iptables+l7-filter – LinuxForum.hu

This topic has 4 hozzászólás, 2 résztvevő, and was last updated 17 years, 3 months telt el by birno.

5 bejegyzés megtekintése - 1-5 / 5

Szerző

Bejegyzés
2008-03-16-12:50 #2156497
birno
Felhasználó
Benéztem a dolgot, nem volt betöltve a l7 modulja.
Mondjuk ettől függetlenül nem működik.

Modulok megvannak:

Code:

# lsmod
Module Size Used by
ipt_ipp2p 7912 0 (unused)
ipt_layer7 11984 1
jffs2 75920 1
zlib_inflate 19096 0 [jffs2]
zlib_deflate 21064 0 [jffs2]
tomato_ct 1136 0 (unused)
wl 423640 0 (unused)
et 28088 0 (unused)
ip_nat_ftp 3712 0 (unused)
ip_conntrack_ftp 4936 1
ip_nat_rtsp 6656 0 (unused)
ip_conntrack_rtsp 6344 1
ip_nat_h323 2904 0 (unused)
ip_conntrack_h323 2888 1
ip_nat_pptp 2668 0 (unused)
ip_conntrack_pptp 3452 1
ip_nat_proto_gre 1888 0 (unused)
ip_conntrack_proto_gre 2776 0 [ip_nat_pptp ip_conntrack_pptp]

Szabályok között látszódik:

Code:

# iptables -vnL FORWARD|grep LAYER
36 3292 ACCEPT 0 — * * 0.0.0.0/0 0.0.0.0/0 LAYER7 l7proto bittorrent

Azonban a logokban:

Code:

FORWARD_DROP: IN=br0 OUT=vlan1 SRC=192.168.1.2 DST=72.179.190.161 LEN=60 TOS=0x08 PREC=0x00 TTL=63 ID=28067 DF PROTO=TCP SPT=40044 DPT=57210 WINDOW=5840 RES=0x00 SYN URGP=0
FORWARD_DROP: IN=br0 OUT=vlan1 SRC=192.168.1.2 DST=213.93.87.20 LEN=60 TOS=0x08 PREC=0x00 TTL=63 ID=52187 DF PROTO=TCP SPT=51457 DPT=19880 WINDOW=5840 RES=0x00 SYN URGP=0
FORWARD_DROP: IN=br0 OUT=vlan1 SRC=192.168.1.2 DST=201.21.216.104 LEN=60 TOS=0x08 PREC=0x00 TTL=63 ID=4484 DF PROTO=TCP SPT=36386 DPT=29035 WINDOW=5840 RES=0x00 SYN URGP=0
INPUT_DROP: IN=vlan1 OUT= MAC=00:50:8d:f9:f3:e6:00:01:5c:23:94:48:08:00:45:00:00:83 SRC=201.37.53.199 DST=86.101.4.240 LEN=131 TOS=0x00 PREC=0x00 TTL=108 ID=28487 PROTO=UDP SPT=22330 DPT=1024 LEN=111
FORWARD_DROP: IN=vlan1 OUT=br0 SRC=83.11.152.10 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=113 ID=4321 DF PROTO=TCP SPT=59482 DPT=54897 WINDOW=8192 RES=0x00 SYN URGP=0
FORWARD_DROP: IN=vlan1 OUT=br0 SRC=83.11.152.10 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=113 ID=4466 DF PROTO=TCP SPT=59482 DPT=54897 WINDOW=8192 RES=0x00 SYN URGP=0

Itt van maga a script:

Code:

## otthoni tuzfal

modprobe ipt_layer7
modprobe ipt_ipp2p
IF_INT=br0
IF_EXT=vlan1

## eloszor torlunk minden szabalyt.
iptables -F
iptables -X
iptables -Z
## alap policy
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

## logolas debug eseten
#iptables -t mangle -A PREROUTING -j LOG –log-uid –log-prefix „MANGLE_PREROUTING: ”
#iptables -t mangle -A INPUT -j LOG –log-uid –log-prefix „MANGLE_INPUT: ”
#iptables -t mangle -A FORWARD -j LOG –log-uid –log-prefix „MANGLE_FORWARD: ”
#iptables -t mangle -A OUTPUT -j LOG –log-uid –log-prefix „MANGLE_OUTPUT: ”
#iptables -t mangle -A POSTROUTING -j LOG –log-uid –log-prefix „MANGLE_POSTROUTING: ”
#iptables -t nat -A OUTPUT -j LOG –log-uid –log-prefix „NAT_OUTPUT: ”
#iptables -t nat -A PREROUTING -j LOG –log-uid –log-prefix „NAT_PREROUTING: ”
#iptables -t nat -A POSTROUTING -j LOG –log-uid –log-prefix „NAT_POSTROUTING: ”
#iptables -A INPUT -j LOG –log-uid –log-prefix „INPUT: ”
#iptables -A OUTPUT -j LOG –log-uid –log-prefix „OUTPUT: ”
#iptables -A FORWARD -j LOG –log-uid –log-prefix „FORWARD: ”

