AbcLinuxu:/ Poradna / Linuxová poradna / porty v iptables

Štítky: DNS, firewally, FTP, Internet, iptables, NAT, Samba, sítě, textové editory, Vim, web

Dotaz: porty v iptables

18.3.2006 17:06 petr
porty v iptables

Přečteno: 924×

Odpovědět | Admin

zdravim,
chtel bych se zeptat jake porty je potreba povolit v IPTABLES kdyz na routru/fw potrebuju mit pustenou Sambu a FTP server a na pc za firewallem portebuji akorat prohlizet web a stahovat z FTP z internetu. vim ze se to tu nekolikrat resilo ale kdyz jsem povolil porty 21(ftp), 53(podle me DNS), 80(http) a 5190(gaim IM) ve FORWARD a 21 a 139 v INPUT a OUTPUT tak z PC neslo ani prohlizet web ani se nikam pripojit na FTP a na routeru prestala byt dostupna Samba i FTP.
poradite me nekdo ? dekuji.

Nástroje: Začni sledovat (1) ?

Odpovědi

18.3.2006 17:47 Martin Tůma | skóre: 39 | blog: RTFM | Praha
Rozbalit Rozbalit vše Re: porty v iptables

Dejte sem komletní výpis pravidel firewallu, jinak můžem jenom věštit...

Každý má právo na můj názor!

18.3.2006 19:29 petr
Rozbalit Rozbalit vše Re: porty v iptables


#vymazani vsech pravidel pro INPUT a OUTPUT 

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD  

#
#vychozi zahozeni vseho
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP  
#

#vytvoreni NAT

iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -j SNAT --to-source=10.7.128.17

#
#
#FORWARD

iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80   -j ACCEPT  #http
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 21   -j ACCEPT  #ftp
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 22   -j ACCEPT  #ssh
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 53   -j ACCEPT  #DNS tcp
iptables -A FORWARD -i eth0 -o eth1 -p udp --dport 53   -j ACCEPT  #DNS udp
iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 53   -j ACCEPT  #DNS tcp
iptables -A FORWARD -i eth1 -o eth0 -p udp --dport 53   -j ACCEPT  #DNS udp
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 5190 -j ACCEPT  #gaim tcp
iptables -A FORWARD -i eth0 -o eth1 -p udp --dport 5190 -j ACCEPT  #gaim udp
iptables -A FORWARD -p tcp --dport 111 -j ACCEPT 
iptables -A FORWARD -p tcp --dport 113 -j ACCEPT  
iptables -A FORWARD -p tcp --dport 445 -j ACCEPT  
iptables -A FORWARD -p tcp --dport 665 -j ACCEPT  

#
#
#INPUT

iptables -A INPUT -i eth0 -p udp --dport 53     -j ACCEPT   #DNS udp 
iptables -A INPUT -i eth0 -p tcp --dport 53      -j ACCEPT   #DNS tcp
iptables -A INPUT -i eth0 -p tcp --dport 445  -j ACCEPT    #samba
iptables -A INPUT -i eth0 -p tcp --dport 139  -j ACCEPT  #samba
iptables -A INPUT -i eth0 -p udp --dport 139  -j ACCEPT  #samba udp
iptables -A INPUT -i eth0 -p tcp --dport 22     -j ACCEPT  #ssh
iptables -A INPUT -i eth1 -p tcp --dport 22     -j ACCEPT  #ssh na eth1
#
#
#
#OUTPUT
#
iptables -A OUTPUT -o eth0 -p udp --sport 53  -j ACCEPT  #DNS udp 
iptables -A OUTPUT -o eth0 -p tcp --sport 53  -j ACCEPT  #DNS tcp 
iptables -A OUTPUT -o eth0 -p tcp --sport 445 -j ACCEPT #samba
iptables -A OUTPUT -o eth0 -p tcp --sport 139 -j ACCEPT  #samba
iptables -A OUTPUT -o eth0 -p tcp --sport 22  -j ACCEPT  #ssh
iptables -A OUTPUT -o eth1 -p tcp --sport 22  -j ACCEPT  #ssh na eth1

19.3.2006 14:48 Martin Tůma | skóre: 39 | blog: RTFM | Praha
Rozbalit Rozbalit vše Re: porty v iptables

Problém je minimálně v tom, že předpokládáte, že pro DNS dotazy klienti (Tedy PC ve vnitřní síti) používají, stejně jako server port 53, což je samozřejmě nesmysl (obvykle to jsou nějaké vysoké porty). Pravidla

iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 53 -j ACCEPT  #DNS tcp
iptables -A FORWARD -i eth1 -o eth0 -p udp --dport 53 -j ACCEPT  #DNS udp

tedy nedávají smysl (vše za předpokladu, že eth1 je rozhraní do internetu*) a tudíž vám na stanicích nefunguje překlad adres. Buď zaměňte --dport za --sport (což je ale z bezpečnostního hlediska pěkná blbost...), nebo zkuste využít možností stavového filtru a použijte obligátní:

iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT;

* ve vašem případě se samozřejmě jedná o privátní síť (10.7.128.17)

Každý má právo na můj názor!

19.3.2006 14:53 Martin Tůma | skóre: 39 | blog: RTFM | Praha
Rozbalit Rozbalit vše Re: porty v iptables

Ještě jsem zapomněl dodat, že služby, který chcete ze stanic využívat

iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80   -j ACCEPT  #http
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 21   -j ACCEPT  #ftp
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 22   -j ACCEPT  #ssh

Pouštíte taky jenom jednim směrem (ven). Výše uvedenej příklad s ESTABLISHED, RELATED nicméně řeší i toto.

Každý má právo na můj názor!

19.3.2006 15:01 manasekp | skóre: 29 | blog: manasekp | Brno
Rozbalit Rozbalit vše Re: porty v iptables

zapomel jsem napsat ze eth1 je do moji vnitrni site(192.168.x.x) a eth0 je do vnejsi site(taky z privatniho rpzsahu 10.x.x.x)

BIOKOMP | Cas od casu se pokousim nekoho srazit k zemi abych se tam nevalel sam.

19.3.2006 15:07 Martin Tůma | skóre: 39 | blog: RTFM | Praha
Rozbalit Rozbalit vše Re: porty v iptables

Na moje příspěvky výše to nicméně nemá moc zásadní vliv ;-)

Každý má právo na můj názor!

Založit nové vlákno • Nahoru

Tiskni Sdílej: