Re: где ошибка в правилах iptables
а если запись в логи ставить после набора правил - до них кто добирается --- принятые пакеты, или которые не отфильтровались по цепочке ? :) чего то не могу осознать куда логирование лучше сунуть :) ,--[Kylik Semen <[EMAIL PROTECTED]> Fri, 04 Jan 2008 14:55:31 +0200] |$IPT -A lan2inet_tcp -p tcp -s $LAN_IP_RANGE --dport 123 -j ACCEPT | |$IPT -A lan2inet_tcp -p tcp -j LOG --log-prefix "Lan2Inet TCP: " |$IPT -A lan2inet_tcp -p tcp -j REJECT --reject-with |icmp-port-unreachable `- -- _ *** * icq: 161874711* * jabber: [EMAIL PROTECTED] * * irc.starlink.ru,#Gene, Devil_InSide * *Registered linux user #450844* *** -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: где ошибка в правилах iptables
2008/1/15 Евгений М. Солодухин <[EMAIL PROTECTED]>: ... > pps: > а убунту сервер = он как, с гуями поставляется или как дебиановский ? > :) Без. Как FreeBSD :-) -- Dmitry -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: где ошибка в правилах iptables
к етому: |$IPT -t nat -A POSTROUTING -o eth0 -j MASQUERADE нада еще и ето : localnet=192.168.0.0/24 iptables -A FORWARD -s $localnet -o eth0 -j ACCEPT iptables -A FORWARD -i eth0 -d $localnet -m state --state RELATED,ESTABLISHED -j ACCEPT что нить похожее изобразить. зыЖ хоть я и не специалист... но скрипт - невнятный. и на всякий случай я бы еще так задудонил: |$IPT -t nat -A POSTROUTING -s $localnet -o eth0 -j MASQUERADE pps: а убунту сервер = он как, с гуями поставляется или как дебиановский ? :) ,--["sergicus s" <[EMAIL PROTECTED]> Fri, 4 Jan 2008 13:27:03 +0300] |У меня стои ubuntu server 7.10 | |Настраиваю ее как прокси сервер | |Задача настроить маскарадинг и обеспечить безопасность | |Сам маскарадинг настроился и работает после такой команды | |iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE | |и все нормально | |Начал настраивать прочие правила - создал скрипт для установки правил | |#!/bin/bash | |IPT=/sbin/iptables | |$IPT -F |$IPT -t nat -F |$IPT -t mangle -F |$IPT -P INPUT DROP |$IPT -P FORWARD DROP | |#==STATE RULES |$IPT -t nat -A POSTROUTING -o eth0 -j MASQUERADE | |$IPT -A FORWARD -p tcp -j LOG |$IPT -A FORWARD -p udp -j LOG |$IPT -A FORWARD -p icmp -j LOG | |$IPT -A INPUT -m state --state INVALID -j DROP |$IPT -A FORWARD -m state --state INVALID -j DROP |$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT |$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT | |#== LOCALCHOST | |$IPT -A FORWARD -i ! lo -s 127.0.0.1 -j DROP |$IPT -A INPUT -i ! lo -s 127.0.0.1 -j DROP |$IPT -A FORWARD -i ! lo -d 127.0.0.1 -j DROP |$IPT -A INPUT -i ! lo -d 127.0.0.1 -j DROP |$IPT -A INPUT -d 127.0.0.1 -j ACCEPT |$IPT -A INPUT -s 127.0.0.1 -j ACCEPT | |#== ICMP | |$IPT -A INPUT -p icmp -j ACCEPT | |#== SSH | |$IPT -A INPUT -p tcp -i eth0 -m state --state NEW --dport 22 -m recent |--update --seconds 20 -j DROP |$IPT -A INPUT -p tcp -i eth0 -m state --state NEW --dport 22 -m recent --set |-j ACCEPT |$IPT -A INPUT -p tcp --dport 22 -j ACCEPT | | |#== DNS | |$IPT -A INPUT -p tcp --dport 53 -j ACCEPT |$IPT -A INPUT -p udp --dport 53 -j ACCEPT | |#==APACHE |$IPT -A INPUT -p tcp --dport 80 -j ACCEPT | |#== SMTP | |$IPT -A INPUT -p tcp --dport 25 -j ACCEPT | |#== SPOP | |$IPT -A INPUT -p tcp -i eth0 -m state --state NEW --dport 995 -m recent |--update --seconds 20 -j DROP |$IPT -A INPUT -p tcp -i eth0 -m state --state NEW --dport 995 -m recent |--set -j ACCEPT | | | |но к сожелению после его запуска маскарадинг перестал работать - с сервера |на котором установлен iptables все в инет иде а с других компов сети нет. | |Посоветуйте ПОЖАЛУЙСТА - где я допустил ошибку и что еще можно добавить в |скрипт для повышения безопасности | |Я запустил логирование - вот результат (примерно все такого типа - я |пробовал из локальной сети пропинговать сайт и зайти на другой сайт из |брайзера - результата нет) |Jan 4 13:09:06 prox kernel: [12468.250866] IN=eth1 OUT=eth0 SRC=192.168.0.9DST= |213.180.204.8 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=ICMP TYPE=8 |CODE=0 ID=55064 SEQ=378 |Jan 4 13:09:06 prox kernel: [12468.267539] IN=eth0 OUT=eth1 SRC= |213.180.204.8 DST=192.168.0.9 LEN=84 TOS=0x00 PREC=0x20 TTL=56 ID=10742 |PROTO=ICMP TYPE=0 CODE=0 ID=55064 SEQ=378 | `- -- _ *** * icq: 161874711* * jabber: [EMAIL PROTECTED] * * irc.starlink.ru,#Gene, Devil_InSide * *Registered linux user #450844* *** -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: где ошибка в правилах iptables