## INPUT szabalyok.
iptables -A INPUT -i lo -j ACCEPT ## loopback -en engedelyezzuk a forgalmat.
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT ## engedelyezzuk befele, ami tolunk szarmazik.
iptables -A INPUT -i $IF_INT -s 192.168.1.2 -j ACCEPT
iptables -A INPUT -p tcp ! –syn -m state –state NEW -j DROP #nem syn-nel kezdodik, kulonben esetleg tamadas
iptables -A INPUT -p tcp –dport ssh -m limit –limit 3/m -j LOG –log-uid –log-prefix „SSH_ACCEPT: ”
#iptables -A INPUT -p tcp –syn –dport ssh -m recent –set -j ACCEPT
iptables -A INPUT -p tcp –syn –dport ssh -m recent –update –seconds 60 –hitcount 3 -j DROP
iptables -A INPUT -i $IF_INT -p tcp -s 192.168.1.2 –syn –dport ssh -j ACCEPT
iptables -A INPUT -i $IF_EXT -p tcp -s IP –syn –dport ssh -j ACCEPT
iptables -A INPUT -i $IF_EXT -p tcp -s IP –syn –dport ssh -j ACCEPT
iptables -A INPUT -p tcp –dport 45761 -m state –state NEW -j ACCEPT ## router tavoli eleres
iptables -A INPUT -i $IF_EXT -p tcp –dport 56732 -m state –state NEW -j ACCEPT ## VNC
iptables -A INPUT -i $IF_EXT -p udp –dport 64561 -m state –state NEW -j ACCEPT ## dht peer exchange miatt
iptables -A INPUT -p icmp -j ACCEPT ## kintrol „ping” mehet.
iptables -A INPUT -i $IF_EXT -p udp -s 89.132.95.254 –dport 68 -j ACCEPT ## szolgaltatoi dhcp
iptables -A INPUT -j LOG –log-prefix „INPUT_DROP: ”
iptables -A INPUT -j DROP

## OUTPUT szabalyok.
iptables -A OUTPUT -o lo -j ACCEPT ## loopback -en engedelyezzuk a forgalmat.
iptables -A OUTPUT -m state –state ESTABLISHED,RELATED -j ACCEPT ## jovahagyott kapcsolatok engedelyezese.
iptables -A OUTPUT -p tcp -d 192.168.1.2 –syn –dport ssh -m limit –limit 3/m -j ACCEPT
iptables -A OUTPUT -p tcp -o $IF_EXT -s IP –dport 80 -j ACCEPT ##port tunnel miatt
iptables -A OUTPUT -p tcp -o $IF_EXT -s IP –dport 443 -j ACCEPT
iptables -A OUTPUT -o $IF_EXT -d 213.46.246.53 -p udp –dport 53 -j ACCEPT ##dns
iptables -A OUTPUT -o $IF_EXT -d 213.46.246.54 -p udp –dport 53 -j ACCEPT
iptables -A OUTPUT -o $IF_EXT -d 213.46.246.53 -p tcp –dport 53 -j ACCEPT
iptables -A OUTPUT -o $IF_EXT -d 213.46.246.54 -p tcp –dport 53 -j ACCEPT
iptables -A OUTPUT -o $IF_EXT -p tcp –dport 123 -j ACCEPT #ntp
iptables -A OUTPUT -o $IF_EXT -p udp –dport 123 -j ACCEPT
iptables -A OUTPUT -j LOG –log-prefix „OUTPUT_DROP: ”
iptables -A OUTPUT -j DROP

# FORWARD lanc
iptables -A FORWARD -p icmp -j ACCEPT
iptables -A FORWARD -m state –state ESTABLISHED,RELATED -j ACCEPT ## jovahagyott kapcsolatok engedelyezese.
iptables -A FORWARD -i $IF_INT -p udp –dport 53 -j ACCEPT ## a DNS -re szukseg van.
iptables -A FORWARD -i $IF_INT -p tcp –dport 53 -j ACCEPT
iptables -A FORWARD -i $IF_INT -p udp –dport 123 -j ACCEPT ## ntp mehet
iptables -A FORWARD -i $IF_INT -p tcp –dport 123 -m state –state NEW -j ACCEPT

