El tallafocs que porta el Nanostation és el IPTABLES de tota la vida del linux, només que a la interfície web sols pots fer unex regles en especial, que s’apliquen al CHAIN ‘FIREWALL’, que el crea l’AP al habilitar el tallafocs, aquest chain s’aplica al FORWARD i al INPUT, però no al OUTPUT.
Aleshores la millor forma de configurar el tallafocs és via SSH, si no s’ha tocat el IPTABLES pot ser coste un poc al principi. El que s’ha de tindre clar és que FORWARD s’aplica als paquets que redirigix l’AP, INPUT als paquest que li arriben a l’AP (be via wifi o be via lan) i l’OUTPUT als paquets que ixen de l’AP. A partir d’aquest punt, en qualsevol exemple i amb el man del IPTABLES (al Nanostation no hi ha man)segur que resulta fàcil configurar-ho.
Via web sols es pot especificar l’interfície d’orige, IP, protocol (sols TCP, UDP o TOTS), port i IP i por de destí, no se si em dixe alguna cosa més. Via ssh es pot especificar més protocols, si sols es vol en INPUT, OUTPUT o FORWARD (els canvis a la web s’apliquen a INPUT i FORWARD a l’hora). L’IPTABLES del Nanostation és una versió reduïda, segons he pogut comprovar, de l’original. Per exemple la opció de –match no funciona, dóna error a l’hora d’aplicar la regla.
Després hi ha un altre problema, les regles que s’apliquen no es queden guardades, hi ha dos solucions per a aquest problema:
- Utilitzar un script per a que aplique les regles, igual com està indicat al post de les rutes estàtiques.
- Modificant el fitxer de configuració a ma.
Vaig a explicar el segon punt, ja que el primer ja el vaig explicar en un altre post. Es descarrega el fitxer de configuració al pc des de la web i s’obri en qualsevol editor de text, si és en windows aconselle un tipus Notepad++, si és al linux.. ja sabreu quin us agrada més a cadascú i es busquen les següents línies de text:
iptables.1.cmd=-t nat -I POSTROUTING -o eth0 -j MASQUERADE
iptables.1.status=disabled
iptables.2.status=disabled
iptables.200.status=disabled
iptables.3.status=disabled
iptables.4.cmd=-t nat -N PORTFORWARD
iptables.4.status=disabled
iptables.5.cmd=-t nat -I PREROUTING -i eth0 -j PORTFORWARD
iptables.5.status=disabled
iptables.50.cmd=-N FIREWALL
iptables.50.status=enabled
iptables.51.cmd=-A INPUT -j FIREWALL
iptables.51.status=enabled
iptables.52.cmd=-A FORWARD -j FIREWALL
iptables.52.status=enabled
iptables.53.cmd=
iptables.53.comment=
iptables.53.status=disabled
iptables.54.cmd=
iptables.54.comment=
Cada 3 línies és una regla com es pot observar en la seua enumeració. cTé més entrades, però el que no he provat a posar-li jo és més entrades de les que té el fitxer de configuració, però igual si que les accepta encara que en la web no es mostren.
Es pot obersvar que les primeres regles és per a habilitar el NAT (pot ser que no estiguen d’aquesta forma si no s’habilita el NAT) i en les altres línies que no diu res és on podem posar les nostres regles, de tota la instrucció IPTABLES que s’escriu en consola, s’escriu tot en el iptables.XX.cmd= excepte la paraula IPTABLES, en el comment= es pot posar el que vulga (és informatiu) i en status es canvia a enabled. Així ja estarà configurada la regla, es puja el fitxer de configuració modificat al AP i es carrega la configuració.
Ara cal no modificar el tallafocs des de la web ja que desconfiguraria les regles aplicades manualment, si s’accedix via web al tallafocs es poden veure regles ‘extranyes’ ja que l’AP no ha sabut interpertar-les per a treure-les via web, però s’apliquen correctament, ho he comprovat
Més informació sobre IPTABLES:
– http://es.tldp.org/Manuales-LuCAS/doc-iptables-firewall/doc-iptables-firewall.pdf
– http://www.elrincondelprogramador.com/default.asp?pag=articulos%2Fleer.asp&id=14
