abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 11:00 | Zajímavý software
Na Good Old Games je v rámci aktuálních zimních slev zdarma k dispozici remasterovaná verze klasické point&click adventury Grim Fandango, a to bez DRM a pro mainstreamové OS včetně GNU/Linuxu. Akce trvá do 14. prosince, 15:00 SEČ.
Fluttershy, yay! | Komentářů: 4
dnes 07:22 | Pozvánky

Konference InstallFest 2018 proběhne o víkendu 3. a 4. března 2018 v Praze na Karlově náměstí 13. Spuštěno bylo CFP. Přihlásit přednášku nebo workshop lze do 18. ledna 2018.

Ladislav Hagara | Komentářů: 0
včera 20:22 | Nová verze

Před měsícem byla vydána Fedora 27 ve dvou edicích: Workstation pro desktopové a Atomic pro cloudové nasazení. Fedora Server byl "vzhledem k náročnosti přechodu na modularitu" vydán pouze v betaverzi. Finální verze byla naplánována na leden 2018. Plán byl zrušen. Fedora 27 Server byl vydán již dnes. Jedná se ale o "klasický" server. Modularita se odkládá.

Ladislav Hagara | Komentářů: 6
včera 10:22 | Zajímavý článek

Lukáš Růžička v článku Kuchařka naší Růži aneb vaříme rychlou polévku z Beameru na MojeFedora.cz ukazuje "jak si rychle vytvořit prezentaci v LaTeXu, aniž bychom se přitom pouštěli do jeho bezedných hlubin".

Ladislav Hagara | Komentářů: 13
včera 07:22 | Komunita

Od 26. do 29. října proběhla v Bochumi European Coreboot Conference 2017 (ECC'17). Na programu této konference vývojářů a uživatelů corebootu, tj. svobodné náhrady proprietárních BIOSů, byla řada zajímavých přednášek. Jejich videozáznamy jsou postupně uvolňovány na YouTube.

Ladislav Hagara | Komentářů: 0
11.12. 19:22 | Nová verze

Ondřej Filip, výkonný ředitel sdružení CZ.NIC, oznámil vydání verze 2.0.0 open source routovacího démona BIRD (Wikipedie). Přehled novinek v diskusním listu a v aktualizované dokumentaci.

Ladislav Hagara | Komentářů: 0
11.12. 09:22 | Pozvánky

V Praze dnes probíhá Konference e-infrastruktury CESNET. Na programu je řada zajímavých přednášek. Sledovat je lze i online na stránce konference.

Ladislav Hagara | Komentářů: 2
9.12. 20:11 | Nová verze

Byl vydán Debian 9.3, tj. třetí opravná verze Debianu 9 s kódovým názvem Stretch a Debian 8.10, tj. desátá opravná verze Debianu 8 s kódovým názvem Jessie. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Instalační média Debianu 9 a Debianu 8 lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.

Ladislav Hagara | Komentářů: 6
9.12. 00:44 | Nová verze

Po 6 měsících vývoje od vydání verze 0.13.0 byla vydána verze 0.14.0 správce balíčků GNU Guix a na něm postavené systémové distribuce GuixSD (Guix System Distribution). Na vývoji se podílelo 88 vývojářů. Přibylo 1 211 nových balíčků. Jejich aktuální počet je 6 668. Aktualizována byla také dokumentace.

Ladislav Hagara | Komentářů: 4
8.12. 21:33 | Nová verze

Po půl roce vývoje od vydání verze 5.9 byla vydána nová stabilní verze 5.10 toolkitu Qt. Přehled novinek na wiki stránce. Současně byla vydána nová verze 4.5.0 integrovaného vývojového prostředí (IDE) Qt Creator nebo verze 1.10 nástroje pro překlad a sestavení programů ze zdrojových kódů Qbs.