#iptables -A FORWARD -j QUEUE
iptables -A FORWARD -i $IF_INT -p tcp –dport 80 -m state –state NEW -j ACCEPT ## http mehet.
iptables -A FORWARD -i $IF_INT -p tcp –dport 443 -m state –state NEW -j ACCEPT ## https mehet
iptables -A FORWARD -i $IF_INT -p tcp –dport 22 -m state –state NEW -j ACCEPT ## ssh mehet.
iptables -A FORWARD -i $IF_INT -p tcp –dport 20:21 -m state –state NEW -j ACCEPT ## ftp mehet
iptables -A FORWARD -i $IF_INT -p tcp -d host -m state –state NEW -j ACCEPT ## ftp
iptables -A FORWARD -i $IF_INT -p tcp –dport 43 -m state –state NEW -j ACCEPT ## whois
iptables -A FORWARD -i $IF_INT -p tcp -d mail.chello.hu –dport 25 -m state –state NEW -j ACCEPT ## Levelezes SMTP
iptables -A FORWARD -i $IF_INT -p tcp –dport 993 -m state –state NEW -j ACCEPT ## Levelezes IMAP4s

iptables -A FORWARD -i $IF_INT -p tcp –dport 1863 -m state –state NEW -j ACCEPT ## msn
iptables -A FORWARD -i $IF_INT -p tcp –dport 6667 -m state –state NEW -j ACCEPT ## irc
iptables -A FORWARD -i $IF_INT -p tcp –dport 2710 -m state –state NEW -j ACCEPT ## torrent tracker
#iptables -A FORWARD -i $IF_EXT –dport 54896:54897 -m state –state NEW -j ACCEPT ## torrent
iptables -A FORWARD -m layer7 –l7proto bittorrent -j ACCEPT
iptables -A FORWARD -i $IF_INT -p udp –sport 64561 -m state –state NEW -j ACCEPT ##dht
iptables -A FORWARD -j LOG –log-prefix „FORWARD_DROP: ”
iptables -A FORWARD -j DROP

Eléggé összecsapott, majd ha megy minden rendesen akkor rendbe teszem, de addig nincs értelme.
Érdekesség még, hogy ha belépek routerre és futtatom a scriptet, ezt kapom:

Code:

# sh /tmp/script_fire.sh
iptables: No chain/target/match by that name

Valamelyik szabály nem tetszik neki, de nem tudom melyik, összehasonlítottam sorról sorra a scriptet és az „iptables -L” kimenetét és egyezett vagyis az INPUT, OUTPUT és FORWARD láncra vonatkozó összes szabály bekerült.
A többi meg nincs semmi extra.
Eleinte 2 ilyen sor volt, az egyiket ez okozta:

Code:

iptables -A INPUT -p tcp –syn –dport ssh -m recent –set -j ACCEPT

Azért is lett most kikommentezve, bár nem tudom mi baja van vele.

Ja és ha ipp2p-vel próbálom akkor sem megy, olyankor ez van a layer7-es sor helyén:

Code:

iptables -A FORWARD -m ipp2p –bit -j ACCEPT
2008-03-16-12:50 #2156498
birno
Felhasználó
Benéztem a dolgot, nem volt betöltve a l7 modulja.
Mondjuk ettől függetlenül nem működik.

Modulok megvannak:

Code:

# lsmod
Module Size Used by
ipt_ipp2p 7912 0 (unused)
ipt_layer7 11984 1
jffs2 75920 1
zlib_inflate 19096 0 [jffs2]
zlib_deflate 21064 0 [jffs2]
tomato_ct 1136 0 (unused)
wl 423640 0 (unused)
et 28088 0 (unused)
ip_nat_ftp 3712 0 (unused)
ip_conntrack_ftp 4936 1
ip_nat_rtsp 6656 0 (unused)
ip_conntrack_rtsp 6344 1
ip_nat_h323 2904 0 (unused)
ip_conntrack_h323 2888 1
ip_nat_pptp 2668 0 (unused)
ip_conntrack_pptp 3452 1
ip_nat_proto_gre 1888 0 (unused)
ip_conntrack_proto_gre 2776 0 [ip_nat_pptp ip_conntrack_pptp]

Szabályok között látszódik:

Code:

