Настройка iptables для начинающих.

[T04ka]

# Порты
OPENPORTS="25,110,20,22,21,80,443,23,79,43,70,210"

$IPT -A OUTPUT -p tcp -m tcp -m multiport -o $INET_IFACE --dport $OPENPORTS --sport $UNPRIPORTS -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -m multiport -i $INET_IFACE --dport $UNPRIPORTS --sport $OPENPORTS -j ACCEPT ! --syn

Starting firewall: iptablesiptables v1.2.11: invalid TCP port/service `25,110,20,22,21,80,443,23,79,43,70,210' specified
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.2.11: invalid TCP port/service `25,110,20,22,21,80,443,23,79,43,70,210' specified
Try `iptables -h' or 'iptables --help' for more information.

Где ошибка?

[CuB]

вместо --dport и --sport надо --dports( --destination-ports) и --sports( --source-ports) соответсвенно

[T04ka]

вместо --dport и --sport надо --dports( --destination-ports) и --sports( --source-ports) соответсвенно

↑

Заработало!
TuLiss и CuB назовите свои имена, чтобы вписать в начало скрипта. Родина должна знать своих героев.

[TuLiss]

вместо --dport и --sport надо --dports( --destination-ports) и --sports( --source-ports) соответсвенно

↑

Заработало!
TuLiss и CuB назовите свои имена, чтобы вписать в начало скрипта. Родина должна знать своих героев.

↑

Скинул в личку. Кстати посмотрел. Получилось у меня почти то же самое =)
Правда у меня есть мысли как еще компактнее сделать =)
Да и предлогаю отдельным файлом запостить описание служб. Ну и надо на не такой великий и могучий как наш +) язык перевести (на ENG)

+ есть кое какие мысли с роутингом и проброской портов. На самом деле проблема очень актуальна.

TuLiss добавил в 19.08.2005 18:19

Да по поводу ловушки. Мысль хорошо.

в данном случии получится , что ловушка установленна на все порты, которые нами не определенны.
Я правильно понял =)?

Вообще интересно почитать
http://www.spinics.net/lists/netfilter/msg17583.html
жаль на ENG


http://www.ultra.chita.ru/forum/index.php?...inter&f=3&t=315

[Holy Joly Sergik]

...
А как относитесь к тому, чтобы написать на Shell небольшой установшик, где можно просто выбрать, что открыть, а что нет. На этом основание и будет генерироваться скрипт инициализации.
...

↑

Guarddog, кстати работает и с ipchains

[T04ka]

Да по поводу ловушки. Мысль хорошо.

в данном случии получится , что ловушка установленна на все порты, которые нами не определенны.
Я правильно понял =)?

Вообще интересно почитать
http://www.spinics.net/lists/netfilter/msg17583.html
жаль на ENG


http://www.ultra.chita.ru/forum/index.php?...inter&f=3&t=315

↑

IPT -A INPUT -p tcp -m tcp -j TARPIT
Мысль та хорошая, но для этого нужно расширение tarpit, которого у меня кажется нет.
Так что пока это неработает.

Вроде-бы защищает от сканирования портов.
$IPT -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
$IPT -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
$IPT -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
$IPT -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
$IPT -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$IPT -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
$IPT -A INPUT -p tcp --tcp-option 64 -j DROP
$IPT -A INPUT -p tcp --tcp-option 128 -j DROP

Хотя в iptables есть расширение psd, которое и защищает от сканирования портов.
Кстати, а как ставить расширения?

Правда у меня есть мысли как еще компактнее сделать =)
Да и предлогаю отдельным файлом запостить описание служб. Ну и надо на не такой великий и могучий как наш +) язык перевести (на ENG)

Покомкатней это хорошо. А "косметику" это потом, для начала надо правил отладить.

Morda добавил в 20.08.2005 08:16

Нужно найти ftp сервер, чтобы выложить скрипт туда, чтобы на форуме не болтается. А то как-то не серьезно это.

[TuLiss]

Хотя в iptables есть расширение psd, которое и защищает от сканирования портов.
Кстати, а как ставить расширения?

Нужно найти ftp сервер, чтобы выложить скрипт туда, чтобы на форуме не болтается. А то как-то не серьезно это.

↑

http://www.netfilter.org/

Качают патч и ставят на ядро.
Далее подключаем как модуль.

[T04ka]

Может создать проект на sourceforge и выложить скрипт туда?

[TuLiss]

Может создать проект на sourceforge и выложить скрипт туда?

↑

Ну если ты серьезно хочешь занятся , то можно и сделать.
Кстати поповоду добавления скрипта в систему. Все это хорошо, но для тех кто использует SystemV , а для тех кто использует BSD совсем по другому. Будет время отпишу. Шас время нету )+ Боюсь пропаду.

[T04ka]

Может создать проект на sourceforge и выложить скрипт туда?

↑

Ну если ты серьезно хочешь занятся , то можно и сделать.
Кстати поповоду добавления скрипта в систему. Все это хорошо, но для тех кто использует SystemV , а для тех кто использует BSD совсем по другому. Будет время отпишу. Шас время нету )+ Боюсь пропаду.

↑

Серьезно нет, но нужен ftp чтобы он там лежал.

# Диапозон адресов локальной сети.
LOCAL_MASK="127.0.0.1/24"

# Локалка
$IPT -A INPUT -p tcp -m tcp -m multiport -s $LOCAL_MASK --destination-port 21,22,80,443,1111,3128 -j ACCEPT
$IPT -A OUTPUT -p tcp -m tcp -m multiport --source-port 21,22,80,443,1111,3128 -d $LOCAL_MASK -j ACCEPT

[T04ka]

Отдельно выделил службы, которые могут обмениватся данными с локальной сетью.

[CuB]

А кто нибудь может обьяснить разницу между действием DROP и REJECT ?

[TuLiss]

А кто нибудь может обьяснить разницу между действием DROP и REJECT ?

↑

Reject выдает ошибку , в отличии от DROP.


http://www.opennet.ru/docs/RUS/iptables/

Пункт 6.5.10. Действие REJECT

TuLiss добавил в 24.08.2005 01:20

Отдельно выделил службы, которые могут обмениватся данными с локальной сетью.

↑

Что то не увидел в этом тайного смысла???

как насчет того, что бы в качестве примера написать проброску портов???
а так же как пробрасывать траффик. =)
просто я как бы помню, но так редко пользуюсь, а когда приходит время опять лезиш в фак =)

TuLiss добавил в 24.08.2005 01:22

А кто нибудь может обьяснить разницу между действием DROP и REJECT ?

↑

Reject выдает ошибку , в отличии от DROP.


http://www.opennet.ru/docs/RUS/iptables/

Пункт 6.5.10. Действие REJECT

TuLiss добавил в 24.08.2005 01:20

Отдельно выделил службы, которые могут обмениватся данными с локальной сетью.

↑

Что то не увидел в этом тайного смысла???

как насчет того, что бы в качестве примера написать проброску портов???
а так же как пробрасывать траффик. =)
просто я как бы помню, но так редко пользуюсь, а когда приходит время опять лезиш в фак =)

Потом не понятно, зачем была убранно большая часть сервиса? Например VPN ?
его можно было бы просто закоментировать.
Да и еще предложение, оставить только нужные сервесы, а остальное все запретить =) (закоментировать) будем работать на безопастность=;;)

↑

[T04ka]

Что то не увидел в этом тайного смысла???

как насчет того, что бы в качестве примера написать проброску портов???
а так же как пробрасывать траффик. =)
просто я как бы помню, но так редко пользуюсь, а когда приходит время опять лезиш в фак =)

Потом не понятно, зачем была убранно большая часть сервиса? Например VPN ?
его можно было бы просто закоментировать.
Да и еще предложение, оставить только нужные сервесы, а остальное все запретить =) (закоментировать) будем работать на безопастность=;;)

↑

Ну VPN теперь
# Виртуальная частная сеть:
#$IPT -A INPUT -p 47 -m state --state ESTABLISHED,RELATED -i $INET_IFACE -j ACCEPT
#$IPT -A OUTPUT -p TCP --dport 1723 -o eth0 -j ACCEPT
#$IPT -A OUTPUT -p 47 -o eth0 -j ACCEPT

Отдельно выделил службы, которые могут обмениватся данными с локальной сетью.
*


Что то не увидел в этом тайного смысла???

как насчет того, что бы в качестве примера написать проброску портов???
а так же как пробрасывать траффик. =)
просто я как бы помню, но так редко пользуюсь, а когда приходит время опять лезиш в фак =)

Например, у тебе есть ftp сервер, и ты хочеш чтобы он был доступен только для твоей локальной сети.

Morda добавил в 24.08.2005 14:49

Aug 23 21:16:45 debian IN= OUT=ppp0 MAC= SRC=195.239.175.72 DST=83.222.7.132 LEN=40 TOS=00 PREC=0x00 TTL=64 ID=2150 DF PROTO=TCP SPT=32790 DPT=80 SEQ=2397420728 ACK=1537713330 WINDOW=7000 ACK FIN URGP=0

И так сегодня я обнаружил в журнале ulogd вот это. Следовательно, к действию -j ulog надо добавить, чтобы в журнале указывалось правило, где было выполненно действие ulog.

[noid]

Для самых маленьких, ИМХО.
http://www.netfilter.org/documentation/HOW...ng-HOWTO-5.html

[T04ka]

Недавно я подключался к локальной сети. Там требуется программа аутенфикации.

$IPT -A OUTPUT -p tcp -m tcp -m multiport -o $INET_IFACE --destination-ports 4444 --sport $UNPRIPORTS -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -m multiport -i $INET_IFACE --dport $UNPRIPORTS --source-ports 4444 -j ACCEPT ! --syn

Но программа в сеть не выходит. Если сбросить правила, все работает. Что не так?

[TuLiss]

Недавно я подключался к локальной сети. Там требуется программа аутенфикации.

$IPT -A OUTPUT -p tcp -m tcp -m multiport -o $INET_IFACE --destination-ports 4444 --sport $UNPRIPORTS -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -m multiport -i $INET_IFACE --dport $UNPRIPORTS --source-ports 4444 -j ACCEPT ! --syn

Но программа в сеть не выходит. Если сбросить правила, все работает. Что не так?

↑

1) что за программа?
2) Возможно еще открывается какой либо порт???
3) Попробуй просто отследить, что программа открывает и куда ломится =)

[T04ka]

Недавно я подключался к локальной сети. Там требуется программа аутенфикации.

$IPT -A OUTPUT -p tcp -m tcp -m multiport -o $INET_IFACE --destination-ports 4444 --sport $UNPRIPORTS -j ACCEPT
$IPT -A INPUT -p tcp -m tcp -m multiport -i $INET_IFACE --dport $UNPRIPORTS --source-ports 4444 -j ACCEPT ! --syn

Но программа в сеть не выходит. Если сбросить правила, все работает. Что не так?

↑

1) что за программа?
2) Возможно еще открывается какой либо порт???
3) Попробуй просто отследить, что программа открывает и куда ломится =)

↑

Программа inetaccess.exe. Версия для винды.
Для linux sgauth вообще неработает.

3) Попробуй просто отследить, что программа открывает и куда ломится =)

Как?

[TuLiss]

Как?

↑

ну приплыли блин.

netstat
fuser

Да и для inetaccess должен быть UDP а не TCP +)))

[T04ka]

Бесполезно.

Пробовал так:
$IPT -A OUTPUT -p udp -m udp -o $INET_IFACE -s мой_ip -d ip_сервера -j ACCEPT
$IPT -A INPUT -p udp -m udp -i $INET_IFACE -s мой_ip -d ip_сервера-j ACCEPT

[TuLiss]

Бесполезно.

Пробовал так:
$IPT -A OUTPUT -p udp -m udp -o $INET_IFACE -s мой_ip -d ip_сервера -j ACCEPT
$IPT -A INPUT -p udp -m udp -i $INET_IFACE -s мой_ip -d  ip_сервера-j ACCEPT

↑

ну это выдержка из фака:

Если у вас работает firewall, то для работы программы InetAccess, у вас должны быть открыты UDP порты 5554 и 5555.

[T04ka]

$IPT -A OUTPUT -p udp -m udp -m multiport -o $INET_IFACE --destination-ports 4444,5554,5555 --sport $UNPRIPORTS -j ACCEPT
$IPT -A INPUT -p udp -m udp -m multiport -i $INET_IFACE --dport $UNPRIPORTS --source-ports 4444,5554,5555 -j ACCEPT

Неработает....

Для скрипта:

Код: Выделить всё

# Makefile 0.1
PREFIX=/etc/init.d

install:
    cp rc.iptables $(PREFIX)
    cd $(PREFIX)
    update-rc.d rc.iptables start 40 S . stop 89 0 6 .
    ./rc.iptables start

[TuLiss]

Код: Выделить всё

# Makefile 0.1
PREFIX=/etc/init.d

install:
    cp rc.iptables $(PREFIX)
    cd $(PREFIX)
    update-rc.d rc.iptables start 40 S . stop 89 0 6 .
    ./rc.iptables start

↑

[quote]

Ахха тогда пиши и установку под BSD +)))

По поводу аксесса, ну посмотри какие порты она открывает.

[T04ka]

Код: Выделить всё

# Makefile 0.1
PREFIX=/etc/init.d

install:
    cp rc.iptables $(PREFIX)
    cd $(PREFIX)
    update-rc.d rc.iptables start 40 S . stop 89 0 6 .
    ./rc.iptables start

↑

Ахха тогда пиши и установку под BSD +)))

↑

В makefile надо добавить поиск и удаление старой версии. BSD непользуюсь, так что милости просим.

Как сделать configure?



Morda добавил в 31.08.2005 14:44

Это его блокирует.
# Запрещаем любые новые подключения с любых интерфейсов, кроме lo к компьютеру.
#$IPT -A INPUT -m state ! -i lo --state NEW -j DROP

Если поставить политику пропускать все, и убрать верхнее правило все работает.
Если политика Drop, и

$IPT -A OUTPUT -p udp -m udp -m multiport -o $INET_IFACE --destination-ports 4444,5554,5555 --sport $UNPRIPORTS -j ACCEPT
$IPT -A INPUT -p udp -m udp -m multiport -i $INET_IFACE --dport $UNPRIPORTS --source-ports 4444,5554,5555 -j ACCEPT

то ничего не работает.

