Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Nie wiem jak skonfigurować iptables. Daje polecenie polecenia
iptables -F iptables -X iptables -t nat -X iptables -t nat -F
a potem dla pewności jeszcze
iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT
I po podaniu polecenia nmap -p 80 192.168.1.50 mam komunikat że port 80/tcp jest zamknięty. Dlatego pytam bo nie mogę ułożyć prostego firewolla żeby blokował wszystko co przychodzi czyli INPUT i FORWARD na DROP i odblokować port 80 do internetu poleceniem
iptables -A INPUT --protocol tcp --destination-port 80 -j ACCEPT
Ale dalej krzyczy ,że port 80 zamknięty. Chciałem udostępnić internet w sieci lokalnej ale też nie działało.
iptables -t nat -A POSTROUTING -s 192.168.28.0/24 -j MASQUERADE iptables -A FORWARD -s 192.168.28.0/24 -j ACCEPT
Za pomocą SNAT ale też nie działało. Proszę o pomoc.
Offline
Poczytałeś cokolwiek o iptables? Chociaż man poczytaj, co to -P znaczy, -A, INPUT, OUTPUT itd. Bo w tej chwili jesteś kolejny zdolny co pisze firewalla, który niczego nie blokuje. Ustawiłeś wszystkie polityki na ACCEPT, wszystko masz otwarte, inne regułki na ACCEPT są zbedne i tak wszystko otworzone. Port 80 zamknięty bo pewnie nic na nim nie słucha, odpal jakiś serwer WWW najpierw.
Offline
Każdy chce mieźć podane wszystko na tacy bez minimum czasu swojego włożonego w to co robi.
Nic nowego http://www.bsdguru.org/dyskusja/viewtopic.php?t=20723 ]:->
Offline
Najlepiej człowiekowi napisać ,że nic nie umie. Przecież napisałem ,albo zapomniałem napisać ,że na początku dałem domyślną politykę na
iptables -P FORWARD DROP iptables -P INPUT DROP
A potem poleceniem
iptables -A INPUT --protocol tcp --destination-port 80 -j ACCEPT
odblokowałem port 80 na odbieranie ,ale dziwi mnie to ,że nmap podaje że jest zamknięty jak dałem żeby był otwarty. Po tym wyczyściłem tablice i dałem dla pewności wszystko na ACCEPT ,ale mimo to nmap dalej twierdził że jest zamknięty. O to mi w dużym skrócie chodzi ,a nie że podstaw nie czytałem.
Offline
No bo nie umie... nawet czytać. Przeczytaj swojego pierwszego posta żeby wiedzieć co na pewno przecież napisałeś (sorry, ale zwykle nie mamy wiedzy o tym co pytający zapomniał napisać, ani nie potrafimy czytać w myślach). Potem przeczytaj drugiego posta, gdzie masz odpowiedź na swoje pytanie. To chyba tyle w tym temacie.
Offline
netstat -taupan | grep :80
prawdę nam powie
Offline
To ktoś może mi łopatologicznie wytłumaczyć o co chodzi w tym wszystkim. Próbuje postawić router na debianie WAN 192.168.1.50/24 LAN 192.168.28.1 Mam na nim dhcp. Zamierzam jeszcze zainstalować binda z przekazywaniem dalej. Chcę konfigurować w domyślnej lokalizacji ponieważ w przyszłości zainstaluje DRBLa i sam doda sobie porty. A więc robie tak. Najpierw czyszczę wszystko:
iptables -F iptables -X iptables -t nat -X iptables -t nat -F
Ustawiam domyślną politykę:
iptables -P FORWARD DROP iptables -P INPUT DROP
Odblokowuje port 80:
iptables -A INPUT --protocol tcp --destination-port 80 -j ACCEPT iptables -A FORWARD --protocol tcp --destination-port 80 -j ACCEPT
Analogicznie dla portu 53. Włączam przekazywanie IP aby można było NATować:
echo "1" > /proc/sys/net/ipv4/ip_forward
Dalej udostępniam internet:
iptables -t nat -A POSTROUTING -s 192.168.28.0/24 -d 0.0.0.0/0 -j SNAT --to-source 192.168.1.50