Ladislav Hagara | Komentářů: 0
Jak se vás potenciálně dotkne trend odstraňování analogového audio konektoru typu 3,5mm jack z „chytrých telefonů“?
 (8%)
 (1%)
 (1%)
 (1%)
 (75%)
 (14%)
Celkem 974 hlasů
 Komentářů: 45, poslední 1.12. 19:00
    Rozcestník

    Dotaz: Iptables povolení jen některých služeb

    8.3.2015 14:39 maniakum | skóre: 20 | blog: medved
    Iptables povolení jen některých služeb
    Přečteno: 594×

    Zdravím,

     

    mám server, který funguje jako GW. Připojen k internetu je pomocí VDSL modemu (v režimu bridge, s veřejnou IP) (eth1 resp. ppp0).

     

    Dále je tam síť eth0 na vnitřní síť a routování.

    eth0 má IP 192.168.0.11, síť  je tedy 192.168.0.0/24

    Na serveru běží tyto služby, které by měly být přístupné zvenčí:

    - VPN PPTP, FTP

    Po připojení k VPN dostávám IP adresu 192.168.0.230-235

     

    Pokoušel jsem se nastavovat IPTABLES tak, aby to fungovalo, ale nějak mi to nejde. Zkoušel jsem různé návody, ale pořád mi něco nefungovalo.

     

    Mohl by mi prosím někdo pomoci s tím, jak iptables nastavit, aby to fungovalo?

    Zkoušel jsem toto:

    iptables -A INPUT -i eth1 -p tcp --dport 1723 -m state --state NEW,ESTABLISHED -j ACCEPT

    iptables -A OUTPUT -o eth1 -p tcp --sport 1723 -m state --state ESTABLISHED -j ACCEPT

    iptables -A INPUT -i eth1 -j DROP

    iptables -A OUTPUT -o eth1 -j DROP

    iptables -A INPUT -i eth0 -p tcp -s 192.168.0.0/24 -m state --state NEW,ESTABLISHED -j ACCEPT

    iptables -A OUTPUT -o eth0 -p tcp -m state --state ESTABLISHED -j ACCEPT

    iptables -A INPUT -i eth0 -j DROPiptables -A OUTPUT -o eth0 -j DROP

    ale nějak to nejelo.

     

    Díky moc

    Toto APT má schopnosti svaté krávy.

    Odpovědi

    8.3.2015 17:01 NN
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    Pokud se nepletu tak 1723 je jen control a samotny tunel je GRE(47) a jeste nevidim forwarding mezi eth0 a eth1. Teke je dobre se podivat do logu, nebo pouzit tcpdump..
    8.3.2015 17:05 maniakum | skóre: 20 | blog: medved
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

    Pokud mám INPUT a OUTPUT ACCEPT, tak to jede bez problému.

    Toto APT má schopnosti svaté krávy.
    8.3.2015 19:36 bigBRAMBOR | skóre: 30
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    No tak povol jeste na inputu ten GRE
    8.3.2015 21:35 maniakum | skóre: 20 | blog: medved
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

    Zkouším různé návody, ale pokaždé mi něco nefunguje.

     

    Mohl by mě nekdo nakoupnout a poradit, abych měl vše z venku zakázané krom PPTP VPN a FTP, z vnitřní sítě, aby mi vše fungovalo?

    Toto APT má schopnosti svaté krávy.
    8.3.2015 22:08 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    Co se někde inspirovat?

    http://www.petricek.cz/mpfw/mpfw.sh.txt
    iptables -P INPUT DROP
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD DROP
    
    iptables -A INPUT -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
    
    iptables -A INPUT -i eth1 -p TCP --dport 21 -j ACCEPT
    iptables -A INPUT -i eth1 -p TCP --dport 47 -j ACCEPT
    iptables -A INPUT -i eth1 -p TCP --dport 1723 -j ACCEPT
    
    iptables -A INPUT -i eth1 -p ICMP --icmp-type echo-request -j ACCEP
    
    iptables -A INPUT -i eth0 -j ACCEPT
    iptables -A INPUT -i lo -j ACCEPT
    
    
    Neřeším forward a nat.
    8.3.2015 22:16 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    Aby fungoval forward ještě přidat:
    iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -i eth0 -j ACCEPT
    iptables -A FORWARD -o eth1 -j ACCEPT
    iptables -A FORWARD -o eth0 -j ACCEPT
    
    
    9.3.2015 07:09 maniakum | skóre: 20 | blog: medved
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

    Inspirací jsem již prošel a něco pořád nefungovalo. Nyní, pokud to zadám, tak jak píšeš, tak mi jde vnitřní síť OK, ale z venku se nepřipojím ani na VPN, ani na FTP.

