Re: где ошибка в правилах iptables

2008-01-15 Нитка Евгений М . Солодухин 
а если запись в логи ставить после набора правил - до них кто добирается --- 
принятые пакеты, или которые не отфильтровались по цепочке ?
:)
чего то не могу осознать куда логирование лучше сунуть
:)

,--[Kylik Semen <[EMAIL PROTECTED]> Fri, 04 Jan 2008 14:55:31 +0200]
|$IPT -A lan2inet_tcp -p tcp -s $LAN_IP_RANGE --dport 123 -j ACCEPT
|
|$IPT -A lan2inet_tcp -p tcp -j LOG --log-prefix "Lan2Inet TCP: "
|$IPT -A lan2inet_tcp -p tcp -j REJECT --reject-with
|icmp-port-unreachable
`-

-- 
_
***
*   icq: 161874711*
*   jabber:  [EMAIL PROTECTED]   *
* irc.starlink.ru,#Gene, Devil_InSide *
*Registered linux user #450844*
*** 



-- 
ubuntu-ru mailing list
ubuntu-ru@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru

Re: где ошибка в правилах iptables

2008-01-15 Нитка Dmitry Mityugov 
2008/1/15 Евгений М. Солодухин <[EMAIL PROTECTED]>:
...
> pps:
> а убунту сервер = он как, с гуями поставляется или как дебиановский ?
> :)

Без. Как FreeBSD :-)

-- 
Dmitry
-- 
ubuntu-ru mailing list
ubuntu-ru@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru

Re: где ошибка в правилах iptables

2008-01-15 Нитка Евгений М . Солодухин 
к етому:  |$IPT -t nat -A POSTROUTING -o eth0 -j MASQUERADE

нада еще и ето :
localnet=192.168.0.0/24

iptables -A FORWARD -s $localnet -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0  -d $localnet -m state --state RELATED,ESTABLISHED 
-j ACCEPT
 

что нить похожее изобразить.


зыЖ
хоть я и не специалист... но скрипт - невнятный.

и на всякий случай я бы еще так задудонил:
|$IPT -t nat -A POSTROUTING -s $localnet -o eth0 -j MASQUERADE


pps:
а убунту сервер = он как, с гуями поставляется или как дебиановский ?
:)


,--["sergicus s" <[EMAIL PROTECTED]> Fri, 4 Jan 2008 13:27:03 +0300]
|У меня стои ubuntu server 7.10
|
|Настраиваю ее как прокси сервер
|
|Задача настроить маскарадинг и обеспечить безопасность
|
|Сам маскарадинг настроился и работает после такой команды
|
|iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
|
|и все нормально
|
|Начал настраивать прочие правила - создал скрипт для установки правил
|
|#!/bin/bash
|
|IPT=/sbin/iptables
|
|$IPT -F
|$IPT -t nat -F
|$IPT -t mangle -F
|$IPT -P INPUT DROP
|$IPT -P FORWARD DROP
|
|#==STATE RULES
|$IPT -t nat -A POSTROUTING -o eth0 -j MASQUERADE
|
|$IPT -A FORWARD -p tcp -j LOG
|$IPT -A FORWARD -p udp -j LOG
|$IPT -A FORWARD -p icmp -j LOG
|
|$IPT -A INPUT -m state --state INVALID -j DROP
|$IPT -A FORWARD -m state --state INVALID -j DROP
|$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
|$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
|
|#== LOCALCHOST
|
|$IPT -A FORWARD -i ! lo -s 127.0.0.1 -j DROP
|$IPT -A INPUT -i ! lo -s 127.0.0.1 -j DROP
|$IPT -A FORWARD -i ! lo -d 127.0.0.1 -j DROP
|$IPT -A INPUT -i ! lo -d 127.0.0.1 -j DROP
|$IPT -A INPUT -d 127.0.0.1 -j ACCEPT
|$IPT -A INPUT -s 127.0.0.1 -j ACCEPT
|
|#== ICMP
|
|$IPT -A INPUT -p icmp -j ACCEPT
|
|#== SSH
|
|$IPT -A INPUT -p tcp -i eth0 -m state --state NEW --dport 22 -m recent
|--update --seconds 20 -j DROP
|$IPT -A INPUT -p tcp -i eth0 -m state --state NEW --dport 22 -m recent --set
|-j ACCEPT
|$IPT -A INPUT -p tcp --dport 22 -j ACCEPT
|
|
|#== DNS
|
|$IPT -A INPUT -p tcp --dport 53 -j ACCEPT
|$IPT -A INPUT -p udp --dport 53 -j ACCEPT
|
|#==APACHE
|$IPT -A INPUT -p tcp --dport 80 -j ACCEPT
|
|#== SMTP
|
|$IPT -A INPUT -p tcp --dport 25 -j ACCEPT
|
|#== SPOP
|
|$IPT -A INPUT -p tcp -i eth0 -m state --state NEW --dport 995 -m recent
|--update --seconds 20 -j DROP
|$IPT -A INPUT -p tcp -i eth0 -m state --state NEW --dport 995 -m recent
|--set -j ACCEPT
|
|
|
|но к сожелению после его запуска маскарадинг перестал работать - с сервера
|на котором установлен iptables все в инет иде а с других компов сети нет.
|
|Посоветуйте  ПОЖАЛУЙСТА - где я допустил ошибку и что еще можно добавить в
|скрипт для повышения безопасности
|
|Я запустил логирование - вот результат (примерно все такого типа - я
|пробовал из локальной сети пропинговать сайт и зайти на другой сайт из
|брайзера  - результата нет)
|Jan  4 13:09:06 prox kernel: [12468.250866] IN=eth1 OUT=eth0 
SRC=192.168.0.9DST=
|213.180.204.8 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=ICMP TYPE=8
|CODE=0 ID=55064 SEQ=378
|Jan  4 13:09:06 prox kernel: [12468.267539] IN=eth0 OUT=eth1 SRC=
|213.180.204.8 DST=192.168.0.9 LEN=84 TOS=0x00 PREC=0x20 TTL=56 ID=10742
|PROTO=ICMP TYPE=0 CODE=0 ID=55064 SEQ=378
|

