LinuxForum.hu

Hozzászólások

7 bejegyzés megtekintése - 1-7 / 7

Szerző

Bejegyzés
2008-01-12-12:59 Hozzászólás: iptables gond #2011837
sumesz
Felhasználó
igazad van, természetesen nem top secret.
a probléma az volt, hogy a p2p alkalmazások rengeteg portot használnak. na meg volt még egy jó pár hiba a scriptben.
a hibákat javítottam és a p2p alkalmazásokat futtató usernek engedélyeztem a forgalmat az output láncon.
ez lett belőle:

Code:

#!/bin/bash

IFACE_INT=eth0

# ip tovabbitas bekapcsolasa
# echo „1” > /proc/sys/net/ipv4/ip_forward

# anti-synflood, anti-spoofing vedelem
echo „1” > /proc/sys/net/ipv4/tcp_syncookies
echo „1” > /proc/sys/net/ipv4/conf/default/rp_filter

# modulok betoltese
modprobe ip_conntrack_ftp

iptables -F
iptables -X
iptables -Z
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# INPUT lanc
iptables -A INPUT -i eth0
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack –ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –dport 4242 -m limit –limit 3/m -j LOG –log-prefix „SSH_ACCEPT: ”
iptables -A INPUT -i eth0 -p tcp –dport 4242 -m limit –limit 3/m -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m multiport –dport 5000,6464,6881 -j ACCEPT # ldcpp, aquila, deluge

iptables -A INPUT -i eth0 -p udp -m multiport –dport 5000,6881 -j ACCEPT # ldcpp, aquila, deluge
iptables -A INPUT -p icmp –icmp-type echo-request -m limit –limit 3/m –limit-burst 1 -j ACCEPT
iptables -A INPUT -j LOG –log-prefix „INPUT_DROP: ”

# OUTPUT lanc
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -m conntrack –ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp –dport 53 -j ACCEPT # dns

iptables -A OUTPUT -p udp –dport 53 -j ACCEPT # dns
iptables -A OUTPUT -m owner –uid-owner 1000 -m conntrack –ctstate NEW -j ACCEPT # uid 1000-nek minden kifele meno kapcsolat engedve
iptables -A OUTPUT -j LOG –log-prefix „OUTPUT_DROP: ”

# FORWARD lanc
iptables -A FORWARD -p tcp –tcp-flags SYN,RST SYN -j TCPMSS –clamp-mss-to-pmtu
iptables -A FORWARD -m conntrack –ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p icmp –icmp-type echo-request -m limit –limit 3/m –limit-burst 1 -j ACCEPT

# nat
# iptables -t nat -A POSTROUTING -o $IFACE_INT -s 192.168.0.0/24 -j MASQUERADE
2008-01-12-00:02 Hozzászólás: iptables gond #2011835
sumesz
Felhasználó
köszi, közben sikerült a problémát megoldani.
2008-01-11-14:17 Hozzászólás: iptables gond #2011833
sumesz
Felhasználó
sziasztok.

a problémám:
Az ubuntu.hu -n olvasott dokumentációt átolvasva ( http://ubuntu.hu/konyvlap/alap-tuzfal-otthoni-pc-re-iptables ), létrehoztam egy iptables scriptet.
a script működik (legalábbis a scriptet lefuttatva a változások megtörténnek), viszont p2p alkalmazásokat sehogyan sem tudok kommunikációra bírni.
p2p alkalmazások nálam = linuxdcpp és deluge torrent.
a használt portokat megadtam a scriptben (linuxdcpp esetén udp-t is, sőt később már mindkét esetben adtam tcp-t és udp-t is az input és output láncon is).
mégsem akar működni, az eredmény mindkét alkalmazás esetén connection timeout.

fontosabb információk:
a gép router mögött van (sajnos arra nem tér ki a leírás, hogy ezt hogyan kell definiálni a scriptben, talán ez a probléma? persze a neten sok script kering, de nem akartam többől összeollózni), a routeren a portforwardok rendesen be vannak állítva, a szükséges portok a megfelelő ip-kre vannak irányítva. régóta működik.
a gépben 2 hálókártya van, egy alaplapi és egy pci. a pci-t használom, de az alaplapi sincs letiltva. pci = eth0, alaplapi = eth1
a router ip címe: 192.168.0.1 (ez a gw) adsl nettel;
a gépem ip címe: 192.168.0.2 (fixen beállítva)

a jelenlegi, elkeseredett utolsó próbálkozásom eredménye (így sem működik sem a torrent sem a dc, de ezeken kívül minden megy, levelezés, böngészés, stb):

