Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2008-03-23 18:04:48

  blazej2 - Użytkownik

blazej2
Użytkownik
Zarejestrowany: 2008-03-23

Linux, problem z routerem.

Mam problem, jeżeli mi pomożecie będę wdzięczny, przesyłam iptables z linuxa. Router nie chce mi przpuścić poczty w outlook'u.

# Uruchomienie przekazywania pakietow
echo "1" > /proc/sys/net/ipv4/ip_forward
modprobe ip_nat_ftp

#### *********** PARAMETRYZACJA *********** ####

echo "Ustawiam parametry dla IPTABLES"

# interfejsy
INTER="eth1"
SIEC10="eth0"
SIECPROXY="eth2"

# ip serwera od strony lanu bez ostatniej cyfry i kropki (prefix)
LAN=10.0.1

# ip serwera od strony lanu
LAN10="10.0.1.0/24"
LANPROXY="10.0.2.0/24"
IPZEWN="xx.xx.xxx.xxx"
IPLAN10="10.0.1.211"
IPLANPROXY="10.0.2.1"

# porty otwarte dla LAN10
TCP_OPEN_15="20,21,22,23,25,37,42,53,70,79,80,81,88,109,110"
TCP_OPEN_30="113,115,119,143,194,443,465,993,995,1550,6664,6665,6666,6667,6668"
TCP_OPEN_31="143,5579,27960,100,17001,27961,27962,17000"
TCP_OPEN_45="8074,64444,5579,5000,5020,5001,5002,5003,5004,5005,5006,5007,5008,5009,5010"
TCP_OPEN_60="5011,5012,5013,5014,5015,5016,5017,5018,5019,14000,14020,14001,14002,14003,14004"
TCP_OPEN_75="14005,14006,14007,14008,14009,14010,14011,14012,14013,14014,14015,14016,14017,14018,14019"
TCP_OPEN_90="17001,6601,27960,29960,412,411,1412,2240,2234,1719,1720"
UDP_OPEN_15="37,42,53,69,412,411,1412,16384,16385,23,443"
UDP_OPEN_30="123,5579,29960,27960,17001,27961,27962,17000"

#### ******** REGULY INICJUJACE ******* ####

echo "Ustawiam reguly dla IPTABLES"

## CZYSZCZENIE TABLICY

iptables -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
iptables -F -t nat
iptables -F -t mangle

## ZABLOKOWANIE WSZYSTKIEGO

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# wylaczenie odpowiedzi na pingi dla interfejsu internetowego
iptables -A INPUT -p icmp -i $INTER -j DROP
iptables -A OUTPUT -p icmp -o $INTER -j DROP

## TWORZENIE DODATKOWYCH LANCUCHOW
echo "Tworzenie lancuchow"
iptables -N bad_tcp_packets
iptables -N allowed
iptables -N lan_inet
iptables -N sciaganie

### >>>>>>>>> KONFIGURACJA DODATKOWYCH LANCUCGOW <<<<<<<<<<< ##
echo "Konfiguracja lancuchow"

iptables -A bad_tcp_packets -p TCP --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
iptables -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

#Lancuch allowed
iptables -A allowed -p tcp --tcp-flags ALL SYN -m state --state NEW -j ACCEPT
iptables -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A allowed -p TCP -j DROP

# Lancuch lan_inet

iptables -A lan_inet -p TCP -i $SIEC10 -m multiport --dport $TCP_OPEN_15 -j allowed
iptables -A lan_inet -p TCP -i $SIEC10 -m multiport --dport $TCP_OPEN_30 -j allowed
iptables -A lan_inet -p TCP -i $SIEC10 -m multiport --dport $TCP_OPEN_31 -j allowed
iptables -A lan_inet -p TCP -i $SIEC10 -m multiport --dport $TCP_OPEN_45 -j allowed
iptables -A lan_inet -p TCP -i $SIEC10 -m multiport --dport $TCP_OPEN_60 -j allowed
iptables -A lan_inet -p TCP -i $SIEC10 -m multiport --dport $TCP_OPEN_75 -j allowed
iptables -A lan_inet -p TCP -i $SIEC10 -m multiport --dport $TCP_OPEN_90 -j allowed
iptables -A lan_inet -p UDP -i $SIEC10 -m multiport --dport $UDP_OPEN_15 -j allowed
iptables -A lan_inet -p UDP -i $SIEC10 -m multiport --dport $UDP_OPEN_30 -j allowed