     

    Zkusil jsem namísto eth1 zadat ppp0 a situace je taková, že jde se připojit na VPN, ale nefunguje (to znamená, že se nedostanu na vnitřní síť a vše nějak trvá déle) a FTP se snaží sice připojit, ale nenačte se. Vše dlouho trvá.

     

    Výpis iptables -L -n:

    maniakum@server:~$ sudo iptables -L -n
    Chain INPUT (policy DROP)target     prot opt source               destination
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:21
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:47
    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:1723
    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 8
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
    
    Chain FORWARD (policy DROP)target     prot opt source               destination
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
    Chain OUTPUT (policy ACCEPT)target     prot opt source               destination
    


    Při řešení eth1 se z venku tvářili porty zavřeny, Při ppp0 otevřený.

    Toto APT má schopnosti svaté krávy.
    9.3.2015 07:42 bigBRAMBOR | skóre: 30
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    Zkusil jsem namísto eth1 zadat ppp0

    no, nechci vypadat jako kverulant, ale zrovna u firewallu by jsi měl vědět co děláš a proč to děláš než to zkoušet.
    9.3.2015 07:48 Maniakum
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    To máš zajisté pravdu. Ale pokud mi to nejde rozběhnout tak, jak by mělo, tak se posunuji do fáze testování... Prosel jsem mraky návodů a pořád to nejde. Něco dělám špatně,ale i při použití výše uvedeného to nejdd...
    9.3.2015 08:56 miro
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    jde se připojit na VPN, ale nefunguje (to znamená, že se nedostanu na vnitřní síť a vše nějak trvá déle)
    1. Zkontroloval bych routy. ip link show ??? ip route show ???
    2. Zkontroloval bych konfigurák openvpn, zda je povolená volba client-to-client
    3. Z klientů se na internet, předpokládám dostanete, takže cat /proc/sys/net/ipv4/ip_forward zřejmě vrací hodnotu 1
    FTP se snaží sice připojit, ale nenačte se

    U chainů input i forward sice máte výchozí politiku DROP, ale de facto tam projde úplně všechno díky posledním dvěma pravidlům v INPUT a díky posledním třem pravidlům ve FORWARD (mimochodem tyhle duplicity bych odstranil). Takže explicitně povolit port 20 nedává moc smysl, tak bych asi zkontroloval, zda FTP server naslouchá na vnějším rozhraní, zkontroloval logy týkající se FTP, eventuálně bych zkusil tcpdumpem odsledovat požadavek na data z vnějšího rozhraní.

    9.3.2015 09:48 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    Takže by to mělo být takto:
    
    # Modul pro FTP prenosy
    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe ip_nat_ftp
    
    # Zapneme routovani paketu
    echo "1" > /proc/sys/net/ipv4/ip_forward
    echo "1" > /proc/sys/net/ipv4/tcp_syncookies
    
    iptables -P INPUT DROP
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD DROP
    
    iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
    
    iptables -A INPUT -i ppp0 -p TCP --dport 21 -j ACCEPT
    iptables -A INPUT -i ppp0 -p TCP --dport 1723 -j ACCEPT
    iptables -A INPUT -p 47 -j ACCEPT
    
    iptables -A INPUT -i ppp0 -p ICMP --icmp-type echo-request -j ACCEP
    
    iptables -A INPUT -i eth0 -j ACCEPT
    iptables -A INPUT -i lo -j ACCEPT
    
    iptables -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -i eth0 -j ACCEPT
    iptables -A FORWARD -o ppp0 -j ACCEPT
    iptables -A FORWARD -o eth0 -j ACCEPT
    
    
    Jinak předpokládám že ftp běží na tom serveru.

    Samozřejmě pokud používáš IPv6 musíš nastavit pravidla i pro IPv6
    9.3.2015 17:32 maniakum | skóre: 20 | blog: medved
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

    Stále stejné. VPN se připojí (znatelně pomaleji, než bez firewallu nebo dříve přes router). Server nevidí na klienta a ani klient nevidí na server.

