Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam jak w temacie, Polityki INPUT OUTPUT sa ustawione na DROP
# zezwolenie nna laczenie sie z naszym zewnetrznym ip po FTP
$ipt -A INPUT -d 0/0 -d IP -p tcp --dport 21 -j ACCEP
$ipt -A INPUT -d 0/0 -d IP -p tcp --dport 21 -j ACCEPT
$ipt -A INPUT -s 0/0 -d IP -p tcp --dport 21 -j ACCEPT
$ipt -A INPUT -s 0/0 -d IP -p tcp --dport 21 -j ACCEPT
# polaczenia nawiazane
$ipt -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
$ipt -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
$ipt -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
i gdy probuje polaczyc sie z FTP to sie nie da :( Pyta o uzytkownika i haslo i KONIEC :/ Z tego co mi wiadomo to ftp 21 port na negocjacje polaczenia i losowy wysoki na transfer
Jak z tym sobiie poradzic
korzystalem z art
http://www.dug.net.pl/texty/masq.php
dzieki za odp !! :)
Offline
nie dziala :/
Offline
$IPTABLES -A INPUT -p tcp -s xxx -d yyy --dport 21 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp -s xxx -d yyy --dport 21 -m state --state NEW -j ACCEPT
xxx - ip zrodlowe, yyy ip serwera gdzie nasluchuje ftp.
Powyzsze wpisy dzialaja bez problemu kiedy na serwerze mam proftpd a za klienta urzywam http://www.smartftp.com/
Pamietaj ze jesli chcesz polaczyc sie z WEWNATRZ sieci z ip zewnetrzynym serwera, to potrzebujesz jeszcze wpisow na FORWARD gdyz te pakiety nigdy nie dotra bez nich do zewnetrznego ip....
Wiec muszisz wtedy dopisac:
$IPTABLES -A FORWARD -p tcp -s (twoje ip wew) -d (serwera ip zew) --dport 21 -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -p udp -s (twoje ip wew) -d (serwera ip zew) --dport 21 -m state --state NEW -j ACCEPT
ftp wymaga portow 21 i 20
[/quote]
nie prawda - zalezy od klienta i serwera - u mnie dziala tylko na 21, ale np. przez nortoncommander juz sie nie podlaczysz - musisz otworzyc dodatkowo port 20 (tylko nie pamietam: tcp czy udp)
pozdr
[url=http://dziecineo.prv.pl][img]http://sopot.i365.pl/neo/i/us4.jpg[/img][/url]
Offline
niestety nie dzialaja te wpisy z zewnatrz sieci.FTP dziala gdy wklepe taka regulke iptables -A INPUT -i eth1 -j ACCEPT :/ to po co tu polityka wczesniej na DROP ?? :/
z xxx wstawialem 0/0 , ip wew serwera za yyy wstawialem moje zwe ip :/ ehhh HELP ME !!
Offline
napisz dokladnie jaka masz konfiguracje sieci
jakie ethx na jakim adresie, wypisz maske, zapodaj calego firewalla, jaki daemon ftp urzywasz itd... jak dasz kompletn informacji to sie cos wymysli :-)
pozdr
Offline
eth1 - zewnetrzby adres ip
eth0 - 192.168.1.1
firewall
#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward
ipt="/sbin/iptables"
$ipt -F
$ipt -X
$ipt -t nat -F
$ipt -t nat -X
$ipt -t nat -Z
#polityka dzialania
$ipt -P INPUT DROP
$ipt -P FORWARD DROP
$ipt -P OUTPUT DROP
#$ipt -A INPUT -i eth1 -j ACCEPT
# zezwolenie nna laczenie sie z naszym zewnetrznym ip po ssh
$ipt -A INPUT -s 0/0 -d 85.89.168.117 -p tcp --dport 22 -j ACCEPT
$ipt -A OUTPUT -s 0/0 -d 85.89.168.117 -p tcp --dport 22 -j ACCEPT
$ipt -A INPUT -s 0/0 -d 85.89.168.117 -p udp --dport 22 -j ACCEPT
$ipt -A OUTPUT -s 0/0 -d 85.89.168.117 -p udp --dport 22 -j ACCEPT
# Apache
$ipt -A INPUT -s 0/0 -d 85.89.168.117 -p tcp --dport 80 -j ACCEPT
