Forum Debian Users Gang

kolumb84 · 2005-12-30 14:26:03

Witam!!! Nie wiem jakie porty otworzyc. Mam neostrade i domene w no-ip. Serwer mam na Debianie. Na serwerze mam proftpd, serwer apache. Nie moge z zewnatrz poalaczyc sie ani z ftp ani ssh ani z www. Jesli W moim firewall'u usune iptables -A INPUT -j DROP i iptables -A FORWARD -j DROP wtedy moge laczyc sie z zewnatrz. Wszystko wtedy dziala ladnie, ale jak dopisze te linijki (czyli wytne reszte) nie dziala. Jakie porty i co mam wpisac do mojego firewalla zeby to dzialalo? dziekuje z gory za odp

BaB · 2005-12-30 15:01:32

#ssh

Kod:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#ftp

Kod:

iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT

#http

Kod:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Na początek polecam jednak przestudiowanie np tych dokumentów:

http://lukasz.bromirski.net/docs/translations/linux24-pf.html
http://dug.net.pl/texty/masq.php

kolumb84 · 2005-12-30 15:30:59

niestety te regulki nie dzialaja. Wczesniej je zreszta probowalem. Moze to chodzi o jakis port od NO-IP? albo jakis inny? Ale po wpisaniu w przegladarke http://ip_zewnwtrzne tez nie dziala

BaB · 2005-12-30 15:40:56

oczywiście nie możesz mieć wcześniej tych swoich:

Kod:

iptables -A INPUT -j DROP 
iptables -A FORWARD -j DROP

Na początku zamiast powyższych reguł wpisz:

Kod:

iptables -P INPUT DROP
iptables -P FORWARD DROP

a potem te otwierające porty.

I jeszcze raz sugeruje przeczytanie dokumentacji którą podałem w poprzednim poście.

kolumb84 · 2005-12-30 15:45:25

ale jesli ja nie bede mial tych 2 regol to nie bede mial poblokowanych portow na zewnatrz. A co robia te reguly, ktore Ty mi napisales co mam zastosowac zamiast tych dwoch? Zebym nie mial czasami otwartych wszystkich portow, bo ktos mnie sie dobierze do serwera :-)

BaB · 2005-12-30 15:53:16

właśnie domyślan polityka czyli:

Kod:

iptables -P INPUT DROP
iptables -P FORWARD DROP

to ci załatwia. Mówi ona że dopóki ty czegoś nie wpuścisz to ona wszystko "dropuje".

Dalej się upieram, że powinieneś przeczytać dokumentację :)

kolumb84 · 2005-12-30 15:56:54

to jest moj pliczek z firewall'em

#!/bin/bash
echo USTAWIAM SIEC
ifconfig eth0 192.168.1.1 up

echo Ustawiam maskarade
iptables -F
# czy.cimy dotchczasowe regu3y net address translation
iptables -F -t nat
# zezwalamy na ruch na loopbacku (wa?ne!)
iptables -A INPUT -i lo -j ACCEPT
# dajemy pe3ny dostep do routera komputerom z sieci wewnetrznej
# poprzez interfejs eth0
iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.1.0/24 -j ACCEPT

# zezwalamy na wszystkie polaczenia juz nawiazane
iptables -A INPUT -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p tcp -j ACCEPT -m state --state RELATED
iptables -A INPUT -p udp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p udp -j ACCEPT -m state --state RELATED
iptables -A INPUT -p icmp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p icmp -j ACCEPT -m state --state RELATED
iptables -A FORWARD -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p tcp -j ACCEPT -m state --state RELATED
iptables -A FORWARD -p udp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p udp -j ACCEPT -m state --state RELATED
iptables -A FORWARD -p icmp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p icmp -j ACCEPT -m state --state RELATED
# zamkniecie wykrytej ostatnio luki w iptables
iptables -A OUTPUT -m state -p icmp --state INVALID -j DROP
# maskarada dla sieci wewn.
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
# logujemy reszte
#iptables -A INPUT -j LOG -m limit --limit 10/hour --log-prefix "PODEJRZANY INPUT: "
#iptables -A FORWARD -j LOG -m limit --limit 10/hour --log-prefix "PODEJRZANY FORWARD: "
# wycinamy cala reszte
#iptables -A INPUT -j DROP
#iptables -A FORWARD -j DROP

iptables -P INPUT DROP
iptables -P FORWARD DROP

#jakies duperele
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#iptables -A INPUT -s 0/0 -d 0/0 -p tcp --dport 22 -j ACCEPT
#iptables -A OUTPUT -s 0/0 -d 0/0 -p tcp --dport 22 -j ACCEPT
#iptables -A INPUT -s 0/0 -d 0/0 -p udp --dport 22 -j ACCEPT
#iptables -A OUTPUT -s 0/0 -d 0/0 -p udp --dport 22 -j ACCEPT

#z forum
#iptables -P INPUT DROP
#iptables -P FORWARD DROP

#koniec dupereli

iptables -A INPUT -p tcp --dport 22 -s 0/0 -d 0/0 -j ACCEPT
iptables -A FORWARD -p tcp --dport 22 -s 0/0 -d 0/0 -j ACCEPT

#:wq
echo ODPALAM kompy w sieci
iptables -t nat -A POSTROUTING -s 192.168.1.2 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.3 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.4 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.5 -o ppp0 -j MASQUERADE

#ftp
iptables -A INPUT -p tcp -d 0/0 --dport 21 -j ACCEPT
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc

iptables -A INPUT -p tcp -d 0/0 --dport 80 -j ACCEPT

iptables -A FORWARD -p tcp -d 0/0 --dport 22 -j ACCEPT

#problem z niektorymi stronami www
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
echo FIREWALL ustawiony!!!

xanax · 2005-12-30 15:58:29

kolumb84 ja bym przeczytał te dokumenty powyżej :) Wdług mnie to pomoże.

kolumb84 · 2005-12-30 15:59:23

i nadal nie dziala. czytalem juz dokumentację, ale na razie nie bardzo to wszystko rozumiem. Jakbys mogl to przeanalizuj ten moj firewall i napisz co jest nie tak jak trzeba.

