$IPTABLES -A INPUT -i $WAN_IFACE -s 169.254.0.0/16 -j DROP

#$IPTABLES -A INPUT -i $WAN_IFACE -s 224.0.0.0/4 -j DROP

#$IPTABLES -A INPUT -i $WAN_IFACE -s 240.0.0.0/5 -j DROP

# Bogus routing

$IPTABLES -A INPUT -s 255.255.255.255 -d $ANYWHERE -j DROP



# Unclean

$IPTABLES -A INPUT -i $WAN_IFACE -m unclean -m limit --limit 15/minute -j LOG --log-prefix "Unclean: "

$IPTABLES -A INPUT -i $WAN_IFACE -m unclean -j DROP



## Blacklist

#

# Get the blacklisted hosts/nets out of the way, before we start opening

# up any services. These will have no access to us at all, and will

# be logged.

for i in $BLACKLIST; do

$IPTABLES -A INPUT -s $i -m limit --limit 5/minute -j LOG --log-prefix "Blacklisted: "

$IPTABLES -A INPUT -s $i -j DROP

done



## Trusted hosts/nets

#

# This is our trusted host list. These have access to everything.

for i in $TRUSTED; do

$IPTABLES -A INPUT -s $i -j ACCEPT

done



# Allow 'identd' (to our TCP port 113) from mail server only.

[ -n "$MAIL_SERVER" ] && $IPTABLES -A INPUT -p tcp -s $MAIL_SERVER -d $WAN_IP --dport 113 -j ACCEPT



# Open up Public server ports here (available to the world):

for i in $PUBLIC_PORTS; do

$IPTABLES -A INPUT -p tcp -s $ANYWHERE -d $WAN_IP --dport $i -j ACCEPT

done

# Is needed for a DNS server to work properly. Since they use both

# TCP and UDP port 53.

$IPTABLES -A INPUT -p udp -s $ANYWHERE -d $WAN_IP --dport 53 -j ACCEPT



## ICMP (ping)

#

# ICMP rules, allow the bare essential types of ICMP only. Ping

# request is blocked, ie we won't respond to someone else's pings,

# but can still ping out.

$IPTABLES -A INPUT -p icmp --icmp-type echo-reply -s $ANYWHERE -d $WAN_IP -j ACCEPT

$IPTABLES -A INPUT -p icmp --icmp-type destination-unreachable -s $ANYWHERE -d $WAN_IP -j ACCEPT

$IPTABLES -A INPUT -p icmp --icmp-type time-exceeded -s $ANYWHERE -d $WAN_IP -j ACCEPT

# This ping might be needed by DNS servers to work properly, since

# www.zonecheck.fr warns when the server doesnt reply to ping.

$IPTABLES -A INPUT -p icmp --icmp-type echo-request -s $ANYWHERE -d $WAN_IP -j ACCEPT



## Identd Reject

#

# Special rule to reject (with rst) any identd/auth/port 113

# connections. This will speed up some services that ask for this,

# but don't require it. Be careful, some servers may require this

# one (IRC for instance).

#$IPTABLES -A INPUT -p tcp --dport 113 -j REJECT --reject-with tcp-reset



################################################## #################

# Build a custom chain here, and set the default to DROP. All

# other traffic not allowed by the rules above, ultimately will

# wind up here, where it is blocked and logged, unless it passes

# our stateful rules for ESTABLISHED and RELATED connections. Let

# connection tracking do most of the worrying! We add the logging

# ability here with the '-j LOG' target. Outgoing traffic is

# allowed as that is the default policy for the 'output' chain.

# There are no restrictions placed on that in this script.



# New chain...

$IPTABLES -N DEFAULT

# Use the 'state' module to allow only certain connections based

# on their 'state'.

$IPTABLES -A DEFAULT -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A DEFAULT -m state --state NEW -i ! $WAN_IFACE -j ACCEPT

# Enable logging for anything that gets this far.

$IPTABLES -A DEFAULT -j LOG -m limit --limit 30/minute --log-prefix "Dropping: "

# Now drop it, if it has gotten here.

$IPTABLES -A DEFAULT -j DROP



# This is the 'bottom line' so to speak. Everything winds up

# here, where we bounce it to our custom built 'DEFAULT' chain

# that we defined just above. This is for both the FORWARD and

# INPUT chains.



#$IPTABLES -A FORWARD -j DEFAULT

$IPTABLES -A INPUT -j DEFAULT



echo "Iptables firewall is up `date`."