[Cap. J2A]

Пролистал по диагонали тему. Цитировать всех -- тяжко по разным страницам дёргать, поэтому по пунктам

1. `which iptables` нельзя "в лоб" потому что which использует переменную PATH, которая может быть и неопределена в момент старта скрипта, и во вторых, секурность: which возвращает то значение, которое нашёл первым. Поэтому крайне желательно использовать полные пути к iptables.

2. Предлагаю провести ревизию правил, потому как часть использует состояния (-m state), часть --sport $UNPRIV, что не есть хорошо. Нужно, чтобы подохд к написанию правил был один. И озвучить этот подход: что и как использовать для написания будущих правил?

3. Предлагаю правила, относящиеся к к-л протоколу разнести по процедурам. Соответственно, при старте вызывать последовательно нужные процедуры, а ненужные процедуры закомментировать. Также нужно обязательно указывать противоречивые правила. Т.е. те, которые не могут существовать совместно.

[T04ka]

Пролистал по диагонали тему. Цитировать всех -- тяжко по разным страницам дёргать, поэтому по пунктам

1. `which iptables` нельзя "в лоб"  потому что which использует переменную PATH, которая может быть и неопределена в момент старта скрипта, и во вторых, секурность: which возвращает то значение, которое нашёл первым. Поэтому крайне желательно использовать полные пути к iptables.

2. Предлагаю провести ревизию правил, потому как часть использует состояния (-m state), часть --sport $UNPRIV, что не есть хорошо. Нужно, чтобы подохд к написанию правил был один. И озвучить этот подход: что и как использовать для написания будущих правил?

3. Предлагаю правила, относящиеся к к-л протоколу разнести по процедурам. Соответственно, при старте вызывать последовательно нужные процедуры, а ненужные процедуры закомментировать. Также нужно обязательно указывать противоречивые правила. Т.е. те, которые не могут существовать совместно.

↑

which исправим, а остальное - выкладывай нароботки в форум, там и посмотрим.
Текущая стабильная версия:

[Cap. J2A]

а остальное - выкладывай нароботки в форум, там и посмотрим.

↑

То, как я использую iptables в debian написал здесь: Не иогу выйти в локальную сеть.

rc.iptables скрипт не debian-specific, даже более -- общего назначения, поэтому перенести as is то, что я использую, не получится. Поэтому я и предлагаю провести ревизию правил в скрипте. Поскольку человек я здесь новый, чтобы не писать свои правила в чужой церкви, предлагаю авторам скрипта определиться с рекомендуемым стилем правил, и готов помочь переписать скрипт с учётом этого стиля.

P.S. Как насчёт svn (можно и cvs конечно) для проектов форума?

[T04ka]

а остальное - выкладывай нароботки в форум, там и посмотрим.

↑

То, как я использую iptables в debian написал здесь: Не иогу выйти в локальную сеть.

rc.iptables скрипт не debian-specific, даже более -- общего назначения, поэтому перенести as is то, что я использую, не получится. Поэтому я и предлагаю провести ревизию правил в скрипте. Поскольку человек я здесь новый, чтобы не писать свои правила в чужой церкви, предлагаю авторам скрипта определиться с рекомендуемым стилем правил, и готов помочь переписать скрипт с учётом этого стиля.

P.S. Как насчёт svn (можно и cvs конечно) для проектов форума?

↑

У нас общая церковь. Если есть время и желание, то присоединяйся. А со стилем правил, предлагай, что на твой взгляд будет лучшее. Там и посмотрим.

P.S. SVN или CVS это уже не сюда, хотя идея хорошая.

И еще, можно в makefile реализовать это:

Код: Выделить всё

if [ -x /etc/init.d/rc.iptables ]; then
    rm -rf /etc/init.d/rc.iptables
fi

или проще добавить в make вызов скрипта?

[TuLiss]

Тут я кое в чем засамнивался, напишите пару примеров с NAT и проброской портов =)
из одной/двух сетов в другую.
Хочу проверить себя, как наи более правильно это написать.

[aLexx programmer]

Что нужно добавить для нормальной работы с ftp из Oper'ы и Firefox'а?
Не соединяется (425), при том, что порты 20 и 21 открыты. К тому же KFtpGrabber работает, только жутко медленно делает CWD (за счёт PASV, EPSV, PORT).
В Konqueror'е так же медленно, но работает.

Всё, что можно, в ядро вкомпилено. Система Gentoo на love-sources-2.6.9-rc2.