Li Форуми - Тема::iptables помощ за firewall

Your Browser does not appear to support Javascript. Several important features of this site will not function without it. Please enable Javascript or upgrade to a JS compliant browser.

» Здравейте
[ Вход :: Регистриране ]

» Начало » Li Форуми » Help & Support » Networking » iptables помощ за firewall

Страница 1 от 2
1
2

< Предишна тема | Следваща тема >

Тема: iptables помощ за firewall

Инструменти

Търсене в темата

Мнение #1

Написано на: Март 08 2007, 11:38

tolostoi

Цитирай

Група: Li maniacs
Мнения: 869
Регистриран: Юли 2006

Оценка: 5

Здравейте, и честит празник на всички дами !
Ситуацията е следната: Рутер с Debian etch, ядро 2.6.17-3 (или 17-4) Интерфейс към мрежата на доствачика eth0, интернет получавам през ВПН (pptp с mppe), интерфейс към вътрешната мрежа eth1 (мрежа 192.168.0.0/24) Всичко си работи, но не съм конфигурирал Firewall, понеже като инсталирах рутера бързах доста и го пуснах да разпределя нета и вече физически достъп до него нямам, влизам с ssh в него,ето тук идва евентуалният проблем

ако объркам нещо във firewall-a примерно при задаване на политика

Код:

iptables -P INPUT DROP

и евентуални грешки надолу в скрипта ще си отрежа "клона" и няма да имам достъп чрез ssh - поне са ми такива опасенията за това искам съвет, за да не случва това :6;

направих си изпълним файл в /etc/network/if-up.d който да вдига тунела на ВПН и и да изпълнява скрипта за firewall
/etc/network/if-up.d/star

Код:

#!/bin/sh
pon vpn
/etc/init.d/fire

/etc/init.d/ е засега е със следното съдържание (тук мисля да напиша целия firewall)

Код:

#!/bin/sh
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE;
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp+ -j MASQUERADE;
iptables -t mangle -A PREROUTING -i ppp+ -j TTL --ttl-inc 1;
iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-inc 1;
iptables -t mangle -A POSTROUTING -s 192.168.0.0/24 -o ppp+ -j TTL --ttl-set 64;
iptables -t mangle -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j TTL --ttl-set 64;

използвам ppp+ понеже със стартирането на системата ми вдига няколко ppp интерфейса , понякога ppp0 и ppp2,понякога ppp0,ppp1,ppp2 - различно понякога са ppp1 - това не ме притеснява (още повече, че в момента доставчика ми явно има някакъв проблем и имам нет през неговият gw - при мен eth0, но това сигурно скоро ще го оправят и ще имам само чрез VPN) това съм решил да е Firewall-a

Код:

#!/bin/sh
iptables -F;
iptables -P INPUT ACCEPT;
iptables -P FORWARD ACCEPT;
iptables -P OUTPUT ACCEPT;

iptables -t nat -F;
iptables -t nat -P PREROUTING ACCEPT;
iptables -t nat -P POSTROUTING ACCEPT;
iptables -t nat -P OUTPUT ACCEPT;

iptables -t mangle -F;
iptables -t mangle -P PREROUTING ACCEPT;
iptables -t mangle -P INPUT ACCEPT;
iptables -t mangle -P FORWARD ACCEPT;
iptables -t mangle -P OUTPUT ACCEPT;
iptables -t mangle -P POSTROUTING ACCEPT;
iptables -P INPUT DROP;
iptables -A INPUT -i lo -j ACCEPT;
iptables -A INPUT -i eth1 -j ACCEPT;
iptables -A INPUT -p icmp -j ACCEPT;
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT;
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE;
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp+ -j MASQUERADE;
iptables -A FORWARD -s 192.168.1.0/24 -o ppp+ -j ACCEPT;
iptables -A FORWARD -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -i ppp+ -j ACCEPT;
iptables -A FORWARD -s 192.168.0.0/24 -o eth0 -j ACCEPT;
iptables -A FORWARD -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -i eth0 -j ACCEPT;
iptables -t mangle -A PREROUTING -i ppp+ -j TTL --ttl-inc 1;
iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-inc 1;
iptables -t mangle -A POSTROUTING -s 192.168.0.0/24 -o ppp+ -j TTL --ttl-set 64;
iptables -t mangle -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j TTL --ttl-set 64;