# iptables -vnL FORWARD|grep LAYER
36 3292 ACCEPT 0 — * * 0.0.0.0/0 0.0.0.0/0 LAYER7 l7proto bittorrent

Azonban a logokban:

Code:

FORWARD_DROP: IN=br0 OUT=vlan1 SRC=192.168.1.2 DST=72.179.190.161 LEN=60 TOS=0x08 PREC=0x00 TTL=63 ID=28067 DF PROTO=TCP SPT=40044 DPT=57210 WINDOW=5840 RES=0x00 SYN URGP=0
FORWARD_DROP: IN=br0 OUT=vlan1 SRC=192.168.1.2 DST=213.93.87.20 LEN=60 TOS=0x08 PREC=0x00 TTL=63 ID=52187 DF PROTO=TCP SPT=51457 DPT=19880 WINDOW=5840 RES=0x00 SYN URGP=0
FORWARD_DROP: IN=br0 OUT=vlan1 SRC=192.168.1.2 DST=201.21.216.104 LEN=60 TOS=0x08 PREC=0x00 TTL=63 ID=4484 DF PROTO=TCP SPT=36386 DPT=29035 WINDOW=5840 RES=0x00 SYN URGP=0
INPUT_DROP: IN=vlan1 OUT= MAC=00:50:8d:f9:f3:e6:00:01:5c:23:94:48:08:00:45:00:00:83 SRC=201.37.53.199 DST=86.101.4.240 LEN=131 TOS=0x00 PREC=0x00 TTL=108 ID=28487 PROTO=UDP SPT=22330 DPT=1024 LEN=111
FORWARD_DROP: IN=vlan1 OUT=br0 SRC=83.11.152.10 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=113 ID=4321 DF PROTO=TCP SPT=59482 DPT=54897 WINDOW=8192 RES=0x00 SYN URGP=0
FORWARD_DROP: IN=vlan1 OUT=br0 SRC=83.11.152.10 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=113 ID=4466 DF PROTO=TCP SPT=59482 DPT=54897 WINDOW=8192 RES=0x00 SYN URGP=0

Itt van maga a script:

Code:

## otthoni tuzfal

modprobe ipt_layer7
modprobe ipt_ipp2p
IF_INT=br0
IF_EXT=vlan1

## eloszor torlunk minden szabalyt.
iptables -F
iptables -X
iptables -Z
## alap policy
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

## logolas debug eseten
#iptables -t mangle -A PREROUTING -j LOG –log-uid –log-prefix „MANGLE_PREROUTING: ”
#iptables -t mangle -A INPUT -j LOG –log-uid –log-prefix „MANGLE_INPUT: ”
#iptables -t mangle -A FORWARD -j LOG –log-uid –log-prefix „MANGLE_FORWARD: ”
#iptables -t mangle -A OUTPUT -j LOG –log-uid –log-prefix „MANGLE_OUTPUT: ”
#iptables -t mangle -A POSTROUTING -j LOG –log-uid –log-prefix „MANGLE_POSTROUTING: ”
#iptables -t nat -A OUTPUT -j LOG –log-uid –log-prefix „NAT_OUTPUT: ”
#iptables -t nat -A PREROUTING -j LOG –log-uid –log-prefix „NAT_PREROUTING: ”
#iptables -t nat -A POSTROUTING -j LOG –log-uid –log-prefix „NAT_POSTROUTING: ”
#iptables -A INPUT -j LOG –log-uid –log-prefix „INPUT: ”
#iptables -A OUTPUT -j LOG –log-uid –log-prefix „OUTPUT: ”
#iptables -A FORWARD -j LOG –log-uid –log-prefix „FORWARD: ”

