Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam mam taki problem mianowicie mam dwa programy do których potrzebuje dwóch portów 6010 6011
gdy wklepie z konsoli
iptables -A INPUT -s 0/0 -d 0/0 -p tcp --dport 6010 -j ACCEPT iptables -A INPUT -s 0/0 -d 0/0 -p tcp --dport 6011 -j ACCEPT
to wtedy wszystko dziala ale gdy uruchamiam komputer ponownie to musze za każdym raze wklepywać te komendy
moje pytanie jest takie jak to zapisac na stałe w systemie żebym nie musiał za każdym razem wklepywać z konsoli prosze o pomoc
Offline
Wszelkie regułki do iptables masz w pliku /etc/init.d/firewall
Musisz sobie dopisać odpowiednio.
Offline
mój plik firewall wygląda tak
wlaczenie w kernelu forwardowania echo 1 > /proc/sys/net/ipv4/ip_forward # czyszczenie starych regul auto lo iface lo inet loopback iptables -F iptables -X iptables -t nat -X iptables -t nat -F # ustawienie polityki dzialania iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # zezwolenie nna laczenie sie z naszym zewnetrznym ip po ssh iptables -A INPUT -i lo -j ACCEPT iptables -A FORWARD -o lo -j ACCEPT iptables -A INPUT -s 0/0 -d IP -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -s 0/0 -d IP-p tcp --dport 22 -j ACCEPT iptables -A INPUT -s 0/0 -d IP -p udp --dport 22 -j ACCEPT iptables -A OUTPUT -s 0/0 -d IP -p udp --dport 22 -j ACCEPT # polaczenia nawiazane iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED # udostepniaie internetu w sieci lokalnej iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -j MASQUERADE iptables -A FORWARD -s 192.168.0.1/24 -j ACCEPT
tam gdzie ip mam wpisane aktualne ip gdzie to dopisać
Offline
Dopisz po regułkach ssh, byleby przed regułkami maskarady.
Offline
wlaczenie w kernelu forwardowania echo 1 > /proc/sys/net/ipv4/ip_forward # czyszczenie starych regul auto lo iface lo inet loopback iptables -F iptables -X iptables -t nat -X iptables -t nat -F # ustawienie polityki dzialania iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # zezwolenie nna laczenie sie z naszym zewnetrznym ip po ssh iptables -A INPUT -i lo -j ACCEPT iptables -A FORWARD -o lo -j ACCEPT iptables -A INPUT -s 0/0 -d 0/0 -p tcp --dport 6010 -j ACCEPT iptables -A INPUT -s 0/0 -d 0/0 -p tcp --dport 6011 -j ACCEPT iptables -A INPUT -s 0/0 -d IP -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -s 0/0 -d IP-p tcp --dport 22 -j ACCEPT iptables -A INPUT -s 0/0 -d IP -p udp --dport 22 -j ACCEPT iptables -A OUTPUT -s 0/0 -d IP -p udp --dport 22 -j ACCEPT # polaczenia nawiazane iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED # udostepniaie internetu w sieci lokalnej iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -j MASQUERADE iptables -A FORWARD -s 192.168.0.1/24 -j ACCEPT
dopisuje tak i nie idzie
Offline
Potestuj trochę.Przynajmniej się czegoś nauczysz.
Komputer w powietrze nie wyleci.
Offline
ale co mam potestowac jak niewiem gdzie to dokładnie dopisać.
Offline
Miejsca gdzie wpisać.
Offline
ale to ma być tylko w pliku firewall
Offline
A co tam robi -d 0/0 w tych regułach?
W przychodzących raczej nie potrzebne.
Poza tym jak reguła dodania z opcją -A nie działa (jest dodawana na końcu zestawu reguł, to zawsze mozesz zmaiast A dać -I i w ten sposób umiejscisz ją jako pierwszą regułę w stosie.
Wtedy reguła ACCEPT zadziała na pewno.
RTFM:
http://pl.wikibooks.org/wiki/Sieci:Linux/Netfilter/iptables
http://stary.dug.net.pl/texty/Iptables_by_Atom_Zero.pdf
Poza tym, zamiast majstrować w kółko macieju w skrypcie, lepiej odpalić skrypt raz, zobaczyć co działa.
Potem w terminalu
iptables -S
- pokaże reguły w takiej kolejności, w jakiej są w łańcuchu FILTER.
Następnie dodajesz regułę poprzez
iptables -A......
i patrzysz, czy działa prawidłowo.