I to z tego co wiem powinno działać ale nie wiem dlaczego nie chce. Dodałem jeszcze ping tak, ale nie jestem pewien czy jest to dobra konstrukcja:
iptables -A INPUT -p icmp -s 0.0.0.0/0 -j ACCEPT
I nie mogę pingować na serwerze. Dałem jeszcze na routowanie
iptables -A FORWARD -p icmp -s 0.0.0.0/0 -j ACCEPT
Dopiero jak dodałem:
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -s 192.168.28.0/24 -p udp --dport 53 -m state --state NEW -j ACCEPT iptables -A FORWARD -s 192.168.28.0/24 -p tcp --dport 80 --syn -m state --state NEW -j ACCEPT iptables -A FORWARD -p icmp -m state --state NEW -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -s 192.168.0.0/16 -p udp --dport 53 -m state --state NEW -j ACCEPT iptables -A INPUT -s 192.168.0.0/16 -p tcp --dport 80 --syn -m state --state NEW -j ACCEPT iptables -A INPUT -p icmp -m state --state NEW -j ACCEPT
Zadziałało. była zła brama w ustawieniach klienta. jeszcze mam pytanie bo te odblokowanie pinga mnie denerwuje. Czy jest to dobra konfiguracja czyli źródło na dowolny ip??Oraz nie rozumiem o co chodzi z tymi komendami z:
ESTABLISHET -pakiet należący do istniejącego połączenia;
RELATED - pakiet związany z połączeniem już ustanowionym, ale nie będący jego częścią;
Te ostatnie linijki spisałem żywcem z forum i nie bardzo orientuje się o co w nich chodzi ,a bez nich nie działa.
Ostatnio edytowany przez sata11 (2011-12-07 23:23:34)
Offline
A podobno Google i inne szukajki są dla ludziów...
Mnie zazwyczaj wywalają takie wyniki:
http://dug.net.pl/drukuj/31/udostepnienie_polaczeni … o_%28masq%29/
A tutaj fajny opis do Gentoo, inne nazwy i składnia niektórych plików konfiguracyjnych, trza myśleć:
http://www.gentoo.org/doc/pl/home-router-howto.xml
To by było na tyle
;-)
Ostatnio edytowany przez Jacekalex (2011-12-07 23:52:30)
Offline
Dałeś mi linki do gotowców gdzie otwierają wszystko a potem blokują ,a ja chce odwrotnie. Dzięki za linki bo przynajmniej wiem co jeszcze mogę dodać ,ale i tak nie ma tam do końca odpowiedzi na moje pytanie. Nasuwa mi się kolejne. Gdzie i jak zapisać konfiguracje iptables bo iptables-save działa ,ale po restarcie znowu pusta tablica. Nie chcę tworzyć pliku wykonywalnego bo jak wspomniałem zamierzam dodać DRBLa i on doda swoje regułki a ja nie wiem gdzie one się zapisują? Nie chcę po prostu by po restarcie DRBL mi nie działał.
Ostatnio edytowany przez sata11 (2011-12-08 00:56:46)
Offline
sata11 napisał(-a):
Dałeś mi linki do gotowców gdzie otwierają wszystko a potem blokują ,a ja chce odwrotnie.
A o inwersji słyszał? :)
Hint: Zablokuj wszystko, a potem otwórz co potrzebujesz.
Hint2: Najpierw ACCEPT zamień na DROP/REJECT a potem DROP/REJECT i porty/IP daj na ACCEPT :)
sata11 napisał(-a):
Gdzie i jak zapisać konfiguracje iptables bo iptables-save działa ,ale po restarcie znowu pusta tablica.
A zrób choćby nawet, o ile dobrze pamiętam bo Debiana nie mam teraz pod ręką, w /etc/rcS.d i /etc/rcX.d/ stwórz skrypty które wykonają polecenie
iptables-save > /sciezka/do/pliku
i
iptables-restore < /sciezka/do/pliku
I przy zamykaniu systemu zapisze Ci dokładnie całego FW do pliku a przy starce przywróci - nie stracisz nawet pół linijki z tego co dodał DRBL
Offline
I o to mi chodziło. Dzięki. Nie mogłem znaleźć tego polecenia.