Доброго дня В Сбт, 05/01/2008 в 11:40 +0300, sergicus s пишет: > Большое спасибо за ответ рекомендуется к прочтению :-) http://gazette.linux.ru.net/rus/articles/iptables-tutorial.html#TRAVERSINGOFTABLES > > Плохо смотрел > > $IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT > > кажется вы правы > Все поскипаетм и рассмотрим цепочку FORWARD > $IPT -P FORWARD DROP #по умолчанию все транзитные пакеты запрещены > > #FORWARD > > $IPT -A FORWARD -m state --state INVALID -j DROP > $IPT -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT Ниже лишнее, т.к. такое не может быть > $IPT -A FORWARD -i ! lo -s 127.0.0.1 -j DROP > $IPT -A FORWARD -i ! lo -d 127.0.0.1 -j DROP > > Как вы видете я разрешил исходящие (это пока) все и добавил в > $IPT -A FORWARD -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT > слово NEW > > и все начало работать. Добавление NEW здесь эквивалентно $IPT -P FORWARD ACCEPT, т.е никакой фильтрации не происходит. > > Сейчас буду колупать дальше (и думать) Заранее благодарен за советы > Советы: ;-) - прочитать документ (и глянуть другие на том же сайте). - уяснить, что а) транзитный трафик мы фильтруем в цепочке FORWARD и работает с реальными интерфейсами (eth+, ppp+, tun+). б) локальный (для этого хоста) мы фильтруем в цепочках INPUT и OUTPUT и интерфейсы у нас реальные и плюс _lo_. -- С уважением, Семен. -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: где ошибка в правилах iptables
> > Сейчас буду колупать дальше (и думать) Заранее благодарен за советы В догонку - меня осенило добавил вот такую строчку $IPT -A FORWARD -i eth1 -o eth0 -j ACCEPT и убрал NEW из предыдущей работает - наверно вот в этом и была собака зарыта -- С уважением Сергей -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: где ошибка в правилах iptables
Доброго дня. Плохо смотрел $IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT Но это уже для установленных соединений. А привила для SYS-пакета не видно. Для FORWARD у меня сделано так: $IPT -A FORWARD -p tcp -j bad_tcp_packets # lan -> inet $IPT -A FORWARD -p tcp -o $INET_IFACE -j lan2inet_tcp $IPT -A FORWARD -p udp -o $INET_IFACE -j lan2inet_udp $IPT -A FORWARD -p icmp -o $INET_IFACE -j lan2inet_icmp # # lan2inet_tcp # $IPT -A lan2inet_tcp -m state --state RELATED,ESTABLISHED -j ACCEPT # www, ftp $IPT -A lan2inet_tcp -p tcp -s $SRV_SQUID_33 -m multiport --destination-port 20,21,80,443 -j ACCEPT # mail # ntpd $IPT -A lan2inet_tcp -p tcp -s $LAN_IP_RANGE --dport 123 -j ACCEPT $IPT -A lan2inet_tcp -p tcp -j LOG --log-prefix "Lan2Inet TCP: " $IPT -A lan2inet_tcp -p tcp -j REJECT --reject-with icmp-port-unreachable и т.д. и т.п. в зависимости от поставленной цели. -- С уважением, Семен. -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: где ошибка в правилах iptables
В Птн, 04/01/2008 в 14:10 +0300, sergicus s пишет: > Спасибо за ответ - сейчас сижу на работе копаю > > > Может стоит сделать типа вот так: > > $IPT -F > $IPT -t nat -F > $IPT -t mangle -F > > $IPT -t nat -A POSTROUTING -o eth0 -j MASQUERADE > > а потом все остальное? > > Сделал - не срабатывает > > Вообще если сделать политики по умолчанию ACCEPT для INPUT и FORWARD > но все начинает проходить --- из этого следует? > Не знаю - что то у меня не учтено FORWARD - цепочка для транзитных пакетов IPUT - цепочка (на вход ) для хоста (самого себя) $IPT -P FORWARD DROP - политика ничего не пропускать. а -j ACCEPT нигде не видно $IPT -A FORWARD -i ! lo -s 127.0.0.1 -j DROP а этого лишнее в руководстве по iptables есть схемы движения транзитных пакетов и пакетов предназначенных для host. -- С уважение, Семен. -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: где ошибка в правилах iptables
Спасибо за ответ - сейчас сижу на работе копаю > Может стоит сделать типа вот так: > > $IPT -F > $IPT -t nat -F > $IPT -t mangle -F > > $IPT -t nat -A POSTROUTING -o eth0 -j MASQUERADE > > а потом все остальное? Сделал - не срабатывает Вообще если сделать политики по умолчанию ACCEPT для INPUT и FORWARD но все начинает проходить --- из этого следует? Не знаю - что то у меня не учтено -- С уважением Сергей -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: где ошибка в правилах iptables
$IPT -F $IPT -t nat -F $IPT -t mangle -F случаем не этими ли командами ты отменяешь iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE ?? Может стоит сделать типа вот так: $IPT -F $IPT -t nat -F $IPT -t mangle -F $IPT -t nat -A POSTROUTING -o eth0 -j MASQUERADE а потом все остальное? -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru