abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 14:33 | Zajímavý projekt

Blender Animation Studio zveřejnilo první epizodu z připravovaného animovaného seriálu The Daily Dweebs o domácím mazlíčkovi jménem Dixey. Ke zhlédnutí také ve 3D s rozlišením 8K.

Ladislav Hagara | Komentářů: 0
včera 12:34 | Komunita

Aktualizovanou počítačovou hru Warhammer 40,000: Dawn of War III v ceně 39,99 eur běžící také na Linuxu lze o víkendu na Steamu hrát zdarma a případně ještě v pondělí koupit s 50% slevou. Do soboty 19:00 lze na Humble Bundle získat zdarma Steam klíč k počítačové hře Sid Meier's Civilization® III v ceně 4,99 eur běžící také ve Wine.

Ladislav Hagara | Komentářů: 0
včera 00:22 | Nasazení Linuxu

Společnost Samsung oznámila, že skrze dokovací stanici DeX a aplikaci Linux on Galaxy bude možno na Samsung Galaxy S8 a S8+ a Galaxy Note 8 provozovat Linux. Distribuce nebyly blíže upřesněny.

Phantom Alien | Komentářů: 10
19.10. 23:55 | Komunita

Společnost Purism na svém blogu oznámila, že její notebooky Librem jsou nově dodávány se zrušeným (neutralized and disabled) Intel Management Engine (ME). Aktualizací corebootu na již prodaných noteboocích lze Management Engine také zrušit. Více v podrobném článku.

Ladislav Hagara | Komentářů: 0
19.10. 21:44 | Nová verze

Organizace Apache Software Foundation (ASF) na svém blogu slaví páté výročí kancelářského balíku Apache OpenOffice jako jejího Top-Level projektu. Při této příležitosti byl vydán Apache OpenOffice 4.1.4 (AOO 4.1.4). Podrobnosti v poznámkách k vydání. Dlouhé čekání na novou verzi tak skončilo.

Ladislav Hagara | Komentářů: 6
19.10. 19:22 | Pozvánky

Již příští týden - 26. a 27. října se v Praze v hotelu Olšanka odehraje OpenWRT Summit. Na webu konference naleznete program a možnost zakoupení lístků - ty stojí 55 dolarů. Čtvrtek bude přednáškový a v pátek se budou odehrávat převážně workshopy a meetingy.

Miška | Komentářů: 1
19.10. 13:44 | Nová verze

Bylo vydáno Ubuntu 17.10 s kódovým názvem Artful Aardvark. Ke stažení jsou Ubuntu Desktop a Server, Ubuntu Cloud Images, Ubuntu Netboot, Kubuntu, Lubuntu a Lubuntu Alternate, Lubuntu Next, Ubuntu Budgie, Ubuntu Kylin, Ubuntu MATE, Ubuntu Studio a Xubuntu. Podrobnosti v poznámkách k vydání.

Ladislav Hagara | Komentářů: 22
19.10. 13:00 | Komunita

MojeFedora.cz informuje, že Fedora 27 dostane podporu pro AAC. Podpora multimediálních formátů je ve výchozí instalaci Fedory tradičně limitovaná kvůli softwarovým patentům, ale desktopový tým Red Hatu se ji i tak snaží v poslední době co nejvíce rozšířit. Už nějaký čas obsahuje kodeky pro MP3, H.264, AC3 a nyní byl přidán také kodek pro další velmi rozšířený zvukový formát – AAC.

Ladislav Hagara | Komentářů: 2
18.10. 23:55 | Pozvánky

Spolek OpenAlt zve příznivce otevřených technologií a otevřeného přístupu na 145. brněnský sraz, který proběhne v pátek 20. října od 18:00 hodin v restauraci Time Out na adrese Novoměstská 2 v Řečkovicích. Jedná se o poslední sraz před konferencí OpenAlt 2017, jež proběhne o víkendu 4. a 5. listopadu 2017 na FIT VUT v Brně. Běží registrace účastníků.

Ladislav Hagara | Komentářů: 0
18.10. 21:44 | Nová verze

Byla vydána verze 5.2.0 multiplatformního virtualizačního nástroje Oracle VM VirtualBox. Jedná se o první stabilní verzi z nové větve 5.2. Z novinek lze zmínit například možnost exportování VM do Oracle Cloudu, bezobslužnou instalaci hostovaného systému nebo vylepšené GUI. Podrobnosti v seznamu změn. Aktualizována byla také dokumentace.

