Forum Debian Users Gang

barp21 · 2007-05-05 01:27:38

Witam,

Zapoznałem się z kilkoma sposobami na odblokowanie portów i niestety żaden z nich u mnie nie działa. W przeszłości działał sposób zaprezentowany ponizej w rc.tables, jednak od pewnego czasu on również zawodzi. Co może być tego przyczyną ? Podejrzewam, że wzajemnie wrogie sobie wpisy w rc. tylko niestety nie wiem które. Będę wdzięczny za sugestie...

Kod:

# !/bin/sh

echo "1" > /proc/sys/net/ipv4/ip_forward

modprobe ip_nat_ftp

echo " Restartuje maskarade "
INTER="eth0"
PRIVPORTS="0:1023"
UNPRIVPORTS="1024:65535"

iptables -F
iptables -t nat -F
iptables -X
iptables -P INPUT   ACCEPT
iptables -P OUTPUT  ACCEPT
iptables -P FORWARD DROP
iptables -N lstat
iptables -A FORWARD -j lstat

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $INTER -p icmp -s any/0 --icmp-type 0 -j ACCEPT
iptables -A INPUT -i $INTER -p icmp -s any/0 --icmp-type 4 -j ACCEPT
iptables -A INPUT -i $INTER -p icmp -s any/0 --icmp-type 12 -j ACCEPT
iptables -A INPUT -i $INTER -p icmp -s any/0 --icmp-type 3 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i $INTER -p tcp --dport $PRIVPORTS -j DROP
iptables -A INPUT -i $INTER -p udp --dport $PRIVPORTS -j DROP
iptables -A INPUT -i $INTER -p tcp -m multiport --sport 53,113,25,110,995,465,80,20,21,443 -j ACCEPT
iptables -A INPUT -i $INTER -p udp --sport 53 -j ACCEPT
iptables -A INPUT -i $INTER -p tcp --sport $UNPRIVPORTS -j ACCEPT
iptables -A INPUT -i $INTER -p udp --sport $UNPRIVPORTS -j ACCEPT

# udostępnianie połączenia
iptables -t filter -A FORWARD -s 192.168.0.0/255.255.255.0 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.0/255.255.255.0 -j ACCEPT

#Blokada pingow z serwera
echo "Blokuje pingi do serwera"
iptables -A INPUT -p icmp -i eth1 -j DROP
iptables -A OUTPUT -p icmp -o eth1 -j DROP 

#Blokada wirusow Blaster i Sasser
echo "Blokuje wirusy - Blaster i Sasser"
iptables -A INPUT -p tcp --dport 135 -j DROP
iptables -A OUTPUT -p tcp --dport 135 -j DROP
iptables -A FORWARD -p tcp --dport 135 -j DROP
iptables -A INPUT -p udp --dport 135 -j DROP
iptables -A OUTPUT -p udp --dport 135 -j DROP
iptables -A FORWARD -p udp --dport 135 -j DROP
iptables -A INPUT -p tcp --dport 138 -j DROP
iptables -A OUTPUT -p tcp --dport 138 -j DROP
iptables -A FORWARD -p tcp --dport 138 -j DROP
iptables -A INPUT -p udp --dport 138 -j DROP
iptables -A OUTPUT -p udp --dport 138 -j DROP
iptables -A FORWARD -p udp --dport 138 -j DROP
iptables -A INPUT -p tcp --dport 139 -j DROP
iptables -A OUTPUT -p tcp --dport 139 -j DROP
iptables -A FORWARD -p tcp --dport 139 -j DROP
iptables -A INPUT -p udp --dport 139 -j DROP
iptables -A OUTPUT -p udp --dport 139 -j DROP
iptables -A FORWARD -p udp --dport 139 -j DROP
iptables -A INPUT -p tcp --dport 445 -j DROP
iptables -A OUTPUT -p tcp --dport 445 -j DROP
iptables -A FORWARD -p tcp --dport 445 -j DROP
iptables -A INPUT -p udp --dport 445 -j DROP
iptables -A OUTPUT -p udp --dport 445 -j DROP
iptables -A FORWARD -p udp --dport 445 -j DROP

#ustawiam GG
echo "Podmieniam reklamy w GG"
iptables -t nat -A PREROUTING -d 85.232.233.8 -s 192.168.0.1/24 -p tcp --dport 80 -j DNAT --to 83.14.85.139
iptables -t nat -A PREROUTING -d 85.232.233.9 -s 192.168.0.1/24 -p tcp --dport 80 -j DNAT --to 83.14.85.139
iptables -t nat -A PREROUTING -d 85.232.233.8 -s 192.168.0.1/24 -p tcp --dport 80 -j DNAT --to 83.14.85.140
iptables -t nat -A PREROUTING -d 85.232.233.9 -s 192.168.0.1/24 -p tcp --dport 80 -j DNAT --to 83.14.85.140
iptables -t nat -A PREROUTING -d 85.232.233.8 -s 192.168.0.1/24 -p tcp --dport 80 -j DNAT --to 83.14.85.141
iptables -t nat -A PREROUTING -d 85.232.233.9 -s 192.168.0.1/24 -p tcp --dport 80 -j DNAT --to 83.14.85.141

