regras de iptables - entrada e saída

Question 1

Você pode usar tcpdumppara descobrir até onde chegam seus pings:

tcpdump -i eth0 -n icmp
tcpdump -i eth1 -n icmp

Além disso, não basta permitir pings no servidor; os laptops devem ser configurados para que saibam que podem acessar o outro através do servidor (roteamento).

Provavelmente o seu firewall possui uma regra que permite pacotes que são uma resposta. Se não, você também precisa

iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

o que faz sentido de qualquer maneira, já que você provavelmente deseja permitir que ambos os laptops façam ping no outro. Você pode limitar isso a pings e pongs:

iptables -A FORWARD -i eth1 -o eth0 -p icmp --icmp-type echo-request -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p icmp --icmp-type echo-reply -j ACCEPT

O último problema são os próprios laptops: se pelo menos um deles tiver seu próprio firewall, ele poderá bloquear pings (em geral ou devido ao endereço de origem fora da rede de interfaces).

Answer

Você pode usar tcpdumppara descobrir até onde chegam seus pings:

tcpdump -i eth0 -n icmp
tcpdump -i eth1 -n icmp

Além disso, não basta permitir pings no servidor; os laptops devem ser configurados para que saibam que podem acessar o outro através do servidor (roteamento).

Provavelmente o seu firewall possui uma regra que permite pacotes que são uma resposta. Se não, você também precisa

iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

o que faz sentido de qualquer maneira, já que você provavelmente deseja permitir que ambos os laptops façam ping no outro. Você pode limitar isso a pings e pongs:

iptables -A FORWARD -i eth1 -o eth0 -p icmp --icmp-type echo-request -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p icmp --icmp-type echo-reply -j ACCEPT

O último problema são os próprios laptops: se pelo menos um deles tiver seu próprio firewall, ele poderá bloquear pings (em geral ou devido ao endereço de origem fora da rede de interfaces).

Question 2

Por padrão, você não precisa de nenhuma regra, pois as cadeias do netfilter estão vazias com uma ACCEPTpolítica padrão. Se você já adicionou regras, para permitir o ping, serão necessárias regras adicionadas à FORWARDcadeia.

Você também precisará configurar o servidor como um roteador e certificar-se de que cada laptop tenha o servidor como rota padrão (ou pelo menos tenha uma rota para a sub-rede do outro laptop).

Para ativar o roteamento (encaminhamento de IP), você precisa definir /proc/sys/net/ipv4/ip_forwardcomo 1. O Ubuntu deve ter /etc/sysctl.confonde você pode configurar itens /proc/sysautomaticamente:

# Uncomment the next line to enable packet forwarding for IPv4
#net.ipv4.ip_forward=1

Se você alterar isso, precisará carregar as alterações no kernel:

sudo sysctl -p /etc/sysctl.conf

A alteração será carregada automaticamente na próxima inicialização, portanto, você só precisará executar este comando manualmente uma vez após a alteração /etc/sysctl.conf.

Answer

Por padrão, você não precisa de nenhuma regra, pois as cadeias do netfilter estão vazias com uma ACCEPTpolítica padrão. Se você já adicionou regras, para permitir o ping, serão necessárias regras adicionadas à FORWARDcadeia.

Você também precisará configurar o servidor como um roteador e certificar-se de que cada laptop tenha o servidor como rota padrão (ou pelo menos tenha uma rota para a sub-rede do outro laptop).

Para ativar o roteamento (encaminhamento de IP), você precisa definir /proc/sys/net/ipv4/ip_forwardcomo 1. O Ubuntu deve ter /etc/sysctl.confonde você pode configurar itens /proc/sysautomaticamente:

# Uncomment the next line to enable packet forwarding for IPv4
#net.ipv4.ip_forward=1

Se você alterar isso, precisará carregar as alterações no kernel:

sudo sysctl -p /etc/sysctl.conf

A alteração será carregada automaticamente na próxima inicialização, portanto, você só precisará executar este comando manualmente uma vez após a alteração /etc/sysctl.conf.

regras de iptables - entrada e saída

Responder1

Responder2

informação relacionada