     

    FTP se připojí, ale nenačte se strom adresářů a celý proces trvá dlouho. V čem mám hledat potíž?

    Toto APT má schopnosti svaté krávy.
    10.3.2015 08:39 miro
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    V čem mám hledat potíž?

    Třeba v tom, že některé rady ignorujete. Pan Šobáň ve vás zřejmě vzbudil naději, že to za vás kompletně naklape, a vám bude stačit jen copy&paste. Evidentně to nefunguje a i když se pan Šobáň opravdu snažil, tak to fungovat ani nebude, protože neposkytujete všechny informace, co jsou potřeba.

    Takže - seznam rozhraní, jejich síťových adres a jejich rout (ne to, co vy si myslíte, že tam máte, ale jak to máte skutečně nastavené) - to už jsem se vám snažil naznačit výše. Neobtěžoval jste se sdělit, jestli máte na vpn serveru direktivu client-to-client, pokud se opravdu chcete dostat na vnitřní síť, jak tu tvrdíte. Pokud se chcete opravdu dostat na vnitřní síť, tak asi proto, že chcete používat nějaké služby vnitřní sítě, což jste ale zatím nijak nespecifikoval. Dál je potřeba seznam služeb a to, na jakých rozhraních a portech naslouchají. A nakonec (tedy doufám, že jsem na nic nezapoměl) by nebylo od věci si po každém zásahu do iptables nechat vypsat seznam všech pravidel a pastnout ho sem.

    Taky jste se nepochlubil, co se děje na portu 20, když se pokusíte připojit k FTP, jak jsem vám doporučoval.

    Pokud tady nebudete dodávat dostatek informací ke svému problému, ztrácí s vámi ostatní zbytečně čas. A vy ho ztrácíte zbytečně taky.

    10.3.2015 20:01 maniakum | skóre: 20 | blog: medved
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

    Omlouvám se, že jsem popsal nedostatečně a z části i chybně stávající řešení. Tak abych to napravil.

    Níže jsem zaslal výpisy, které jste chtěl.

    V podstatě na serveru jede rozhraní eth0 -vnitřní síť, eth1 resp. ppp0 - připojení pomocí modemu a protokolu PPPOE k internetu, ppp1 - připojení k VPN, které se vytvoří jen při spojení.

    Na vnitřní síti bšží v tuto chvíli několik služdeb, ale řekněme, že asi nejdůležitješí je FTP, HTTP, SAMBA, DLNA. Tyto služby jsou k dispozici ve vnitřní síti. FTP chci mít k dispozici z internetu, také připojení k VPN. Pokud se připojím k VPN, chci mít dosažitelné i vnitřní služby. V tuto chvíli, jak jsem poslal zprávu níže, VPN a komunikace na vnitní síti jede. Nejsem si však jistý, zda-li to je nastaveno v pořádku.

    U FTP byl můj problém, že jsem neměl natažený ip_conntrack a ip_conntrack_ftp, ikdyž jsem myslel, že ano.

    Toto APT má schopnosti svaté krávy.
    12.3.2015 10:16 miro
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    V tuto chvíli, jak jsem poslal zprávu níže, VPN a komunikace na vnitní síti jede.

    Tak důležité je, že už máte funkční konfiguraci, pokud budete cokoli ořezávat, a přestane to jet, tak aspoň se máte k čemu vrátit.

    U FTP byl můj problém, že jsem neměl natažený ip_conntrack a ip_conntrack_ftp, ikdyž jsem myslel, že ano.

    No jo, stane se. To je jedna z nejblbějších chyb, protože člověk si myslí, že už to má opraveno, a přitom tam ta chyba pořád straší.

    Nejsem si však jistý, zda-li to je nastaveno v pořádku.

    Možná trochu zbytečně nadužíváte direktivu state, zpomaluje to filtrovací proceduru (i když to při vašem malém počtu pravidel nejspíš vůbec nepocítíte), ale state NEW je IMHO ve většině případů zbytečná.

