iptables ja msn :: Pingviini veeb

iptables ja msn

Vaata järgmist teemat
Vaata eelmist teemat

Pingviini veeb foorumi pealeht » Linux » Serverid » iptables ja msn

Autor

Sõnum

einar
Pingviini kasutaja

Vanus: 50
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere

postitatud: 14.02.2009, 10:19 postituse pealkiri: iptables ja msn


Kas keegi oskab öelda millised pordid on vajalikud msn'i toimimiseks? Tegin prooviks nii utp kui tcp pordid 1025-65535 lahti, aga tolku ei midagi.

illukas
Vana Pingviin

Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036

postitatud: 14.02.2009, 10:43 postituse pealkiri: (teema puudub)


google on abiks!!!! These are the ones that I filter for: AOL Instant Messenger uses TCP 5190 ICQ (old client) uses UDP 4000 ICQ uses TCP 5190 IRC uses TCP 6667 MSN uses TCP 1863 Net2Phone uses UDP 6801 ja siin veel juttu http://www.practicallynetworked.com/sharing/app_port_list.htm

_________________
https://www.inlink.ee

einar
Pingviini kasutaja

Vanus: 50
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere

postitatud: 14.02.2009, 10:58 postituse pealkiri: (teema puudub)


kurjam küll! Ilmselt on mu iptables skriptil miskit viga siis.

einar
Pingviini kasutaja

Vanus: 50
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere

postitatud: 14.02.2009, 11:41 postituse pealkiri: (teema puudub)


einar@mail:~$ sudo iptables -L Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere Badflags tcp -- anywhere anywhere tcp flags:FIN,ACK/FIN Badflags tcp -- anywhere anywhere tcp flags:PSH,ACK/PSH Badflags tcp -- anywhere anywhere tcp flags:ACK,URG/URG Badflags tcp -- anywhere anywhere tcp flags:FIN,RST/FIN,RST Badflags tcp -- anywhere anywhere tcp flags:FIN,SYN/FIN,SYN Badflags tcp -- anywhere anywhere tcp flags:SYN,RST/SYN,RST Badflags tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG Badflags tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE Badflags tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG Badflags tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,PSH,URG Badflags tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG ACCEPT icmp -- anywhere anywhere icmp echo-reply ACCEPT icmp -- anywhere anywhere icmp destination-unreachable ACCEPT icmp -- anywhere anywhere icmp time-exceeded ACCEPT icmp -- anywhere anywhere icmp echo-request limit: avg 1/sec burst 5 Firewall icmp -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp dpt:smtp ACCEPT tcp -- anywhere anywhere tcp dpt:33 ACCEPT tcp -- anywhere anywhere tcp dpt:domain ACCEPT tcp -- anywhere anywhere tcp dpt:www ACCEPT tcp -- anywhere anywhere tcp dpt:pop3 ACCEPT tcp -- anywhere anywhere tcp dpt:https ACCEPT tcp -- anywhere anywhere tcp dpt:msnp ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED DROP udp -- anywhere anywhere udp spt:netbios-ns dpt:netbios-ns Rejectwall all -- anywhere anywhere Chain FORWARD (policy ACCEPT) target prot opt source destination DROP all -- anywhere anywhere state INVALID,NEW Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain Badflags (11 references) target prot opt source destination DROP all -- anywhere anywhere Chain Firewall (1 references) target prot opt source destination DROP all -- anywhere anywhere Chain Rejectwall (1 references) target prot opt source destination REJECT all -- anywhere anywhere reject-with icmp-port-unreachable -------------- Mida peaks kruttima?

johnsmith
Vana Pingviin

Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD

postitatud: 14.02.2009, 13:02 postituse pealkiri: (teema puudub)


Mis mind paneb mõẗlema on see sinu tcp lippude keelamine, mida sa nagu saavutada sellega tahad ? Kui sul toimib dünaamiline state machine moodul (related, established) siis pole see peaks hoolt pidama selle eest, et ükski syn lipuga pakett input ketist läbi ei tuleks. Välja arvatud siis need pordid mida oled lubanud enne state mooduliga reeglit. Nagu ma aru saan pole mingit mõtet lubada input ketis porti 80 kui sul seal eelnevate reeglitega on kõikvõimalikud tcp lipud pakettides keelatud. Kui sul need keelavad reeglid on ennem dünaamilist reeglit siis muutub dünaamiline reegel mõtetuks. Ehk täpsustad lähemalt mis sa nende lippude reeglitega saavutada tahad. Tõenäoliselt aga nende reeglite eemaldamisega ka hakkab tcp protokolli transpordi kihis kasutav võrguühendus tööle.

