Portaal Portaal Pingviini veeb foorumi pealeht
  Viki  |  IRC  |  Otsing  |  Küsimused ja vastused  |  Profiil  |  Privaatsõnumite vaatamiseks logi sisse  | Logi sisse või Registreeru
<empty>
Vaata järgmist teemat
Vaata eelmist teemat

Postita uus teemaVasta teemale
Autor Sõnum
einar
Pingviini kasutaja
Pingviini kasutaja


Vanus: 51
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere

estonia.gif
postituspostitatud: 14.02.2009, 10:19  postituse pealkiri:  iptables ja msn  

Kas keegi oskab öelda millised pordid on vajalikud msn'i toimimiseks? Tegin prooviks nii utp kui tcp pordid 1025-65535 lahti, aga tolku ei midagi.


illukas
Vana Pingviin
Vana Pingviin


Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036


norway.gif
postituspostitatud: 14.02.2009, 10:43  postituse pealkiri:  (teema puudub)  

google on abiks!!!!

These are the ones that I filter for:

AOL Instant Messenger uses TCP 5190
ICQ (old client) uses UDP 4000
ICQ uses TCP 5190
IRC uses TCP 6667
MSN uses TCP 1863
Net2Phone uses UDP 6801

ja siin veel juttu
http://www.practicallynetworked.com/sharing/app_port_list.htm

_________________
https://www.inlink.ee

einar
Pingviini kasutaja
Pingviini kasutaja


Vanus: 51
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere

estonia.gif
postituspostitatud: 14.02.2009, 10:58  postituse pealkiri:  (teema puudub)  

kurjam küll!
Ilmselt on mu iptables skriptil miskit viga siis.


einar
Pingviini kasutaja
Pingviini kasutaja


Vanus: 51
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere

estonia.gif
postituspostitatud: 14.02.2009, 11:41  postituse pealkiri:  (teema puudub)  

einar@mail:~$ sudo iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
Badflags tcp -- anywhere anywhere tcp flags:FIN,ACK/FIN
Badflags tcp -- anywhere anywhere tcp flags:PSH,ACK/PSH
Badflags tcp -- anywhere anywhere tcp flags:ACK,URG/URG
Badflags tcp -- anywhere anywhere tcp flags:FIN,RST/FIN,RST
Badflags tcp -- anywhere anywhere tcp flags:FIN,SYN/FIN,SYN
Badflags tcp -- anywhere anywhere tcp flags:SYN,RST/SYN,RST
Badflags tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,PSH,ACK,URG
Badflags tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/NONE
Badflags tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,PSH,URG
Badflags tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,PSH,URG
Badflags tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,PSH,ACK,URG/FIN,SYN,RST,ACK,URG
ACCEPT icmp -- anywhere anywhere icmp echo-reply
ACCEPT icmp -- anywhere anywhere icmp destination-unreachable
ACCEPT icmp -- anywhere anywhere icmp time-exceeded
ACCEPT icmp -- anywhere anywhere icmp echo-request limit: avg 1/sec burst 5
Firewall icmp -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:33
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:msnp
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP udp -- anywhere anywhere udp spt:netbios-ns dpt:netbios-ns
Rejectwall all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID,NEW

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain Badflags (11 references)
target prot opt source destination
DROP all -- anywhere anywhere

Chain Firewall (1 references)
target prot opt source destination
DROP all -- anywhere anywhere

Chain Rejectwall (1 references)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
--------------
Mida peaks kruttima?


johnsmith
Vana Pingviin
Vana Pingviin


Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
finland.gif
postituspostitatud: 14.02.2009, 13:02  postituse pealkiri:  (teema puudub)  

Mis mind paneb mõẗlema on see sinu tcp lippude keelamine, mida sa nagu saavutada sellega tahad ? Kui sul toimib dünaamiline state machine moodul (related, established) siis pole see peaks hoolt pidama selle eest, et ükski syn lipuga pakett input ketist läbi ei tuleks.

Välja arvatud siis need pordid mida oled lubanud enne state mooduliga reeglit. Nagu ma aru saan pole mingit mõtet lubada input ketis porti 80 kui sul seal eelnevate reeglitega on kõikvõimalikud tcp lipud pakettides keelatud. Kui sul need keelavad reeglid on ennem dünaamilist reeglit siis muutub dünaamiline reegel mõtetuks. Ehk täpsustad lähemalt mis sa nende lippude reeglitega saavutada tahad. Tõenäoliselt aga nende reeglite eemaldamisega ka hakkab tcp protokolli transpordi kihis kasutav võrguühendus tööle.

