Szia! Átnéztem az ajánlott IPtables leírást, próbáltam megérteni, de azt hiszem túlnő rajtam a feladat.
Az Easy Firewall Generator-ral készítettem egy scriptet, ami elvileg megfelelne az igényeimnek, és ezt igyekeztem is megérteni, hogy mit is csinál. Nagyjából értem is, de még mindig fenn áll az a hiba, hogy bizonyos külső szolgáltatásokat nem lehet elérni. A szerver gond nélkül routolja a netet a belső hálóra, de néhány szolgáltatás időtúllépés miatt elérhetetlen. Ilyen például a külső POP3, SMTP szolgáltatás, illetve a https:// oldalak. A szerveren Squid proxy fut transzparens módban, és csak a 80-as port forgalma van bele irányítva. Próbáltam azt is, hogy csak a route-olást állítottam be a NAT láncon és az INPUT, FORWARD, OUTPUT láncon a default policy-t ACCEPT-re állítottam, de így sem ment. Merre keressem a megoldást? Az IPtables-ben vagy máshol van a hiba? Nagyon megköszönném a segítséget, mert már leharapják a fejemet a szüleim, mert enélkül nem megy a hálózat és egyenlőre minden még bonyolultabb lett, mint volt a cégünknél.... Most ez a konfig fájl, amit kiokoskodtam, módosítva néhol a EFG script-jét: > # Generated by iptables-save v1.3.6 on Sun Nov 18 19:57:38 2007 > *filter > :INPUT DROP [0:0] > :FORWARD DROP [0:0] > :OUTPUT DROP [0:0] > :bad_packets - [0:0] > :bad_tcp_packets - [0:0] > :icmp_packets - [0:0] > :tcp_inbound - [0:0] > :tcp_outbound - [0:0] > :udp_inbound - [0:0] > :udp_outbound - [0:0] > :syn_flood - [0:0] > -A INPUT -i lo -j ACCEPT > -A INPUT -j bad_packets > -A bad_packets -i ppp0 -s 192.168.15.0/255.255.255.0 -j LOG --log-prefix > "bad_packets: Inv.src.->DROP" > -A bad_packets -i ppp0 -s 192.168.15.0/255.255.255.0 -j DROP > -A bad_packets -m state --state INVALID -j LOG --log-prefix "bad_packets: > Inv. st.->DROP" > -A bad_packets -m state --state INVALID -j DROP > -A bad_packets -p tcp -j bad_tcp_packets > -A bad_tcp_packets -i eth1 -p tcp -j RETURN > -A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state > --state NEW -j LOG --log-prefix "bad_tcp_packets: sz=1->DROP" > -A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state > --state NEW -j DROP > -A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j > LOG --log-prefix "bad_tcp_packets: sz=2->DROP" > -A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j > DROP > -A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG > FIN,SYN,RST,PSH,ACK,URG -j LOG --log-prefix "bad_tcp_packets: sz=3->DROP" > -A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG > FIN,SYN,RST,PSH,ACK,URG -j DROP > -A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG > FIN,PSH,URG -j LOG --log-prefix "bad_tcp_packets: sz=4->DROP" > -A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG > FIN,PSH,URG -j DROP > -A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG > FIN,SYN,RST,ACK,URG -j LOG --log-prefix "bad_tcp_packets: sz=5->DROP" > -A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG > FIN,SYN,RST,ACK,URG -j DROP > -A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j LOG > --log-prefix "bad_tcp_packets: sz=6->DROP" > -A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP > -A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j LOG > --log-prefix "bad_tcp_packets: sz=7->DROP" > -A bad_tcp_packets -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j DROP > -A INPUT -i ppp0 -p tcp -m tcp --tcp-flags SYN SYN -j syn_flood > -A syn_flood -j LOG --log-prefix "syn_flood: SYN_flood detected" > -A syn_flood -m limit --limit 20/sec --limit-burst 4 -j RETURN > -A syn_flood -j DROP > -A INPUT -d 224.0.0.1 -j DROP > -A INPUT -i eth1 -p tcp -d !192.168.15.1 -j FORWARD > -A INPUT -i eth1 -p udp -d !192.168.15.1 -j FORWARD > -A INPUT -i eth1 -s 192.168.15.0/255.255.255.0 -j ACCEPT > -A INPUT -i eth1 -d 192.168.15.255 -j ACCEPT > -A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT > -A INPUT -i ppp0 -p tcp -j tcp_inbound > -A tcp_inbound -p tcp -m tcp --dport 113 -j REJECT --reject-with > icmp-port-unreachable > -A tcp_inbound -p tcp -m tcp --dport 5353 -j ACCEPT > -A tcp_inbound -p tcp -m tcp --dport 80 -j ACCEPT > -A tcp_inbound -p tcp -m tcp --dport 443 -j ACCEPT > -A tcp_inbound -p tcp -m tcp --dport 10000 -j ACCEPT > -A tcp_inbound -p tcp -m tcp --dport 21 -j ACCEPT > -A tcp_inbound -p tcp -m tcp --sport 20 -j ACCEPT > -A tcp_inbound -p tcp -m tcp --dport 62000:64000 -j ACCEPT > -A tcp_inbound -p tcp -m tcp --dport 25 -j ACCEPT > -A tcp_inbound -p tcp -m tcp --dport 465 -j ACCEPT > -A tcp_inbound -p tcp -m tcp --dport 110 -j ACCEPT > -A tcp_inbound -p tcp -m tcp --dport 143 -j ACCEPT > -A tcp_inbound -p tcp -m tcp --dport 995 -j ACCEPT > -A tcp_inbound -p tcp -m tcp --dport 993 -j ACCEPT > -A tcp_inbound -p tcp -m tcp --dport 22 -j ACCEPT > -A tcp_inbound -p tcp -m tcp --dport 5000:5100 -j ACCEPT > -A tcp_inbound -p tcp -m tcp --dport 6891:6900 -j ACCEPT > -A tcp_inbound -p tcp -m tcp --dport 8000:8010 -j ACCEPT > -A tcp_inbound -p tcp -j RETURN > -A INPUT -i ppp0 -p udp -j udp_inbound > -A udp_inbound -p udp -m udp --dport 137 -j DROP > -A udp_inbound -p udp -m udp --dport 138 -j DROP > -A udp_inbound -p udp -m udp --dport 113 -j REJECT --reject-with > icmp-port-unreachable > -A udp_inbound -p udp -m udp --dport 123 -j ACCEPT > -A udp_inbound -p udp -m udp --dport 53 -j ACCEPT > -A udp_inbound -p udp -m udp --sport 53 -j ACCEPT > -A udp_inbound -p udp -m udp --dport 5353 -j ACCEPT Előre is köszi a segítésget és bocsi mindenkitől a hosszú levél miatt... Bazsi > -A INPUT -i ppp0 -p icmp -j icmp_packets > -A icmp_packets -p icmp -f -j LOG --log-prefix "icmp_packets: fragm.->DROP" > -A icmp_packets -p icmp -f -j DROP > -A icmp_packets -s 192.168.15.0/255.255.255.0 -p icmp -m icmp --icmp-type 8 > -j ACCEPT > -A icmp_packets -p icmp -m icmp --icmp-type 8 -j LOG --log-prefix > "icmp_packets: Ping detected" > -A icmp_packets -p icmp -m icmp --icmp-type 8 -j DROP > -A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT > -A INPUT -m pkttype --pkt-type broadcast -j DROP > -A INPUT -j LOG --log-prefix "INPUT: nincs ill.->DROP" > -A FORWARD -j bad_packets > -A FORWARD -i eth1 -p tcp -j tcp_outbound > -A tcp_outbound -p tcp -j ACCEPT > -A FORWARD -i eth1 -p udp -j udp_outbound > -A udp_outbound -p udp -j ACCEPT > -A FORWARD -i eth1 -j ACCEPT > -A FORWARD -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT > -A FORWARD -i ppp0 -d 192.168.15.4 -p tcp -m tcp --dport 8000:8010 -j ACCEPT > -A FORWARD -j LOG --log-prefix "FORWARD: nincs ill.->DROP" > -A OUTPUT -p icmp -m state --state INVALID -j DROP > -A OUTPUT -s 127.0.0.1 -j ACCEPT > -A OUTPUT -o lo -j ACCEPT > -A OUTPUT -s 192.168.15.1 -j ACCEPT > -A OUTPUT -o eth1 -j ACCEPT > -A OUTPUT -o ppp0 -j ACCEPT > -A OUTPUT -j LOG --log-prefix "OUTPUT: nincs ill.->DROP" > COMMIT > # Completed on Sun Nov 18 19:57:38 2007 > # Generated by iptables-save v1.3.6 on Sun Nov 18 19:57:38 2007 > *nat > :PREROUTING ACCEPT [0:0] > :POSTROUTING ACCEPT [0:0] > :OUTPUT ACCEPT [0:0] > -A PREROUTING -i ppp0 -p tcp -m tcp --dport 8000:8010 -j DNAT > --to-destination 192.168.15.4 > #-A PREROUTING -d 81.xxx.xxx.xxx -i eth1 -p tcp -m tcp --dport 8000:8010 -j > DNAT --to-destination 192.168.15.4 > -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080 > -A POSTROUTING -o ppp0 -j SNAT --to-source 81.xxx.xxx.xxx > #-A POSTROUTING -o eth1 -j SNAT --to-source 81.xxx.xxx.xxx > COMMIT > # Completed on Sun Nov 18 19:57:38 2007 > # Generated by iptables-save v1.3.6 on Sun Nov 18 19:57:38 2007 > *mangle > :PREROUTING ACCEPT [0:0] > :INPUT ACCEPT [0:0] > :FORWARD ACCEPT [0:0] > :OUTPUT ACCEPT [0:0] > :POSTROUTING ACCEPT [0:0] > -A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss > 1400:1536 -j TCPMSS --clamp-mss-to-pmtu > -A OUTPUT -o ppp0 -j TTL --ttl-set 128 > COMMIT > # Completed on Sun Nov 18 19:57:38 2007 > _________________________________________________ linux lista - [email protected] http://mlf2.linux.rulez.org/mailman/listinfo/linux