_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford

einar
Pingviini kasutaja

Vanus: 50
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere

postitatud: 14.02.2009, 13:15 postituse pealkiri: (teema puudub)


pean tunnistama, et kasutan netist leitud skripti, mida üritasin natukene kohendada aga oskused on puudulikud.

mihkel
Vana Pingviin

Liitunud: 16.04.2006
Postitused: 1284

Distributsioon: Fedora/Centos

postitatud: 14.02.2009, 13:25 postituse pealkiri: (teema puudub)


Paistab, et see skript on mõeldud pigem serverile, kui desktop masinale. Pean silmas siis smtp, www jne teenuseportide avamist. Või ta ongi sul serveri moodi asjandus? Badflags ahel tundub, nagu juba öeldud, üleliigne olevat. Liiga keeruliseks on asi aetud. Siinkohal julgeks promoda oma skripti https://pingviin.org/viewtopic.php?t=5755&highlight=iptables Või johnsmith oma, mille leiad ka sealt samast teemast.

einar
Pingviini kasutaja

Vanus: 50
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere

postitatud: 14.02.2009, 13:43 postituse pealkiri: (teema puudub)


asi on server ja peab lisaks netti jagama

einar
Pingviini kasutaja

Vanus: 50
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere

postitatud: 14.02.2009, 14:24 postituse pealkiri: (teema puudub)


skript ise on siin: #!/bin/sh IPT="/sbin/iptables" # WAN="ppp0" LAN="eth1" # $IPT -F $IPT -F INPUT $IPT -F OUTPUT $IPT -F FORWARD $IPT -F -t mangle $IPT -F -t nat $IPT -X # $IPT -P INPUT DROP $IPT -P OUTPUT ACCEPT $IPT -P FORWARD ACCEPT # echo 1 > /proc/sys/net/ipv4/ip_forward # $IPT -t nat -A POSTROUTING -o $WAN -j MASQUERADE #$IPT -A FORWARD -i $WAN -m state --state NEW,INVALID -j DROP # Accept any connections from the local machine $IPT -A INPUT -i lo -j ACCEPT # plus from your local network $IPT -A INPUT -i $LAN -j ACCEPT # log those packets and inform the sender that the packet was rejected $IPT -N Rejectwall #$IPT -A Rejectwall -m limit --limit 10/minute -j LOG --log-prefix "Rejectwall: " $IPT -A Rejectwall -j REJECT # Accept connections from the Internet $IPT -A INPUT -i $WAN -p tcp --dport 25 -j ACCEPT $IPT -A INPUT -i $WAN -p tcp --dport 33 -j ACCEPT $IPT -A INPUT -i $WAN -p tcp --dport 53 -j ACCEPT $IPT -A INPUT -i $WAN -p udp --dport 53 -j ACCEPT $IPT -A INPUT -i $WAN -p tcp --dport 80 -j ACCEPT $IPT -A INPUT -i $WAN -p tcp --dport 110 -j ACCEPT $IPT -A INPUT -i $WAN -p tcp --dport 443 -j ACCEPT $IPT -A INPUT -i $WAN -p tcp --dport 1024:65535 -j ACCEPT $IPT -A INPUT -i $WAN -p udp --dport 1024:65535 -j ACCEPT # # Accept related and established connections $IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # Drop netbios from the outside, no log, just drop $IPT -A INPUT -p udp --sport 137 --dport 137 -j DROP # Finally, anything which was not allowed yet # is going to go through our Rejectwall rule $IPT -A INPUT -j Rejectwall

einar
Pingviini kasutaja

Vanus: 50
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere

postitatud: 14.02.2009, 14:27 postituse pealkiri: (teema puudub)


Imelik anomaalia on veel välja tulnud, osad veebilehed avanevad ainult serveri masinas aga mitte teistes arvutites. nt. sotsiaalministeeriumi oma

einar
Pingviini kasutaja

Vanus: 50
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere

postitatud: 14.02.2009, 14:55 postituse pealkiri: (teema puudub)