_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford

einar
Pingviini kasutaja
Pingviini kasutaja


Vanus: 51
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere

estonia.gif
postituspostitatud: 14.02.2009, 13:15  postituse pealkiri:  (teema puudub)  

pean tunnistama, et kasutan netist leitud skripti, mida üritasin natukene kohendada aga oskused on puudulikud.


mihkel
Vana Pingviin
Vana Pingviin



Liitunud: 16.04.2006
Postitused: 1284

Distributsioon: Fedora/Centos
estonia.gif
postituspostitatud: 14.02.2009, 13:25  postituse pealkiri:  (teema puudub)  

Paistab, et see skript on mõeldud pigem serverile, kui desktop masinale. Pean silmas siis smtp, www jne teenuseportide avamist. Või ta ongi sul serveri moodi asjandus?
Badflags ahel tundub, nagu juba öeldud, üleliigne olevat. Liiga keeruliseks on asi aetud.
Siinkohal julgeks promoda oma skripti Razz
https://pingviin.org/viewtopic.php?t=5755&highlight=iptables
Või johnsmith oma, mille leiad ka sealt samast teemast.


einar
Pingviini kasutaja
Pingviini kasutaja


Vanus: 51
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere

estonia.gif
postituspostitatud: 14.02.2009, 13:43  postituse pealkiri:  (teema puudub)  

asi on server ja peab lisaks netti jagama


einar
Pingviini kasutaja
Pingviini kasutaja


Vanus: 51
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere

estonia.gif
postituspostitatud: 14.02.2009, 14:24  postituse pealkiri:  (teema puudub)  

skript ise on siin:
#!/bin/sh
IPT="/sbin/iptables"
#
WAN="ppp0"
LAN="eth1"
#
$IPT -F
$IPT -F INPUT
$IPT -F OUTPUT
$IPT -F FORWARD
$IPT -F -t mangle
$IPT -F -t nat
$IPT -X
#
$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT
#
echo 1 > /proc/sys/net/ipv4/ip_forward
#
$IPT -t nat -A POSTROUTING -o $WAN -j MASQUERADE

#$IPT -A FORWARD -i $WAN -m state --state NEW,INVALID -j DROP

# Accept any connections from the local machine
$IPT -A INPUT -i lo -j ACCEPT
# plus from your local network
$IPT -A INPUT -i $LAN -j ACCEPT

# log those packets and inform the sender that the packet was rejected
$IPT -N Rejectwall
#$IPT -A Rejectwall -m limit --limit 10/minute -j LOG --log-prefix "Rejectwall: "
$IPT -A Rejectwall -j REJECT

# Accept connections from the Internet
$IPT -A INPUT -i $WAN -p tcp --dport 25 -j ACCEPT
$IPT -A INPUT -i $WAN -p tcp --dport 33 -j ACCEPT
$IPT -A INPUT -i $WAN -p tcp --dport 53 -j ACCEPT
$IPT -A INPUT -i $WAN -p udp --dport 53 -j ACCEPT
$IPT -A INPUT -i $WAN -p tcp --dport 80 -j ACCEPT
$IPT -A INPUT -i $WAN -p tcp --dport 110 -j ACCEPT
$IPT -A INPUT -i $WAN -p tcp --dport 443 -j ACCEPT
$IPT -A INPUT -i $WAN -p tcp --dport 1024:65535 -j ACCEPT
$IPT -A INPUT -i $WAN -p udp --dport 1024:65535 -j ACCEPT
#
# Accept related and established connections
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Drop netbios from the outside, no log, just drop
$IPT -A INPUT -p udp --sport 137 --dport 137 -j DROP

# Finally, anything which was not allowed yet
# is going to go through our Rejectwall rule
$IPT -A INPUT -j Rejectwall


einar
Pingviini kasutaja
Pingviini kasutaja


Vanus: 51
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere

estonia.gif
postituspostitatud: 14.02.2009, 14:27  postituse pealkiri:  (teema puudub)  

Imelik anomaalia on veel välja tulnud, osad veebilehed avanevad ainult serveri masinas aga mitte teistes arvutites. nt. sotsiaalministeeriumi oma


einar
Pingviini kasutaja
Pingviini kasutaja


Vanus: 51
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere

estonia.gif
postituspostitatud: 14.02.2009, 14:55  postituse pealkiri:  (teema puudub)  

Nii see on nüüd muditud variant:

#!/bin/sh
IPT="/sbin/iptables"

WAN="ppp0"
LAN="eth1"

