Debuggoljuk az iptables scriptemet!:)

Kezdőlap Fórumok Biztonság Debuggoljuk az iptables scriptemet!:)

4 bejegyzés megtekintése - 1-4 / 4
  • Szerző
    Bejegyzés
  • 2005-07-12-09:32 #2023137
    kl223
    Felhasználó

      próbáltad a dns-t beengedõ sorok elõl kiszedni a kommentet?

      kl223

      2005-07-12-09:34 #2023138
      aty
      Felhasználó

        Azok a sorok azért vannak ott, mert itthoni szerveren saját dns szervert futtattam. De itt az a probléma, hogy a szolgáltató szerverét se éri el.. Illetve egyáltalán nem megy semmi kifele normálisan.

        2005-11-21-19:07 #2023139
        kayapo
        Felhasználó

          iptables -P FORWARD ACCEPT

          ez azért elég rizikós!

          2009-12-04-19:57 #1880161
          csaba
          Felhasználó

            Még tavaly nyáron összeállítottam egy iptables scriptet, aminek az elsõdleges feladata a dsl megosztása volt. Azóta szinte hozzá se nyúltam, de egyre több hiba bukkan fel mostanában, ha felrakom egy szerverre. Az egyik ilyen bug az MTU-hiba volt, de ezt javítottam. Most azonban egy olyannal találkoztam, hogy ha az alapszabály az INPUT láncon DROP, akkor a netet megosztó géppel nem lehet mit kezdeni, nem képes elvégezni a dns-feloldást, és emiatt sok program nagyon lassan indul el, ill. a netet se érem el róla. A kliensek természetesen mûködnek.
            Szóval arra szeretnék kérni titeket, hogy nézzétek át a scriptet, és a probléma megoldásában és néhány jó ötlettel segítsetek! :rolleyes: 😀

            Code:
            #!/bin/sh
            echo „Starting up the firewall…”
            echo 1 > /proc/sys/net/ipv4/ip_forward
            iptables -F
            iptables -F INPUT
            iptables -F OUTPUT
            iptables -F FORWARD

            #alapszabalyok
            iptables -P INPUT DROP
            iptables -P OUTPUT ACCEPT
            iptables -P FORWARD ACCEPT
            iptables -t nat -F PREROUTING
            iptables -t nat -F POSTROUTING
            iptables -t nat -P PREROUTING ACCEPT
            iptables -t nat -P POSTROUTING ACCEPT
            iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
            iptables -A INPUT -m state –state INVALID -j DROP
            iptables -A INPUT -s 127.0.0.1/32 -m state –state NEW -j ACCEPT
            #netmegosztas
            iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/16 -j MASQUERADE
            #mtu problema fixelese
            iptables -A FORWARD -p tcp -m tcp –tcp-flags SYN,RST SYN -m tcpmss –mss 1400:1536 -j TCPMSS –clamp-mss-to-pmtu

            #hamis lokalis ipcimmel erkezo csomagok tiltasa
            #iptables -A INPUT -i ppp0 -s 192.168.0.0/16 -j DROP
            #itables -A INPUT -i ppp0 -s 127.0.0.0/8 -j DROP
            #0.2 kliens teljes szabadsaga
            iptables -A INPUT -s 192.168.0.2 -j ACCEPT
            #szolgaltatasok engedelyezese
            #ftp engedelyezese
            iptables -A INPUT -p tcp –dport 21 -j ACCEPT
            iptables -A INPUT -p tcp –dport 51000:51500 -j ACCEPT
            #smtp
            #iptables -A INPUT -p tcp –dport 25 -j ACCEPT
            #ssh engedelyezes
            iptables -A INPUT -p tcp –dport 22 -j ACCEPT
            #dns
            #iptables -A INPUT -p tcp –dport 53 -s 192.168.0.0/16 -j ACCEPT
            #iptables -A INPUT -p udp –dport 53 -s 192.168.0.0/16 -j ACCEPT
            #webszerver
            iptables -A INPUT -p tcp –dport 80 -j ACCEPT
            #rpc
            #iptables -A INPUT -p tcp –dport 111 -s 192.168.0.0/16 -j ACCEPT
            #identd engedelyezese
            iptables -A INPUT -p tcp –dport 113 -j ACCEPT
            #pop3
            #iptables -A INPUT -p tcp –dport 110 -j ACCEPT
            #samba
            iptables -A INPUT -p tcp –dport 137:139 -s 192.168.0.0/16 -j ACCEPT
            iptables -A INPUT -p udp –dport 137:139 -s 192.168.0.0/16 -j ACCEPT
            iptables -A INPUT -p tcp –dport 445 -s 192.168.0.0/16 -j ACCEPT
            #nfs
            #iptables -A INPUT -p tcp –dport 1080 -j REJECT
            #iptables -A INPUT -p tcp –dport 2049 -s 192.168.0.2 -j ACCEPT
            #proxy
            #iptables -A INPUT -p tcp –dport 3128 -s 192.168.0.0/16 -j ACCEPT
            #iptables -A INPUT -p tcp –dport 3128 -s 195.228.157.253 -j REJECT
            #iptables -A PREROUTING -t nat -s 192.168.0.0/16 -p tcp –dport 80 -j REDIRECT –to-port 3128
            #vnc
            iptables -A INPUT -p tcp –dport 5900:5920 -j ACCEPT
            #torrent
            #iptables -A INPUT -p tcp –dport 6881 -j ACCEPT
            #irc szerver proxy ellenorzesenek gyorsitasa
            iptables -A INPUT -p tcp –dport 6588 -j REJECT
            iptables -A INPUT -p tcp –dport 8080 -j REJECT
            iptables -A INPUT -p tcp –dport 3128 -j REJECT
            iptables -A INPUT -p tcp –dport 1080 -j REJECT
            #eggdrop
            #iptables -A INPUT -p tcp –dport 9020 -j ACCEPT
            #iptables -A INPUT -p tcp –dport 35005 -j ACCEPT
            #psybnc
            iptables -A INPUT -p tcp –dport 6789 -j ACCEPT

            #icmp valaszok
            iptables -A INPUT -p icmp -j ACCEPT
            iptables -A INPUT -p icmp –icmp-type echo-request -m limit –limit 1/s -j ACCEPT

            #port forward(35000:35500 tartomany)
            iptables -A FORWARD -j ACCEPT -p udp –dport 35000:35500
            iptables -t nat -A PREROUTING -i ppp0 -p udp –dport 35000:35500 -j DNAT –to 192.168.0.2
            iptables -A FORWARD -j ACCEPT -p tcp –dport 35000:35500
            iptables -t nat -A PREROUTING -i ppp0 -p tcp –dport 35000:35500 -j DNAT –to 192.168.0.2

            #ftp
            iptables -A INPUT -p tcp –sport 21 -m state –state ESTABLISHED -j ACCEPT
            iptables -A OUTPUT -p tcp –dport 21 -m state –state NEW,ESTABLISHED -j ACCEPT
            echo „The firewall is up.”

          • Szerző
            Bejegyzés
          4 bejegyzés megtekintése - 1-4 / 4
          • Be kell jelentkezni a hozzászóláshoz.