}



firewall_stop() {

IPTABLES=/sbin/iptables



$IPTABLES -F

$IPTABLES -X



$IPTABLES -P FORWARD ACCEPT

$IPTABLES -P OUTPUT ACCEPT

$IPTABLES -P INPUT ACCEPT



echo "Iptables firewall is down `date`."

echo "All rules are flushed and policies are set to accept."

}



firewall_restart() {

firewall_stop

sleep 2

firewall_start

}



case "$1" in

'start')

firewall_start

;;

'stop')

firewall_stop

;;

'restart')

firewall_restart

;;

*)

echo "usage $0 start|stop|restart" ;;

esac

Ähh..*grr27* hann inte edda mitt förrra inlägg, jag har scriptet som fil men kan inte lägga upp den på Allmänt.

Fast var skall jag anropa den ifrån? Jag kan ha /etc/event.d/iptables, en regel i if-up.d, rc.local eller en egen rc. Undrar över vilket som är mest koscher.

Sedan är det stora problemet att sätta upp bind, snarare... Men tack iaf. :-)

Sedan är det stora problemet att sätta upp bind, snarare... Men tack iaf. :-)Skippa moderniteter som DNS och använd /etc/hosts istället.

Har:
* lakritstrollet (ubuntu-9.04/jaunty server)
- eth0: WAN (DHCP, ComHem) registrerat som ost.ath.cx via DynDNS
- eth1: LAN
- dhcp3-server ger ut IP baserat på MAC
* pellevin
- eth0: LAN
* filur
- eth0: LAN

Vill kunna:
* Komma åt lakritstrollet, pellevin och filur med namn från andra datorer i 192.168.0.0
* Komma åt {pellevin,filur}.ost.ath.cx utifrån

Problem:

* Var skall jag placera iptables-routingreglerna så jag kommer åt utsidan? Finns massvis med ställen man kan lägga dem, men jag hittar inget definitivt.
* Hur ställer jag in bind9 så lookup/reverse-lookup namn/ip fungerar:
- inifrån nätet (192.168.0.0)
- utifrån (foo.ost.ath.cx)


Dyndns vet jag inte så mycket om, men rimligtvis finns det mjukvara att installera som en tjänst vilket säkerligen är rätt lätt att ställa in.
I bind ska du skapa en zon, om du läser lite howto så ser du där hur man gör (eller så fixar du ett enkelt gränssnitt för administration). Bäst tycker jag det är ditt fall att använda en helt egen zon som inte finns på internet, typ .hem el likn.

Brandväggsreglerna som du fick postat här ovan är en bra grundmall, men den ger dig ingen trafik in till de andra maskinerna bara till lakristrollet. Läs lite om NAT och speciellt PREROUTING.

Skippa moderniteter som DNS och använd /etc/hosts istället.

Moderna grejer det där med DNS, var det 1983 som man drog upp RFC?

Dyndns vet jag inte så mycket om, men rimligtvis finns det mjukvara att installera som en tjänst vilket säkerligen är rätt lätt att ställa in.

Sure, ddclient. Att jag tog upp det var för att jag inte bara kunde ha pekat om en NS på en A-adress till min [dynamiska] IP.

I bind ska du skapa en zon, om du läser lite howto så ser du där hur man gör (eller så fixar du ett enkelt gränssnitt för administration). Bäst tycker jag det är ditt fall att använda en helt egen zon som inte finns på internet, typ .hem el likn.

Mm, jag försökte mig på lite för mycket till att börja med. Gick inte bra.

Kom på att en kompis hade det uppsatt, och kopierade hans zon. Nu har jag lakritstrollet/pellevin/filur.ost uppsatt fungerande och bra.

Följdfråga! Nu när det funkar så fantastiskt med en egen zon, och ost.ath.cx pekar på lakritstrollet.ost, hur skojar jag till det för att få *.ost.ath.cx utifrån => *.ost inuti? (någon howto eller dyl).

Följdfråga! Nu när det funkar så fantastiskt med en egen zon, och ost.ath.cx pekar på lakritstrollet.ost, hur skojar jag till det för att få *.ost.ath.cx utifrån => *.ost inuti? (någon howto eller dyl).

Det finns ingen egentlig mening med att länka intern och extern DNS (om man inte sitter i en större struktur men då kör man inte dyndns). Det du gör är att i brandväggsreglerna skickar prerouting på den port du vill ha till resp maskin. Alt får du sätta upp en proxy som vidaresänder information till den interna server du vill ska svara på resp tjänst. Allt detta kan du läsa i en iptables howto (lätt och enkelt). DNAT eller PREROUTING kallas det i iptables.

Det finns ingen egentlig mening med att länka intern och extern DNS (om man inte sitter i en större struktur men då kör man inte dyndns). Det du gör är att i brandväggsreglerna skickar prerouting på den port du vill ha till resp maskin. Alt får du sätta upp en proxy som vidaresänder information till den interna server du vill ska svara på resp tjänst. Allt detta kan du läsa i en iptables howto (lätt och enkelt). DNAT eller PREROUTING kallas det i iptables.

Jag vill faktiskt ha precis det jag frågar efter. :-)

ost.ath.cx. 60 IN A 83.249.193.164

Det är ju ändå ett A, så det borde kunna användas som en zon också.

Jag vill faktiskt ha precis det jag frågar efter. :-)

ost.ath.cx. 60 IN A 83.249.193.164

Det är ju ändå ett A, så det borde kunna användas som en zon också.

Det är inga problem att byta ipadressen mot ett namn, du lägger då på en punkt i slutet av namnen.
ost.ath.cx. 60 IN A pellevin.ost.



Men gör du såhär så kan ingen utifrån förstå hur dom ska komma åt pellevin eftersom det endast är en intern DNS.

Eller missar jag frågan totalt?

Skön tråd, jag förstår absolut ingenting :D

Det är inga problem att byta ipadressen mot ett namn, du lägger då på en punkt i slutet av namnen.
ost.ath.cx. 60 IN A pellevin.ost.



Men gör du såhär så kan ingen utifrån förstå hur dom ska komma åt pellevin eftersom det endast är en intern DNS.

Eller missar jag frågan totalt?

Jag tror det. ost.ath.cx. och lakritstrollet.ost. är samma dator. Men, kan jag inte låta lakritstrollet.ost. också vara NS (eller ja, det är den redan), och låta ost.ath.cx. ta hand om alla uppslagningar för underdomäner?

På så vis skulle jag kunna komma åt pellevin.ost.ath.cx utifrån, tänkte jag. Min bind9-konfiguration som följer:

zones/db.ost:
$ORIGIN .
$TTL 86400 ; 1 day
ost IN SOA ost. root.ost. (
2655 ; serial
10800 ; refresh (3 hours)
900 ; retry (15 minutes)
604800 ; expire (1 week)
86400 ; minimum (1 day)
)
NS ost.
A 192.168.0.1

$ORIGIN ost.

$TTL 30 ; 30 seconds
pellevin A 192.168.0.101
filur A 192.168.0.102

$TTL 86400 ; 1 day
lakritstrollet A 192.168.0.1

zones/db.192.168.0: (reverse)
$ORIGIN .
$TTL 86400 ; 1 day
0.168.192.in-addr.arpa IN SOA ost. root.ost. (
203 ; serial
10800 ; refresh (3 hours)
2600 ; retry (43 minutes 20 seconds)
604800 ; expire (1 week)
86400 ; minimum (1 day)
)
NS ost.
$ORIGIN 0.168.192.in-addr.arpa.
1 PTR lakritstrollet.ost.
$TTL 30 ; 30 seconds
101 PTR pellevin.ost.
102 PTR filur.ost.

