iptables+PPPoE

Kezdőlap Fórumok Vegyes gondok iptables+PPPoE

5 bejegyzés megtekintése - 21-25 / 25
1 2 3
  • Szerző
    Bejegyzés
  • 2008-07-10-16:47 #2166769
    sk-skuba
    Felhasználó

      szia.

      + iptables -A dosattack -p tcp –syn -m limit –limit 8/s -j INPUT
      iptables: Invalid argument

      Tudtommal a cél az csak DROP lehet vagy ACCEPT..és nem INPUT (mivel ez egy általad készített lánc).Mit is szeretnél itt?

      + iptables -A INPUT -p tcp –syn –dport ssh -m recent –update –seconds 120 –hitcount 3 -j DROP
      Nem inkább a portszámot kellene megadni ssh helyett?mondjuk 22.azt hiszem.
      de lehet hülyeséget mondok.

      2008-07-10-16:47 #2166770
      sk-skuba
      Felhasználó

        szia.

        + iptables -A dosattack -p tcp –syn -m limit –limit 8/s -j INPUT
        iptables: Invalid argument

        Tudtommal a cél az csak DROP lehet vagy ACCEPT..és nem INPUT (mivel ez egy általad készített lánc).Mit is szeretnél itt?

        + iptables -A INPUT -p tcp –syn –dport ssh -m recent –update –seconds 120 –hitcount 3 -j DROP
        Nem inkább a portszámot kellene megadni ssh helyett?mondjuk 22.azt hiszem.
        de lehet hülyeséget mondok.

        2008-07-10-18:59 #2166771
        birno
        Felhasználó

          Én is úgy vadásztam össze anno, így nem vagyok 100%-ig biztos a működésében, de az elsőnél ha jól értem a SYN-el kezdődő TCP kapcsolatok számát limitálja 8/s-re, ami ez alatt van az mehet az INPUT láncba, mondjuk ez annyira nem is fontos.

          Az mindegy, hogy ssh vagy port van írva, a script többi részén simán megeszi az ssh-t.
          Én arra tippelek, hogy valami a sorrendiséggel lehet, de nem biztos.

          2008-07-10-18:59 #2166772
          birno
          Felhasználó

            Én is úgy vadásztam össze anno, így nem vagyok 100%-ig biztos a működésében, de az elsőnél ha jól értem a SYN-el kezdődő TCP kapcsolatok számát limitálja 8/s-re, ami ez alatt van az mehet az INPUT láncba, mondjuk ez annyira nem is fontos.

            Az mindegy, hogy ssh vagy port van írva, a script többi részén simán megeszi az ssh-t.
            Én arra tippelek, hogy valami a sorrendiséggel lehet, de nem biztos.

            2009-12-04-20:03 #1888310
            csaba
            Felhasználó

              Sziasztok!

              Ma végre bekötötték a Digikábeles netet, hasít is rendesen, azonban némely weboldalak nem jönnek be, pl: myspace.com, linuxtoday.com, sp.hoff.hu, meg Windows alatt az MSN nem jelentkezik be, Linux-nál az aMSN sem(HTTP eljárással sem), de a Pidgin igen.

              A routerem egy Linksys WRT54GL, Tomato firmware-el s ha a scripteknél teljesen kitörlöm a tűzfal scriptet(iptables), akkor megszűnik a probléma.
              UPC-nél ugyanezzel a scripttel nem volt gond.
              Ami még érdekes, hogy ha ssh-val belépek a routerre és kiadom az alábbi parancsokat:

              Code:
              iptables -F
              iptables -X
              iptables -Z

              akkor sem jó, pedig üresek a láncok és az alap policy az ACCEPT.
              Mikor a scripteknél törlöm, akkor alapból ezeket a szabályokat hozza létre:

              Code:
              Chain INPUT (policy DROP)
              target    prot opt source              destination       
              DROP      0    —  anywhere            92-249-200-200.pool.digikabel.hu
              DROP      0    —  anywhere            anywhere            state INVALID
              ACCEPT    0    —  anywhere            anywhere            state RELATED,ESTABLISHED
              ACCEPT    0    —  anywhere            anywhere           
              ACCEPT    0    —  anywhere            anywhere           
              ACCEPT    tcp  —  anywhere            192.168.1.1        tcp dpt:https
              ACCEPT    tcp  —  anywhere            192.168.1.1        tcp dpt:ssh