Ladislav Hagara | Komentářů: 2
Jak se vás potenciálně dotkne trend odstraňování analogového audio konektoru typu 3,5mm jack z „chytrých telefonů“?
 (10%)
 (1%)
 (1%)
 (1%)
 (75%)
 (12%)
Celkem 145 hlasů
 Komentářů: 7, poslední 19.10. 23:06
    Rozcestník

    Dotaz: Iptables povolení jen některých služeb

    8.3.2015 14:39 maniakum | skóre: 20 | blog: medved
    Iptables povolení jen některých služeb
    Přečteno: 592×

    Zdravím,

     

    mám server, který funguje jako GW. Připojen k internetu je pomocí VDSL modemu (v režimu bridge, s veřejnou IP) (eth1 resp. ppp0).

     

    Dále je tam síť eth0 na vnitřní síť a routování.

    eth0 má IP 192.168.0.11, síť  je tedy 192.168.0.0/24

    Na serveru běží tyto služby, které by měly být přístupné zvenčí:

    - VPN PPTP, FTP

    Po připojení k VPN dostávám IP adresu 192.168.0.230-235

     

    Pokoušel jsem se nastavovat IPTABLES tak, aby to fungovalo, ale nějak mi to nejde. Zkoušel jsem různé návody, ale pořád mi něco nefungovalo.

     

    Mohl by mi prosím někdo pomoci s tím, jak iptables nastavit, aby to fungovalo?

    Zkoušel jsem toto:

    iptables -A INPUT -i eth1 -p tcp --dport 1723 -m state --state NEW,ESTABLISHED -j ACCEPT

    iptables -A OUTPUT -o eth1 -p tcp --sport 1723 -m state --state ESTABLISHED -j ACCEPT

    iptables -A INPUT -i eth1 -j DROP

    iptables -A OUTPUT -o eth1 -j DROP

    iptables -A INPUT -i eth0 -p tcp -s 192.168.0.0/24 -m state --state NEW,ESTABLISHED -j ACCEPT

    iptables -A OUTPUT -o eth0 -p tcp -m state --state ESTABLISHED -j ACCEPT

    iptables -A INPUT -i eth0 -j DROPiptables -A OUTPUT -o eth0 -j DROP

    ale nějak to nejelo.

     

    Díky moc

    Toto APT má schopnosti svaté krávy.

    Odpovědi

    8.3.2015 17:01 NN
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    Pokud se nepletu tak 1723 je jen control a samotny tunel je GRE(47) a jeste nevidim forwarding mezi eth0 a eth1. Teke je dobre se podivat do logu, nebo pouzit tcpdump..
    8.3.2015 17:05 maniakum | skóre: 20 | blog: medved
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

    Pokud mám INPUT a OUTPUT ACCEPT, tak to jede bez problému.

    Toto APT má schopnosti svaté krávy.
    8.3.2015 19:36 bigBRAMBOR | skóre: 30
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    No tak povol jeste na inputu ten GRE
    8.3.2015 21:35 maniakum | skóre: 20 | blog: medved
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

    Zkouším různé návody, ale pokaždé mi něco nefunguje.

     

    Mohl by mě nekdo nakoupnout a poradit, abych měl vše z venku zakázané krom PPTP VPN a FTP, z vnitřní sítě, aby mi vše fungovalo?

    Toto APT má schopnosti svaté krávy.
    8.3.2015 22:08 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    Co se někde inspirovat?

    http://www.petricek.cz/mpfw/mpfw.sh.txt
    iptables -P INPUT DROP
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD DROP
    
    iptables -A INPUT -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
    
    iptables -A INPUT -i eth1 -p TCP --dport 21 -j ACCEPT
    iptables -A INPUT -i eth1 -p TCP --dport 47 -j ACCEPT
    iptables -A INPUT -i eth1 -p TCP --dport 1723 -j ACCEPT
    
    iptables -A INPUT -i eth1 -p ICMP --icmp-type echo-request -j ACCEP
    
    iptables -A INPUT -i eth0 -j ACCEPT
    iptables -A INPUT -i lo -j ACCEPT
    
    
    Neřeším forward a nat.
    8.3.2015 22:16 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    Aby fungoval forward ještě přidat:
    iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -i eth0 -j ACCEPT
    iptables -A FORWARD -o eth1 -j ACCEPT
    iptables -A FORWARD -o eth0 -j ACCEPT
    
    
    9.3.2015 07:09 maniakum | skóre: 20 | blog: medved
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

    Inspirací jsem již prošel a něco pořád nefungovalo. Nyní, pokud to zadám, tak jak píšeš, tak mi jde vnitřní síť OK, ale z venku se nepřipojím ani na VPN, ani na FTP.

     

    Zkusil jsem namísto eth1 zadat ppp0 a situace je taková, že jde se připojit na VPN, ale nefunguje (to znamená, že se nedostanu na vnitřní síť a vše nějak trvá déle) a FTP se snaží sice připojit, ale nenačte se. Vše dlouho trvá.

     

    Výpis iptables -L -n:

    maniakum@server:~$ sudo iptables -L -n
    Chain INPUT (policy DROP)target     prot opt source               destination
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:21
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:47
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:1723
    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 8
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
    
    Chain FORWARD (policy DROP)target     prot opt source               destination
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
    Chain OUTPUT (policy ACCEPT)target     prot opt source               destination
    


    Při řešení eth1 se z venku tvářili porty zavřeny, Při ppp0 otevřený.

    Toto APT má schopnosti svaté krávy.
    9.3.2015 07:42 bigBRAMBOR | skóre: 30
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    Zkusil jsem namísto eth1 zadat ppp0

    no, nechci vypadat jako kverulant, ale zrovna u firewallu by jsi měl vědět co děláš a proč to děláš než to zkoušet.
    9.3.2015 07:48 Maniakum
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    To máš zajisté pravdu. Ale pokud mi to nejde rozběhnout tak, jak by mělo, tak se posunuji do fáze testování... Prosel jsem mraky návodů a pořád to nejde. Něco dělám špatně,ale i při použití výše uvedeného to nejdd...
    9.3.2015 08:56 miro
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    jde se připojit na VPN, ale nefunguje (to znamená, že se nedostanu na vnitřní síť a vše nějak trvá déle)
    1. Zkontroloval bych routy. ip link show ??? ip route show ???
    2. Zkontroloval bych konfigurák openvpn, zda je povolená volba client-to-client
    3. Z klientů se na internet, předpokládám dostanete, takže cat /proc/sys/net/ipv4/ip_forward zřejmě vrací hodnotu 1
    FTP se snaží sice připojit, ale nenačte se

    U chainů input i forward sice máte výchozí politiku DROP, ale de facto tam projde úplně všechno díky posledním dvěma pravidlům v INPUT a díky posledním třem pravidlům ve FORWARD (mimochodem tyhle duplicity bych odstranil). Takže explicitně povolit port 20 nedává moc smysl, tak bych asi zkontroloval, zda FTP server naslouchá na vnějším rozhraní, zkontroloval logy týkající se FTP, eventuálně bych zkusil tcpdumpem odsledovat požadavek na data z vnějšího rozhraní.

    9.3.2015 09:48 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    Takže by to mělo být takto:
    
    # Modul pro FTP prenosy
    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe ip_nat_ftp
    
    # Zapneme routovani paketu
    echo "1" > /proc/sys/net/ipv4/ip_forward
    echo "1" > /proc/sys/net/ipv4/tcp_syncookies
    
    iptables -P INPUT DROP
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD DROP
    
    iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
    
    iptables -A INPUT -i ppp0 -p TCP --dport 21 -j ACCEPT
    iptables -A INPUT -i ppp0 -p TCP --dport 1723 -j ACCEPT
    iptables -A INPUT -p 47 -j ACCEPT
    
    iptables -A INPUT -i ppp0 -p ICMP --icmp-type echo-request -j ACCEP
    
    iptables -A INPUT -i eth0 -j ACCEPT
    iptables -A INPUT -i lo -j ACCEPT
    
    iptables -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -i eth0 -j ACCEPT
    iptables -A FORWARD -o ppp0 -j ACCEPT
    iptables -A FORWARD -o eth0 -j ACCEPT
    
    
    Jinak předpokládám že ftp běží na tom serveru.