Code:

#!/bin/bash

IFACE_INT=eth0

# ip tovabbitas bekapcsolasa
echo „1” > /proc/sys/net/ipv4/ip_forward
# anti-synflood, anti-spoofing vedelem
echo „1” > /proc/sys/net/ipv4/tcp_syncookies
echo „1” > /proc/sys/net/ipv4/conf/default/rp_filter

# modulok betoltese
modprobe ip_conntrack_ftp

iptables -F
iptables -X
iptables -Z
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# INPUT lanc
iptables -A INPUT -i eth0
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack –ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp ! –syn -m conntrack –ctstate NEW -j DROP
iptables -A INPUT -i eth0 -p tcp –dport 4242 -m limit –limit 3/m -j LOG –log-prefix „SSH_ACCEPT: ”
iptables -A INPUT -i eth0 -p tcp –dport 4242 -m limit –limit 3/m -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m multiport –dport 5000,6464,6881 -j ACCEPT # ldcpp, aquila, deluge

iptables -A INPUT -i eth0 -p udp -m multiport –dport 5000,6464,6881 -j ACCEPT # ldcpp, aquila, deluge
iptables -A INPUT -p icmp –icmp-type echo-request -m limit –limit 3/m –limit-burst 1 -j ACCEPT
iptables -A INPUT -j LOG –log-prefix „INPUT_DROP: ”
iptables -A INPUT -j DROP

# OUTPUT lanc
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -m conntrack –ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport –dport 20,21,22 -j ACCEPT # ftp, ssh
iptables -A OUTPUT -p tcp -m multiport –dport 25,110,465,993,995 -j ACCEPT # levelezes
iptables -A OUTPUT -p tcp -m multiport –dport 80,143,443,8080 -j ACCEPT # web
iptables -A OUTPUT -p tcp -m multiport –dport 1863,6667 # msn, irc
iptables -A OUTPUT -p tcp -m multiport –dport 5000,6464,6881 -j ACCEPT # ldcpp, aquila, deluge

iptables -A OUTPUT -p udp –dport 53 -j ACCEPT # dns
iptables -A OUTPUT -p udp -m multiport –dport 5000,6464,6881 -j ACCEPT # ldcpp, aquila, deluge
iptables -A OUTPUT -j LOG –log-prefix „OUTPUT_DROP: ”
iptables -A OUTPUT -j DROP

# FORWARD lanc
iptables -A FORWARD -p tcp –tcp-flags SYN,RST SYN -j TCPMSS –clamp-mss-to-pmtu
iptables -A FORWARD -m conntrack –ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp ! –syn -m conntrack –ctstate NEW -j DROP
iptables -A FORWARD -p icmp –icmp-type echo-request -m limit –limit 3/m –limit-burst 1 -j ACCEPT
iptables -A FORWARD -p icmp -j DROP

# nat
iptables -t nat -A POSTROUTING -o $IFACE_INT -s 192.168.0.0/24 -j MASQUERADE

a portok: az ssh service nem a 22-esen figyel, ezért is van a scriptben másképp megadva, a linuxdcpp 5000-es portot használ, a deluge 6881-et, a 6464 pedig egy hubszoftver (aquila), ami tesztelési, debugolási céllal kell, hogy fusson

gondolom a script már jól el van tolva, de már picit el voltam keseredve.
most a script át van nevezve, nem tud elindulni.

a segítséget előre is köszönöm: sumo.

p.s.: majd el felejtettem: ubuntu 7.10 / gnome
2007-01-30-11:59 Hozzászólás: iptables, port nyitása #2089325
sumesz
Felhasználó
köszi a gyors választ, azt a linket még tényleg nem láttam
sumo
2006-12-11-19:59 Hozzászólás: Nvidia driver és kernel modul probléma (?) #2082139
sumesz
Felhasználó
sziasztok
DonCarlos, időközben meglett a megoldás, hup.hu-n sikerült összehozni.
a válasz itt olvasható
üdv: sumo
2006-12-11-19:15 Hozzászólás: Nvidia driver és kernel modul probléma (?) #2082138
sumesz
Felhasználó
köszi szépen, kíváncsian várom, hogy sikerül-e jutnod valamire:)
2006-12-11-16:09 Hozzászólás: Nvidia driver és kernel modul probléma (?) #2082136
sumesz
Felhasználó
szia

nem, az jó lenne. a probléma az, hogy azzal kezdtem, mivel mint ahogyan te is mondtad, az csomagban elérhető. a probléma ugyanez volt
Szerző

Bejegyzés

7 bejegyzés megtekintése - 1-7 / 7