`-

-- 
_
***
*   icq: 161874711*
*   jabber:  [EMAIL PROTECTED]   *
* irc.starlink.ru,#Gene, Devil_InSide *
*Registered linux user #450844*
*** 



-- 
ubuntu-ru mailing list
ubuntu-ru@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru

Re: где ошибка в правилах iptables

2008-01-05 Нитка Kylik Semen 
Доброго дня


В Сбт, 05/01/2008 в 11:40 +0300, sergicus s пишет:
> Большое спасибо за ответ

рекомендуется к прочтению :-)
http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html#TRAVERSINGOFTABLES



> 
> Плохо смотрел
> 
> $IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
> 
> кажется вы правы
> 


Все поскипаетм и рассмотрим цепочку FORWARD



> $IPT -P FORWARD DROP #по умолчанию все транзитные пакеты запрещены



> 
> #FORWARD
> 
> $IPT -A FORWARD -m state --state INVALID -j DROP  
> $IPT -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Ниже лишнее, т.к. такое не может быть

> $IPT -A FORWARD -i ! lo -s 127.0.0.1 -j DROP 
> $IPT -A FORWARD -i ! lo -d 127.0.0.1 -j DROP
> 


> Как вы видете я разрешил исходящие (это пока) все и добавил в 
> $IPT -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
> слово NEW 
> 
> и все начало работать.

Добавление NEW здесь эквивалентно 

$IPT -P FORWARD ACCEPT, т.е никакой фильтрации не происходит.

> 
> Сейчас буду колупать дальше (и думать) Заранее благодарен за советы
> 

Советы: ;-)
- прочитать документ (и глянуть другие на том же сайте).

- уяснить, что
а) транзитный трафик мы фильтруем в цепочке FORWARD и работает с
реальными интерфейсами (eth+, ppp+, tun+).
б) локальный (для этого хоста) мы фильтруем в цепочках INPUT и OUTPUT и 
интерфейсы у нас реальные и плюс _lo_.

-- 
С уважением, Семен.