              Chain FORWARD (policy DROP)
              target    prot opt source              destination       
              ACCEPT    0    —  anywhere            anywhere           
              DROP      0    —  anywhere            anywhere            state INVALID
              TCPMSS    tcp  —  anywhere            anywhere            tcp flags:SYN,RST/SYN tcpmss match 1453:65535 TCPMSS set 1452
              ACCEPT    0    —  anywhere            anywhere            state RELATED,ESTABLISHED
              wanin      0    —  anywhere            anywhere           
              wanout    0    —  anywhere            anywhere           
              ACCEPT    0    —  anywhere            anywhere           

              Chain OUTPUT (policy ACCEPT)
              target    prot opt source              destination       

              Chain wanin (1 references)
              target    prot opt source              destination       
              ACCEPT    tcp  —  anywhere            192.168.1.3        tcp dpt:www
              ACCEPT    udp  —  anywhere            192.168.1.3        udp dpt:www
              ACCEPT    tcp  —  anywhere            192.168.1.2        tcp dpt:56732
              ACCEPT    udp  —  anywhere            192.168.1.2        udp dpt:56732
              ACCEPT    tcp  —  anywhere            192.168.1.3        tcp dpt:48424
              ACCEPT    tcp  —  anywhere            192.168.1.3        tcp dpt:ftp
              ACCEPT    udp  —  anywhere            192.168.1.3        udp dpt:fsp
              ACCEPT    tcp  —  anywhere            192.168.1.2        tcp dpts:54895:54900
              ACCEPT    udp  —  anywhere            192.168.1.2        udp dpts:54895:54900
              ACCEPT    tcp  —  anywhere            192.168.1.2        tcp dpt:62384
              ACCEPT    udp  —  anywhere            192.168.1.2        udp dpt:29375

              Chain wanout (1 references)
              target    prot opt source              destination       

              Ekkor jó.
              A scriptem így néz ki:

              Code:
              ## otthoni tuzfal

              IF_INT=br0
              IF_EXT=ppp0

              ## eloszor torlunk minden szabalyt.
              iptables -F
              iptables -X
              iptables -Z
              ## alap policy
              iptables -P INPUT ACCEPT
              iptables -P OUTPUT ACCEPT
              iptables -P FORWARD ACCEPT

              ## figyeljuk a syn sutiket
              echo 1 > /proc/sys/net/ipv4/tcp_syncookies

              ## bekapcsoljuk a forrascimhitelesitest.
              echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter

              iptables -N security
              iptables -N dosattack

              #DoS tamadasok & portscanek szurese, loggolasa
              iptables -A dosattack -p tcp –syn -m limit –limit 8/s -j INPUT
              iptables -A dosattack -p tcp –syn -j LOG –log-prefix „FW: Syn-Flood attack (?) ”
              iptables -A dosattack -p tcp –syn -j DROP

              iptables -A security -p tcp –tcp-flags ALL ALL -j LOG –log-prefix „Xmas-tree scan (?) ”
              iptables -A security -p tcp –tcp-flags ALL ALL -j DROP
              iptables -A security -p tcp –tcp-flags ALL NONE -m state –state ! ESTABLISHED -j LOG –log-prefix „Null scan (?) ”
              iptables -A security -p tcp –tcp-flags ALL NONE -m state –state ! ESTABLISHED -j DROP
              iptables -A security -i $IF_EXT -p icmp –icmp-type echo-request -m limit –limit 1/s -j ACCEPT
              iptables -A security -i $IF_EXT -p icmp –icmp-type echo-request -j LOG –log-prefix „PingofDeath attack (?) ”
              iptables -A security -i $IF_EXT -p icmp –icmp-type echo-request -j DROP

              iptables -A INPUT -i $IF_EXT -s 192.168.0.0/16 -j DROP
              iptables -A INPUT -i $IF_EXT -s 172.16.0.0/12 -j DROP
              iptables -A INPUT -i $IF_EXT -s 10.0.0.0/8 -j DROP
              iptables -A INPUT -i $IF_EXT -s 127.0.0.0/8 -j DROP
              iptables -A INPUT -i $IF_EXT -s 255.0.0.0/8 -j DROP
              iptables -A INPUT -i $IF_EXT -s 0.0.0.0/8 -j DROP
              iptables -A INPUT -i $IF_EXT -s 255.255.255.255/32 -j DROP