    Čtvrté pravidlo v chainu INPUT (zkuste příště dávat výpis iptables s volbou --line-numbers) tam vypadá nadbytečně, pravidlo se ani jednou neaktivovalo, takže bych ho zkusil vyhodit, navíc si nejsem úplně jistý, jestli zrovna tenhle protokol povolený paušálně (tj. bez restrikce na konkrétní port/y) na vnějším rozhraní nemůže znamenat nějaké bezpečnostní riziko. Poslední pravidlo v chainu INPUT je duplicitní.

    Jinak FTP a PPTP nejsou samy o sobě příliš nebezpečné služby, takže momentálně bych viděl největší bezpečnostní riziko spíš právě v nich než ve špatně nastaveném firewallu.

    12.3.2015 10:20 miro
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

    Errata:

    Jinak FTP a PPTP nejsou samy o sobě příliš nebezpečné služby

    (Pravda, u FTP záleží na tom, k čemu přesně ho používáte).

    12.3.2015 10:27 maniakum
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    FTP jede jen na zálohování, nic důležitého tam není. Máte nějaký lepší návrh jak se vyhnout ne moc bezpečným službám FTP a PPTP a nahradit je? Dobře, u VPN si dokáži představit IPSec.
    12.3.2015 11:35 miro
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    FTP jede jen na zálohování, nic důležitého tam není.

    Asi záleží na tom, co zálohujete. Pokud obrazy linuxových instalaček, tak asi ok (pokud si kontrolujete checksumy). Pokud jsou to data více či méně privátního charakteru, tak bych to za ok nepovažoval (ale jsme lidé různí a máme různým způsobem nastavenou citlivost k úniku osobních dat, že). U FTP taky hrozí, že někdo odposlechne v komunikaci přihlašovací heslo, a pak to úložiště vymaže, takže pokud je to jediná zálohovací technika, pak to není úplně optimální.

    PPTP má AFAIK slabý autentizační mechanismus, ne sice tak moc, jako to FTP, a prolomit ho už vyžaduje určitou námahu a/nebo čas a/nebo peníze, takže to nejspíš nebude nikomu stát moc za to, ale do optima to má IMHO daleko. IPSec asi není špatná volba, ale vlastními zkušenostmi neposloužím, já používám openvpn (lépe řečeno "jsem používal", teď mi trochu hnije, protože mi stačí ssh), které by snad taky nemělo trpět nějakým zásadním neduhem.

    FTP samozřejmě použít můžete (i když bych osobně upřednostnil nfs nebo sambu v závislosti na klientských OS), ale když už tam máte tu VPN (ať už jakoukoli), co vám brání tu službu zavěsit na loopback serveru místo aby visela na vnějším rozhraní, a přistupovat k té službě přes tu VPN? Od toho ta VPN je - aby se skrz ni protáhly služby, u nichž nemá bezpečnost tak vysokou prioritu.

    12.3.2015 11:38 miro
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    co vám brání tu službu zavěsit na loopback serveru

    trochu jsem to zmátl - zvyk z ssh - služba může naslouchat na virtuálním rozhraní té VPN.

    9.3.2015 18:26 maniakum | skóre: 20 | blog: medved
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

    Pokud mu povolím ještě tohle:

    -A INPUT -s 192.168.0.0/24 -m state --state NEW -p tcp --dport 137 -j ACCEPT
    -A INPUT -s 192.168.0.0/24 -m state --state NEW -p tcp --dport 138 -j ACCEPT
    -A INPUT -s 192.168.0.0/24 -m state --state NEW -p tcp --dport 139 -j ACCEPT
    -A INPUT -s 192.168.0.0/24 -m state --state NEW -p tcp --dport 445 -j ACCEPT
    

    Tak mi to sdílení jede, ale pořád mám pocit, že to jede trochu pomaleji... Každopádně, tohle by přeci nemělo být nutné, když tam je pravidlo FORWARD ne?

    Toto APT má schopnosti svaté krávy.
    9.3.2015 18:56 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    A proč tam toto cpeš? Ty sdílíš soubory přes sambu? Vždyť jsi tvrdil že přes FTP!

    Jinak wireshark a skouknout kde je jaká komunikace.

    To co jsem napsal já povoluje veškerou odchozí komunikaci ze serveru, a povoluje veškerou navázanou komunikaci z internetu, a navázat komunikaci povoluje na portech 21 a 1723.