-- 
ubuntu-ru mailing list
ubuntu-ru@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru

Re: где ошибка в правилах iptables

2008-01-05 Нитка sergicus s 
>
> Сейчас буду колупать дальше (и думать) Заранее благодарен за советы


В догонку - меня осенило добавил вот такую строчку
 $IPT -A FORWARD -i eth1 -o eth0 -j ACCEPT

и убрал NEW  из предыдущей

работает - наверно вот в этом и была собака зарыта




-- 
С уважением
Сергей
-- 
ubuntu-ru mailing list
ubuntu-ru@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru

Re: где ошибка в правилах iptables

2008-01-04 Нитка Kylik Semen 

Доброго дня.




Плохо смотрел

$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Но это уже для установленных соединений.
А привила для SYS-пакета не видно.


Для FORWARD у меня сделано так:

$IPT -A FORWARD -p tcp -j bad_tcp_packets

# lan -> inet
$IPT -A FORWARD -p tcp  -o $INET_IFACE -j lan2inet_tcp
$IPT -A FORWARD -p udp  -o $INET_IFACE -j lan2inet_udp
$IPT -A FORWARD -p icmp -o $INET_IFACE -j lan2inet_icmp


#
# lan2inet_tcp
# 

$IPT -A lan2inet_tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
#   www, ftp
$IPT -A lan2inet_tcp -p tcp -s $SRV_SQUID_33 -m multiport
--destination-port 20,21,80,443 -j ACCEPT



#   mail
#   ntpd
$IPT -A lan2inet_tcp -p tcp -s $LAN_IP_RANGE --dport 123 -j ACCEPT

$IPT -A lan2inet_tcp -p tcp -j LOG --log-prefix "Lan2Inet TCP: "
$IPT -A lan2inet_tcp -p tcp -j REJECT --reject-with
icmp-port-unreachable

и т.д. и т.п. в зависимости от поставленной цели.


-- 
С уважением, Семен.





-- 
ubuntu-ru mailing list
ubuntu-ru@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru

Re: где ошибка в правилах iptables

2008-01-04 Нитка Kylik Semen 

В Птн, 04/01/2008 в 14:10 +0300, sergicus s пишет:
> Спасибо за ответ - сейчас сижу на работе копаю
> 
> 
> Может стоит сделать типа вот так: 
> 
> $IPT -F
> $IPT -t nat -F
> $IPT -t mangle -F
> 
> $IPT -t nat -A POSTROUTING -o eth0 -j MASQUERADE
> 
> а потом все остальное?
> 
> Сделал - не срабатывает
> 
> Вообще если сделать политики по умолчанию ACCEPT для INPUT и FORWARD
> но все начинает проходить --- из этого следует? 
>   Не знаю - что то у меня не учтено


FORWARD - цепочка для транзитных пакетов

IPUT - цепочка (на вход ) для хоста (самого себя)



$IPT -P FORWARD DROP - политика ничего не пропускать.

а -j ACCEPT нигде не видно


$IPT -A FORWARD -i ! lo -s 127.0.0.1 -j DROP 

а этого лишнее


в руководстве по iptables есть схемы движения транзитных пакетов и
пакетов предназначенных для  host.

 
-- 
С уважение, Семен.



-- 
ubuntu-ru mailing list
ubuntu-ru@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru

Re: где ошибка в правилах iptables

2008-01-04 Нитка sergicus s 
Спасибо за ответ - сейчас сижу на работе копаю


> Может стоит сделать типа вот так:
>
> $IPT -F
> $IPT -t nat -F
> $IPT -t mangle -F
>
> $IPT -t nat -A POSTROUTING -o eth0 -j MASQUERADE
>
> а потом все остальное?


Сделал - не срабатывает

Вообще если сделать политики по умолчанию ACCEPT для INPUT и FORWARD но все
начинает проходить --- из этого следует?
  Не знаю - что то у меня не учтено



-- 
С уважением
Сергей
-- 
ubuntu-ru mailing list
ubuntu-ru@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru

Re: где ошибка в правилах iptables

2008-01-04 Нитка Maxim Ushakov 
$IPT -F
$IPT -t nat -F
$IPT -t mangle -F

случаем не этими ли командами ты отменяешь iptables -t nat -A POSTROUTING -o
eth0 -j MASQUERADE ??

Может стоит сделать типа вот так:

$IPT -F
$IPT -t nat -F
$IPT -t mangle -F

$IPT -t nat -A POSTROUTING -o eth0 -j MASQUERADE

а потом все остальное?
-- 
ubuntu-ru mailing list
ubuntu-ru@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru