Forum Debian Users Gang

sata11 · 2011-12-07 03:24:36

Nie wiem jak skonfigurować iptables. Daje polecenie polecenia

Kod:

iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F

a potem dla pewności jeszcze

Kod:

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

I po podaniu polecenia nmap -p 80 192.168.1.50 mam komunikat że port 80/tcp jest zamknięty. Dlatego pytam bo nie mogę ułożyć prostego firewolla żeby blokował wszystko co przychodzi czyli INPUT i FORWARD na DROP i odblokować port 80 do internetu poleceniem

Kod:

iptables -A INPUT --protocol tcp --destination-port 80 -j ACCEPT

Ale dalej krzyczy ,że port 80 zamknięty. Chciałem udostępnić internet w sieci lokalnej ale też nie działało.

Kod:

iptables -t nat -A POSTROUTING -s 192.168.28.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.28.0/24 -j ACCEPT

Za pomocą SNAT ale też nie działało. Proszę o pomoc.

kamikaze · 2011-12-07 08:15:05

Poczytałeś cokolwiek o iptables? Chociaż man poczytaj, co to -P znaczy, -A, INPUT, OUTPUT itd. Bo w tej chwili jesteś kolejny zdolny co pisze firewalla, który niczego nie blokuje. Ustawiłeś wszystkie polityki na ACCEPT, wszystko masz otwarte, inne regułki na ACCEPT są zbedne i tak wszystko otworzone. Port 80 zamknięty bo pewnie nic na nim nie słucha, odpal jakiś serwer WWW najpierw.

Yampress · 2011-12-07 14:29:22

Każdy chce mieźć podane wszystko na tacy bez minimum czasu swojego włożonego w to co robi.
Nic nowego http://www.bsdguru.org/dyskusja/viewtopic.php?t=20723 ]:->

sata11 · 2011-12-07 21:14:29

Najlepiej człowiekowi napisać ,że nic nie umie. Przecież napisałem ,albo zapomniałem napisać ,że na początku dałem domyślną politykę na

Kod:

iptables -P FORWARD DROP
iptables -P INPUT DROP

A potem poleceniem

Kod:

iptables -A INPUT --protocol tcp --destination-port 80 -j ACCEPT

odblokowałem port 80 na odbieranie ,ale dziwi mnie to ,że nmap podaje że jest zamknięty jak dałem żeby był otwarty. Po tym wyczyściłem tablice i dałem dla pewności wszystko na ACCEPT ,ale mimo to nmap dalej twierdził że jest zamknięty. O to mi w dużym skrócie chodzi ,a nie że podstaw nie czytałem.

kamikaze · 2011-12-07 21:49:01

No bo nie umie... nawet czytać. Przeczytaj swojego pierwszego posta żeby wiedzieć co na pewno przecież napisałeś (sorry, ale zwykle nie mamy wiedzy o tym co pytający zapomniał napisać, ani nie potrafimy czytać w myślach). Potem przeczytaj drugiego posta, gdzie masz odpowiedź na swoje pytanie. To chyba tyle w tym temacie.

rulezdc · 2011-12-07 22:31:38

Kod:

 netstat -taupan | grep :80

prawdę nam powie

sata11 · 2011-12-07 23:10:51

To ktoś może mi łopatologicznie wytłumaczyć o co chodzi w tym wszystkim. Próbuje postawić router na debianie WAN 192.168.1.50/24 LAN 192.168.28.1 Mam na nim dhcp. Zamierzam jeszcze zainstalować binda z przekazywaniem dalej. Chcę konfigurować w domyślnej lokalizacji ponieważ w przyszłości zainstaluje DRBLa i sam doda sobie porty. A więc robie tak. Najpierw czyszczę wszystko:

Kod:

iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F

Ustawiam domyślną politykę:

Kod:

iptables -P FORWARD DROP
iptables -P INPUT DROP

Odblokowuje port 80:

Kod:

iptables -A INPUT --protocol tcp --destination-port 80 -j ACCEPT
iptables -A FORWARD --protocol tcp --destination-port 80 -j ACCEPT

Analogicznie dla portu 53. Włączam przekazywanie IP aby można było NATować:

Kod:

echo "1" > /proc/sys/net/ipv4/ip_forward

Dalej udostępniam internet:

Kod:

iptables -t nat -A POSTROUTING -s 192.168.28.0/24 -d 0.0.0.0/0 -j SNAT --to-source 192.168.1.50

I to z tego co wiem powinno działać ale nie wiem dlaczego nie chce. Dodałem jeszcze ping tak, ale nie jestem pewien czy jest to dobra konstrukcja:

Kod:

iptables -A INPUT -p icmp -s 0.0.0.0/0 -j ACCEPT

I nie mogę pingować na serwerze. Dałem jeszcze na routowanie

Kod:

iptables -A FORWARD -p icmp -s 0.0.0.0/0 -j ACCEPT

Dopiero jak dodałem:

Kod:

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 192.168.28.0/24 -p udp --dport 53 -m state --state NEW -j ACCEPT
iptables -A FORWARD -s 192.168.28.0/24 -p tcp --dport 80 --syn  -m state --state NEW -j ACCEPT

iptables -A FORWARD -p icmp -m state --state NEW -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 192.168.0.0/16 -p udp --dport 53 -m state --state NEW -j ACCEPT
iptables -A INPUT -s 192.168.0.0/16 -p tcp --dport 80 --syn  -m state --state NEW -j ACCEPT

iptables -A INPUT -p icmp -m state --state NEW -j ACCEPT

Zadziałało. była zła brama w ustawieniach klienta. jeszcze mam pytanie bo te odblokowanie pinga mnie denerwuje. Czy jest to dobra konfiguracja czyli źródło na dowolny ip??Oraz nie rozumiem o co chodzi z tymi komendami z:
ESTABLISHET -pakiet należący do istniejącego połączenia;
RELATED - pakiet związany z połączeniem już ustanowionym, ale nie będący jego częścią;
Te ostatnie linijki spisałem żywcem z forum i nie bardzo orientuje się o co w nich chodzi ,a bez nich nie działa.

Ostatnio edytowany przez sata11 (2011-12-07 23:23:34)

Jacekalex · 2011-12-07 23:51:36

A podobno Google i inne szukajki są dla ludziów...

Mnie zazwyczaj wywalają takie wyniki:
http://dug.net.pl/drukuj/31/udostepnienie_polaczenia_internetowego_%28masq%29/

A tutaj fajny opis do Gentoo, inne nazwy i składnia niektórych plików konfiguracyjnych, trza myśleć:
http://www.gentoo.org/doc/pl/home-router-howto.xml

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2011-12-07 23:52:30)

sata11 · 2011-12-08 00:55:47

Dałeś mi linki do gotowców gdzie otwierają wszystko a potem blokują ,a ja chce odwrotnie. Dzięki za linki bo przynajmniej wiem co jeszcze mogę dodać ,ale i tak nie ma tam do końca odpowiedzi na moje pytanie. Nasuwa mi się kolejne. Gdzie i jak zapisać konfiguracje iptables bo iptables-save działa ,ale po restarcie znowu pusta tablica. Nie chcę tworzyć pliku wykonywalnego bo jak wspomniałem zamierzam dodać DRBLa i on doda swoje regułki a ja nie wiem gdzie one się zapisują? Nie chcę po prostu by po restarcie DRBL mi nie działał.

Ostatnio edytowany przez sata11 (2011-12-08 00:56:46)

winnetou · 2011-12-08 01:16:27

[quote="sata11"]Dałeś mi linki do gotowców gdzie otwierają wszystko a potem blokują ,a ja chce odwrotnie.[/quote]
A o inwersji słyszał? :)
Hint: Zablokuj wszystko, a potem otwórz co potrzebujesz.
Hint2: Najpierw ACCEPT zamień na DROP/REJECT a potem DROP/REJECT i porty/IP daj na ACCEPT :)

[quote="sata11"]Gdzie i jak zapisać konfiguracje iptables bo iptables-save działa ,ale po restarcie znowu pusta tablica.[/quote]
A zrób choćby nawet, o ile dobrze pamiętam bo Debiana nie mam teraz pod ręką, w /etc/rcS.d i /etc/rcX.d/ stwórz skrypty które wykonają polecenie

Kod:

iptables-save > /sciezka/do/pliku

i

Kod:

iptables-restore < /sciezka/do/pliku

I przy zamykaniu systemu zapisze Ci dokładnie całego FW do pliku a przy starce przywróci - nie stracisz nawet pół linijki z tego co dodał DRBL

sata11 · 2011-12-10 02:43:15

I o to mi chodziło. Dzięki. Nie mogłem znaleźć tego polecenia.

hello_world · 2011-12-10 18:42:43

A ja "odkryłem" firewalla [url=https://help.ubuntu.com/community/UFW]ufw[/url]
Teraz to przyjemność jest tworzenie firewalla. Nie wiem jak z bardzo, bardzo wymagającymi regułami ale do zastosowań desktopowych i prostych serwerów jak ulał.

Jacekalex · 2011-12-10 19:15:10

Funkcjonalność ufw (albo i lepszą) masz bez żadnych kombinacji w zasięgu myszki, wystarczy Webmina zainstalować.

Kłopot też w tym, że funkcjonalność ufw kończy się na module limit, za to moduły typu connlimit, hashlimit, recent, musisz i tak klepać ręcznie (o xtables-addons, imq czy L7 nie wspominając), a potem pomodlić się, żeby przy restarcie ufw szlag ich nie trafił.

W dodatku, jak coś działa inaczej niż powinno, to ja mogę walnąć [b]iptables -S[/b], i od razu widzę, co jest grane, natomiast do przejrzenia podobnego wyniku przy ufw czy firestarterze potrzebowałbym karty pływackiej :D

[quote=sata11]Dałeś mi linki do gotowców gdzie otwierają wszystko a potem blokują ,a ja chce odwrotnie. Dzięki za linki bo przynajmniej wiem co jeszcze mogę dodać ,ale i tak nie ma tam do końca odpowiedzi na moje pytanie. ....[/quote]
Bardzo przepraszam, za moich czasów panowało takie przekonanie, że z każdego tutka człowiek bierze te informacje, które potrzebuje, ale to wymaga samodzielnego myślenia...

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2011-12-10 19:53:40)

sata11 · 2011-12-10 19:28:48

No i tak ja zrobiłem. Zauważyłem ,że brakuje u mnie poleceń do utrzymania połączenia ,to je dodałem ,a także przejrzałem polecenia dotyczące ochrony przed atakami.Napisałem tak dlatego ,żeby nie wyszło ,że chcę gotowca. Chciałem tylko małego na kierunkowania które dostałem. Jeszcze raz dzięki.

hello_world · 2011-12-10 20:17:06

@Jacekalex
Z całym szacunkiem dla Ciebie Twojej pracy, i pakietu Ntefilter(co prawda ufw bazuje na nim)
Nie wiem jak krytycznymi usługami, serwerami administrujesz ale uważam że nie każda infrastruktura, firma, potrzebuje tak wyciskać z pakietu netfilter. Czasami na brzegu stoją dedykowane firewalle a potrzba na serwerku w lanie zrobić prosty firewall.
Ponadto ufw pozwala na zdefiniowanie własnych wpisów w iptables co wyrównuje szanse. Natomiast zaletą ufw jest bardzo prosta składnia, do budowy i analizy firewalla.

Jacekalex · 2011-12-10 21:56:22

Podobno gusta nie podlegają dyskusji?
Jakiej usłudze nie otwierałbym portu na jakimkolwiek serwerze, to zawsze sprawdzam, ile równoczesnych połączeń potrafi obsłużyć demon obsługujący daną usługę, i tyle wrzucam do connlimit, choćby chodziło tylko o drukarkę.
I nie trzeba jakichś super krytycznych usług, wystarczy serwer samby w dziale księgowosci, liczącym 25 osób, kiedy wszyscy codiennie punktualnie, co do sekundy, o 15.30 chcą robić backup (równocześnie), i klną, że nie można kilkudziesięciu mega wysłać w sekundę, a serwer zdycha, switch zdycha, karta sieciowa zdycha, dyski chodzą jak wiertarki, i ogólnie jest wesoło. :xD

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2011-12-10 21:59:18)

hello_world · 2011-12-10 23:00:38

Jeśli chodzi o limit to ufw wspiera tylko te:

ufw supports connection rate limiting, which is useful for protecting against brute-force login attacks. ufw will deny connections if an IP address has attempted to initiate 6 or more connections in the last 30 seconds.[/quote]
Reguła w stylu
Kod:
ufw limit ssh
działa również z http,cups,samba czyli wszystkim co masz zdefiniowane.
Myślę, że projekt ten się przyjmie i będzie rozwijany (protokół ipv6 kuleje w tym projekcie)
Co mnie urzekło w tym narzędziu to pewna intuicyjność skonstruowania narzędzia.
Oczywiście dla człowieka, który ogarnia całego netfiltera to wygląda jak zabawka.

Time (s)	Query
0.00010	SET CHARSET latin2
0.00004	SET NAMES latin2
0.00121	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.224.31.82' WHERE u.id=1
0.00072	REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.224.31.82', 1732310652)
0.00025	SELECT * FROM punbb_online WHERE logged<1732310352
0.00082	DELETE FROM punbb_online WHERE ident='85.208.96.208'
0.00068	DELETE FROM punbb_online WHERE ident='85.208.96.212'
0.00053	SELECT topic_id FROM punbb_posts WHERE id=187650
0.00005	SELECT id FROM punbb_posts WHERE topic_id=20189 ORDER BY posted
0.00032	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=20189 AND t.moved_to IS NULL
0.00029	SELECT search_for, replace_with FROM punbb_censoring
0.00209	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=20189 ORDER BY p.id LIMIT 0,25
0.00093	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=20189
Total query time: 0.00803 s

Forum Debian Users Gang

Ogłoszenie

#1 2011-12-07 03:24:36

sata11 - Użytkownik

IPTABLES jako Router

Kod:

Kod:

Kod:

Kod:

#2 2011-12-07 08:15:05

kamikaze - Administrator

Re: IPTABLES jako Router

#3 2011-12-07 14:29:22

Yampress - Imperator

Re: IPTABLES jako Router

#4 2011-12-07 21:14:29

sata11 - Użytkownik

Re: IPTABLES jako Router

Kod:

Kod:

#5 2011-12-07 21:49:01

kamikaze - Administrator

Re: IPTABLES jako Router

#6 2011-12-07 22:31:38

rulezdc - Członek DUG

Re: IPTABLES jako Router

Kod:

#7 2011-12-07 23:10:51

sata11 - Użytkownik

Re: IPTABLES jako Router

Kod:

Kod:

Kod:

Kod:

Kod:

Kod:

Kod:

Kod:

#8 2011-12-07 23:51:36

Jacekalex - Podobno człowiek...;)

Re: IPTABLES jako Router

#9 2011-12-08 00:55:47

sata11 - Użytkownik

Re: IPTABLES jako Router

#10 2011-12-08 01:16:27

winnetou - złodziej wirków ]:->

Re: IPTABLES jako Router

Kod:

Kod:

#11 2011-12-10 02:43:15

sata11 - Użytkownik

Re: IPTABLES jako Router

#12 2011-12-10 18:42:43

hello_world - Członek DUG

Re: IPTABLES jako Router

#13 2011-12-10 19:15:10

Jacekalex - Podobno człowiek...;)

Re: IPTABLES jako Router

#14 2011-12-10 19:28:48

sata11 - Użytkownik

Re: IPTABLES jako Router

#15 2011-12-10 20:17:06

hello_world - Członek DUG

Re: IPTABLES jako Router

#16 2011-12-10 21:56:22

Jacekalex - Podobno człowiek...;)

Re: IPTABLES jako Router

#17 2011-12-10 23:00:38

hello_world - Członek DUG

Re: IPTABLES jako Router

Kod:

#18 2011-12-10 23:54:22

zlyZwierz - Moderator

Re: IPTABLES jako Router

Stopka forum

Informacje debugowania