$IPT -F
$IPT -F INPUT
$IPT -F OUTPUT
$IPT -F FORWARD
$IPT -F -t mangle
$IPT -F -t nat
$IPT -X

$IPT -P INPUT DROP
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward

$IPT -t nat -A POSTROUTING -o $WAN -j MASQUERADE

$IPT -A FORWARD -i $WAN -m state --state NEW,INVALID -j DROP

$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -i $LAN -j ACCEPT

# Accept connections from the Internet
$IPT -A INPUT -i $WAN -p tcp --dport 25 -j ACCEPT
$IPT -A INPUT -i $WAN -p tcp --dport 33 -j ACCEPT
$IPT -A INPUT -i $WAN -p tcp --dport 53 -j ACCEPT
$IPT -A INPUT -i $WAN -p udp --dport 53 -j ACCEPT
$IPT -A INPUT -i $WAN -p tcp --dport 80 -j ACCEPT
$IPT -A INPUT -i $WAN -p tcp --dport 110 -j ACCEPT
$IPT -A INPUT -p udp --sport 137 --dport 137 -j DROP
$IPT -A INPUT -i $WAN -p tcp --dport 443 -j ACCEPT
$IPT -A INPUT -i $WAN -p tcp --dport 1024:65535 -j ACCEPT
$IPT -A INPUT -i $WAN -p udp --dport 1024:65535 -j ACCEPT

# Accept related and established connections
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A INPUT -j REJECT

msn ei tööta endiselt ja sotsiaalministeeriumi lehele kah ei pääse.


johnsmith
Vana Pingviin
Vana Pingviin


Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
finland.gif
postituspostitatud: 14.02.2009, 16:21  postituse pealkiri:  (teema puudub)  

Kus sul see msn on siis serveri masinas või lan -i masinas ?

Pakun välja, et lehed on sul caches ja sotsiaalministeeriumi lehe cache on vana või sunnib ta iga kord laadima uue versiooni leheküljest.


Mis on kahtlane on see reegel:
$IPT -A FORWARD -i $WAN -m state --state NEW,INVALID -j DROP

Pole küll ise palju forward ahelas filtreerinud aga minu teada see reegel toimib kõigile pakettidele mis läbivad forward ahela s.t kõik mis lähevad läbi sinu serveri. Olenemata sellest kummas suunas....
Kui keelad NEW state -ga paketid siis ei saa ükski arvuti sinu võrgust peale serveri enda luua ühendust ühegi internet serveriga ei tcp ega udp transpordi kihti kasutavaga.

Korista see NEW ära ja proovi siis.

Mina prooviks seda teha niimoodi:

$IPT -P FORWARD DROP

$IPT -A FORWARD -i $WAN -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford

einar
Pingviini kasutaja
Pingviini kasutaja


Vanus: 51
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere

estonia.gif
postituspostitatud: 14.02.2009, 18:41  postituse pealkiri:  (teema puudub)  

koristasin ära. selle reegli. kliendid msn'i ei pääse.
sotsiaalministeeriumi leht avaneb ainult serveri masinas.
proovisin kmess'i, töötas serveri masinas.
isegi kui kõik reeglid ära koristada tulemüürist, ikka mõned lehed lan'i arvutitega ei avane ega msn kah mitte.


einar
Pingviini kasutaja
Pingviini kasutaja


Vanus: 51
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere

estonia.gif
postituspostitatud: 14.02.2009, 20:20  postituse pealkiri:  (teema puudub)  

nii, nüüd olen natuke targem.
viga on selles et MTU=1500 võrgukaartidel aga ppp0'il on MTU=1492
korra sain isegi msn'i ja asjad tööle aga peale serverile restardi tegemist olukord taastus, kuigi lisasin /etc/network/interfaces failis ühele seadmele rea mtu=1492.
Kas keegi on nii hea ja ütleb mida kuradit ma tegema peaksin et see asi lõpuks tööle hakkaks?
Olen juba ette väga tänulik


einar
Pingviini kasutaja
Pingviini kasutaja


Vanus: 51
Liitunud: 13.10.2006
Postitused: 40
Asukoht: Palivere

estonia.gif
postituspostitatud: 14.02.2009, 21:30  postituse pealkiri:  (teema puudub)  

nii
panin lan'i otsas olevale kaardile mtu 1492
kui arvuti käima läheb ppp0 kah käima aga lan'i arvutitel endiselt osad veebilehed ja msn ei tööta.
panen ppp0 otsas olevale kaardile (eth1) mtu 1492 ja ppp0 ühendus katkeb
ainuke kuidas ppp0 uuesti käima oskan panna on ppp0econf'i läbi tegemine, mille peale ppp0 hakkab uuesti tööle ja oh imet lan'i masinatel on msn ja lehed mis muidu ei avanenud olemas.
mida kuradit teha, et arvuti käivitumisel asi iseenesest toimiks?

jutt sai kidlasti segane aga ega ma ise kah vist päris normaalne tüüp pole


Näita (aja järgi):      
Postita uus teemaVasta teemale


Vaata järgmist teemat
Vaata eelmist teemat
Powered by phpBB2 Plus based on phpBB © 2001/7 phpBB Group