Hur ställer jag in Ubuntu server för portfw?!

[Kirill]

Hejsan!

Har återgått till Ubuntu server för att ge den en riktigt ärlig chans Men för att den ska få den där guldstjärnan utav mig så behöver jag komma runt en sak först. Nämligen nätverket genom servern...

Modem -> Server NIC 1 -> Server NIC 2 -> Switch -> Nätverket

På min dator så tänkte jag ha FTP för interntbruk fast med åtkomst för mig utifrån och tänkte även sätta upp med utvecklingsmiljö då jag ingår i utvecklingsgruppen för Wordpress Sverige så jag behöver ha HTTP/HTTPS till den utifrån.
Samt VNC, SSH och en del andra portar öppna.

Men hur F*N ställer jag in servern så att den ska släppa igenom detta? UFW vart jag inte riktigt vän med, så sista utvägen är väl IPTABLES Vägrar blanda in något annat utan vill hålla servern så mycket Ubuntu som möjligt...
Hur har ni andra som kör Ubuntu Server satt upp liknande?

Har liksom inte blivit riktigt vän med Ubuntu gällande att alla portar är låsta från grunden, men det kommer så sakta

[mcNisse]

EHLO

Jag kör med shorewall. Nu portforwardar jag inget från mitt server in i nätverket. Men om jag skulle vilja forwarda 7777 till 7777 på 192.168.1.5 för udp protokollet skulle jag lägga till den här raden i /etc/shorewall/rules

Kod: Markera allt

DNAT       net      loc:192.168.1.5:7777  udp      7777

[Kirill]

Körde med ett script från http://easyfwgen.morizot.net/gen/ som folk lovordade så varmt och följde det som stod i: http://www.ubuntu-se.org/phpBB3/viewtop ... ortforward
Vilket resulterade i att Internet dog på nätverket mitt och nu kan jag inte längre ansluta via VNC till servern heller... Så det resulterar i att jag måste blåsa om servern för att kunna använda den korrekt!

Kollar jag enligt: http://www.debian-administration.org/articles/73
Så är det detta jag ska använda mig utav isf?

Kod: Markera allt

iptables -A PREROUTING -t nat -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.1.50:80
iptables -A INPUT -p tcp -m state --state NEW --dport 80 -i eth1 -j ACCEPT

Så om jag fattat det rätt så ska detta in i rc.local för att det ska gå igång varje gång servern startar om?

[Emil.s]

För att få igång IP-forward så lär IP-forwarding först slås på i kärnan:

Kod: Markera allt

sysctl -w net.ipv4.ip_forward=1

Och så länge du inte har "POLICY = DROP" på INPUT så bör detta räcka för att få NAT att funka:
iptables -A POSTROUTING -t nat -s 10.0.0.0/24 -o eth-net -j MASQUERADE
iptables -A FORWARD -o eth-net -j ACCEPT

10.0.0.0/24 ska då ersättas med det nätverkt du kör internt, och eth-net ska ersättas med det interface du har den externa ipn på.

Allt detta ska ligga i ett script som körs vid lämpligt tillfälle. Om du bara ska ha dessa regler så funkar det fint att lägga det i rc.local.
Bygger du vidare så rekommenderar jag att du lägger det i ett eget script.

[Kirill]

Tackar Emil Då du hjälpte den andra killen så kände jag att du kunde även hjälpa mig
Ska ta och testa detta sen då jag kommer hem ikväll från jobbet...

Så om jag förstår det hela rätt så blir det:
1. Bygga ett eget script som ligger i /usr/local/bin/
2. Ställa in så rc.local kör detta varje gång det startas

Kod: Markera allt

sysctl -w net.ipv4.ip_forward=1

Körs varje gång servern startas genom rc.local

[Emil.s]

Så kan man mycket väl göra. Sen lär man ju också se till att scriptet körs vid boot. T.ex genom att lägga t.ex "bash /usr/local/bin/mitt-script.sh" eller nåt i rc.local.

Själv har jag alla dessa rader i /root/firewall.sh, och sen en symbolisk länk i /etc/rc2.d/S99firewall som pekar på scriptet.

Alla sätt är bra så länge de funkar.