# Lancuch sciaganie

# iptables -A sciaganie -m ipp2p --kazaa -j DROP
iptables -A sciaganie -i $SIEC10 -o $INTER -j lan_inet
iptables -A sciaganie -p tcp -i $SIEC10 --dport 20:1023 -j allowed
iptables -A sciaganie -p tcp -i $SIEC10 --dport 1400:65535 -j allowed
# iptables -A sciaganie -p tcp -i $SIEC10 --dport 5000:6000 -j allowed
iptables -A sciaganie -p tcp -i $SIEC10 --dport 411:412 -j allowed
iptables -A sciaganie -p udp -i $SIEC10 --dport 411:412 -j allowed
iptables -A sciaganie -p udp -i $SIEC10 --dport 600:1023 -j allowed
iptables -A sciaganie -p udp -i $SIEC10 --dport 1400:65535 -j allowed

#### ********** DEFINICJE REGUL ********** ####

## >>>>>>> strategia lancucha INPUT <<<<<<<<<<< ##

# zezwolenie na wymiane pakietow miedzy dynamicznie przydzielonymi portami
echo "INPUT 1"
# iptables -A INPUT -p ALL -d $IPZEWN -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -A INPUT -p ALL -d $LAN10 -m state --state ESTABLISHED,RELATED -j ACCEPT

# zezwolenia na INPUT z SIEC10
echo "INPUT 2"
iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -i $SIEC10 -p icmp -s any/0 --icmp-type 0 -j ACCEPT
# iptables -A INPUT -i $SIEC10 -p icmp -s any/0 --icmp-type 4 -j ACCEPT
# iptables -A INPUT -i $SIEC10 -p icmp -s any/0 --icmp-type 12 -j ACCEPT
# iptables -A INPUT -i $SIEC10 -p icmp -s any/0 --icmp-type 3 -j ACCEPT
# iptables -A INPUT -i $SIEC10 -p tcp -m multiport --dport $TCP_OPEN -j ACCEPT
# iptables -A INPUT -i $SIEC10 -p udp -m multiport --dport $UDP_OPEN -j ACCEPT

# ruch na PROXY

echo "ustawiam PROXY"
iptables -A INPUT -s $LANPROXY -d 0/0 -j ACCEPT
iptables -A INPUT -s 0/0 -d $LANPROXY -j ACCEPT

# zezwolenie na ssh dla wybranych adresow
echo " ustawiam SSH"
iptables -A INPUT -p tcp -s 10.0.1.200 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 195.117.137.70 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 80.50.9.118 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 83.16.251.74 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 10.0.1.202 --dport 22 -j ACCEPT

echo "SCIAGANIE"
## >>>>>>>>>>> DOZWOLENIE NIEKTORYM NA SCIAGANIE <<<<<<<<<<<<<<<##
##################################################################

# iptables -t filter -A FORWARD -s 10.0.1.177 -d 0/0 -j sciaganie
# iptables -t filter -A FORWARD -d 10.0.1.177 -s 0/0 -j sciaganie
# iptables -t filter -A FORWARD -s 10.0.1.183 -d 0/0 -j sciaganie
# iptables -t filter -A FORWARD -d 10.0.1.183 -s 0/0 -j sciaganie
# iptables -t filter -A FORWARD -s 10.0.1.128 -d 0/0 -j sciaganie
# iptables -t filter -A FORWARD -d 10.0.1.128 -s 0/0 -j sciaganie
# iptables -t filter -A FORWARD -s 10.0.1.180 -d 0/0 -j sciaganie
# iptables -t filter -A FORWARD -d 10.0.1.180 -s 0/0 -j sciaganie
# iptables -t filter -A FORWARD -s 10.0.1.171 -d 0/0 -j sciaganie
# iptables -t filter -A FORWARD -d 10.0.1.171 -s 0/0 -j sciaganie
# iptables -t filter -A FORWARD -s 10.0.1.149 -d 0/0 -j sciaganie
# iptables -t filter -A FORWARD -d 10.0.1.149 -s 0/0 -j sciaganie
# iptables -t filter -A FORWARD -s 10.0.1.144 -d 0/0 -j sciaganie
# iptables -t filter -A FORWARD -d 10.0.1.144 -s 0/0 -j sciaganie
# iptables -t filter -A FORWARD -s 10.0.1.191 -d 0/0 -j sciaganie
iptables -t filter -A FORWARD -d 10.0.1.205 -s 0/0 -j sciaganie
iptables -t filter -A FORWARD -s 10.0.1.205 -d 0/0 -j sciaganie
# iptables -t filter -A FORWARD -d 10.0.1.180 -s 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 10.0.1.200 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -d 10.0.1.200 -s 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 10.0.1.119 -d 0/0 -j sciaganie
iptables -t filter -A FORWARD -d 10.0.1.119 -s 0/0 -j sciaganie
iptables -t filter -A FORWARD -s 10.0.1.141 -d 0/0 -j sciaganie
iptables -t filter -A FORWARD -d 10.0.1.141 -s 0/0 -j sciaganie
iptables -t filter -A FORWARD -s 10.0.1.201 -d 0/0 -j sciaganie
iptables -t filter -A FORWARD -d 10.0.1.201 -s 0/0 -j sciaganie
# iptables -t filter -A FORWARD -s 10.0.1.180 -d 0/0 -j ACCEPT

iptables -t filter -A FORWARD -s 0/0 -d 0/0 -j sciaganie
iptables -t filter -A FORWARD -d 0/0 -s 0/0 -j sciaganie