$ipt -A OUTPUT -s 0/0 -d 85.89.168.117 -p tcp --dport 80 -j ACCEPT
$ipt -A INPUT -s 0/0 -d 85.89.168.117 -p udp --dport 80 -j ACCEPT
$ipt -A OUTPUT -s 0/0 -d 85.89.168.117 -p udp --dport 80 -j ACCEPT
# zezwolenie nna laczenie sie z ssh po LAN
$ipt -A INPUT -s 0/0 -d 192.168.1.1 -p tcp --dport 22 -j ACCEPT
$ipt -A OUTPUT -s 0/0 -d 192.168.1.1 -p tcp --dport 22 -j ACCEPT
$ipt -A INPUT -s 0/0 -d 192.168.1.1 -p udp --dport 22 -j ACCEPT
$ipt -A OUTPUT -s 0/0 -d 192.168.1.1 -p udp --dport 22 -j ACCEPT
# FTP
$ipt -A FORWARD -p tcp -s 192.168.1.1 -d 85.89.168.117 --dport 21 -m state --state NEW -j ACCEPT
$ipt -A FORWARD -p udp -s 192.168.1.1 -d 85.89.168.117 --dport 21 -m state --state NEW -j ACCEPT
$ipt -A FORWARD -p tcp -s 192.168.1.1 -d 85.89.168.117 --dport 20 -m state --state NEW -j ACCEPT
$ipt -A FORWARD -p udp -s 192.168.1.1 -d 85.89.168.117 --dport 20 -m state --state NEW -j ACCEPT
$ipt -A INPUT -p tcp -s 0/0 -d 85.89.168.117 --dport 21 -m state --state NEW -j ACCEPT
$ipt -A INPUT -p udp -s 0/0 -d 85.89.168.117 --dport 21 -m state --state NEW -j ACCEPT
$ipt -A INPUT -p tcp -s 0/0 -d 85.89.168.117 --dport 20 -m state --state NEW -j ACCEPT
$ipt -A INPUT -p udp -s 0/0 -d 85.89.168.117 --dport 20 -m state --state NEW -j ACCEPT
# polaczenia nawiazane
$ipt -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
$ipt -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
$ipt -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
#Moj komputer(old)==================j
$ipt -t nat -A POSTROUTING -o eth1 -s 192.168.1.2 -j SNAT --to 85.89.168.117
$ipt -A FORWARD -m mac --mac-source 00:A0:CC:7B:81:92 -j ACCEPT
#iptables -A PREROUTING -t nat -s 192.168.1.2 -p tcp --dport 1:65535 -j DNAT --to-destination 192.168.1.1:999
#============================== P O R T Y
#Karolina===============================Karolina=============================================
$ipt -t nat -A POSTROUTING -o eth1 -s 192.168.1.3 -j SNAT --to 85.89.168.117
$ipt -A FORWARD -m mac --mac-source 00:05:1C:1C:4A:5C -j ACCEPT
#Blokada P2P
#iptables -A FORWARD -d 192.168.1.3 -m ipp2p --ipp2p -j DROP
#iptables -A FORWARD -s 192.168.1.3 -m ipp2p --ipp2p -j DROP
#Blokada Netu
#iptables -A PREROUTING -t nat -s 192.168.1.9 -p tcp --dport 1:65535 -j DNAT --to-destination 192.168.1.1:200
#Darek===========================Darek================================================================
$ipt -t nat -A POSTROUTING -o eth1 -s 192.168.1.4 -j SNAT --to 85.89.168.117
$ipt -A FORWARD -m mac --mac-source 00:14:85:88:23:A2 -j ACCEPT
#Blokada P2P
#iptables -A FORWARD -d 192.168.1.4 -m ipp2p --ipp2p -j DROP
#iptables -A FORWARD -s 192.168.1.4 -m ipp2p --ipp2p -j DROP
#Blokada Netu
#iptables -A PREROUTING -t nat -s 192.168.1.4 -p tcp --dport 1:65535 -j DNAT --to-destination 192.168.1.1:200
#----------------------------------------------------------------------------------------------------------------------------
deamon ftp vsftpd
Offline
deamon ftp vsftpd
[/quote]
wiec jeszcze config daemona poprosze
Ten Firewall to wogole chaos straszny jest.... czy eth0 (lokalny) jest "bezpieczny" w sesie - czy nikt Ci sie nie podlaczy do niego na lewo ??
jesli tak to pozwole sobie zaproponowac do tego firewall pare zmian....
