Autor |
Sõnum |
einar
Pingviini kasutaja
Vanus: 51
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere
|
|
Kas keegi oskab öelda millised pordid on vajalikud msn'i toimimiseks? Tegin prooviks nii utp kui tcp pordid 1025-65535 lahti, aga tolku ei midagi.
|
|
|
|
|
|
|
|
illukas
Vana Pingviin
Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036
|
|
|
|
einar
Pingviini kasutaja
Vanus: 51
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere
|
|
kurjam küll!
Ilmselt on mu iptables skriptil miskit viga siis.
|
|
|
|
|
|
|
|
einar
Pingviini kasutaja
Vanus: 51
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere
|
|
einar@mail:~$ sudo iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
Badflags tcp -- anywhere anywhere tcp flags:FIN,ACK/FIN
Badflags tcp -- anywhere anywhere tcp flags:PSH,ACK/PSH
Badflags tcp -- anywhere anywhere tcp flags:ACK,URG/URG
Badflags tcp -- anywhere anywhere tcp flags:FIN,RST/FIN,RST
Badflags tcp -- anywhere anywhere tcp flags:FIN,SYN/FIN,SYN
Badflags tcp -- anywhere anywhere tcp flags:SYN,RST/SYN,RST
Badflags tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
Badflags tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE
Badflags tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG
Badflags tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,PSH,URG
Badflags tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG
ACCEPT icmp -- anywhere anywhere icmp echo-reply
ACCEPT icmp -- anywhere anywhere icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp echo-request limit: avg 1/sec burst 5
Firewall icmp -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:33
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:msnp
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP udp -- anywhere anywhere udp spt:netbios-ns dpt:netbios-ns
Rejectwall all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID,NEW
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain Badflags (11 references)
target prot opt source destination
DROP all -- anywhere anywhere
Chain Firewall (1 references)
target prot opt source destination
DROP all -- anywhere anywhere
Chain Rejectwall (1 references)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
--------------
Mida peaks kruttima?
|
|
|
|
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Mis mind paneb mõẗlema on see sinu tcp lippude keelamine, mida sa nagu saavutada sellega tahad ? Kui sul toimib dünaamiline state machine moodul (related, established) siis pole see peaks hoolt pidama selle eest, et ükski syn lipuga pakett input ketist läbi ei tuleks.
Välja arvatud siis need pordid mida oled lubanud enne state mooduliga reeglit. Nagu ma aru saan pole mingit mõtet lubada input ketis porti 80 kui sul seal eelnevate reeglitega on kõikvõimalikud tcp lipud pakettides keelatud. Kui sul need keelavad reeglid on ennem dünaamilist reeglit siis muutub dünaamiline reegel mõtetuks. Ehk täpsustad lähemalt mis sa nende lippude reeglitega saavutada tahad. Tõenäoliselt aga nende reeglite eemaldamisega ka hakkab tcp protokolli transpordi kihis kasutav võrguühendus tööle.
|
|
|
|
_________________ "Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford
|
|
|
|
einar
Pingviini kasutaja
Vanus: 51
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere
|
|
pean tunnistama, et kasutan netist leitud skripti, mida üritasin natukene kohendada aga oskused on puudulikud.
|
|
|
|
|
|
|
|
mihkel
Vana Pingviin
Liitunud: 16.04.2006
Postitused: 1284
Distributsioon: Fedora/Centos
|
|
Paistab, et see skript on mõeldud pigem serverile, kui desktop masinale. Pean silmas siis smtp, www jne teenuseportide avamist. Või ta ongi sul serveri moodi asjandus?
Badflags ahel tundub, nagu juba öeldud, üleliigne olevat. Liiga keeruliseks on asi aetud.
Siinkohal julgeks promoda oma skripti
https://pingviin.org/viewtopic.php?t=5755&highlight=iptables
Või johnsmith oma, mille leiad ka sealt samast teemast.
|
|
|
|
|
|
|
|
einar
Pingviini kasutaja
Vanus: 51
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere
|
|
asi on server ja peab lisaks netti jagama
|
|
|
|
|
|
|
|
einar
Pingviini kasutaja
Vanus: 51
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere
|
|
skript ise on siin:
#!/bin/sh
IPT="/sbin/iptables"
#
WAN="ppp0"
LAN="eth1"
#
$IPT -F
$IPT -F INPUT
$IPT -F OUTPUT
$IPT -F FORWARD
$IPT -F -t mangle
$IPT -F -t nat
$IPT -X
#
$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT
#
echo 1 > /proc/sys/net/ipv4/ip_forward
#
$IPT -t nat -A POSTROUTING -o $WAN -j MASQUERADE
#$IPT -A FORWARD -i $WAN -m state --state NEW,INVALID -j DROP
# Accept any connections from the local machine
$IPT -A INPUT -i lo -j ACCEPT
# plus from your local network
$IPT -A INPUT -i $LAN -j ACCEPT
# log those packets and inform the sender that the packet was rejected
$IPT -N Rejectwall
#$IPT -A Rejectwall -m limit --limit 10/minute -j LOG --log-prefix "Rejectwall: "
$IPT -A Rejectwall -j REJECT
# Accept connections from the Internet
$IPT -A INPUT -i $WAN -p tcp --dport 25 -j ACCEPT
$IPT -A INPUT -i $WAN -p tcp --dport 33 -j ACCEPT
$IPT -A INPUT -i $WAN -p tcp --dport 53 -j ACCEPT
$IPT -A INPUT -i $WAN -p udp --dport 53 -j ACCEPT
$IPT -A INPUT -i $WAN -p tcp --dport 80 -j ACCEPT
$IPT -A INPUT -i $WAN -p tcp --dport 110 -j ACCEPT
$IPT -A INPUT -i $WAN -p tcp --dport 443 -j ACCEPT
$IPT -A INPUT -i $WAN -p tcp --dport 1024:65535 -j ACCEPT
$IPT -A INPUT -i $WAN -p udp --dport 1024:65535 -j ACCEPT
#
# Accept related and established connections
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Drop netbios from the outside, no log, just drop
$IPT -A INPUT -p udp --sport 137 --dport 137 -j DROP
# Finally, anything which was not allowed yet
# is going to go through our Rejectwall rule
$IPT -A INPUT -j Rejectwall
|
|
|
|
|
|
|
|
einar
Pingviini kasutaja
Vanus: 51
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere
|
|
Imelik anomaalia on veel välja tulnud, osad veebilehed avanevad ainult serveri masinas aga mitte teistes arvutites. nt. sotsiaalministeeriumi oma
|
|
|
|
|
|
|
|
einar
Pingviini kasutaja
Vanus: 51
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere
|
|
Nii see on nüüd muditud variant:
#!/bin/sh
IPT="/sbin/iptables"
WAN="ppp0"
LAN="eth1"
$IPT -F
$IPT -F INPUT
$IPT -F OUTPUT
$IPT -F FORWARD
$IPT -F -t mangle
$IPT -F -t nat
$IPT -X
$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
$IPT -t nat -A POSTROUTING -o $WAN -j MASQUERADE
$IPT -A FORWARD -i $WAN -m state --state NEW,INVALID -j DROP
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -i $LAN -j ACCEPT
# Accept connections from the Internet
$IPT -A INPUT -i $WAN -p tcp --dport 25 -j ACCEPT
$IPT -A INPUT -i $WAN -p tcp --dport 33 -j ACCEPT
$IPT -A INPUT -i $WAN -p tcp --dport 53 -j ACCEPT
$IPT -A INPUT -i $WAN -p udp --dport 53 -j ACCEPT
$IPT -A INPUT -i $WAN -p tcp --dport 80 -j ACCEPT
$IPT -A INPUT -i $WAN -p tcp --dport 110 -j ACCEPT
$IPT -A INPUT -p udp --sport 137 --dport 137 -j DROP
$IPT -A INPUT -i $WAN -p tcp --dport 443 -j ACCEPT
$IPT -A INPUT -i $WAN -p tcp --dport 1024:65535 -j ACCEPT
$IPT -A INPUT -i $WAN -p udp --dport 1024:65535 -j ACCEPT
# Accept related and established connections
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A INPUT -j REJECT
msn ei tööta endiselt ja sotsiaalministeeriumi lehele kah ei pääse.
|
|
|
|
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Kus sul see msn on siis serveri masinas või lan -i masinas ?
Pakun välja, et lehed on sul caches ja sotsiaalministeeriumi lehe cache on vana või sunnib ta iga kord laadima uue versiooni leheküljest.
Mis on kahtlane on see reegel:
$IPT -A FORWARD -i $WAN -m state --state NEW,INVALID -j DROP
Pole küll ise palju forward ahelas filtreerinud aga minu teada see reegel toimib kõigile pakettidele mis läbivad forward ahela s.t kõik mis lähevad läbi sinu serveri. Olenemata sellest kummas suunas....
Kui keelad NEW state -ga paketid siis ei saa ükski arvuti sinu võrgust peale serveri enda luua ühendust ühegi internet serveriga ei tcp ega udp transpordi kihti kasutavaga.
Korista see NEW ära ja proovi siis.
Mina prooviks seda teha niimoodi:
$IPT -P FORWARD DROP
$IPT -A FORWARD -i $WAN -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
|
|
|
|
_________________ "Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford
|
|
|
|
einar
Pingviini kasutaja
Vanus: 51
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere
|
|
koristasin ära. selle reegli. kliendid msn'i ei pääse.
sotsiaalministeeriumi leht avaneb ainult serveri masinas.
proovisin kmess'i, töötas serveri masinas.
isegi kui kõik reeglid ära koristada tulemüürist, ikka mõned lehed lan'i arvutitega ei avane ega msn kah mitte.
|
|
|
|
|
|
|
|
einar
Pingviini kasutaja
Vanus: 51
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere
|
|
nii, nüüd olen natuke targem.
viga on selles et MTU=1500 võrgukaartidel aga ppp0'il on MTU=1492
korra sain isegi msn'i ja asjad tööle aga peale serverile restardi tegemist olukord taastus, kuigi lisasin /etc/network/interfaces failis ühele seadmele rea mtu=1492.
Kas keegi on nii hea ja ütleb mida kuradit ma tegema peaksin et see asi lõpuks tööle hakkaks?
Olen juba ette väga tänulik
|
|
|
|
|
|
|
|
einar
Pingviini kasutaja
Vanus: 51
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere
|
|
nii
panin lan'i otsas olevale kaardile mtu 1492
kui arvuti käima läheb ppp0 kah käima aga lan'i arvutitel endiselt osad veebilehed ja msn ei tööta.
panen ppp0 otsas olevale kaardile (eth1) mtu 1492 ja ppp0 ühendus katkeb
ainuke kuidas ppp0 uuesti käima oskan panna on ppp0econf'i läbi tegemine, mille peale ppp0 hakkab uuesti tööle ja oh imet lan'i masinatel on msn ja lehed mis muidu ei avanenud olemas.
mida kuradit teha, et arvuti käivitumisel asi iseenesest toimiks?
jutt sai kidlasti segane aga ega ma ise kah vist päris normaalne tüüp pole
|
|
|
|
|
|
|
|
|