##################################################################

## >>>>>>>>>>> strategia lancucha FORWARD <<<<<<<<<<<<< ##

# udostepnianie polaczenia dla sieci
echo "FORWARD 1"
# iptables -t filter -A FORWARD -s $LAN10 -d 0/0 -j ACCEPT
# iptables -t filter -A FORWARD -s 0/0 -d $LAN10 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d $LANPROXY -j ACCEPT
iptables -t filter -A FORWARD -s $LANPROXY -d 0/0 -j ACCEPT

# otwarcie portow pocztowych
# iptables -t filter -A FORWARD -s $LAN10 -d 0/0 -p tcp --dport 25 -j ACCEPT
# iptables -t filter -A FORWARD -s 0/0 -d $LAN10 -p tcp --dport 110 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -t filter -A FORWARD -p udp --dport 25 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 110 -j ACCEPT
iptables -t filter -A FORWARD -p udp --dport 110 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 995 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 465 -j ACCEPT

# ubicie p2p
# iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP
# iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP
# iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP
# iptables -A FORWARD -m ipp2p --gnu --apple --soul -j DROP
# iptables -A FORWARD -m ipp2p --dc --winmx -j DROP

# akceptowanie portow dozwolonych
echo "FORWARD 2"
iptables -A FORWARD -i $SIEC10 -o $INTER -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $INTER -o $SIEC10 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $SIEC10 -o $INTER -j lan_inet

# zabronienie wymiany miedzy sieciami LAN
echo "FORWARD 3"
iptables -A FORWARD -s $LAN10 -d $LANPROXY -j DROP
iptables -A FORWARD -d $LAN10 -s $LANPROXY -j DROP

# zezwolenie na wymiane pakietow miedzy zaakceptowanymi polaczeniami
# iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

## >>>>>>>>>> strategia lancucha OUTPUT <<<<<<<<<< ##
echo "OUTPUT 3"
# zezwolenie na wymiane pakietow miedzy zaakceptowanymi polaczeniami
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p ALL -s $LAN10 -j ACCEPT
iptables -A OUTPUT -p ALL -s $LANPROXY -j ACCEPT
iptables -A OUTPUT -p ALL -s $IPZEWN -j ACCEPT

## ustawienie maskarady
iptables -t nat -F
iptables -t nat -A POSTROUTING -o $INTER -s $LAN10 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $INTER -s $LANPROXY -d 0/0 -j MASQUERADE

echo "Koniec ustawien firewalla"

########## ********** DEFINICJE LIMITOW ************** ###########

#ilosc polaczen na usera

ILOSC=80

echo " Limity polaczen dla $SIEC10 !!! "

#ilosc ip z sieci od ip nr 2 ( w tym przypadku do ip 199)
ILE=199

#for (( (i=$ILE,IP=2); (i=$i-1); (IP=$IP+1) )) ; do
#iptables -A PREROUTING -t mangle -p tcp -s ${LAN}.${IP} -m connlimit --connlimit-above $ILOSC -i $SIEC10 -j DROP
#done;

echo " Limity polaczen dla $SIEC195 !!! "

#ilosc ip z sieci od ip nr 70 ( w tym przypadku do ip 127)
ILE=127

#for (( (i=$ILE,IP=2); (i=$i-1); (IP=$IP+1) )) ; do
#iptables -A PREROUTING -t mangle -p tcp -s ${LAN2}.${IP} -m connlimit --connlimit-above $ILOSC -i $SIEC195 -j DROP
#done;

echo "Koniec ustawien limitow"

echo " Zakonczylem konfiguracje IPTABLES "[/quote]

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Możesz wyłączyć AdBlock — tu nie ma reklam ;-)

[ Generated in 0.028 seconds, 9 queries executed ]

Informacje debugowania

Time (s) Query
0.00012 SET CHARSET latin2
0.00007 SET NAMES latin2
0.00100 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.231.167.166' WHERE u.id=1
0.00879 UPDATE punbb_online SET logged=1600891159 WHERE ident='3.231.167.166'
0.00121 SELECT * FROM punbb_online WHERE logged<1600890859
0.00085 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=10963 AND t.moved_to IS NULL
0.00016 SELECT search_for, replace_with FROM punbb_censoring
0.00196 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=10963 ORDER BY p.id LIMIT 0,25
0.01132 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=10963
Total query time: 0.02548 s