              ## INPUT szabalyok.
              iptables -A INPUT -i lo -j ACCEPT ## loopback -en engedelyezzuk a forgalmat.
              iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT ## engedelyezzuk befele, ami tolunk szarmazik.
              iptables -A INPUT -i $IF_EXT -p icmp -j ACCEPT
              iptables -A INPUT -i $IF_INT -p tcp -s 192.168.1.2 -j ACCEPT
              iptables -A INPUT -i $IF_INT -p udp -s 192.168.1.2 -j ACCEPT
              iptables -A INPUT -i $IF_INT -p tcp -s 192.168.1.3 -j ACCEPT
              iptables -A INPUT -i $IF_INT -p udp -s 192.168.1.3 -j ACCEPT
              iptables -A INPUT -i $IF_INT -p tcp -s 192.168.1.4 -j ACCEPT
              iptables -A INPUT -i $IF_INT -p udp -s 192.168.1.4 -j ACCEPT
              iptables -A INPUT -p tcp ! –syn -m state –state NEW -j DROP #nem syn-nel kezdodik, kulonben esetleg tamadas
              iptables -A INPUT -p tcp –dport ssh -m limit –limit 3/m -j LOG –log-uid –log-prefix „SSH_ACCEPT: ”
              iptables -A INPUT -i $IF_EXT -p tcp -s 145.236.252.34 –syn –dport ssh -j ACCEPT
              iptables -A INPUT -i $IF_EXT -p tcp -s 212.51.124.92 –syn –dport ssh -j ACCEPT
              iptables -A INPUT -p tcp –syn –dport ssh -m recent –update –seconds 120 –hitcount 3 -j DROP
              iptables -A INPUT -p tcp –syn –dport ssh -m recent –set -j ACCEPT
              iptables -A INPUT -p tcp –dport 443 -m state –state NEW -j ACCEPT ## router tavoli eleres
              iptables -A INPUT -i $IF_EXT -p udp –dport 64561 -m state –state NEW -j ACCEPT ## dht peer exchange miatt
              iptables -A INPUT -p udp –dport 68 -j ACCEPT ## szolgaltatoi dhcp
              #iptables -A INPUT -j LOG –log-prefix „INPUT_DROP: ”
              iptables -A INPUT -j DROP

              ## OUTPUT szabalyok.
              iptables -A OUTPUT -p tcp -d 192.168.1.2 –dport ssh -j ACCEPT
              iptables -A OUTPUT -p tcp –dport ssh -j DROP

              # FORWARD lanc
              iptables -A FORWARD -m state –state ESTABLISHED,RELATED -j ACCEPT ## jovahagyott kapcsolatok engedelyezese.
              iptables -A FORWARD -i $IF_INT -p tcp -d smtp.hdsnet.hu –dport 25 -m state –state NEW -j ACCEPT
              iptables -A FORWARD -i $IF_INT -p tcp –dport 25 -j DROP
              iptables -A FORWARD -i $IF_INT -m state –state NEW -j ACCEPT

              iptables -A FORWARD -i $IF_EXT -p tcp –dport 56732 -m state –state NEW -j ACCEPT ## VNC
              iptables -A FORWARD -i $IF_EXT -p tcp –syn –dport 21 -d 192.168.1.3 -m state –state NEW -j ACCEPT
              iptables -A FORWARD -i $IF_EXT -p udp –dport 21 -d 192.168.1.3 -m state –state NEW -j ACCEPT
              iptables -A FORWARD -i $IF_EXT -p tcp –syn –dport 80 -d 192.168.1.3 -m state –state NEW -j ACCEPT
              iptables -A FORWARD -i $IF_EXT -p udp –dport 80 -d 192.168.1.3 -m state –state NEW -j ACCEPT
              iptables -A FORWARD -i $IF_EXT -p tcp –dport 54895:54900 -m state –state NEW -j ACCEPT ## torrent
              iptables -A FORWARD -i $IF_EXT -p udp –dport 54895:54900 -m state –state NEW -j ACCEPT
              iptables -A FORWARD -i $IF_EXT -p tcp –dport 48424 -m state –state NEW -j ACCEPT
              iptables -A FORWARD -i $IF_EXT -p udp –dport 48424 -m state –state NEW -j ACCEPT
              iptables -A FORWARD -i $IF_EXT -p tcp –dport 62384 -m state –state NEW -j ACCEPT             
              iptables -A FORWARD -i $IF_EXT -p udp –dport 29375 -m state –state NEW -j ACCEPT
              iptables -A FORWARD -j LOG –log-prefix „FORWARD_DROP: ”
              iptables -A FORWARD -j DROP