Моля ако има излишни редове или липсващи да ми дадете съвет да ги коригирам. Порт 22 няма смисъл да го отварям понеже не мога да се свържа от интернет с рутера (публичният адрес го сменят, а дори и когато знам и пробвам не мога да стигна до рутера няма пренасочен порт към моето IP)Искам и да да отворя няколко порта за торенти, за получаване на файлове по ICQ,Skype,Yahoo mesenger и евентуално ако е нужно нещо за IRC (някой от мрежата го ползват, аз не го ползвам и нямам идея как работи)- само, че незнам как да го направя.
Благодаря предварително !

Контакти: tolostoi

Лично съобщение | Впиши в адресната книга

AOL:
ICQ:
MSN:
Yahoo IM:

http://wiki.tolostoi.com/wiki/

Профил

Контакти

Мнение #2

Skip to the previous post in this topic.

Написано на: Март 08 2007, 13:58

free

Цитирай

Нерегистриран

Има идея в това :
CODE]iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000[/CODE]
Като горните адреси са примерни както и обхвата от портовете.
Има и друго решение :

Код:

iptables-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -I PREROUTING -p tcp --dport 6881:6999 -j DNAT --to-destination 192.168.0.5

като 6881:6889 са портовете по подразбиране на които слушат торент клиентите ти съответно ше ги смениш както на теб ти е удобно.

Контакти: free

Лично съобщение | Впиши в адресната книга

AOL:
ICQ:
MSN:
Yahoo IM:

Мнение #3

Написано на: Март 08 2007, 14:38

free

Цитирай

Нерегистриран

И малко допълнение :

Код:

iptables -A FORWARD -p tcp -i eth0 --dport 6881:6889
-d 192.168.0.21 -j ACCEPT

Контакти: free

Лично съобщение | Впиши в адресната книга

AOL:
ICQ:
MSN:
Yahoo IM:

Мнение #4

Написано на: Март 08 2007, 14:39

tolostoi

Цитирай

Група: Li maniacs
Мнения: 869
Регистриран: Юли 2006

Оценка: 5

Цитат: (Guest @ Март 08 2007,13:58)

iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000

това правило не разбрах за какво е,а за торентите пренасочвам за всяко IP определен брой, по начина който си ми описал ? За портовете по подразбиране на :
ICQ & AIM File Transfers Ports: 5000 to 5100
MSN Messenger File Transfers Ports: 6891 to 6900 това открих и на една
страничка си генерирах Firewall но много излишни неща има там (и сложен ми се вижда) ще гледам да извадя което ми трябва от него и да го ползвам, това ми генерира а за Скайп и Yahoo портовете ?

Контакти: tolostoi

Лично съобщение | Впиши в адресната книга

AOL:
ICQ:
MSN:
Yahoo IM:

http://wiki.tolostoi.com/wiki/

Профил

Контакти

Мнение #5

Написано на: Март 08 2007, 15:25

free

Цитирай

Нерегистриран

Принципно за това правило съм чел в туториал за iptables
че е препоръчително да се ползва,когато адресите на вътршната мрежа са статични,вместо маскиране.
То не пречи и маскиране да ползваш и SNAT.
Само трябва да си зададеш адресите от твоята мрежа примерно 192.168.0.10-192.168.0.20.
За генератора знам от преди 3 години поне

удобен е за
ред хат но може да се преправи целият скрипт за всяка дистрибуция

Лошото е че генерира излишен текст разкарай описателната част ако ти се струва голям като размер

Контакти: free

Лично съобщение | Впиши в адресната книга

AOL:
ICQ:
MSN:
Yahoo IM:

Мнение #6

Написано на: Март 08 2007, 15:37

free

Цитирай

Нерегистриран

А бе най-добре си е да се ползват портове от 49152:65535
за торент клиентите.
А пък за този началния скрипт ти се чудя защо
INPUT,OUTPUT,FORWARD и прочеее са ти ACCEPT ?!