pozdr
[url=http://dziecineo.prv.pl][img]http://sopot.i365.pl/neo/i/us4.jpg[/img][/url]
Offline
oto konfig vsftpd
# Standalone? listen=YES #Anonimowi anonymous_enable=NO no_anon_password=NO anon_world_readable_only=NO anon_upload_enable=NO hide_ids=YES anon_max_rate=7000 write_enable=YES local_umask=0177 # Czy lokalni userzy mog. si� logowa local_enable=YES # Mo�na zapisywa write_enable=YES # Standardowy umask plik local_umask=022 # Logowanie? xferlog_enable=YES # Katalog log xferlog_file=/var/log/xferlog # Format log xferlog_std_format=YES # Mo�liwo.� uploadu ascii? ascii_upload_enable=YES # Mo�liwo.� downloadu ascii? ascii_download_enable=YES # Po�.czenia z portu 20? (port ftp-data) connect_from_port_20=YES # Zamyka� user�w w ich home? chroot_list_enable=YES chroot_local_user=NO chroot_list_file=/etc/vsftpd.chroot_list # Bez zmian userlist_deny=NO pam_service_name=vsftpd xferlog_std_format=YES xferlog_file=/var/log/xferlog.log
Czy jest bezpieczny tego nie wiem :|
Bardzo prosze o wszelkie uwagi i jakies zmiany w celu lepszego zabezpieczenie serwera. Dopiero sie ucze wiec za wszelkie informacje bede wdzieczny
Offline
$ipt -F powinno byc nad maskarada, takto net dziala, ale FTP nadal nie :/ FUCK FUCK FUCK
btw w art BieXi
najpierw jest czyszczenie reguł
pozniej polityka
zezwolenie nna laczenie sie z naszym zewnetrznym ip po ssh
polaczenia nawiazane
udostepniaie internetu w sieci lokalnej
Natomiast u mnie aktualnie:
czyszczenie regul
natujemy kompy userow - maskarada
polityka dzialania
polaczenia nawiazane
zezwolenie nna laczenie sie z naszym zewnetrznym ip po ssh
Jaka powinna byc prawidłowa kolejnosc :) ??
Offline
eee zaraz chwila.... bo ja dzisiaj troszke niekontaktujacy jestem....
wstukaj ten skrypt co Ci zapodalem i sprawdz czy dziala - jaki jest efekt
ipt -F powinno byc nad maskarada, takto net dziala, ale FTP nadal nie :/ FUCK FUCK FUCK
[/quote]
chyba ze juz wstukales i efekt masz taki jak powyzej... :-)
FTP: Twoj serwer prawdopodobnie nasluchuje tylko na ip lokalnym dlatego nie mozesz sie podlaczyc na publiczne.
zainstaluj proftpd zamiast tego co masz teraz i z moim skryptem sprawdz czy dziala - powinno.
jesli nada nie - zainstaluj nmap i zapodaj wynik polecen
nmap 192.168.1.1
nmap twoje_ip_publiczne
pozdr
[url=http://dziecineo.prv.pl][img]http://sopot.i365.pl/neo/i/us4.jpg[/img][/url]
Offline
Szczur[R] moglbys mi dac jakis pliczek konfiguracyjny proftpd??
Offline
moglbym.... standardowy :)
proftpd nie wymaga zadnych zmian w configu do uruchomienia: pisalem zebys z niego skorzystal bo on domyslnie nasluchuje na wszystkich interfajsach i wykluczysz w ten sposob problem z konfigiem daemona ftp.
Wiec poprostu zainstaluj i sprawdz czy sie polaczysz. Urzyj tez ewentualnie tego klienta smartftp do ktorego linka juz gdzies dalem w tym topic'u
jesli nie idzie dalej to zeskanuj nmapem - bedzie widac czy sa porty otwarte i czy cos na nich nasluchuje. Najlepiej jakbys skanowal z innego kompa - nie lokalnie z serwera - czyli ip publiczne z jakiegos kompa w necie a lokalne z sieci wewnetrznej.