Nii see on nüüd muditud variant: #!/bin/sh IPT="/sbin/iptables" WAN="ppp0" LAN="eth1" $IPT -F $IPT -F INPUT $IPT -F OUTPUT $IPT -F FORWARD $IPT -F -t mangle $IPT -F -t nat $IPT -X $IPT -P INPUT DROP $IPT -P OUTPUT ACCEPT $IPT -P FORWARD ACCEPT echo 1 > /proc/sys/net/ipv4/ip_forward $IPT -t nat -A POSTROUTING -o $WAN -j MASQUERADE $IPT -A FORWARD -i $WAN -m state --state NEW,INVALID -j DROP $IPT -A INPUT -i lo -j ACCEPT $IPT -A INPUT -i $LAN -j ACCEPT # Accept connections from the Internet $IPT -A INPUT -i $WAN -p tcp --dport 25 -j ACCEPT $IPT -A INPUT -i $WAN -p tcp --dport 33 -j ACCEPT $IPT -A INPUT -i $WAN -p tcp --dport 53 -j ACCEPT $IPT -A INPUT -i $WAN -p udp --dport 53 -j ACCEPT $IPT -A INPUT -i $WAN -p tcp --dport 80 -j ACCEPT $IPT -A INPUT -i $WAN -p tcp --dport 110 -j ACCEPT $IPT -A INPUT -p udp --sport 137 --dport 137 -j DROP $IPT -A INPUT -i $WAN -p tcp --dport 443 -j ACCEPT $IPT -A INPUT -i $WAN -p tcp --dport 1024:65535 -j ACCEPT $IPT -A INPUT -i $WAN -p udp --dport 1024:65535 -j ACCEPT # Accept related and established connections $IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT $IPT -A INPUT -j REJECT msn ei tööta endiselt ja sotsiaalministeeriumi lehele kah ei pääse.

johnsmith
Vana Pingviin

Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD

postitatud: 14.02.2009, 16:21 postituse pealkiri: (teema puudub)


Kus sul see msn on siis serveri masinas või lan -i masinas ? Pakun välja, et lehed on sul caches ja sotsiaalministeeriumi lehe cache on vana või sunnib ta iga kord laadima uue versiooni leheküljest. Mis on kahtlane on see reegel: $IPT -A FORWARD -i $WAN -m state --state NEW,INVALID -j DROP Pole küll ise palju forward ahelas filtreerinud aga minu teada see reegel toimib kõigile pakettidele mis läbivad forward ahela s.t kõik mis lähevad läbi sinu serveri. Olenemata sellest kummas suunas.... Kui keelad NEW state -ga paketid siis ei saa ükski arvuti sinu võrgust peale serveri enda luua ühendust ühegi internet serveriga ei tcp ega udp transpordi kihti kasutavaga. Korista see NEW ära ja proovi siis. Mina prooviks seda teha niimoodi: $IPT -P FORWARD DROP $IPT -A FORWARD -i $WAN -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford

einar
Pingviini kasutaja

Vanus: 50
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere

postitatud: 14.02.2009, 18:41 postituse pealkiri: (teema puudub)


koristasin ära. selle reegli. kliendid msn'i ei pääse. sotsiaalministeeriumi leht avaneb ainult serveri masinas. proovisin kmess'i, töötas serveri masinas. isegi kui kõik reeglid ära koristada tulemüürist, ikka mõned lehed lan'i arvutitega ei avane ega msn kah mitte.

einar
Pingviini kasutaja

Vanus: 50
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere

postitatud: 14.02.2009, 20:20 postituse pealkiri: (teema puudub)


nii, nüüd olen natuke targem. viga on selles et MTU=1500 võrgukaartidel aga ppp0'il on MTU=1492 korra sain isegi msn'i ja asjad tööle aga peale serverile restardi tegemist olukord taastus, kuigi lisasin /etc/network/interfaces failis ühele seadmele rea mtu=1492. Kas keegi on nii hea ja ütleb mida kuradit ma tegema peaksin et see asi lõpuks tööle hakkaks? Olen juba ette väga tänulik

einar
Pingviini kasutaja

Vanus: 50
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere

postitatud: 14.02.2009, 21:30 postituse pealkiri: (teema puudub)


nii panin lan'i otsas olevale kaardile mtu 1492 kui arvuti käima läheb ppp0 kah käima aga lan'i arvutitel endiselt osad veebilehed ja msn ei tööta. panen ppp0 otsas olevale kaardile (eth1) mtu 1492 ja ppp0 ühendus katkeb ainuke kuidas ppp0 uuesti käima oskan panna on ppp0econf'i läbi tegemine, mille peale ppp0 hakkab uuesti tööle ja oh imet lan'i masinatel on msn ja lehed mis muidu ei avanenud olemas. mida kuradit teha, et arvuti käivitumisel asi iseenesest toimiks? jutt sai kidlasti segane aga ega ma ise kah vist päris normaalne tüüp pole

Pingviini veeb foorumi pealeht » Linux » Serverid » iptables ja msn

Vaata järgmist teemat
Vaata eelmist teemat