Контакти: free

Лично съобщение | Впиши в адресната книга

AOL:
ICQ:
MSN:
Yahoo IM:

Мнение #7

Написано на: Март 08 2007, 16:18

tolostoi

Цитирай

Група: Li maniacs
Мнения: 869
Регистриран: Юли 2006

Оценка: 5

Цитат: (Guest @ Март 08 2007,15:37)

А пък за този началния скрипт ти се чудя защо
INPUT,OUTPUT,FORWARD и прочеее са ти ACCEPT ?!

Идеята е като се зареди първоначално да изчисти правилата, които евентуално преди това е имало (не знам дали правилно) и след това да се зададе политика.
А за генератора не ме притесняват коментиранете редове, той е със зареждане на модули,включване на рутиране и още други неща които не са ми нужни, мислех да ползвам само някой редове от него. Има ли нещо нередно във Firewall-a в началото на темата, ако ОК да го заредя и вече да се допълва само ?

Контакти: tolostoi

Лично съобщение | Впиши в адресната книга

AOL:
ICQ:
MSN:
Yahoo IM:

http://wiki.tolostoi.com/wiki/

Профил

Контакти

Мнение #8

Написано на: Март 08 2007, 16:37

free

Цитирай

Нерегистриран

Хъх ами в този генерирания скрипт се изчистват в началото веригите.
И не е лошо да си оставиш ssh но само от вътрешната мрежа.Няма всеки път когато правиш ъпдейти по системата да разкачваш клавиатури и монитори.

Код:

iptables -N SSHDENY
iptables -I INPUT -i eth0 -p tcp -m state --state NEW,INVALID
--dport 10222 -j SSHDENY
iptables -A INPUT -i eth0 -p tcp -m state --state NEW -s 192.168.0.0/24 -d 230.114.223.245 -d 10222 -j ACCEPT

Поправяш си /etc/ssh/ssh_config порта да ти е 10222, протокола да ти е 2,а не всеки път да пишеш от отдалечен
компютър : ssh -2 edikoisi@edikvosi.com

Контакти: free

Лично съобщение | Впиши в адресната книга

AOL:
ICQ:
MSN:
Yahoo IM:

Мнение #9

Написано на: Март 08 2007, 16:39

free

Цитирай

Нерегистриран

EDIT:

Код:

Контакти: free

Лично съобщение | Впиши в адресната книга

AOL:
ICQ:
MSN:
Yahoo IM:

Мнение #10

Написано на: Март 08 2007, 16:51

tolostoi

Цитирай

Група: Li maniacs
Мнения: 869
Регистриран: Юли 2006

Оценка: 5

Еми аз ssh го ползвам само от вътрешната мрежа и мислех, че ако не разреша порт 22, пак ще мога да влизам от вътрешната мрежа, но не и от интернет. То май от цялата тема това беше най-важното, идеята чрез изпълняването на скрипта fire да не се прецака връзката по ssh защото рутера дори не в къщи.

Контакти: tolostoi

Лично съобщение | Впиши в адресната книга

AOL:
ICQ:
MSN:
Yahoo IM:

http://wiki.tolostoi.com/wiki/

Профил

Контакти

< Предишна тема | Следваща тема >

Общо 13 отговор(а) от Март 08 2007, 11:38 до сега

Страница 1 от 2
1
2

» Начало » Li Форуми » Help & Support » Networking » iptables помощ за firewall