Forum Debian Users Gang

skynet12 · 2012-01-24 21:26:28

Witam mam taki problem mianowicie mam dwa programy do których potrzebuje dwóch portów 6010 6011
gdy wklepie z konsoli

Kod:

iptables -A INPUT -s 0/0 -d 0/0 -p tcp --dport 6010 -j ACCEPT 
iptables -A INPUT -s 0/0 -d 0/0 -p tcp --dport 6011 -j ACCEPT

to wtedy wszystko dziala ale gdy uruchamiam komputer ponownie to musze za każdym raze wklepywać te komendy
moje pytanie jest takie jak to zapisac na stałe w systemie żebym nie musiał za każdym razem wklepywać z konsoli prosze o pomoc

ilin · 2012-01-24 21:52:23

Wszelkie regułki do iptables masz w pliku /etc/init.d/firewall

Musisz sobie dopisać odpowiednio.

skynet12 · 2012-01-24 22:03:12

mój plik firewall wygląda tak

Kod:

 wlaczenie w kernelu forwardowania 
echo 1 > /proc/sys/net/ipv4/ip_forward
# czyszczenie starych regul
auto lo
iface lo inet loopback

iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
# ustawienie polityki dzialania
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# zezwolenie nna laczenie sie z naszym zewnetrznym ip po ssh

iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

iptables -A INPUT -s 0/0 -d IP -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d IP-p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -d IP -p udp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d IP -p udp --dport 22 -j ACCEPT
# polaczenia nawiazane
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
# udostepniaie internetu w sieci lokalnej
iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.0.1/24 -j ACCEPT

tam gdzie ip mam wpisane aktualne ip gdzie to dopisać

pasqdnik · 2012-01-24 23:27:30

Dopisz po regułkach ssh, byleby przed regułkami maskarady.

skynet12 · 2012-01-25 23:45:57

Kod:

wlaczenie w kernelu forwardowania 
echo 1 > /proc/sys/net/ipv4/ip_forward
# czyszczenie starych regul
auto lo
iface lo inet loopback

iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
# ustawienie polityki dzialania
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# zezwolenie nna laczenie sie z naszym zewnetrznym ip po ssh

iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A INPUT -s 0/0 -d 0/0 -p tcp --dport 6010 -j ACCEPT 
iptables -A INPUT -s 0/0 -d 0/0 -p tcp --dport 6011 -j ACCEPT

iptables -A INPUT -s 0/0 -d IP -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d IP-p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -d IP -p udp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d IP -p udp --dport 22 -j ACCEPT
# polaczenia nawiazane
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
# udostepniaie internetu w sieci lokalnej
iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.0.1/24 -j ACCEPT

dopisuje tak i nie idzie

ilin · 2012-01-26 09:40:00

Potestuj trochę.Przynajmniej się czegoś nauczysz.
Komputer w powietrze nie wyleci.

skynet12 · 2012-01-26 09:41:13

ale co mam potestowac jak niewiem gdzie to dokładnie dopisać.

ilin · 2012-01-26 09:41:32

Miejsca gdzie wpisać.

skynet12 · 2012-01-26 09:53:44

ale to ma być tylko w pliku firewall

ilin · 2012-01-26 09:59:34

Tak

Jacekalex · 2012-01-26 10:10:53

A co tam robi -d 0/0 w tych regułach?
W przychodzących raczej nie potrzebne.

Poza tym jak reguła dodania z opcją -A nie działa (jest dodawana na końcu zestawu reguł, to zawsze mozesz zmaiast A dać -I i w ten sposób umiejscisz ją jako pierwszą regułę w stosie.
Wtedy reguła ACCEPT zadziała na pewno.

RTFM:
http://pl.wikibooks.org/wiki/Sieci:Linux/Netfilter/iptables
http://stary.dug.net.pl/texty/Iptables_by_Atom_Zero.pdf

Poza tym, zamiast majstrować w kółko macieju w skrypcie, lepiej odpalić skrypt raz, zobaczyć co działa.
Potem w terminalu

Kod:

iptables -S

- pokaże reguły w takiej kolejności, w jakiej są w łańcuchu FILTER.

Następnie dodajesz regułę poprzez

Kod:

iptables -A......

i patrzysz, czy działa prawidłowo.
Jeśli tak, to masz gotowy konfig na terminalu, skopiować do pliku, dodać na początku każdej linni iptables i gotowe.
Jeśli nie działa, usunąc

Kod:

iptables -D.....

i dodać na początku łańcucha:

Kod:

iptables -I....

- jeśli po tym działa, to można albo tam zostawi tą regulę, albo ją przenieść nizej.

A najprościej wyklikasz całego firewalla w Webminie - moduł Linux Firewall.
A potem

Kod:

iptables -S

i wio z tym do skryptu.

Poza tym, albo nauczysz się i zrozumiesz konstrukcję firewalla, i to, które cele kończą, a które nie kończ przetwarzanie pakietu, albo tylko stracisz pół roku na coś, co i tak nie będzie działać.

Netfilter/Iptables ma prostą i bardzo logiczną konstrukcję, ale trzeba zrozumieć logikę działania tej konstrukcji.
Bez tego szkoda roboty.