## INPUT szabalyok.
iptables -A INPUT -i lo -j ACCEPT ## loopback -en engedelyezzuk a forgalmat.
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT ## engedelyezzuk befele, ami tolunk szarmazik.
iptables -A INPUT -i $IF_INT -s 192.168.1.2 -j ACCEPT
iptables -A INPUT -p tcp ! –syn -m state –state NEW -j DROP #nem syn-nel kezdodik, kulonben esetleg tamadas
iptables -A INPUT -p tcp –dport ssh -m limit –limit 3/m -j LOG –log-uid –log-prefix „SSH_ACCEPT: ”
#iptables -A INPUT -p tcp –syn –dport ssh -m recent –set -j ACCEPT
iptables -A INPUT -p tcp –syn –dport ssh -m recent –update –seconds 60 –hitcount 3 -j DROP
iptables -A INPUT -i $IF_INT -p tcp -s 192.168.1.2 –syn –dport ssh -j ACCEPT
iptables -A INPUT -i $IF_EXT -p tcp -s IP –syn –dport ssh -j ACCEPT
iptables -A INPUT -i $IF_EXT -p tcp -s IP –syn –dport ssh -j ACCEPT
iptables -A INPUT -p tcp –dport 45761 -m state –state NEW -j ACCEPT ## router tavoli eleres
iptables -A INPUT -i $IF_EXT -p tcp –dport 56732 -m state –state NEW -j ACCEPT ## VNC
iptables -A INPUT -i $IF_EXT -p udp –dport 64561 -m state –state NEW -j ACCEPT ## dht peer exchange miatt
iptables -A INPUT -p icmp -j ACCEPT ## kintrol „ping” mehet.
iptables -A INPUT -i $IF_EXT -p udp -s 89.132.95.254 –dport 68 -j ACCEPT ## szolgaltatoi dhcp
iptables -A INPUT -j LOG –log-prefix „INPUT_DROP: ”
iptables -A INPUT -j DROP

## OUTPUT szabalyok.
iptables -A OUTPUT -o lo -j ACCEPT ## loopback -en engedelyezzuk a forgalmat.
iptables -A OUTPUT -m state –state ESTABLISHED,RELATED -j ACCEPT ## jovahagyott kapcsolatok engedelyezese.
iptables -A OUTPUT -p tcp -d 192.168.1.2 –syn –dport ssh -m limit –limit 3/m -j ACCEPT
iptables -A OUTPUT -p tcp -o $IF_EXT -s IP –dport 80 -j ACCEPT ##port tunnel miatt
iptables -A OUTPUT -p tcp -o $IF_EXT -s IP –dport 443 -j ACCEPT
iptables -A OUTPUT -o $IF_EXT -d 213.46.246.53 -p udp –dport 53 -j ACCEPT ##dns
iptables -A OUTPUT -o $IF_EXT -d 213.46.246.54 -p udp –dport 53 -j ACCEPT
iptables -A OUTPUT -o $IF_EXT -d 213.46.246.53 -p tcp –dport 53 -j ACCEPT
iptables -A OUTPUT -o $IF_EXT -d 213.46.246.54 -p tcp –dport 53 -j ACCEPT
iptables -A OUTPUT -o $IF_EXT -p tcp –dport 123 -j ACCEPT #ntp
iptables -A OUTPUT -o $IF_EXT -p udp –dport 123 -j ACCEPT
iptables -A OUTPUT -j LOG –log-prefix „OUTPUT_DROP: ”
iptables -A OUTPUT -j DROP

# FORWARD lanc
iptables -A FORWARD -p icmp -j ACCEPT
iptables -A FORWARD -m state –state ESTABLISHED,RELATED -j ACCEPT ## jovahagyott kapcsolatok engedelyezese.
iptables -A FORWARD -i $IF_INT -p udp –dport 53 -j ACCEPT ## a DNS -re szukseg van.
iptables -A FORWARD -i $IF_INT -p tcp –dport 53 -j ACCEPT
iptables -A FORWARD -i $IF_INT -p udp –dport 123 -j ACCEPT ## ntp mehet
iptables -A FORWARD -i $IF_INT -p tcp –dport 123 -m state –state NEW -j ACCEPT

#iptables -A FORWARD -j QUEUE
iptables -A FORWARD -i $IF_INT -p tcp –dport 80 -m state –state NEW -j ACCEPT ## http mehet.
iptables -A FORWARD -i $IF_INT -p tcp –dport 443 -m state –state NEW -j ACCEPT ## https mehet
iptables -A FORWARD -i $IF_INT -p tcp –dport 22 -m state –state NEW -j ACCEPT ## ssh mehet.
iptables -A FORWARD -i $IF_INT -p tcp –dport 20:21 -m state –state NEW -j ACCEPT ## ftp mehet
iptables -A FORWARD -i $IF_INT -p tcp -d host -m state –state NEW -j ACCEPT ## ftp
iptables -A FORWARD -i $IF_INT -p tcp –dport 43 -m state –state NEW -j ACCEPT ## whois
iptables -A FORWARD -i $IF_INT -p tcp -d mail.chello.hu –dport 25 -m state –state NEW -j ACCEPT ## Levelezes SMTP
iptables -A FORWARD -i $IF_INT -p tcp –dport 993 -m state –state NEW -j ACCEPT ## Levelezes IMAP4s