Jeśli tak, to masz gotowy konfig na terminalu, skopiować do pliku, dodać na początku każdej linni iptables i gotowe.
Jeśli nie działa, usunąc
iptables -D.....
i dodać na początku łańcucha:
iptables -I....
- jeśli po tym działa, to można albo tam zostawi tą regulę, albo ją przenieść nizej.
A najprościej wyklikasz całego firewalla w Webminie - moduł Linux Firewall.
A potem
iptables -S
i wio z tym do skryptu.
Poza tym, albo nauczysz się i zrozumiesz konstrukcję firewalla, i to, które cele kończą, a które nie kończ przetwarzanie pakietu, albo tylko stracisz pół roku na coś, co i tak nie będzie działać.
Netfilter/Iptables ma prostą i bardzo logiczną konstrukcję, ale trzeba zrozumieć logikę działania tej konstrukcji.
Bez tego szkoda roboty.
To by było na tyle
;-)
Offline
gdy wpisuje iptables -S mam takie coś umieszczam wszedzie w firewall i niechce isć może coś żle robie
-P INPUT DROP -P FORWARD DROP -P OUTPUT ACCEPT -A INPUT -d ip-p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -d ip-p udp -m udp --dport 22 -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp --dport 6011 -j ACCEPT -A INPUT -p tcp -m tcp --dport 6010 -j ACCEPT -A INPUT -p tcp -m tcp --dport 6010 -j ACCEPT -A INPUT -p tcp -m tcp --dport 6011 -j ACCEPT -A INPUT -p tcp -m tcp --dport 6010 -j ACCEPT -A INPUT -p tcp -m tcp --dport 6011 -j ACCEPT -A FORWARD -o lo -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -s 192.168.0.0/24 -j ACCEPT -A OUTPUT -d 83.5.46.130/32 -p tcp -m tcp --dport 22 -j ACCEPT
Offline
ehhz, dajesz politykę na DROP i pozwalasz na stany RELATED, ESTABLISHED to jak ma ci się połączenie nawiązać ?
wg http://stary.dug.net.pl/texty/Iptables_by_Atom_Zero.pdf to Twoje regułki powinny być takie:
iptables -A INPUT -p tcp -s 0/0 -m state --state NEW --dport 6010 -j ACCEPT
ale ja się nie znam :P
EDIT: umieszczone w odpowiednim miejscu...
Ostatnio edytowany przez pasqdnik (2012-01-26 13:02:59)
Offline
Przeczytałem ten poradnik i dalej nie bardzo rozumiem. Czy ktoś by mógł napisać jak bendzie będzie wyglondal wyglądał muj mój skrypt już gotowy? Bardzo proszę.
Ostatnio edytowany przez ArnVaker (2012-01-26 18:48:21)
Offline
Dane, gdzie masz wysłać sześciopaka w moim podpisie.
iptables -F iptables -X iptables -t nat -X iptables -t nat -F iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A FORWARD -o lo -j ACCEPT iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A INPUT -s 0/0 -d IP -p tcp -m state --state NEW --dport 22 -j ACCEPT iptables -A INPUT -s 0/0 -d IP -p udp -m state --state NEW --dport 22 -j ACCEPT iptables -A INPUT -p tcp -s 0/0 -m state --state NEW --dport 6010 -j ACCEPT iptables -A INPUT -p tcp -s 0/0 -m state --state NEW --dport 6011 -j ACCEPT iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -j MASQUERADE iptables -A FORWARD -s 192.168.0.1/24 -j ACCEPT
Offline
# wlaczenie w kernelu forwardowania echo 1 > /proc/sys/net/ipv4/ip_forward # czyszczenie starych regul auto lo iface lo inet loopback iptables -F iptables -X iptables -t nat -X iptables -t nat -F # ustawienie polityki dzialania iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # zezwolenie nna laczenie sie z naszym zewnetrznym ip po ssh iptables -A INPUT -i lo -j iptables -A FORWARD -o lo -j ACCEPT iptables -A INPUT -s 0/0 -d 83.27.205.167 -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -s 0/0 -d 83.27.205.167 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -s 0/0 -d 83.27.205.167 -p udp --dport 22 -j ACCEPT iptables -A OUTPUT -s 0/0 -d 83.27.205.167-p udp --dport 22 -j ACCEPT iptables -A INPUT -p tcp -s 0/0 -m state --state NEW --dport 6010 -j ACCEPT iptables -A INPUT -p tcp -s 0/0 -m state --state NEW --dport 6011 -j ACCEPT # polaczenia nawiazane iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED # udostepniaie internetu w sieci lokalnej iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -j MASQUERADE iptables -A FORWARD -s 192.168.0.1/24 -j ACCEPT
wpisalem tak i dalej nic
Offline
Przeładowałeś firewalla lub zrobiłeś restart ?