To by było na tyle
;-)

skynet12 · 2012-01-26 12:17:12

gdy wpisuje iptables -S mam takie coś umieszczam wszedzie w firewall i niechce isć może coś żle robie

Kod:

-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -d ip-p tcp -m tcp --dport 22 -j ACCEPT 
-A INPUT -d ip-p udp -m udp --dport 22 -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 6011 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 6010 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 6010 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 6011 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 6010 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 6011 -j ACCEPT 
-A FORWARD -o lo -j ACCEPT 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -s 192.168.0.0/24 -j ACCEPT 
-A OUTPUT -d 83.5.46.130/32 -p tcp -m tcp --dport 22 -j ACCEPT

pasqdnik · 2012-01-26 12:56:11

ehhz, dajesz politykę na DROP i pozwalasz na stany RELATED, ESTABLISHED to jak ma ci się połączenie nawiązać ?

wg http://stary.dug.net.pl/texty/Iptables_by_Atom_Zero.pdf to Twoje regułki powinny być takie:

Kod:

iptables -A INPUT -p tcp -s 0/0  -m state --state NEW --dport 6010 -j ACCEPT

ale ja się nie znam :P

EDIT: umieszczone w odpowiednim miejscu...

Ostatnio edytowany przez pasqdnik (2012-01-26 13:02:59)

skynet12 · 2012-01-26 18:35:12

Przeczytałem ten poradnik i dalej nie bardzo rozumiem. Czy ktoś by mógł napisać jak bendzie będzie wyglondal wyglądał muj mój skrypt już gotowy? Bardzo proszę.

Ostatnio edytowany przez ArnVaker (2012-01-26 18:48:21)

pasqdnik · 2012-01-26 21:09:42

Dane, gdzie masz wysłać sześciopaka w moim podpisie.

Kod:

iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED

iptables -A INPUT -s 0/0 -d IP -p tcp -m state --state NEW --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -d IP -p udp -m state --state NEW --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0  -m state --state NEW --dport 6010 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0  -m state --state NEW --dport 6011 -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.0.1/24 -j ACCEPT

skynet12 · 2012-01-26 21:34:15

Kod:

# wlaczenie w kernelu forwardowania 
echo 1 > /proc/sys/net/ipv4/ip_forward
# czyszczenie starych regul
auto lo
iface lo inet loopback

iptables -F 
iptables -X             
iptables -t nat -X                    
iptables -t nat -F 
# ustawienie polityki dzialania 
iptables -P INPUT DROP 
iptables -P FORWARD DROP                          
iptables -P OUTPUT ACCEPT                     
# zezwolenie nna laczenie sie z naszym zewnetrznym ip po ssh
iptables -A INPUT -i lo -j                                   
iptables -A FORWARD -o lo -j ACCEPT 
iptables -A INPUT -s 0/0 -d 83.27.205.167 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 83.27.205.167 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -d 83.27.205.167 -p udp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 83.27.205.167-p udp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0  -m state --state NEW --dport 6010 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0  -m state --state NEW --dport 6011 -j ACCEPT

# polaczenia nawiazane
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
# udostepniaie internetu w sieci lokalnej
iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.0.1/24 -j ACCEPT

wpisalem tak i dalej nic

ilin · 2012-01-26 21:35:32

Przeładowałeś firewalla lub zrobiłeś restart ?

pasqdnik · 2012-01-26 21:40:38

Wklep może tak jak ja Ci to napisałem.
Co w Twoim firewallu robi wpis

auto lo
iface lo inet loopback

I upewnij się, że te Twoje programy działają i że działają na tych portach.

EDIT: może napisz co to za programy, i jak sprawdzasz że to działa...

Ostatnio edytowany przez pasqdnik (2012-01-26 21:42:26)

Jacekalex · 2012-01-26 21:42:41

Mój firewall.

Kod:

iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT ! -d 127.0.2.0/24 -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID,NEW -j STEAL
-A FORWARD -i vboxnet0 -o eth0 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

działa.

Otwieram port SMTP:

Kod:

iptables -N SMTP
iptables -A  SMTP ! -i lo -m connlimit --connlimit-upto 10 --connlimit-mask 0 --connlimit-saddr -m hashlimit --hashlimit-upto 1/min --hashlimit-burst 1 --hashlimit-mode srcip --hashlimit-name smtp -j ACCEPT
iptables -I INPUT ! -i lo -p tcp -m multiport --dports 25,465,587 -j SMTP

W wyniku otrzymuję taki zestaw reguł:

Kod:

iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-N SMTP
-A INPUT ! -i lo -p tcp -m multiport --dports 25,465,587 -j SMTP
-A INPUT ! -d 127.0.2.0/24 -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID,NEW -j STEAL
-A FORWARD -i vboxnet0 -o eth0 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A SMTP ! -i lo -m connlimit --connlimit-upto 10 --connlimit-mask 0 --connlimit-saddr -m hashlimit --hashlimit-upto 1/min --hashlimit-burst 1 --hashlimit-mode srcip --hashlimit-name smtp -j ACCEPT

I wszystko działa jak powinno.

