iptables gond

Kezdőlap Fórumok Biztonság iptables gond

10 bejegyzés megtekintése - 41-50 / 51
1 2 3 4 5 6
  • Szerző
    Bejegyzés
  • 2007-11-21-17:05 #2011828
    Wazzeg
    Felhasználó

      Anno azért üzemeltem be a rendszert, nem volt pénzem egy olyan routerre, ami képes printer szerverként is működni, meg ott lehet hagyni éjszakára letölteni. Az ilyen okos router (ASUS WL-500G) árának töredékéért tudtam szerezni egy Compaq Deskpro SFF-et, ami egy Debiannal fölszerelve mindent tud, ami lényeges (router, printer szerver és iptables révén tűzfal). A proxy szerver, DNS-szerver, DHCP-szerver funkcióit már lényegében csak poénból adtam hozzá. Tehát igyekszem mindent kihozni a vasból, ami benne van. Ezért még próbálkozom 🙂

      2007-11-21-17:11 #2011829
      Wazzeg
      Felhasználó

        Valami olyasmin töröm a fejem, hogy a 192.168.1.2:22-ről érkező hívást forwardolni kéne a 192.168.1.3:22-re. Értelemszerűen akkor nem a 192.168.1.4-re, hanem a 192.168.1.3-ra akarnék be ssh-zni. Ez így működhet?

        2007-11-21-17:17 #2011830
        vasy05
        Felhasználó

          http://easyfwgen.morizot.net/gen/

          2007-11-21-17:37 #2011831
          kisbetu
          Felhasználó
            Wazzeg wrote:
            Valami olyasmin töröm a fejem, hogy a 192.168.1.2:22-ről érkező hívást forwardolni kéne a 192.168.1.3:22-re. Értelemszerűen akkor nem a 192.168.1.4-re, hanem a 192.168.1.3-ra akarnék be ssh-zni. Ez így működhet?

            Tedd már végra két különböző tartományba azt a két szerencsétlen hálót!
            UTÁNA mindent meg tudsz oldani.

            2007-11-21-18:37 #2011832
            dotmind
            Felhasználó

              Nekem pont a fent emlitett routerem van OpenWrt-vel, ami meg szerintem tobbet is tud mint amire szuksegem lesz barmikor is, es pont a gazdasagossagi szempontokat figyelembe veve vettem meg… Szamold ki mennyit fogyasz a gep, es mennyit a kis asus…

              2008-01-11-14:17 #2011833
              sumesz
              Felhasználó

                sziasztok.

                a problémám:
                Az ubuntu.hu -n olvasott dokumentációt átolvasva ( http://ubuntu.hu/konyvlap/alap-tuzfal-otthoni-pc-re-iptables ), létrehoztam egy iptables scriptet.
                a script működik (legalábbis a scriptet lefuttatva a változások megtörténnek), viszont p2p alkalmazásokat sehogyan sem tudok kommunikációra bírni.
                p2p alkalmazások nálam = linuxdcpp és deluge torrent.
                a használt portokat megadtam a scriptben (linuxdcpp esetén udp-t is, sőt később már mindkét esetben adtam tcp-t és udp-t is az input és output láncon is).
                mégsem akar működni, az eredmény mindkét alkalmazás esetén connection timeout.

                fontosabb információk:
                a gép router mögött van (sajnos arra nem tér ki a leírás, hogy ezt hogyan kell definiálni a scriptben, talán ez a probléma? persze a neten sok script kering, de nem akartam többől összeollózni), a routeren a portforwardok rendesen be vannak állítva, a szükséges portok a megfelelő ip-kre vannak irányítva. régóta működik.
                a gépben 2 hálókártya van, egy alaplapi és egy pci. a pci-t használom, de az alaplapi sincs letiltva. pci = eth0, alaplapi = eth1
                a router ip címe: 192.168.0.1 (ez a gw) adsl nettel;
                a gépem ip címe: 192.168.0.2 (fixen beállítva)

                a jelenlegi, elkeseredett utolsó próbálkozásom eredménye (így sem működik sem a torrent sem a dc, de ezeken kívül minden megy, levelezés, böngészés, stb):

                Code:
                #!/bin/bash

                IFACE_INT=eth0

                # ip tovabbitas bekapcsolasa
                echo „1” > /proc/sys/net/ipv4/ip_forward
                # anti-synflood, anti-spoofing vedelem
                echo „1” > /proc/sys/net/ipv4/tcp_syncookies
                echo „1” > /proc/sys/net/ipv4/conf/default/rp_filter