Offline
Wklep może tak jak ja Ci to napisałem.
Co w Twoim firewallu robi wpis
auto lo
iface lo inet loopback
I upewnij się, że te Twoje programy działają i że działają na tych portach.
EDIT: może napisz co to za programy, i jak sprawdzasz że to działa...
Ostatnio edytowany przez pasqdnik (2012-01-26 21:42:26)
Offline
Mój firewall.
iptables -S -P INPUT DROP -P FORWARD DROP -P OUTPUT ACCEPT -A INPUT ! -d 127.0.2.0/24 -i lo -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -m state --state INVALID,NEW -j STEAL -A FORWARD -i vboxnet0 -o eth0 -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
działa.
Otwieram port SMTP:
iptables -N SMTP iptables -A SMTP ! -i lo -m connlimit --connlimit-upto 10 --connlimit-mask 0 --connlimit-saddr -m hashlimit --hashlimit-upto 1/min --hashlimit-burst 1 --hashlimit-mode srcip --hashlimit-name smtp -j ACCEPT iptables -I INPUT ! -i lo -p tcp -m multiport --dports 25,465,587 -j SMTP
W wyniku otrzymuję taki zestaw reguł:
iptables -S -P INPUT DROP -P FORWARD DROP -P OUTPUT ACCEPT -N SMTP -A INPUT ! -i lo -p tcp -m multiport --dports 25,465,587 -j SMTP -A INPUT ! -d 127.0.2.0/24 -i lo -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -m state --state INVALID,NEW -j STEAL -A FORWARD -i vboxnet0 -o eth0 -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A SMTP ! -i lo -m connlimit --connlimit-upto 10 --connlimit-mask 0 --connlimit-saddr -m hashlimit --hashlimit-upto 1/min --hashlimit-burst 1 --hashlimit-mode srcip --hashlimit-name smtp -j ACCEPT
I wszystko działa jak powinno.
A Ty z tym skryptem zakręciłeś sie jak słoik z konfiturami, i dlatego masz z tym więcej kłopotu, niż ten skrypt warty.
To by było na tyle
;-)
Ostatnio edytowany przez Jacekalex (2012-01-26 21:57:56)
Offline
@Jacekalex, aleś mu pokazał ;-)
To moje na wirtualnej maszynie działa jak trzeba - testowane nc.
Offline
daje iptables -S i mam
-P INPUT DROP -P FORWARD DROP -P OUTPUT ACCEPT -A INPUT -d 83.27.203.223/32 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -d 83.27.203.223/32 -p udp -m udp --dport 22 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 6010 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 6011 -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -o lo -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -s 192.168.0.0/24 -j ACCEPT -A OUTPUT -d 83.27.203.223/32 -p tcp -m tcp --dport 22 -j ACCEPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
potem
iptables -N SMTP iptables -A SMTP ! -i lo -m connlimit --connlimit-upto 10 --connlimit-mask 0 --connlimit-saddr -m hashlimit --hashlimit-upto 1/min --hashlimit-burst 1 --hashlimit-mode srcip --hashlimit-name smtp -j ACCEPT iptables -I INPUT ! -i lo -p tcp -m multiport --dports 6010,6011 -j SMTP
i na koniec iptables -S
-A INPUT -i ! lo -p tcp -m multiport --dports 6010,6011 -j SMTP -A INPUT -d 83.27.203.223/32 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -d 83.27.203.223/32 -p udp -m udp --dport 22 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 6010 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 6011 -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -o lo -j ACCEPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -s 192.168.0.0/24 -j ACCEPT -A OUTPUT -d 83.27.203.223/32 -p tcp -m tcp --dport 22 -j ACCEPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Offline
@skynet12, czy Ty czytasz to co Ci ludzie piszą ?
Offline
tak tylko że jestem nowym użytkownikiem debiana mam go od dwóch tygodni
Ostatnio edytowany przez skynet12 (2012-01-26 22:28:25)
Offline
To zamiast tego swojego tworu wpisz to co Ci napisałem w poście #15.
Offline
czyli mam usunąć wszystko co mam w firewall i wkleić to twoje
Offline