#Zewnetrzne IP
#Dla IP 192.168.0.20
iptables -t nat -A PREROUTING -d 83.14.85.140 -j DNAT --to 192.168.0.20
iptables -t nat -A POSTROUTING -s 192.168.0.20 -j SNAT --to-source 83.14.85.140
#Dla IP 192.168.0.133 Andzej Jakubowski
iptables -t nat -A PREROUTING -d 83.14.85.141 -j DNAT --to 192.168.0.133
iptables -t nat -A POSTROUTING -s 192.168.0.133 -j SNAT --to-source 83.14.85.141
#Dla pozostałych ip tak samo
echo "Ustawilem zewnetrzne IP"

# M A S K A R A D A 
#iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.20 -d 0/0 -j SNAT --to 80.55.87.6
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.20 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.21 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.22 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.23 -d 0/0 -j MASQUERADE
dla pozostałych ip identycznie


# udostepnianie portow

echo " Udostepniam porty "

iptables -t nat -A PREROUTING -p tcp -d 83.14.85.139 --dport 5560 -j DNAT --to 192.168.0.40:5560
iptables -t nat -A PREROUTING -p udp -d 83.14.85.139 --dport 5570 -j DNAT --to 192.168.0.40:5570
iptables -t nat -A PREROUTING -p tcp -d 83.14.85.139 --dport 5560 -j DNAT --to 192.168.0.40:5580
iptables -t nat -A PREROUTING -p udp -d 83.14.85.139 --dport 5570 -j DNAT --to 192.168.0.40:5580
iptables -t nat -A PREROUTING -p tcp -d 83.14.85.139 --dport 5560 -j DNAT --to 192.168.0.41:6680
iptables -t nat -A PREROUTING -p udp -d 83.14.85.139 --dport 5570 -j DNAT --to 192.168.0.41:6680
itd…


echo "Conlimit"

siec=192.168.0
eth_siec=eth1

#ilosc polaczen na usera
ILOSC=80

#ilosc ip z sieci od ip nr 2 (w tym przypadku do ip 254)
ILE=254

for (( (i=$ILE,IP=2); (i=$i-1); (IP=$IP+1) )) ; do
iptables -A PREROUTING -t mangle -p tcp -s ${siec}.${IP} -m connlimit --connlimit-above $ILOSC -i $eth_siec -j DROP
done;

echo " Uruchamiam statystyki DSL"
staty
echo " Uruchamia podzial HTB"
htb start
rc.p2p

Libo · 2007-05-06 20:26:01

...
iptables -t nat -A PREROUTING -p tcp -d 83.14.85.139 --dport 5560 -j DNAT --to 192.168.0.40:5560
iptables -t nat -A PREROUTING -p udp -d 83.14.85.139 --dport 5570 -j DNAT --to 192.168.0.40:5570
iptables -t nat -A PREROUTING -p tcp -d 83.14.85.139 --dport 5560 -j DNAT --to 192.168.0.40:5580
iptables -t nat -A PREROUTING -p udp -d 83.14.85.139 --dport 5570 -j DNAT --to 192.168.0.40:5580
iptables -t nat -A PREROUTING -p tcp -d 83.14.85.139 --dport 5560 -j DNAT --to 192.168.0.41:6680
iptables -t nat -A PREROUTING -p udp -d 83.14.85.139 --dport 5570 -j DNAT --to 192.168.0.41:6680
...

przyjrzyj sie portom jakie chcesz udostepnic, wszedze masz tcp 5560 i udp 5570, wiec tylko 2 pierwsze linijki maja sens,

ps, jezeli masz stale zew. adresy ip, zamias maskarady stosuj snat, dziala szybciej.

marcusdavidus · 2007-05-06 23:17:07

albo zainstaluj firestarter lol odtwierasz port 2 klikami i zamykasz tesz 2 klikami :P banalne

barp21 · 2007-05-07 22:36:33

Faktycznie z tymi portami to dałem przykład zchaszowanej linijki. To oczywiste, że tak jak w przykładzie to nie mogło działać. Jednak nawet
gdy wszystko się zgadza - udostępnianie portów nie działa. Co może być tego przyczyną, dostrzegacie jakieś błędy w rc.tables czy może to coś innego??

el_pilar · 2007-05-09 09:54:09

a jak dasz ręcznie:

Kod:

iptables -I FORWARD -p tcp -d 83.14.85.139 --dport 5560 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp  -i eth0 -d 0/0 --dport 5560 -j DNAT --to 192.168.0.40
iptables -I FORWARD -p udp -d 83.14.85.139 --dport 5570 -j ACCEPT
iptables -t nat -I PREROUTING -p udp -i eth0 -d 0/0 --dport 5570 -j DNAT --to 192.168.0.40

to działa?

Forum Debian Users Gang

Ogłoszenie

#1 2007-05-05 01:27:38

barp21 - Użytkownik

Jak odblokować porty w Debianie?

Kod:

#2 2007-05-06 20:26:01

Libo - Użytkownik

Re: Jak odblokować porty w Debianie?

#3 2007-05-06 23:17:07

marcusdavidus - Członek DUG

Re: Jak odblokować porty w Debianie?

#4 2007-05-07 22:36:33

barp21 - Użytkownik

Re: Jak odblokować porty w Debianie?

#5 2007-05-09 09:54:09

el_pilar - Użytkownik

Re: Jak odblokować porty w Debianie?

Kod:

Stopka forum