    Jinak taky záleží jak máš nastavený NAT - máš ho vůbec nastavený?
    9.3.2015 19:06 maniakum | skóre: 20 | blog: medved
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

    Ano, na serveru běží i SAMBA. A FTP také běží, pro komunikaci z vnějšku.

    NAT jsem vůbec neřešil, přiznávám se.

    Toto APT má schopnosti svaté krávy.
    9.3.2015 19:55 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    A pak se divíš že to nefunguje.

    Nebude jednoduší nainstalovat nějaké gui nad iptables a naklikat si to?

    Fakt pokud nevíš co děláš tak to je cesta do pekel co takhle nastudovat jak iptables fungují?

    Správa linuxového serveru: Linuxový firewall, základy iptables

    Základní konfigurace Linux firewallu pomocí Iptables
    9.3.2015 20:04 maniakum | skóre: 20 | blog: medved
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

    za odkazy děkuji, prostuduji.

     

    Jinak nic GUI instalovat nemůžu, nemám na serveru nahozený žádný window manager. Jak jsem psal níže, tak jsem NAT nastavil a stejně mi to nejde. Je mi jasný, že mi něco chybí nebo dělám špatně, jen nemůžu přijít na to co..

    Toto APT má schopnosti svaté krávy.
    9.3.2015 19:17 maniakum | skóre: 20 | blog: medved
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

    Tak jsem tam nabouchal toto:

     

    http://www.revsys.com/writings/quicktips/nat.html

     

    Ale stejně nepomohlo

    Toto APT má schopnosti svaté krávy.
    9.3.2015 18:30 maniakum | skóre: 20 | blog: medved
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

    Jak docílit toho, aby všechny porty, všechna komunikace ve vnitřní síti byla povolena (samozřejmě, aby byla povolena komunikace i z venčí, pokud byla otevřena zevnitř) a z vnějšku aby běželo FTP a VPN PPPTP (kde dostává stejnou síť jako uvnitř) ??

    Toto APT má schopnosti svaté krávy.
    10.3.2015 19:24 maniakum | skóre: 20 | blog: medved
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

    1. ip link show:

    maniakum@server:~$ ip link show
    1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
        link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
        link/ether 44:8a:5b:24:15:d4 brd ff:ff:ff:ff:ff:ff
    3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
        link/ether 00:e0:7d:9c:75:a9 brd ff:ff:ff:ff:ff:ff
    5: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1492 qdisc pfifo_fast state UNKNOWN qlen 3
        link/ppp
    37: ppp1: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1396 qdisc pfifo_fast state UNKNOWN qlen 3
        link/ppp
    

    1. ip route show

    maniakum@server:~$ ip route show
    default dev ppp0  scope link
    10.0.0.2 dev ppp1  proto kernel  scope link  src 10.0.0.1
    88.103.xx.xx dev ppp0  proto kernel  scope link  src xxx.xxx.xxx.xxx
    192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.11
    

    2. nepoužívám openvpn, ale pptpd. Každopádně, žádnou takovou volbu jsem tam nezadával

    Nyní mi chodí VPN, ale přiznám se, že si nejsem jistý, zda je to tak dobře. V tuto chvíli výpis iptables -L -nv vypadá takto (eth0 vnitřní síť, ppp0 internet pomocí VDSL modemu, ppp0 PPTP VPN). Je tam nějaká chyba, která by mi to mohla nabourat, resp. není ta mnějaká věc zbytečně?:

    Chain INPUT (policy DROP 215 packets, 36627 bytes)
     pkts bytes target     prot opt in     out     source               destination
     3920  661K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    12020 4639K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
        4   176 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:1723 state NEW
        0     0 ACCEPT     47   --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW
        3   132 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:21 state NEW
      960  281K ACCEPT     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0            state NEW
      400  106K ACCEPT     all  --  ppp1   *       0.0.0.0/0            0.0.0.0/0            state NEW
        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:21 state NEW
    