iptables -A FORWARD -i $IF_INT -p tcp –dport 1863 -m state –state NEW -j ACCEPT ## msn
iptables -A FORWARD -i $IF_INT -p tcp –dport 6667 -m state –state NEW -j ACCEPT ## irc
iptables -A FORWARD -i $IF_INT -p tcp –dport 2710 -m state –state NEW -j ACCEPT ## torrent tracker
#iptables -A FORWARD -i $IF_EXT –dport 54896:54897 -m state –state NEW -j ACCEPT ## torrent
iptables -A FORWARD -m layer7 –l7proto bittorrent -j ACCEPT
iptables -A FORWARD -i $IF_INT -p udp –sport 64561 -m state –state NEW -j ACCEPT ##dht
iptables -A FORWARD -j LOG –log-prefix „FORWARD_DROP: ”
iptables -A FORWARD -j DROP

Eléggé összecsapott, majd ha megy minden rendesen akkor rendbe teszem, de addig nincs értelme.
Érdekesség még, hogy ha belépek routerre és futtatom a scriptet, ezt kapom:

Code:

# sh /tmp/script_fire.sh
iptables: No chain/target/match by that name

Valamelyik szabály nem tetszik neki, de nem tudom melyik, összehasonlítottam sorról sorra a scriptet és az „iptables -L” kimenetét és egyezett vagyis az INPUT, OUTPUT és FORWARD láncra vonatkozó összes szabály bekerült.
A többi meg nincs semmi extra.
Eleinte 2 ilyen sor volt, az egyiket ez okozta:

Code:

iptables -A INPUT -p tcp –syn –dport ssh -m recent –set -j ACCEPT

Azért is lett most kikommentezve, bár nem tudom mi baja van vele.

Ja és ha ipp2p-vel próbálom akkor sem megy, olyankor ez van a layer7-es sor helyén:

Code:

iptables -A FORWARD -m ipp2p –bit -j ACCEPT
2008-03-17-07:41 #2156499
birno
Felhasználó
Senkinek semmi ötlet?
Akkor lehet feldobom a hup-ra, ott többen vannak, hátha…
Az a baj ha ezt nem tudom megoldani akkor router szintjén elfelejthetem a tűzfalat.
2008-03-17-07:41 #2156500
birno
Felhasználó
Senkinek semmi ötlet?
Akkor lehet feldobom a hup-ra, ott többen vannak, hátha…
Az a baj ha ezt nem tudom megoldani akkor router szintjén elfelejthetem a tűzfalat.
2009-12-04-20:03 #1887966
csaba
Felhasználó
Sziasztok!

Adott egy Linksys WRT54GL router, Tomato firmware-el, aminek a wikijében ez áll: „Netfilter/iptables with customizable settings, IPP2P and l7-filter”
Írtam egy scriptet a routerre, nagyjából műxik is, de a torrent kapcsolatot eléggé nehezen tudja kiépíteni ha csak ez a szabály van benne:

Code:

iptables -A FORWARD -i $IF_EXT -p tcp –dport 54896:54897 -m state –state NEW -j ACCEPT
iptables -A FORWARD -i $IF_EXT -p udp –dport 54896:54897 -m state –state NEW -j ACCEPT

Ezért jó lenne valahogy l7-el megoldani, QoS-el működik rendesen, de az iptables-el valahogy nem akarodzik neki.
A következőképpen próbáltam

Code:

iptables -A FORWARD -p udp -m layer7 –l7proto bittorrent -j ACCEPT
iptables -A FORWARD -p tcp -m layer7 –l7proto bittorrent -j ACCEPT

A forward lánc elejére pedig írtam ezt:

Code:

iptables -A FORWARD -j QUEUE

A HOWTO-ja szerint azért kell, hogy átmenjen a filteren minden csomag.

A másik verzió az volt amikor így írtam bele, szintén a HOWTO és egy-két külföldi lap alapján:

Code:

iptables -t mangle -A POSTROUTING -m layer7 –l7proto bittorrent -j ACCEPT

Az érdekes az, hogy a FORWARD lánc elején a QUEUE szabály látszódik listázásnál, de a tényleges l7 filter szabályok már nem, pedig annak is kellene.
Miért nem fogadja vajon el ezeket?
Modulok, patchek tuti megvannak, mert gondolom akkor QoS szintjén sem menne.
Ha kell bemásolom majd az egész scriptet.
Szerző

Bejegyzés

5 bejegyzés megtekintése - 1-5 / 5

Be kell jelentkezni a hozzászóláshoz.