              Próbáltam kiszedni az interface-re vonatkozó korlátozásokat, de akkor sem működik.
              A csatolók:

              Code:
              # ifconfig
              br0        Link encap:Ethernet  HWaddr 00:1C:10:88:56:71 
                        inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
                        UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
                        RX packets:1267462 errors:0 dropped:0 overruns:0 frame:0
                        TX packets:702463 errors:0 dropped:0 overruns:0 carrier:0
                        collisions:0 txqueuelen:0
                        RX bytes:1748212347 (1.6 GiB)  TX bytes:96480815 (92.0 MiB)

              eth0      Link encap:Ethernet  HWaddr 00:1C:10:88:56:71 
                        UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
                        RX packets:1971454 errors:136 dropped:0 overruns:135 frame:135
                        TX packets:1964957 errors:0 dropped:0 overruns:0 carrier:0
                        collisions:0 txqueuelen:100
                        RX bytes:1882863275 (1.7 GiB)  TX bytes:1879640213 (1.7 GiB)
                        Interrupt:4 Base address:0x1000

              eth1      Link encap:Ethernet  HWaddr 00:1C:10:88:56:73 
                        UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
                        RX packets:0 errors:0 dropped:0 overruns:0 frame:0
                        TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
                        collisions:0 txqueuelen:100
                        RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
                        Interrupt:2 Base address:0x5000

              lo        Link encap:Local Loopback 
                        inet addr:127.0.0.1  Mask:255.0.0.0
                        UP LOOPBACK RUNNING MULTICAST  MTU:16436  Metric:1
                        RX packets:90 errors:0 dropped:0 overruns:0 frame:0
                        TX packets:90 errors:0 dropped:0 overruns:0 carrier:0
                        collisions:0 txqueuelen:0
                        RX bytes:6795 (6.6 KiB)  TX bytes:6795 (6.6 KiB)

              ppp0      Link encap:Point-to-Point Protocol 
                        inet addr:92.249.200.200  P-t-P:92.249.200.1  Mask:255.255.255.255
                        UP POINTOPOINT RUNNING MULTICAST  MTU:1492  Metric:1
                        RX packets:697858 errors:0 dropped:0 overruns:0 frame:0
                        TX packets:1262436 errors:0 dropped:0 overruns:0 carrier:0
                        collisions:0 txqueuelen:3
                        RX bytes:85351669 (81.3 MiB)  TX bytes:1747524226 (1.6 GiB)

              vlan0      Link encap:Ethernet  HWaddr 00:1C:10:88:56:71 
                        UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
                        RX packets:1267471 errors:0 dropped:0 overruns:0 frame:0
                        TX packets:702461 errors:0 dropped:0 overruns:0 carrier:0
                        collisions:0 txqueuelen:0
                        RX bytes:1753282865 (1.6 GiB)  TX bytes:99290539 (94.6 MiB)

              vlan1      Link encap:Ethernet  HWaddr 00:50:8D:F9:F3:E6 
                        UP BROADCAST RUNNING MULTICAST  MTU:1492  Metric:1
                        RX packets:703980 errors:0 dropped:0 overruns:0 frame:0
                        TX packets:1262496 errors:0 dropped:0 overruns:0 carrier:0
                        collisions:0 txqueuelen:0
                        RX bytes:94094072 (89.7 MiB)  TX bytes:1780349674 (1.6 GiB)

              Mit kellene beállítani, hogy PPPoE-n keresztül is menjen?

            • Szerző
              Bejegyzés
            5 bejegyzés megtekintése - 21-25 / 25
            1 2 3
            • Be kell jelentkezni a hozzászóláshoz.