    Chain FORWARD (policy DROP 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination
     3869 1036K ACCEPT     all  --  eth0   ppp0    0.0.0.0/0            0.0.0.0/0
     6297 5406K ACCEPT     all  --  ppp0   eth0    0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
        0     0 ACCEPT     all  --  ppp1   eth0    0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
     3891  407K ACCEPT     all  --  ppp1   ppp0    0.0.0.0/0            0.0.0.0/0
     3209 2986K ACCEPT     all  --  ppp0   ppp1    0.0.0.0/0            0.0.0.0/0
    
    Chain OUTPUT (policy ACCEPT 4890 packets, 3340K bytes)
     pkts bytes target     prot opt in     out     source               destination
    

    3. ano je tam 1

    Toto APT má schopnosti svaté krávy.
    9.3.2015 10:00 Václav Vanc | skóre: 14
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    Zkusil jsem namísto eth1 zadat ppp0
    Forward je opravdu potřeba mít mezi eth0 a ppp0 a služby povolit pro ppp0. Protože ppp0 je to rozhraní které má veřejnou IP adresu. Po eth1 leze jen jen ppp tunel (myslím, že eth1 nemusí mít přidělenou ani žádnou IP adresu, aby to fungovalo) k poskytovateli (jestli tedy kabel z eth1 vede do modemu a k modemu, už není připojené nic jiného).
    9.3.2015 17:34 maniakum | skóre: 20 | blog: medved
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

    Ano, je to tak, ETH1 nemá nastavenou žádnou IP. a je vyloženě jen pro připojení k modemu.

    Toto APT má schopnosti svaté krávy.
    9.3.2015 19:23 j
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    Hele, jesli zkousis "ruzny navody", tak si na to nekoho najmi, a zaplat mu za to, ze ti to nakonfiguruje. Zkouset "ruzny navody" je nejlepsi cesta k tomu to totalne pohnojit.

    Pokud se ti nechce platit, tak se priprav na par stovek hodin, kdy se budes muset naucit, co ten firewall dela, kde a proc. Neni nad to si to zkouset na provoznim stroji ...

    Uz jen z toho co tu vidim, tak se musim smat - deravy jak reseto.

    Pokud mu povolím ještě tohle:
    
    -A INPUT -s 192.168.0.0/24 -m state --state NEW -p tcp --dport 137 -j ACCEPT
    -A INPUT -s 192.168.0.0/24 -m state --state NEW -p tcp --dport 138 -j ACCEPT
    -A INPUT -s 192.168.0.0/24 -m state --state NEW -p tcp --dport 139 -j ACCEPT
    -A INPUT -s 192.168.0.0/24 -m state --state NEW -p tcp --dport 445 -j ACCEPT
    

    Jooo, nejlepsi je pustit deravou sambu do sveta ...lol
    9.3.2015 20:06 maniakum | skóre: 20 | blog: medved
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

    Jedná se sice o provozní stroj, ale o domácí server, kde v podstatě nic není.

    Chci se to naučit sám, ať vím jak to tam je nastavený a proč. Nemyslím, že by to mělo být pár stovek hodin, ale něco tomu věnovat budu.

    Ano zkoušel jsem m to povolit, abych věděl kde hledat chybu.

    Toto APT má schopnosti svaté krávy.
    pavlix avatar 10.3.2015 09:27 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    Taky si nemyslím, že se musí nutně jednat o stovky hodin, ale musíš zkoušet, hrát si, koukat do statistik iptables -vL a pochopit, jak co funguje.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    9.3.2015 08:20 Gejbriel007
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    Já bych jen podotknul, že GRE neběží na TCP portu 47, ale je to samostatný protokol.

    iptables -A INPUT -p 47 -j ACCEPT

    11.3.2015 11:14 NoXO
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    pro VPN a různé takové protokoly IPSEC, PPTP, L2TP, jsou důležité i porty 500 a 4500 .. TPC/UDP..
    11.3.2015 11:16 maniakum | skóre: 20 | blog: medved
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

    Nikde jsem nenašel zmínku o tom, že bych měl povolovat i tyto porty. Když jsem měl připojení přes modem router, tak jsem přeposílal jen port 1723 a šlo to.

    Toto APT má schopnosti svaté krávy.
    11.3.2015 18:16 bigBRAMBOR | skóre: 30
    Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
    To Ne, pro pptp mu staci gre a 1723

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.