                # modulok betoltese
                modprobe ip_conntrack_ftp

                iptables -F
                iptables -X
                iptables -Z
                iptables -P INPUT DROP
                iptables -P OUTPUT DROP
                iptables -P FORWARD DROP

                # INPUT lanc
                iptables -A INPUT -i eth0
                iptables -A INPUT -i lo -j ACCEPT
                iptables -A INPUT -m conntrack –ctstate ESTABLISHED,RELATED -j ACCEPT
                iptables -A INPUT -p tcp ! –syn -m conntrack –ctstate NEW -j DROP
                iptables -A INPUT -i eth0 -p tcp –dport 4242 -m limit –limit 3/m -j LOG –log-prefix „SSH_ACCEPT: ”
                iptables -A INPUT -i eth0 -p tcp –dport 4242 -m limit –limit 3/m -j ACCEPT
                iptables -A INPUT -i eth0 -p tcp -m multiport –dport 5000,6464,6881 -j ACCEPT # ldcpp, aquila, deluge

                iptables -A INPUT -i eth0 -p udp -m multiport –dport 5000,6464,6881 -j ACCEPT # ldcpp, aquila, deluge
                iptables -A INPUT -p icmp –icmp-type echo-request -m limit –limit 3/m –limit-burst 1 -j ACCEPT
                iptables -A INPUT -j LOG –log-prefix „INPUT_DROP: ”
                iptables -A INPUT -j DROP

                # OUTPUT lanc
                iptables -A OUTPUT -o lo -j ACCEPT
                iptables -A OUTPUT -m conntrack –ctstate ESTABLISHED,RELATED -j ACCEPT
                iptables -A OUTPUT -p tcp -m multiport –dport 20,21,22 -j ACCEPT # ftp, ssh
                iptables -A OUTPUT -p tcp -m multiport –dport 25,110,465,993,995 -j ACCEPT # levelezes
                iptables -A OUTPUT -p tcp -m multiport –dport 80,143,443,8080 -j ACCEPT # web
                iptables -A OUTPUT -p tcp -m multiport –dport 1863,6667 # msn, irc
                iptables -A OUTPUT -p tcp -m multiport –dport 5000,6464,6881 -j ACCEPT # ldcpp, aquila, deluge

                iptables -A OUTPUT -p udp –dport 53 -j ACCEPT # dns
                iptables -A OUTPUT -p udp -m multiport –dport 5000,6464,6881 -j ACCEPT # ldcpp, aquila, deluge
                iptables -A OUTPUT -j LOG –log-prefix „OUTPUT_DROP: ”
                iptables -A OUTPUT -j DROP

                # FORWARD lanc
                iptables -A FORWARD -p tcp –tcp-flags SYN,RST SYN -j TCPMSS –clamp-mss-to-pmtu
                iptables -A FORWARD -m conntrack –ctstate RELATED,ESTABLISHED -j ACCEPT
                iptables -A FORWARD -p tcp ! –syn -m conntrack –ctstate NEW -j DROP
                iptables -A FORWARD -p icmp –icmp-type echo-request -m limit –limit 3/m –limit-burst 1 -j ACCEPT
                iptables -A FORWARD -p icmp -j DROP

                # nat
                iptables -t nat -A POSTROUTING -o $IFACE_INT -s 192.168.0.0/24 -j MASQUERADE

                a portok: az ssh service nem a 22-esen figyel, ezért is van a scriptben másképp megadva, a linuxdcpp 5000-es portot használ, a deluge 6881-et, a 6464 pedig egy hubszoftver (aquila), ami tesztelési, debugolási céllal kell, hogy fusson

                gondolom a script már jól el van tolva, de már picit el voltam keseredve.
                most a script át van nevezve, nem tud elindulni.

                a segítséget előre is köszönöm: sumo.

                p.s.: majd el felejtettem: ubuntu 7.10 / gnome

                2008-01-11-18:26 #2011834
                milfer
                Felhasználó

                  Szia.
                  A routeredben nincs beépített tűzfal. Ha van akkor minek még egy. Nem fog a letöltés rendesen menni ha mindkettő működik.