pozdr
Offline
20 i 21 to już historia w sumie :)
teraz najczęściej 21 i passive ports
z proftpd.conf
# Port 21 is the standard FTP port. Port 21 PassivePorts 49152 49999
Jak masz firewall stateless to te porty (49152 - 49999) odblokuj na firewallu , jak masz stateful , to wpuszczasz --dport 21 -m state --state NEW , a porty dla passive mode wpuszczasz już regułką dla -m state --state RELATED
router ~ # cat /etc/proftpd/proftpd.conf |grep -v "#" ServerName "INGRAM FTP server" ServerType standalone DeferWelcome off MultilineRFC2228 on DefaultServer on ShowSymlinks on TimeoutNoTransfer 600 TimeoutStalled 600 TimeoutIdle 1200 DisplayLogin welcome.msg DisplayFirstChdir .message ListOptions "-l" DenyFilter *.*/ TLSEngine on Port 21 PassivePorts 49152 49999 MaxLoginAttempts 3 MaxClients 20 ">>> Za duzy tlok na serwerze sproboj pozniej <<<" MaxClientsPerHost 5 ">>> Za duzo polaczen z tego samego hosta(IP)!!! <<<" ExtendedLog /var/log/proftpd/proftp.log DefaultRoot ~ RequireValidShell off MaxInstances 30 User nobody Group nogroup Umask 022 022 AllowOverwrite on <IfModule mod_tls.c> TLSEngine on TLSLog /var/log/proftpd/tls.log TLSProtocol TLSv1 TLSRequired off TLSRSACertificateFile /etc/proftpd/server.crt TLSRSACertificateKeyFile /etc/proftpd/server.key TLSCACertificateFile /etc/proftpd/ca.crt TLSVerifyClient off </IfModule> <Limit SITE_CHMOD> AllowUser frutico AllowUser przemekk AllowUser lukaszm AllowUser kppsp DenyAll </Limit>
Offline
nadal NIC !!!! :/:/:/:/ nie dziala, ma ktos moze jeszcze jakis pomysł ??????
Offline
teraz najczęściej 21 i passive ports
[/quote]
zlyZwierz: wogole o tym nie pomyslalem, nawet nie wzialem tego pod uwage
I..... sie juz sam pogubilem :) w proftpd domyslnie jest passive mode ?? no bo wsumie to mam u siebie tylko 21 i RELATED wpuszczone i mi dziala - nawet nie wiedzialem ze na portach 49152 49999 (swiecie bylem przekonany ze na 21 wlasnie) bo nie zagladlem do configa.... lol :)
Wczoraj zapodalem tu firewalla zamiast tego co kolega wyskrobal (ale gdzies zniknal...) Powiedz mi gdzie jest blad w nim - bo stepien86 napisal ze z tym skryptem + proftpd tez mu nie dziala. Wiec albo mnie to chorubsko juz calkiem ztepilo :) albo szukamy przyczyny tam gdzie nie trzeba bo wpuszcza on RALATED i port 21 - wiec czemu proftp nie smiga.
firewall
#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward
ipt="/sbin/iptables"
wanip="85.89.168.117"
ip1="192.168.1.1"
#Natujemy kompy userow - maskarada
$ipt -F -t nat
$ipt -t nat -I POSTROUTING -s 192.168.1.2 -o eth1 -j MASQUERADE
$ipt -t nat -I POSTROUTING -s 192.168.1.3 -o eth1 -j MASQUERADE
$ipt -t nat -I POSTROUTING -s 192.168.1.4 -o eth1 -j MASQUERADE
$ipt -F
#polityka dzialania
$ipt -P INPUT DROP
$ipt -P FORWARD DROP
$ipt -P OUTPUT DROP
# polaczenia nawiazane
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -m state --state ! INVALID -j ACCEPT
# SSH - 192.168.1.0/24 oznacza cala siec, jesli chcesz tylko z jednego kompa to wpisz jego ip.
$ipt -A INPUT -s 0/0 -d $wanip -p tcp --dport 22 -j ACCEPT
$ipt -A INPUT -s 192.168.1.0/24 -d $ip1 -p tcp --dport 22 -j ACCEPT
# Apache - napewno chcesz zeby Twoj serwer www byl widoczny z kadkolwiek ?? moze z lanu wystarczy.....
$ipt -A INPUT -s 0/0 -d $wanip -p tcp --dport 80 -j ACCEPT
$ipt -A INPUT -s 0/0 -d $wanip -p udp --dport 80 -j ACCEPT
# FTP
$ipt -A INPUT -p tcp -s 0/0 -d $wanip --dport 21 -m state --state NEW -j ACCEPT
$ipt -A INPUT -p udp -s 0/0 -d $wanip --dport 21 -m state --state NEW -j ACCEPT
$ipt -A INPUT -p tcp -s 0/0 -d $wanip --dport 20 -m state --state NEW -j ACCEPT
$ipt -A INPUT -p udp -s 0/0 -d $wanip --dport 20 -m state --state NEW -j ACCEPT
#Moj komputer
$ipt -A FORWARD -m mac --mac-source 00:A0:CC:7B:81:92 -j ACCEPT
#iptables -A PREROUTING -t nat -s 192.168.1.2 -p tcp --dport 1:65535 -j DNAT --to-destination $ip1:999
#Karolina
#Blokada P2P
#iptables -A FORWARD -d 192.168.1.3 -m ipp2p --ipp2p -j DROP
#iptables -A FORWARD -s 192.168.1.3 -m ipp2p --ipp2p -j DROP
#Blokada Netu
#iptables -A PREROUTING -t nat -s 192.168.1.9 -p tcp --dport 1:65535 -j DNAT --to-destination $ip1:200
$ipt -A FORWARD -m mac --mac-source 00:05:1C:1C:4A:5C -j ACCEPT
#Darek
#Blokada P2P
#iptables -A FORWARD -d 192.168.1.4 -m ipp2p --ipp2p -j DROP
#iptables -A FORWARD -s 192.168.1.4 -m ipp2p --ipp2p -j DROP
#Blokada Netu
#iptables -A PREROUTING -t nat -s 192.168.1.4 -p tcp --dport 1:65535 -j DNAT --to-destination $ip1:200
$ipt -A FORWARD -m mac --mac-source 00:14:85:88:23:A2 -j ACCEPT
[url=http://dziecineo.prv.pl][img]http://sopot.i365.pl/neo/i/us4.jpg[/img][/url]
Offline
a kto odblokuje ruch na interfejsie lo ?