    Samozřejmě pokud používáš IPv6 musíš nastavit pravidla i pro IPv6
    9.3.2015 17:32 maniakum | skóre: 20 | blog: medved
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

    Stále stejné. VPN se připojí (znatelně pomaleji, než bez firewallu nebo dříve přes router). Server nevidí na klienta a ani klient nevidí na server.

     

    FTP se připojí, ale nenačte se strom adresářů a celý proces trvá dlouho. V čem mám hledat potíž?

    Toto APT má schopnosti svaté krávy.
    10.3.2015 08:39 miro
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    V čem mám hledat potíž?

    Třeba v tom, že některé rady ignorujete. Pan Šobáň ve vás zřejmě vzbudil naději, že to za vás kompletně naklape, a vám bude stačit jen copy&paste. Evidentně to nefunguje a i když se pan Šobáň opravdu snažil, tak to fungovat ani nebude, protože neposkytujete všechny informace, co jsou potřeba.

    Takže - seznam rozhraní, jejich síťových adres a jejich rout (ne to, co vy si myslíte, že tam máte, ale jak to máte skutečně nastavené) - to už jsem se vám snažil naznačit výše. Neobtěžoval jste se sdělit, jestli máte na vpn serveru direktivu client-to-client, pokud se opravdu chcete dostat na vnitřní síť, jak tu tvrdíte. Pokud se chcete opravdu dostat na vnitřní síť, tak asi proto, že chcete používat nějaké služby vnitřní sítě, což jste ale zatím nijak nespecifikoval. Dál je potřeba seznam služeb a to, na jakých rozhraních a portech naslouchají. A nakonec (tedy doufám, že jsem na nic nezapoměl) by nebylo od věci si po každém zásahu do iptables nechat vypsat seznam všech pravidel a pastnout ho sem.

    Taky jste se nepochlubil, co se děje na portu 20, když se pokusíte připojit k FTP, jak jsem vám doporučoval.

    Pokud tady nebudete dodávat dostatek informací ke svému problému, ztrácí s vámi ostatní zbytečně čas. A vy ho ztrácíte zbytečně taky.

    10.3.2015 20:01 maniakum | skóre: 20 | blog: medved
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

    Omlouvám se, že jsem popsal nedostatečně a z části i chybně stávající řešení. Tak abych to napravil.

    Níže jsem zaslal výpisy, které jste chtěl.

    V podstatě na serveru jede rozhraní eth0 -vnitřní síť, eth1 resp. ppp0 - připojení pomocí modemu a protokolu PPPOE k internetu, ppp1 - připojení k VPN, které se vytvoří jen při spojení.

    Na vnitřní síti bšží v tuto chvíli několik služdeb, ale řekněme, že asi nejdůležitješí je FTP, HTTP, SAMBA, DLNA. Tyto služby jsou k dispozici ve vnitřní síti. FTP chci mít k dispozici z internetu, také připojení k VPN. Pokud se připojím k VPN, chci mít dosažitelné i vnitřní služby. V tuto chvíli, jak jsem poslal zprávu níže, VPN a komunikace na vnitní síti jede. Nejsem si však jistý, zda-li to je nastaveno v pořádku.

    U FTP byl můj problém, že jsem neměl natažený ip_conntrack a ip_conntrack_ftp, ikdyž jsem myslel, že ano.

    Toto APT má schopnosti svaté krávy.
    12.3.2015 10:16 miro
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    V tuto chvíli, jak jsem poslal zprávu níže, VPN a komunikace na vnitní síti jede.

    Tak důležité je, že už máte funkční konfiguraci, pokud budete cokoli ořezávat, a přestane to jet, tak aspoň se máte k čemu vrátit.

    U FTP byl můj problém, že jsem neměl natažený ip_conntrack a ip_conntrack_ftp, ikdyž jsem myslel, že ano.

    No jo, stane se. To je jedna z nejblbějších chyb, protože člověk si myslí, že už to má opraveno, a přitom tam ta chyba pořád straší.

    Nejsem si však jistý, zda-li to je nastaveno v pořádku.

    Možná trochu zbytečně nadužíváte direktivu state, zpomaluje to filtrovací proceduru (i když to při vašem malém počtu pravidel nejspíš vůbec nepocítíte), ale state NEW je IMHO ve většině případů zbytečná.

    Čtvrté pravidlo v chainu INPUT (zkuste příště dávat výpis iptables s volbou --line-numbers) tam vypadá nadbytečně, pravidlo se ani jednou neaktivovalo, takže bych ho zkusil vyhodit, navíc si nejsem úplně jistý, jestli zrovna tenhle protokol povolený paušálně (tj. bez restrikce na konkrétní port/y) na vnějším rozhraní nemůže znamenat nějaké bezpečnostní riziko. Poslední pravidlo v chainu INPUT je duplicitní.

    Jinak FTP a PPTP nejsou samy o sobě příliš nebezpečné služby, takže momentálně bych viděl největší bezpečnostní riziko spíš právě v nich než ve špatně nastaveném firewallu.

    12.3.2015 10:20 miro
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

    Errata:

    Jinak FTP a PPTP nejsou samy o sobě příliš nebezpečné služby

    (Pravda, u FTP záleží na tom, k čemu přesně ho používáte).

    12.3.2015 10:27 maniakum
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    FTP jede jen na zálohování, nic důležitého tam není. Máte nějaký lepší návrh jak se vyhnout ne moc bezpečným službám FTP a PPTP a nahradit je? Dobře, u VPN si dokáži představit IPSec.
    12.3.2015 11:35 miro
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    FTP jede jen na zálohování, nic důležitého tam není.

    Asi záleží na tom, co zálohujete. Pokud obrazy linuxových instalaček, tak asi ok (pokud si kontrolujete checksumy). Pokud jsou to data více či méně privátního charakteru, tak bych to za ok nepovažoval (ale jsme lidé různí a máme různým způsobem nastavenou citlivost k úniku osobních dat, že). U FTP taky hrozí, že někdo odposlechne v komunikaci přihlašovací heslo, a pak to úložiště vymaže, takže pokud je to jediná zálohovací technika, pak to není úplně optimální.

    PPTP má AFAIK slabý autentizační mechanismus, ne sice tak moc, jako to FTP, a prolomit ho už vyžaduje určitou námahu a/nebo čas a/nebo peníze, takže to nejspíš nebude nikomu stát moc za to, ale do optima to má IMHO daleko. IPSec asi není špatná volba, ale vlastními zkušenostmi neposloužím, já používám openvpn (lépe řečeno "jsem používal", teď mi trochu hnije, protože mi stačí ssh), které by snad taky nemělo trpět nějakým zásadním neduhem.

    FTP samozřejmě použít můžete (i když bych osobně upřednostnil nfs nebo sambu v závislosti na klientských OS), ale když už tam máte tu VPN (ať už jakoukoli), co vám brání tu službu zavěsit na loopback serveru místo aby visela na vnějším rozhraní, a přistupovat k té službě přes tu VPN? Od toho ta VPN je - aby se skrz ni protáhly služby, u nichž nemá bezpečnost tak vysokou prioritu.

    12.3.2015 11:38 miro
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    co vám brání tu službu zavěsit na loopback serveru

    trochu jsem to zmátl - zvyk z ssh - služba může naslouchat na virtuálním rozhraní té VPN.

    9.3.2015 18:26 maniakum | skóre: 20 | blog: medved
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

    Pokud mu povolím ještě tohle:

    -A INPUT -s 192.168.0.0/24 -m state --state NEW -p tcp --dport 137 -j ACCEPT
    -A INPUT -s 192.168.0.0/24 -m state --state NEW -p tcp --dport 138 -j ACCEPT
    -A INPUT -s 192.168.0.0/24 -m state --state NEW -p tcp --dport 139 -j ACCEPT
    -A INPUT -s 192.168.0.0/24 -m state --state NEW -p tcp --dport 445 -j ACCEPT
    

    Tak mi to sdílení jede, ale pořád mám pocit, že to jede trochu pomaleji... Každopádně, tohle by přeci nemělo být nutné, když tam je pravidlo FORWARD ne?

    Toto APT má schopnosti svaté krávy.
    9.3.2015 18:56 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    A proč tam toto cpeš? Ty sdílíš soubory přes sambu? Vždyť jsi tvrdil že přes FTP!

    Jinak wireshark a skouknout kde je jaká komunikace.