Nej, det funkar inte så när det är på internet.

Finns vissa bestämda suffix, tex .com .se osv, för att du ska kunna använda ett suffix så måste detta vara knutet till ägaren av suffixet.

Däremot kan du göra en NS server av dyndns zonen, ost.ath.cx. Finns däremot ingen meningen med att göra så eftersom du ändå måste ändra på dyndnsservrarna för att ge rätt uppslag.

Det du ska göra för att uppnå detta är alltså att registrera en egen domän, ett tips kan vara att kolla på joker.com där ingår även dnsuppslag. Då kan du knyta hur många uppslag du vill till olika eller samma ipadress.
Vill du då jobba med separata ipadresser internt och externt så skapar du en splitbraindns tex du registrerar domänen mikaelj.com. För att komma åt webtjänsterna så lägger du in en pekare på www.mikaelj.com.

För att komma åt samma namn fast på interna ipadressen så lägger du upp samma zon på en intern dnsserver samt pekaren,
intern dns
www.mikaelj.com = 192.168.xxx.xxx.
extern dns
www.mikael.com = public ip.

Däremot kan du göra en NS server av dyndns zonen, ost.ath.cx. Finns däremot ingen meningen med att göra så eftersom du ändå måste ändra på dyndnsservrarna för att ge rätt uppslag.

OK, sant. Som tur är verkar de ha stöd för det, men inte i standardvarianten som bara ger A och MX: http://www.dyndns.com/support/kb/custom.html#difference

För att komma åt samma namn fast på interna ipadressen så lägger du upp samma zon på en intern dnsserver samt pekaren,
intern dns
www.mikaelj.com = 192.168.xxx.xxx.
extern dns
www.mikael.com = public ip.

Sure, fast jag vill just komma åt datorer på mitt interna nät som A-records/subdomäner utifrån.

Nåväl, nu kan jag åtminstone komma åt mina datorer med namn, och dhcpd funkar som den skall. Det får räcka tills vidare. :-) Alternativt låta det vara en dator under mikael.jansson.be

Tack för engagemanget!

Sure, fast jag vill just komma åt datorer på mitt interna nät som A-records/subdomäner utifrån.

Jag antar att du endast får en IP-adress ifrån din leverantör?

Lugnt!

Kul att diskutera lite udda frågor.

Ang det att komma åt olika datorer genom olika pekare så är det bäst att använda ett A record och en public ipadress per dator. På det viset fungerar split brain dns utmärkt.

Ett annat sätt är att inte använda NAT utan att datorerna har de riktiga externa ipadresserna. Då slipper du bekymret med olika dnsuppslag beroende på vart du sitter. Nu vet jag inte hur många ipadresser du förfogar över och eftersom du pratar om dyndns så gissar jag på en dynamisk varför detta inte skulle funka. Då behöver du egentligen bara en pekare också, eftersom du bara har en ipadress.

Finns en till variant istället för split brain, det är att man har en internet zon och sen skapar en subzon som finns både på internet och på LAN. Fördelen att göra så är att man endast behöver korrigera subzonen att passa LAN (om man har andra tjänster pekare som används externt på huvudzonen).

Jag antar att du endast får en IP-adress ifrån din leverantör?

Tror det, faktiskt inte provat. lakritstrollet sköter routingen, och dessförinnan var det dundermusen.

Nu när jag tänker på det kanske det inte är helt superlistigt att låta alla datorer hemmavid exponeras för nätet. Jag kan ju sätta upp tillfälliga portforwards om jag behöver kopiera hem något medelst scp, trots allt.

Lugnt!

Kul att diskutera lite udda frågor.

Japp! Nördar tenderar att nörda in sig på vad de än gör.

Finns en till variant istället för split brain, det är att man har en internet zon och sen skapar en subzon som finns både på internet och på LAN. Fördelen att göra så är att man endast behöver korrigera subzonen att passa LAN (om man har andra tjänster pekare som används externt på huvudzonen).

Hm. Det låter lite intressant. Kan vara värt att kolla upp. Jag kanske kan ha en publik webbkameradator eller nå't. :-)

Tror det, faktiskt inte provat. lakritstrollet sköter routingen, och dessförinnan var det dundermusen.

Nu när jag tänker på det kanske det inte är helt superlistigt att låta alla datorer hemmavid exponeras för nätet. Jag kan ju sätta upp tillfälliga portforwards om jag behöver kopiera hem något medelst scp, trots allt.

Nej, var endast en fundering, tyvärr är jag för dåligt påläst när det gäller BIND och IP-tables för att hjälpa just nu.

Bästa vore väl bättre att ha en publik dator som tar smällen vid en hackning och de andra gömda bakom? Sen köra VPN/SSH/SCP eller liknande mot den, typ ha en FTP server hemma för att kunna lägga upp lagliga/olagliga saker på :D

Nej, var endast en fundering, tyvärr är jag för dåligt påläst när det gäller BIND och IP-tables för att hjälpa just nu.

Både iptables och bind är magi.

Bästa vore väl bättre att ha en publik dator som tar smällen vid en hackning och de andra gömda bakom? Sen köra VPN/SSH/SCP eller liknande mot den, typ ha en FTP server hemma för att kunna lägga upp lagliga/olagliga saker på :D

Mm, det är precis det jag har. ost.ath.cx. Skulle vara trevligt att kunna komma åt den direkt, bara.

Lite osäker på vilka tjänster som skulle behöva det, just nu ser jag bara scp som en nytta. Och när jag flyttar ~ till lakritstrollet kommer det inte vara ett problem.

Skall bli en skoj server. Tänkte leka lite med UnCommonWeb i en virtuell instans, och kanske flytta hem allt från m.j.be. Smidigt med 8GB RAM, så kan man slänga upp en virtuell dator per uppgift.

Börjar bli off-topic... men har ni några förslag om vad som är enklast och mest flexibelt om man är ute efter en bra virtualiseringsmiljö? (chroot räknas inte)

Både iptables och bind är magi.



Mm, det är precis det jag har. ost.ath.cx. Skulle vara trevligt att kunna komma åt den direkt, bara.

Lite osäker på vilka tjänster som skulle behöva det, just nu ser jag bara scp som en nytta. Och när jag flyttar ~ till lakritstrollet kommer det inte vara ett problem.

Skall bli en skoj server. Tänkte leka lite med UnCommonWeb i en virtuell instans, och kanske flytta hem allt från m.j.be. Smidigt med 8GB RAM, så kan man slänga upp en virtuell dator per uppgift.

Börjar bli off-topic... men har ni några förslag om vad som är enklast och mest flexibelt om man är ute efter en bra virtualiseringsmiljö? (chroot räknas inte)
jag kör VMware ESXi. Smidigt, grattis och utmärkt.

Börjar bli off-topic... men har ni några förslag om vad som är enklast och mest flexibelt om man är ute efter en bra virtualiseringsmiljö? (chroot räknas inte)

Enklast vet jag inte, men XEN ger en flexibel och snabb miljö.
Kommer du att ha virtualiseringsflaggor på CPU:n?

jag kör VMware ESXi. Smidigt, grattis och utmärkt.

Åhå, trodde allt vmware när man ville göra en egen instans kostade pengar.

Enklast vet jag inte, men XEN ger en flexibel och snabb miljö.
Kommer du att ha virtualiseringsflaggor på CPU:n?

Japp. C2D E7400 i EM64T med en lång lista poppiga flaggor i /proc/cpuinfo.