kto sprawdzi , czy stanie na etapie logowania to nie wina braku dnsa i niedostępnej bramy ?
Ja nie , bo nie mam czasu :)
Offline
hahahahaha no fakt.... ladny lol....
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
powinno byc powiedzmy pod
#polityka dzialania
$ipt -P INPUT DROP
$ipt -P FORWARD DROP
$ipt -P OUTPUT DROP
dodatkowo moszesz wpuscic port 53 - dns - jak masz np. bind'a
dodaj wiec te linijki i sprawdz jeszcze raz.
pozdr
Offline
ja mam tak jak poniżej na serwerze hostingowym i nigdy nie było problemów, nikt ani razu nie narzekał że coś jest nie tak z FTP czy z pocztą , wsio bangla az miło nawet jesli klientem FTP jest IE :)), - moze ze sie to komus przyda, no a do omawianego przypadku dodac tylko tą maskarade
proftpd.conf
ServerName "serwerek.com ServerType standalone DeferWelcome off ShowSymlinks on MultilineRFC2228 on DefaultServer on ShowSymlinks on AllowOverwrite on LogFormat traff "%b %u" TimeoutNoTransfer 600 TimeoutStalled 600 TimeoutIdle 1200 DisplayLogin welcome.msg DisplayFirstChdir .message #LsDefaultOptions "-l" DenyFilter *.*/ DefaultRoot ~ # Uncomment this if you are using NIS or LDAP to retrieve passwords: #PersistentPasswd off # Port 21 is the standard FTP port. Port 21 MaxInstances 30 User nobody Group nogroup # Normally, we want files to be overwriteable. <Directory /*> # Umask 022 is a good standard umask to prevent new files and dirs # (second parm) from being group and world writable. Umask 022 022 AllowOverwrite on HideNoAccess on </Directory> <Limit ALL> IgnoreHidden on </Limit> <Global> TransferLog /var/log/xferlog ExtendedLog /var/log/ftp_traff.log read,write traff PathDenyFilter ".quota$" </Global> <IfModule mod_delay.c> DelayEngine off </IfModule> SQLAuthTypes Crypt SQLAuthenticate on SQLConnectInfo vhcs2@localhost vftp 1SZTV9hzBCp0 SQLUserInfo ftp_users userid passwd uid gid homedir shell SQLGroupInfo ftp_group groupname gid members SQLMinID 2000 QuotaEngine on QuotaShowQuotas on QuotaDisplayUnits Mb SQLNamedQuery get-quota-limit SELECT "name, quota_type, per_session, limit_type, bytes_in_avail, bytes_out_avail, bytes_xfer_avail, files_in_avail, files_out_avail, files_xfer_avail FROM quotalimits WHERE name = '%{0}' AND quota_type = '%{1}'" SQLNamedQuery get-quota-tally SELECT "name, quota_type, bytes_in_used, bytes_out_used, bytes_xfer_used, files_in_used, files_out_used, files_xfer_used FROM quotatallies WHERE name = '%{0}' AND quota_type = '%{1}'" SQLNamedQuery update-quota-tally UPDATE "bytes_in_used = bytes_in_used + %{0}, bytes_out_used = bytes_out_used + %{1}, bytes_xfer_used = bytes_xfer_used + %{2}, files_in_used = files_in_used + %{3}, files_out_used = files_out_used + %{4}, files_xfer_used = files_xfer_used + %{5} WHERE name = '%{6}' AND quota_type = '%{7}'" quotatallies SQLNamedQuery insert-quota-tally INSERT "%{0}, %{1}, %{2}, %{3}, %{4}, %{5}, %{6}, %{7}" quotatallies QuotaLock /var/run/proftpd/tally.lock QuotaLimitTable sql:/get-quota-limit QuotaTallyTable sql:/get-quota-tally/update-quota-tally/insert-quota-tally
firewall
#!/bin/bash IPT="iptables" if [ "$1" = "stop" ] then echo "Czyszczenie firewalla rozpoczete" $IPT -F $IPT -t mangle -F $IPT -P FORWARD ACCEPT $IPT -P INPUT ACCEPT $IPT -P OUTPUT ACCEPT $IPT -X syn-flood /bin/echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all /bin/echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts /bin/echo "1" > /proc/sys/net/ipv4/conf/all/accept_source_route /bin/echo "1" > /proc/sys/net/ipv4/conf/all/accept_redirects /bin/echo "0" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses /bin/echo "0" > /proc/sys/net/ipv4/conf/all/rp_filter /bin/echo "0" > /proc/sys/net/ipv4/conf/all/log_martians echo "Czyszczenie firewalla zakonczone" exit fi echo "Konfiguracja firewalla rozpoczeta" # ustawiamy zmienne potrzebne firewallowi MOJEIP="IP.IP.IP.IP" ALIAS0="IP.IP.IP.IP" ALIAS1="IP.IP.IP.IP" ALIAS2="IP.IP.IP.IP" ALIAS3="IP.IP.IP.IP" ALIAS4="IP.IP.IP.IP" ALIAS5="IP.IP.IP.IP" ALIAS6="IP.IP.IP.IP" ALIAS7="IP.IP.IP.IP" DNS1="IP.IP.IP.IP" DNS2="IP.IP.IP.IP" # czyscimy wszystko $IPT -F -t nat $IPT -X -t nat $IPT -F -t filter $IPT -X -t filter ###################### # ustawienia wstepne # ###################### echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter echo 1 > /proc/sys/net/ipv4/conf/all/log_martians ################ # co blokujemy # ################ $IPT -P INPUT DROP $IPT -P OUTPUT ACCEPT $IPT -P FORWARD DROP # zakazane IP $IPT -A INPUT -s 88.226.67.89 -j DROP # Turkey $IPT -A INPUT -s 213.189.64.0/24 -j DROP # Kuwait $IPT -A INPUT -s 213.189.68.0/24 -j DROP # Kuwait $IPT -A INPUT -s 85.102.40.0/21 -j DROP # Turkey $IPT -A INPUT -s 85.102.48.0/20 -j DROP # Turkey $IPT -A INPUT -s 85.102.64.0/18 -j DROP # Turkey $IPT -A INPUT -s 85.102.128.0/17 -j DROP # Turkey $IPT -A INPUT -s 85.101.0.0/17 -j DROP # Turkey $IPT -A INPUT -s 85.97.16.0/20 -j DROP # Turkey $IPT -A INPUT -s 85.97.32.0/21 -j DROP # Turkey $IPT -A INPUT -s 211.206.123.0/23 -j DROP # Korean $IPT -A INPUT -s 61.152.0.0/255.255.0.0 -j DROP # China $IPT -A INPUT -s 61.191.0.0/255.255.0.0 -j DROP # China $IPT -A INPUT -s 218.22.0.0/15 -j DROP # China $IPT -A INPUT -s 220.192.0.0/12 -j DROP # China $IPT -A INPUT -s 222.176.0.0/13 -j DROP # China $IPT -A INPUT -s 202.3.208.0/20 -j DROP # Indonesia $IPT -A INPUT -s 217.27.112.0/22 -j DROP # Italy $IPT -A INPUT -s 217.27.116.0/23 -j DROP # Italy $IPT -A INPUT -s 217.27.118.0/24 -j DROP # Italy $IPT -A INPUT -s 200.49.160/20 -j DROP # Guatemala $IPT -A INPUT -s 212.138.113.0/24 -j DROP # Saudi Arabia $IPT -A INPUT -s 222.124.136.0/25 -j DROP # Indonesia $IPT -A INPUT -s 71.208.0.0/13 -j DROP # USA California $IPT -A INPUT -s 71.216.0.0/16 -j DROP # USA Californa $IPT -A INPUT -s 61.17.14.0/255.255.255.0 -j DROP # India $IPT -A INPUT -s 61.17.15.0/255.255.255.0 -j DROP # India $IPT -A INPUT -s 59.104.0.0/15 -j DROP # Taiwan $IPT -A INPUT -s 62.252.64.0/19 -j DROP # GB $IPT -A INPUT -s 58.208.0.0/12 -j DROP # China $IPT -A INPUT -s 220.192.0.0/12 -j DROP # China $IPT -A INPUT -s 219.128.0.0/13 -j DROP # China $IPT -A INPUT -s 219.136.0.0/15 -j DROP # China $IPT -A INPUT -s 218.93.112.0/30 -j DROP # China $IPT -A INPUT -s 202.105.0.0/16 -j DROP # China $IPT -A INPUT -s 61.128.128.0/19 -j DROP # China $IPT -A INPUT -s 59.32.0.0/13 -j DROP # China $IPT -A INPUT -s 59.40.0.0/15 -j DROP # China $IPT -A INPUT -s 59.42.0.0/16 -j DROP # China $IPT -A INPUT -s 131.107.0.0/16 -j DROP # Microsoft Redmond #$IPT -A INPUT -s 57.0.0.0/8 -j DROP # France ###################### # dodatkowe atrakcje # ###################### $IPT -A INPUT -p tcp --tcp-flags ALL NONE -m limit --limit 10/s --limit-burst 4 -j LOG --log-level debug --log-prefix "SKAN_NULL: " $IPT -A INPUT -p tcp --tcp-flags ALL NONE -j DROP $IPT -N skany $IPT -A INPUT -p tcp ! --syn -m state --state NEW -j skany $IPT -A skany -p tcp --tcp-flags ALL RST -m limit --limit 10/s --limit-burst 4 -j LOG --log-level debug --log-prefix "SKAN_INVERSE: " $IPT -A skany -p tcp --tcp-flags ALL RST -j DROP $IPT -A skany -p tcp --tcp-flags ALL ACK -m limit --limit 10/s --limit-burst 4 -j LOG --log-level debug --log-prefix "SKAN_TCP_PING: " $IPT -A skany -p tcp --tcp-flags ALL ACK -j DROP $IPT -A skany -p tcp --tcp-flags ALL FIN -m limit --limit 10/s --limit-burst 4 -j LOG --log-level debug --log-prefix "SKAN_FIN: " $IPT -A skany -p tcp --tcp-flags ALL FIN -j DROP $IPT -A skany -p tcp --tcp-flags ALL FIN,PSH,URG -m limit --limit 10/s --limit-burst 4 -j LOG --log-level debug --log-prefix "SKAN_XMAS-NMAP: " $IPT -A skany -p tcp --tcp-flags ALL FIN,PSH,URG -j DROP $IPT -A skany -p tcp -m limit --limit 10/s --limit-burst 4 -j LOG --log-level debug --log-prefix "SKAN_INNE: " $IPT -A skany -j DROP #$IPT -N syn-flood #$IPT -A INPUT -p tcp --syn -j syn-flood #$IPT -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN #$IPT -A syn-flood -m limit --limit 1/s --limit-burst 4 -j LOG --log-level debug --log-prefix "SYN-FLOOD: " #$IPT -A syn-flood -j DROP #$IPT -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT #$IPT -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #-------zamknicie luki w iptables--------------------- $IPT -A OUTPUT -m state -p icmp --state INVALID -j DROP echo "zamknięcia luki w iptables [OK]" # pakiety z nieporzadanych adresow $IPT -A INPUT -s $MOJEIP -j DROP # atak Land $IPT -A INPUT -s $ALIAS0 -j DROP # atak Land $IPT -A INPUT -s $ALIAS1 -j DROP # atak Land $IPT -A INPUT -s $ALIAS2 -j DROP # atak Land $IPT -A INPUT -s $ALIAS3 -j DROP # atak Land $IPT -A INPUT -s $ALIAS4 -j DROP # atak Land $IPT -A INPUT -s $ALIAS5 -j DROP # atak Land $IPT -A INPUT -s $ALIAS6 -j DROP # atak Land $IPT -A INPUT -s $ALIAS7 -j DROP # atak Land $IPT -A INPUT -s 10.0.0.0/8 -j DROP # klasa A $IPT -A INPUT -s 172.16.0.0/12 -j DROP # klasa B $IPT -A INPUT -s 192.168.0.0/16 -j DROP # klasa C $IPT -A INPUT -s 224.0.0.0/4 -j DROP # multicast $IPT -A INPUT -d 224.0.0.0/4 -j DROP # multicast $IPT -A INPUT -s 240.0.0.0/5 -j DROP # reserved #nowe poł±czenia $IPT -A INPUT -i lo -j ACCEPT $IPT -A OUTPUT -o lo -j ACCEPT $IPT -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A INPUT -p udp -m state --state ESTABLISHED -j ACCEPT #$IPT -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT echo "nowe poł±czenia [OK]" #ICMP $IPT -A INPUT -p icmp -s 0/0 -m limit --limit 3/s --limit-burst 4 -j ACCEPT #-------------zezwolenia na nowe poł±czenia---------------------- # HTTP $IPT -m state -A INPUT -p tcp --state NEW --dport 80 -j ACCEPT # FTP $IPT -m state -A INPUT -p tcp --state NEW --dport 21 -j ACCEPT # SSH $IPT -m state -A INPUT -p tcp --state NEW --dport 1960 -j