    To co jsem napsal já povoluje veškerou odchozí komunikaci ze serveru, a povoluje veškerou navázanou komunikaci z internetu, a navázat komunikaci povoluje na portech 21 a 1723.

    Jinak taky záleží jak máš nastavený NAT - máš ho vůbec nastavený?
    9.3.2015 19:06 maniakum | skóre: 20 | blog: medved
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

    Ano, na serveru běží i SAMBA. A FTP také běží, pro komunikaci z vnějšku.

    NAT jsem vůbec neřešil, přiznávám se.

    Toto APT má schopnosti svaté krávy.
    9.3.2015 19:55 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    A pak se divíš že to nefunguje.

    Nebude jednoduší nainstalovat nějaké gui nad iptables a naklikat si to?

    Fakt pokud nevíš co děláš tak to je cesta do pekel co takhle nastudovat jak iptables fungují?

    Správa linuxového serveru: Linuxový firewall, základy iptables

    Základní konfigurace Linux firewallu pomocí Iptables
    9.3.2015 20:04 maniakum | skóre: 20 | blog: medved
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

    za odkazy děkuji, prostuduji.

     

    Jinak nic GUI instalovat nemůžu, nemám na serveru nahozený žádný window manager. Jak jsem psal níže, tak jsem NAT nastavil a stejně mi to nejde. Je mi jasný, že mi něco chybí nebo dělám špatně, jen nemůžu přijít na to co..

    Toto APT má schopnosti svaté krávy.
    9.3.2015 19:17 maniakum | skóre: 20 | blog: medved
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

    Tak jsem tam nabouchal toto:

     

    http://www.revsys.com/writings/quicktips/nat.html

     

    Ale stejně nepomohlo

    Toto APT má schopnosti svaté krávy.
    9.3.2015 18:30 maniakum | skóre: 20 | blog: medved
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

    Jak docílit toho, aby všechny porty, všechna komunikace ve vnitřní síti byla povolena (samozřejmě, aby byla povolena komunikace i z venčí, pokud byla otevřena zevnitř) a z vnějšku aby běželo FTP a VPN PPPTP (kde dostává stejnou síť jako uvnitř) ??

    Toto APT má schopnosti svaté krávy.
    10.3.2015 19:24 maniakum | skóre: 20 | blog: medved
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

    1. ip link show:

    maniakum@server:~$ ip link show
    1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
        link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
        link/ether 44:8a:5b:24:15:d4 brd ff:ff:ff:ff:ff:ff
    3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
        link/ether 00:e0:7d:9c:75:a9 brd ff:ff:ff:ff:ff:ff
    5: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1492 qdisc pfifo_fast state UNKNOWN qlen 3
        link/ppp
    37: ppp1: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1396 qdisc pfifo_fast state UNKNOWN qlen 3
        link/ppp
    

    1. ip route show

    maniakum@server:~$ ip route show
    default dev ppp0  scope link
    10.0.0.2 dev ppp1  proto kernel  scope link  src 10.0.0.1
    88.103.xx.xx dev ppp0  proto kernel  scope link  src xxx.xxx.xxx.xxx
    192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.11
    

    2. nepoužívám openvpn, ale pptpd. Každopádně, žádnou takovou volbu jsem tam nezadával

    Nyní mi chodí VPN, ale přiznám se, že si nejsem jistý, zda je to tak dobře. V tuto chvíli výpis iptables -L -nv vypadá takto (eth0 vnitřní síť, ppp0 internet pomocí VDSL modemu, ppp0 PPTP VPN). Je tam nějaká chyba, která by mi to mohla nabourat, resp. není ta mnějaká věc zbytečně?:

    Chain INPUT (policy DROP 215 packets, 36627 bytes)
     pkts bytes target     prot opt in     out     source               destination
     3920  661K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    12020 4639K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
        4   176 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:1723 state NEW
        0     0 ACCEPT     47   --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW
        3   132 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:21 state NEW
      960  281K ACCEPT     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0            state NEW
      400  106K ACCEPT     all  --  ppp1   *       0.0.0.0/0            0.0.0.0/0            state NEW
        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:21 state NEW
    