Offline
A ja "odkryłem" firewalla ufw
Teraz to przyjemność jest tworzenie firewalla. Nie wiem jak z bardzo, bardzo wymagającymi regułami ale do zastosowań desktopowych i prostych serwerów jak ulał.
Offline
Funkcjonalność ufw (albo i lepszą) masz bez żadnych kombinacji w zasięgu myszki, wystarczy Webmina zainstalować.
Kłopot też w tym, że funkcjonalność ufw kończy się na module limit, za to moduły typu connlimit, hashlimit, recent, musisz i tak klepać ręcznie (o xtables-addons, imq czy L7 nie wspominając), a potem pomodlić się, żeby przy restarcie ufw szlag ich nie trafił.
W dodatku, jak coś działa inaczej niż powinno, to ja mogę walnąć iptables -S, i od razu widzę, co jest grane, natomiast do przejrzenia podobnego wyniku przy ufw czy firestarterze potrzebowałbym karty pływackiej :D
sata11 napisał(-a):
Dałeś mi linki do gotowców gdzie otwierają wszystko a potem blokują ,a ja chce odwrotnie. Dzięki za linki bo przynajmniej wiem co jeszcze mogę dodać ,ale i tak nie ma tam do końca odpowiedzi na moje pytanie. ....
Bardzo przepraszam, za moich czasów panowało takie przekonanie, że z każdego tutka człowiek bierze te informacje, które potrzebuje, ale to wymaga samodzielnego myślenia...
Pozdro
;-)
Ostatnio edytowany przez Jacekalex (2011-12-10 19:53:40)
Offline
No i tak ja zrobiłem. Zauważyłem ,że brakuje u mnie poleceń do utrzymania połączenia ,to je dodałem ,a także przejrzałem polecenia dotyczące ochrony przed atakami.Napisałem tak dlatego ,żeby nie wyszło ,że chcę gotowca. Chciałem tylko małego na kierunkowania które dostałem. Jeszcze raz dzięki.
Offline
@Jacekalex
Z całym szacunkiem dla Ciebie Twojej pracy, i pakietu Ntefilter(co prawda ufw bazuje na nim)
Nie wiem jak krytycznymi usługami, serwerami administrujesz ale uważam że nie każda infrastruktura, firma, potrzebuje tak wyciskać z pakietu netfilter. Czasami na brzegu stoją dedykowane firewalle a potrzba na serwerku w lanie zrobić prosty firewall.
Ponadto ufw pozwala na zdefiniowanie własnych wpisów w iptables co wyrównuje szanse. Natomiast zaletą ufw jest bardzo prosta składnia, do budowy i analizy firewalla.
Offline
Podobno gusta nie podlegają dyskusji?
Jakiej usłudze nie otwierałbym portu na jakimkolwiek serwerze, to zawsze sprawdzam, ile równoczesnych połączeń potrafi obsłużyć demon obsługujący daną usługę, i tyle wrzucam do connlimit, choćby chodziło tylko o drukarkę.
I nie trzeba jakichś super krytycznych usług, wystarczy serwer samby w dziale księgowosci, liczącym 25 osób, kiedy wszyscy codiennie punktualnie, co do sekundy, o 15.30 chcą robić backup (równocześnie), i klną, że nie można kilkudziesięciu mega wysłać w sekundę, a serwer zdycha, switch zdycha, karta sieciowa zdycha, dyski chodzą jak wiertarki, i ogólnie jest wesoło. :xD
To by było na tyle
;-)
Ostatnio edytowany przez Jacekalex (2011-12-10 21:59:18)
Offline
Jeśli chodzi o limit to ufw wspiera tylko te:
ufw supports connection rate limiting, which is useful for protecting against brute-force login attacks. ufw will deny connections if an IP address has attempted to initiate 6 or more connections in the last 30 seconds.
Reguła w stylu
ufw limit ssh
działa również z http,cups,samba czyli wszystkim co masz zdefiniowane.
Myślę, że projekt ten się przyjmie i będzie rozwijany (protokół ipv6 kuleje w tym projekcie)
Co mnie urzekło w tym narzędziu to pewna intuicyjność skonstruowania narzędzia.
Oczywiście dla człowieka, który ogarnia całego netfiltera to wygląda jak zabawka.
Offline