Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

Strony: 1

 

#1  2008-04-15 09:22:04

  exodus.mc - Użytkownik

exodus.mc
Użytkownik
Zarejestrowany: 2006-08-02

pytanie o iptables i reguly uslug wewnetrznych (np. portmap)

robie sobie prostego firewalla na serwrze. Obecnie dopiero co raczkuje. Cos poczytalem o iptables itp

w moim firewallu na poczatku po zrzucaniu ustawien i nadaniu polityki domyslnej dalem

Kod:

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

co mi odblokowoalo petle zwrotne (loopback) - myslalem ze to pozwoli na swobodna prace wszystkich uslug wewnetrznych serwera...

i sadzac ze bedzie ok resetnalem maszyne. Jednak lipa bo dopuki nie dodam do firewalla

Kod:

for PORT in 161 162 111 2049 111 53 953 
do
    for PROTOKOL in tcp udp
    do
        iptables -A INPUT -i eth1 -p $PROTOKOL --dport $PORT -j ACCEPT
    done
done

to nie dziala wogole udostepnianie sieci... i ogolnie wysypywaly sie uslugi - portmap sie nie uruchamia itp...

Moje pytanie to "czy to normalne ??"... przyznam sie ze nie jestem zbyt zorientowany w iptables - dopiero sie ucze

czy da sie jakos jednym poleceniem to ogarnac - aby bezpiecznie zezwolic uslugom na korzystanie z sieci. Nie chce puszczac calego ruchu z INPUT na sieciowce udostepniajacej net bez zadnego sprawdzenia. Narazie dalem tylko te porty i tylko na sieciowce udostepniajacej net - dzieki czemu porty sa otwarte, uslugi dzialaja i nie sa widoczne w necie.. ale czy to dobrze zrobilem to juz pytanie do Was :)

Mam nadzieje ze nie zakrecilem za bardzo :)

Dla lepszego rozeznania wklejam moj caly skrypcik...

Kod:

#!/bin/bash
ZEW_IP=81.162.43.123
SIEC_WEW=10.0.0.0/24
#wlaczenie w kernelu forwardowania 
echo 1 > /proc/sys/net/ipv4/ip_forward

#czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F

#moduly
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat-ftp

# ustawienie polityki dzialania (opcja -P to dzialanie domyslne)
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

#oblokowany loopbackp
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# zezwolenie nna laczenie sie z naszym zewnetrznym ip po ssh
iptables -A INPUT -p tcp --dport ssh --tcp-flags ALL SYN -j ACCEPT
iptables -A INPUT -p tcp --dport ftp --tcp-flags ALL SYN -j ACCEPT

#zezwolenie na ping
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 12/minute -j ACCEPT

#http
#iptables -A INPUT -s 0/0 -d $ZEW_IP -p tcp --dport 80 -j ACCEPT
#iptables -A OUTPUT -s 0/0 -d $ZEW_IP -p tcp --dport 80 -j ACCEPT
#iptables -A INPUT -s 0/0 -d $ZEW_IP -p tcp --dport 7634 -j ACCEPT
#iptables -A OUTPUT -s 0/0 -d $ZEW_IP -p tcp --dport 7634 -j ACCEPT

# polaczenia nawiazane i dowolny ruch w sieci wew
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

#wywalenie blednych i "dziwnych" pakietow
iptables -A FORWARD -s 10.0.0.0/16 -i eth0 -j DROP
iptables -A FORWARD -s ! $SIEC_WEW -i eth1 -j DROP

#PRZEKIEROWANIA

#csi_2
for PORT in 23000 1056 4661 4671 5910 4156 4194 6051 
do
    for PROTOKOL in tcp udp
    do
        iptables -t nat -A PREROUTING -p $PROTOKOL -d $ZEW_IP --dport $PORT -j DNAT --to-destination 10.0.0.3:$PORT
    done
done

#csi_4
for PORT in 4662 4672 6890 5900 5500
do
    for PROTOKOL in tcp udp
    do
        iptables -t nat -A PREROUTING -p $PROTOKOL -d $ZEW_IP --dport $PORT -j DNAT --to-destination 10.0.0.42:$PORT
    done
done

#wychodzace smtp
iptables -A INPUT -p tcp --destination-port smtp -j ACCEPT

#samba
for PORT in 137 138 139 445 
do
    for PROTOKOL in tcp udp 
    do
        iptables -A INPUT -i eth1 -s $SIEC_WEW -p $PROTOKOL --dport $PORT -m state --state NEW -j ACCEPT
    done
done

#uslugi lokalne
iptables -A INPUT -i eth1 -p tcp -s $SIEC_WEW --dport 80 -j ACCEPT
#iptables -A INPUT -i eth1 -p tcp -s $SIEC_WEW --dport 7634 -j ACCEPT
#iptables -A INPUT -i eth1 -p tcp -s $SIEC_WEW --dport 5900 -j ACCEPT
#iptables -A INPUT -i eth1 -p tcp -s $SIEC_WEW -j ACCEPT

#portmap i nfs
for PORT in 161 162 111 2049 111 53 953 
do
    for PROTOKOL in tcp udp
    do
        iptables -A INPUT -i eth1 -p $PROTOKOL --dport $PORT -j ACCEPT
    done
done

#wywalenie ident z ftp
iptables -A INPUT -p tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable

# udostepniaie internetu w sieci lokalnej
#iptables -t nat -A POSTROUTING -s $SIEC_WEW -j MASQUERADE
iptables -t nat -A POSTROUTING -s $SIEC_WEW -j SNAT --to-source $ZEW_IP
iptables -A FORWARD -s $SIEC_WEW -j ACCEPT
iptables -A FORWARD -d $SIEC_WEW -j ACCEPT

Ostatnio edytowany przez exodus.mc (2008-04-16 14:44:32)

Offline

 

#2  2008-04-15 11:51:07

  maro - Użytkownik

maro
Użytkownik
Zarejestrowany: 2006-10-21

Re: pytanie o iptables i reguly uslug wewnetrznych (np. portmap)

O ile ja sie orientuje, to interfejs lo odblokowuje odpytywanie przez serwer samego siebie, więc usługi sieciowe nie będą działać, zachowanie jak najbardziej ok!Regułki z OUTPUT są zbędne bo dałeś domyślną politykę na ACCEPT, jeżeli dobrze zrozumiałem chcesz zeby do serwera, był tylko dostęp z lokala a niz z netu?Żeby to osiągnąc dajesz:
iptables -A INPUT -i eth0 -j ACCEPT  -  teraz wszystko co przychodzi z eth0 ma dostęp do usług serwera

Offline

 

#3  2008-04-15 11:58:12

  ukasz - Użytkownik

ukasz
Użytkownik
Skąd: wroclaw
Zarejestrowany: 2006-06-21

Re: pytanie o iptables i reguly uslug wewnetrznych (np. portmap)

nie jest normalne to ze ci nie chce sie portmap odpalic jak masz wlaczonego firewalla. ja nigdy tak nie mialem.

http://wiblo.pl/wilk/userbars/debian_user_black.png

Offline

 

 

Strony: 1

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)