    Chain FORWARD (policy DROP 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination
     3869 1036K ACCEPT     all  --  eth0   ppp0    0.0.0.0/0            0.0.0.0/0
     6297 5406K ACCEPT     all  --  ppp0   eth0    0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
        0     0 ACCEPT     all  --  ppp1   eth0    0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
     3891  407K ACCEPT     all  --  ppp1   ppp0    0.0.0.0/0            0.0.0.0/0
     3209 2986K ACCEPT     all  --  ppp0   ppp1    0.0.0.0/0            0.0.0.0/0
    
    Chain OUTPUT (policy ACCEPT 4890 packets, 3340K bytes)
     pkts bytes target     prot opt in     out     source               destination
    

    3. ano je tam 1

    Toto APT má schopnosti svaté krávy.
    9.3.2015 10:00 Václav Vanc | skóre: 14
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    Zkusil jsem namísto eth1 zadat ppp0
    Forward je opravdu potřeba mít mezi eth0 a ppp0 a služby povolit pro ppp0. Protože ppp0 je to rozhraní které má veřejnou IP adresu. Po eth1 leze jen jen ppp tunel (myslím, že eth1 nemusí mít přidělenou ani žádnou IP adresu, aby to fungovalo) k poskytovateli (jestli tedy kabel z eth1 vede do modemu a k modemu, už není připojené nic jiného).
    9.3.2015 17:34 maniakum | skóre: 20 | blog: medved
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

    Ano, je to tak, ETH1 nemá nastavenou žádnou IP. a je vyloženě jen pro připojení k modemu.

    Toto APT má schopnosti svaté krávy.
    9.3.2015 19:23 j
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    Hele, jesli zkousis "ruzny navody", tak si na to nekoho najmi, a zaplat mu za to, ze ti to nakonfiguruje. Zkouset "ruzny navody" je nejlepsi cesta k tomu to totalne pohnojit.

    Pokud se ti nechce platit, tak se priprav na par stovek hodin, kdy se budes muset naucit, co ten firewall dela, kde a proc. Neni nad to si to zkouset na provoznim stroji ...

    Uz jen z toho co tu vidim, tak se musim smat - deravy jak reseto.

    Pokud mu povolím ještě tohle:
    
    -A INPUT -s 192.168.0.0/24 -m state --state NEW -p tcp --dport 137 -j ACCEPT
    -A INPUT -s 192.168.0.0/24 -m state --state NEW -p tcp --dport 138 -j ACCEPT
    -A INPUT -s 192.168.0.0/24 -m state --state NEW -p tcp --dport 139 -j ACCEPT
    -A INPUT -s 192.168.0.0/24 -m state --state NEW -p tcp --dport 445 -j ACCEPT
    

    Jooo, nejlepsi je pustit deravou sambu do sveta ...lol
    9.3.2015 20:06 maniakum | skóre: 20 | blog: medved
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

    Jedná se sice o provozní stroj, ale o domácí server, kde v podstatě nic není.

    Chci se to naučit sám, ať vím jak to tam je nastavený a proč. Nemyslím, že by to mělo být pár stovek hodin, ale něco tomu věnovat budu.

    Ano zkoušel jsem m to povolit, abych věděl kde hledat chybu.

    Toto APT má schopnosti svaté krávy.
    pavlix avatar 10.3.2015 09:27 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    Taky si nemyslím, že se musí nutně jednat o stovky hodin, ale musíš zkoušet, hrát si, koukat do statistik iptables -vL a pochopit, jak co funguje.
    9.3.2015 08:20 Gejbriel007
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    Já bych jen podotknul, že GRE neběží na TCP portu 47, ale je to samostatný protokol.

    iptables -A INPUT -p 47 -j ACCEPT

    11.3.2015 11:14 NoXO
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    pro VPN a různé takové protokoly IPSEC, PPTP, L2TP, jsou důležité i porty 500 a 4500 .. TPC/UDP..
    11.3.2015 11:16 maniakum | skóre: 20 | blog: medved
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

    Nikde jsem nenašel zmínku o tom, že bych měl povolovat i tyto porty. Když jsem měl připojení přes modem router, tak jsem přeposílal jen port 1723 a šlo to.

    Toto APT má schopnosti svaté krávy.
    11.3.2015 18:16 bigBRAMBOR | skóre: 30
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    To Ne, pro pptp mu staci gre a 1723

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.