                  Letöltöttem és kipróbáltam én is, igaz transmission 1.0-val de szerintem ez lényegtelen. A letöltési sebesség ~ tizedére csökkent ha „működött” az iptables is.
                  Ami biztos az első és az utolsó sort kiveheted. Ez akkor kellene, ha evvel a géppel osztanád meg a netet.

                  2008-01-12-00:02 #2011835
                  sumesz
                  Felhasználó

                    köszi, közben sikerült a problémát megoldani.

                    2008-01-12-09:10 #2011836
                    milfer
                    Felhasználó
                      sumesz wrote:
                      köszi, közben sikerült a problémát megoldani.

                      Ha nem olyan TOP SECRET akkor csorgathatnál egy kis infót, hogyan oldottad meg. Lévén ez egy fórum és hátha idetéved valaki hasonszőrű problémával.

                      2008-01-12-12:59 #2011837
                      sumesz
                      Felhasználó

                        igazad van, természetesen nem top secret.
                        a probléma az volt, hogy a p2p alkalmazások rengeteg portot használnak. na meg volt még egy jó pár hiba a scriptben.
                        a hibákat javítottam és a p2p alkalmazásokat futtató usernek engedélyeztem a forgalmat az output láncon.
                        ez lett belőle:

                        Code:
                        #!/bin/bash

                        IFACE_INT=eth0

                        # ip tovabbitas bekapcsolasa
                        # echo „1” > /proc/sys/net/ipv4/ip_forward

                        # anti-synflood, anti-spoofing vedelem
                        echo „1” > /proc/sys/net/ipv4/tcp_syncookies
                        echo „1” > /proc/sys/net/ipv4/conf/default/rp_filter

                        # modulok betoltese
                        modprobe ip_conntrack_ftp

                        iptables -F
                        iptables -X
                        iptables -Z
                        iptables -P INPUT DROP
                        iptables -P OUTPUT DROP
                        iptables -P FORWARD DROP

                        # INPUT lanc
                        iptables -A INPUT -i eth0
                        iptables -A INPUT -i lo -j ACCEPT
                        iptables -A INPUT -m conntrack –ctstate ESTABLISHED,RELATED -j ACCEPT
                        iptables -A INPUT -i eth0 -p tcp –dport 4242 -m limit –limit 3/m -j LOG –log-prefix „SSH_ACCEPT: ”
                        iptables -A INPUT -i eth0 -p tcp –dport 4242 -m limit –limit 3/m -j ACCEPT
                        iptables -A INPUT -i eth0 -p tcp -m multiport –dport 5000,6464,6881 -j ACCEPT # ldcpp, aquila, deluge

                        iptables -A INPUT -i eth0 -p udp -m multiport –dport 5000,6881 -j ACCEPT # ldcpp, aquila, deluge
                        iptables -A INPUT -p icmp –icmp-type echo-request -m limit –limit 3/m –limit-burst 1 -j ACCEPT
                        iptables -A INPUT -j LOG –log-prefix „INPUT_DROP: ”

                        # OUTPUT lanc
                        iptables -A OUTPUT -o lo -j ACCEPT
                        iptables -A OUTPUT -m conntrack –ctstate ESTABLISHED,RELATED -j ACCEPT
                        iptables -A OUTPUT -p tcp –dport 53 -j ACCEPT # dns

                        iptables -A OUTPUT -p udp –dport 53 -j ACCEPT # dns
                        iptables -A OUTPUT -m owner –uid-owner 1000 -m conntrack –ctstate NEW -j ACCEPT # uid 1000-nek minden kifele meno kapcsolat engedve
                        iptables -A OUTPUT -j LOG –log-prefix „OUTPUT_DROP: ”

                        # FORWARD lanc
                        iptables -A FORWARD -p tcp –tcp-flags SYN,RST SYN -j TCPMSS –clamp-mss-to-pmtu
                        iptables -A FORWARD -m conntrack –ctstate RELATED,ESTABLISHED -j ACCEPT
                        iptables -A FORWARD -p icmp –icmp-type echo-request -m limit –limit 3/m –limit-burst 1 -j ACCEPT

                        # nat
                        # iptables -t nat -A POSTROUTING -o $IFACE_INT -s 192.168.0.0/24 -j MASQUERADE

                      • Szerző
                        Bejegyzés
                      10 bejegyzés megtekintése - 41-50 / 51
                      1 2 3 4 5 6
                      • Be kell jelentkezni a hozzászóláshoz.