BaB · 2005-12-30 16:24:48

Porty masz otwarte prawidłwo i powinno działać. Niepotrzebnie robisz maskarade dwa razy, najpierw ogólnie dfla całej sieci potem dla poszczególnych userów i porty też niepotrzebinie dwa razy otwierasz bo zapis:

Kod:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

jest równoznaczny temu:

Kod:

iptables -A INPUT -p tcp -d 0/0 --dport 80 -j ACCEPT

i na koniec

#to "problem z niektórymi stronami" (raczej jego rozwiązanie)
echo 0 > /proc/sys/net/ipv4/tcp_ecn

#to jest wlaczenie forward'owania
echo 1 > /proc/sys/net/ipv4/ip_forward

Może coś masz z usłgami nie tak poustawiane

kolumb84 · 2005-12-31 12:27:21

nadal nic z tego!!! nie dziala. Ta artykuly przeczytalem kilka razy. Probowalem cos wklepac ale nic z tego. Nie mam pojecia co trzeba odblokowac, zeby mozna bylo sie laczyc :-(

BiExi · 2005-12-31 13:24:46

Zrobilam porzadek z twoim firewallempwywaalalmzecyznie potrzebne i posegregowalam i dopialam regulkiotwerajace porty postronie biedostrady :]

Kod:

#!/bin/bash 
echo USTAWIAM SIEC 
ifconfig eth0 192.168.1.1 up 
echo Ustawiam maskarade 

# forwardowanie
echo 1 > /proc/sys/net/ipv4/ip_forward 

# moduly
/sbin/modprobe ip_nat_ftp 
/sbin/modprobe ip_conntrack_ftp 
/sbin/modprobe ip_conntrack_irc 

# czy.cimy dotchczasowe regu3y net address translation 
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F

# polityka
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# zezwalamy na ruch na loopbacku (wa?ne!) 
iptables -A INPUT -i lo -j ACCEPT 
iptables -A FORWARD -o lo -j ACCEPT 

# problem z niektorymi mtu i stronami www 
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu 

# dajemy pe3ny dostep do routera komputerom z sieci wewnetrznej 
# poprzez interfejs eth0 
iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT

# zezwalamy na wszystkie polaczenia juz nawiazane 
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED

# zamkniecie wykrytej ostatnio luki w iptables 
iptables -A OUTPUT -m state -p icmp --state INVALID -j DROP 

# dopuszczamy z zewnatrz
iptables -A INPUT -i ppp0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --dport 20:21 -j ACCEPT

# maskarada 
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE 
iptables -A FORWARD -i eth0 -s 192.168.1.0/24 -j ACCEPT 

# logujemy reszte 
#iptables -A INPUT -j LOG -m limit --limit 10/hour --log-prefix "PODEJRZANY INPUT: " 
#iptables -A FORWARD -j LOG -m limit --limit 10/hour --log-prefix "PODEJRZANY FORWARD: " 
# wycinamy cala reszte 
#iptables -A INPUT -j DROP 
#iptables -A FORWARD -j DROP 

 echo FIREWALL ustawiony!!!

Forum Debian Users Gang

Ogłoszenie

#1 2005-12-30 14:26:03

kolumb84 - Użytkownik

problem z iptables!!! Mam NO-IP. Z zewnatrz brak polaczenia.

#2 2005-12-30 15:01:32

BaB - Członek DUG

Re: problem z iptables!!! Mam NO-IP. Z zewnatrz brak polaczenia.

Kod:

Kod:

Kod:

#3 2005-12-30 15:30:59

kolumb84 - Użytkownik

Re: problem z iptables!!! Mam NO-IP. Z zewnatrz brak polaczenia.

#4 2005-12-30 15:40:56

BaB - Członek DUG

Re: problem z iptables!!! Mam NO-IP. Z zewnatrz brak polaczenia.

Kod:

Kod:

#5 2005-12-30 15:45:25

kolumb84 - Użytkownik

Re: problem z iptables!!! Mam NO-IP. Z zewnatrz brak polaczenia.

#6 2005-12-30 15:53:16

BaB - Członek DUG

Re: problem z iptables!!! Mam NO-IP. Z zewnatrz brak polaczenia.

Kod:

#7 2005-12-30 15:56:54

kolumb84 - Użytkownik

Re: problem z iptables!!! Mam NO-IP. Z zewnatrz brak polaczenia.

#8 2005-12-30 15:58:29

xanax - Członek DUG

Re: problem z iptables!!! Mam NO-IP. Z zewnatrz brak polaczenia.

#9 2005-12-30 15:59:23

kolumb84 - Użytkownik

Re: problem z iptables!!! Mam NO-IP. Z zewnatrz brak polaczenia.

#10 2005-12-30 16:24:48

BaB - Członek DUG

Re: problem z iptables!!! Mam NO-IP. Z zewnatrz brak polaczenia.

Kod:

Kod:

#11 2005-12-31 12:27:21

kolumb84 - Użytkownik

Re: problem z iptables!!! Mam NO-IP. Z zewnatrz brak polaczenia.

#12 2005-12-31 13:24:46

BiExi - matka przelozona

Re: problem z iptables!!! Mam NO-IP. Z zewnatrz brak polaczenia.

Kod:

Stopka forum