A Ty z tym skryptem zakręciłeś sie jak słoik z konfiturami, i dlatego masz z tym więcej kłopotu, niż ten skrypt warty.

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2012-01-26 21:57:56)

pasqdnik · 2012-01-26 21:51:05

@Jacekalex, aleś mu pokazał ;-)

To moje na wirtualnej maszynie działa jak trzeba - testowane nc.

skynet12 · 2012-01-26 22:13:24

daje iptables -S i mam

Kod:

-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -d 83.27.203.223/32 -p tcp -m tcp --dport 22 -j ACCEPT 
-A INPUT -d 83.27.203.223/32 -p udp -m udp --dport 22 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 6010 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 6011 -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -o lo -j ACCEPT 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -s 192.168.0.0/24 -j ACCEPT 
-A OUTPUT -d 83.27.203.223/32 -p tcp -m tcp --dport 22 -j ACCEPT 
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

potem

Kod:

iptables -N SMTP
iptables -A  SMTP ! -i lo -m connlimit --connlimit-upto 10 --connlimit-mask 0 --connlimit-saddr -m hashlimit --hashlimit-upto 1/min --hashlimit-burst 1 --hashlimit-mode srcip --hashlimit-name smtp -j ACCEPT
iptables -I INPUT ! -i lo -p tcp -m multiport --dports 6010,6011 -j SMTP

i na koniec iptables -S

Kod:

-A INPUT -i ! lo -p tcp -m multiport --dports 6010,6011 -j SMTP 
-A INPUT -d 83.27.203.223/32 -p tcp -m tcp --dport 22 -j ACCEPT 
-A INPUT -d 83.27.203.223/32 -p udp -m udp --dport 22 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 6010 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 6011 -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -o lo -j ACCEPT 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -s 192.168.0.0/24 -j ACCEPT 
-A OUTPUT -d 83.27.203.223/32 -p tcp -m tcp --dport 22 -j ACCEPT 
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

pasqdnik · 2012-01-26 22:23:47

@skynet12, czy Ty czytasz to co Ci ludzie piszą ?

skynet12 · 2012-01-26 22:24:56

tak tylko że jestem nowym użytkownikiem debiana mam go od dwóch tygodni

Ostatnio edytowany przez skynet12 (2012-01-26 22:28:25)

pasqdnik · 2012-01-26 22:25:57

To zamiast tego swojego tworu wpisz to co Ci napisałem w poście #15.

skynet12 · 2012-01-26 22:29:00

czyli mam usunąć wszystko co mam w firewall i wkleić to twoje

Forum Debian Users Gang

Ogłoszenie

#1 2012-01-24 21:26:28

skynet12 - Użytkownik

udostępnianie portów debian

Kod:

#2 2012-01-24 21:52:23

ilin - Palacz

Re: udostępnianie portów debian

#3 2012-01-24 22:03:12

skynet12 - Użytkownik

Re: udostępnianie portów debian

Kod:

#4 2012-01-24 23:27:30

pasqdnik - Pijak ;-P

Re: udostępnianie portów debian

#5 2012-01-25 23:45:57

skynet12 - Użytkownik

Re: udostępnianie portów debian

Kod:

#6 2012-01-26 09:40:00

ilin - Palacz

Re: udostępnianie portów debian

#7 2012-01-26 09:41:13

skynet12 - Użytkownik

Re: udostępnianie portów debian

#8 2012-01-26 09:41:32

ilin - Palacz

Re: udostępnianie portów debian

#9 2012-01-26 09:53:44

skynet12 - Użytkownik

Re: udostępnianie portów debian

#10 2012-01-26 09:59:34

ilin - Palacz

Re: udostępnianie portów debian

#11 2012-01-26 10:10:53

Jacekalex - Podobno człowiek...;)

Re: udostępnianie portów debian

Kod:

Kod:

Kod:

Kod:

Kod:

#12 2012-01-26 12:17:12

skynet12 - Użytkownik

Re: udostępnianie portów debian

Kod:

#13 2012-01-26 12:56:11

pasqdnik - Pijak ;-P

Re: udostępnianie portów debian

Kod:

#14 2012-01-26 18:35:12

skynet12 - Użytkownik

Re: udostępnianie portów debian

#15 2012-01-26 21:09:42

pasqdnik - Pijak ;-P

Re: udostępnianie portów debian

Kod:

#16 2012-01-26 21:34:15

skynet12 - Użytkownik

Re: udostępnianie portów debian

Kod:

#17 2012-01-26 21:35:32

ilin - Palacz

Re: udostępnianie portów debian

#18 2012-01-26 21:40:38

pasqdnik - Pijak ;-P

Re: udostępnianie portów debian

#19 2012-01-26 21:42:41

Jacekalex - Podobno człowiek...;)

Re: udostępnianie portów debian

Kod:

Kod:

Kod:

#20 2012-01-26 21:51:05

pasqdnik - Pijak ;-P

Re: udostępnianie portów debian

#21 2012-01-26 22:13:24

skynet12 - Użytkownik

Re: udostępnianie portów debian