ACCEPT # DNS $IPT -m state -A INPUT -p tcp --state NEW --dport 53 -j ACCEPT $IPT -m state -A INPUT -p udp --state NEW --dport 53 -j ACCEPT # HTTPS $IPT -m state -A INPUT -p tcp --state NEW --dport 443 -j ACCEPT # SMTP $IPT -m state -A INPUT -p tcp --state NEW --dport 25 -j ACCEPT # POP3 $IPT -m state -A INPUT -p tcp --state NEW --dport 110 -j ACCEPT # ufo ssh tunel $IPT -m state -A INPUT -p tcp --state NEW --dport 22 -j ACCEPT # Asterisk #$IPT -m state -A INPUT -p tcp --state NEW --dport 5060 -j ACCEPT #$IPT -m state -A INPUT -p udp --state NEW --dport 5060 -j ACCEPT # shoutcast #$IPT -m state -A INPUT -p tcp --state NEW --dport 8000 -j ACCEPT #$IPT -m state -A INPUT -p tcp --state NEW --dport 8001 -j ACCEPT echo "zezwolenia nowych poł±czeń [OK]" #----------------polaczenia nawiazane-------------------------------- $IPT -A FORWARD -p tcp -j ACCEPT -m state --state ESTABLISHED,RELATED $IPT -A OUTPUT -p tcp -j ACCEPT -m state --state ESTABLISHED,RELATED $IPT -A FORWARD -p udp -j ACCEPT -m state --state ESTABLISHED,RELATED $IPT -A OUTPUT -p udp -j ACCEPT -m state --state ESTABLISHED,RELATED $IPT -A FORWARD -p icmp -j ACCEPT -m state --state ESTABLISHED,RELATED $IPT -A OUTPUT -p icmp -j ACCEPT -m state --state ESTABLISHED,RELATED echo "poł±czenia nawi±zane [OK]" # bity TOS dla poł±czen lokalnych $IPT -t mangle -A OUTPUT -p tcp --dport 20 -j TOS --set-tos 8 $IPT -t mangle -A OUTPUT -p tcp --dport 21 -j TOS --set-tos 16 $IPT -t mangle -A OUTPUT -p tcp --dport 1960 -j TOS --set-tos 16 $IPT -t mangle -A OUTPUT -p tcp --dport 23 -j TOS --set-tos 16 $IPT -t mangle -A OUTPUT -p tcp --dport 25 -j TOS --set-tos 16 $IPT -t mangle -A OUTPUT -p tcp --dport 53 -j TOS --set-tos 16 $IPT -t mangle -A OUTPUT -p udp --dport 53 -j TOS --set-tos 16 $IPT -t mangle -A OUTPUT -p tcp --dport 80 -j TOS --set-tos 8 $IPT -t mangle -A OUTPUT -p tcp --dport 443 -j TOS --set-tos 8 echo "ustawienie bitów TOS [OK]" echo "Konfiguracja firewalla zakonczona"
Offline
dziekuje za zainteresowanie moim problemem...Wszystko dziala :D
Offline
dziekuje za zainteresowanie moim problemem...Wszystko dziala :D[/quote]
Fajnie i po problemie - czy mozna sie dowiedziec co bylo nie tak ze niedzialalo !!!???, a teraz dziala - dajmy innym sznse sie dowiedziec.
Offline
No napisane było.... nalezalo odblokowac ruch na interfejsie lo :
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
Offline
Time (s) | Query |
---|---|
0.00015 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00094 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.149.254.25' WHERE u.id=1 |
0.00062 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.149.254.25', 1733348592) |
0.00038 | SELECT * FROM punbb_online WHERE logged<1733348292 |
0.00049 | SELECT topic_id FROM punbb_posts WHERE id=42331 |
0.00189 | SELECT id FROM punbb_posts WHERE topic_id=5469 ORDER BY posted |
0.00061 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=5469 AND t.moved_to IS NULL |
0.00006 | SELECT search_for, replace_with FROM punbb_censoring |
0.00145 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=5469 ORDER BY p.id LIMIT 0,25 |
0.00087 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=5469 |
Total query time: 0.0075 s |