abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
dnes 16:38 | Komunita

Byly zveřejněny videozáznamy přednášek a workshopů z letošní konference OpenAlt konané 5. a 6. listopadu v Brně. K videozáznamům lze přistupovat ze stránky na SuperLectures nebo přes program konference, detaily o vybrané přednášce nebo workshopu a dále kliknutím na ikonku filmového pásu. Celkově bylo zpracováno 65 hodin z 89 přednášek a workshopů.

Ladislav Hagara | Komentářů: 0
dnes 11:30 | Komunita

Bylo oznámeno, že bude proveden bezpečnostní audit zdrojových kódů open source softwaru pro implementaci virtuálních privátních sítí OpenVPN. Audit provede Matthew D. Green (blog), uznávaný kryptolog a profesor na Univerzitě Johnse Hopkinse. Auditována bude verze 2.4 (aktuálně RC 1, stabilní verze je 2.3.14). Audit bude financován společností Private Internet Access [reddit].

Ladislav Hagara | Komentářů: 1
dnes 06:00 | Komunita

Na YouTube byl publikován Blender Institute Reel 2016, ani ne dvouminutový sestřih z filmů, které vznikly za posledních 10 let díky Blender Institutu. V institutu aktuálně pracují na novém filmu Agent 327. Dění kolem filmu lze sledovat na Blender Cloudu. Videoukázka Agenta 327 z června letošního roku na YouTube.

Ladislav Hagara | Komentářů: 0
dnes 01:02 | Zajímavý článek

Minulý týden byly vydány verze 1.2.3 a 1.1.7 webového poštovního klienta Roundcube. V oznámení o vydání bylo zmíněno řešení bezpečnostního problému nalezeného společností RIPS a souvisejícího s voláním funkce mail() v PHP. Tento týden byly zveřejněny podrobnosti. Útočník mohl pomocí speciálně připraveného emailu spustit na serveru libovolný příkaz. Stejně, jak je popsáno v článku Exploit PHP’s mail() to get remote code execution z roku 2014.

Ladislav Hagara | Komentářů: 1
včera 16:00 | Nová verze

Byla vydána verze 0.98 svobodného nelineárního video editoru Pitivi. Z novinek lze zmínit například přizpůsobitelné klávesové zkratky. Videoukázka práce s nejnovější verzí Pitivi na YouTube.

Ladislav Hagara | Komentářů: 1
včera 15:00 | Zajímavý software

Stop motion je technika animace, při níž je reálný objekt mezi jednotlivými snímky ručně upravován a posouván o malé úseky, tak aby po spojení vyvolala animace dojem spojitosti. Jaký software lze pro stop motion použít na Linuxu? Článek na OMG! Ubuntu! představuje Heron Animation. Ten bohužel podporuje pouze webové kamery. Podpora digitálních zrcadlovek je začleněna například v programu qStopMotion.

Ladislav Hagara | Komentářů: 5
7.12. 21:21 | Nová verze Ladislav Hagara | Komentářů: 0
7.12. 11:44 | Zajímavý projekt

Na Indiegogo byla spuštěna kampaň na podporu herní mini konzole a multimediálního centra RetroEngine Sigma od Doyodo. Předobjednat ji lze již od 49 dolarů. Požadovaná částka 20 000 dolarů byla překonána již 6 krát. Majitelé mini konzole si budou moci zahrát hry pro Atari VCS 2600, Sega Genesis nebo NES. Předinstalováno bude multimediální centrum Kodi.

Ladislav Hagara | Komentářů: 2
7.12. 00:10 | Nová verze

Byla vydána verze 4.7 redakčního systému WordPress. Kódové označením Vaughan bylo vybráno na počest americké jazzové zpěvačky Sarah "Sassy" Vaughan. Z novinek lze zmínit například novou výchozí šablonu Twenty Seventeen, náhledy pdf souborů nebo WordPress REST API.

Ladislav Hagara | Komentářů: 10
6.12. 12:00 | Zajímavý projekt

Projekt Termbox umožňuje vyzkoušet si linuxové distribuce Ubuntu, Debian, Fedora, CentOS a Arch Linux ve webovém prohlížeči. Řešení je postaveno na projektu HyperContainer. Podrobnosti v často kladených dotazech (FAQ). Zdrojové kódy jsou k dispozici na GitHubu [reddit].

Ladislav Hagara | Komentářů: 27
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 804 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: Iptables povolení jen některých služeb

8.3.2015 14:39 maniakum | skóre: 20 | blog: medved
Iptables povolení jen některých služeb
Přečteno: 573×

Zdravím,

 

mám server, který funguje jako GW. Připojen k internetu je pomocí VDSL modemu (v režimu bridge, s veřejnou IP) (eth1 resp. ppp0).

 

Dále je tam síť eth0 na vnitřní síť a routování.

eth0 má IP 192.168.0.11, síť  je tedy 192.168.0.0/24

Na serveru běží tyto služby, které by měly být přístupné zvenčí:

- VPN PPTP, FTP

Po připojení k VPN dostávám IP adresu 192.168.0.230-235

 

Pokoušel jsem se nastavovat IPTABLES tak, aby to fungovalo, ale nějak mi to nejde. Zkoušel jsem různé návody, ale pořád mi něco nefungovalo.

 

Mohl by mi prosím někdo pomoci s tím, jak iptables nastavit, aby to fungovalo?

Zkoušel jsem toto:

iptables -A INPUT -i eth1 -p tcp --dport 1723 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth1 -p tcp --sport 1723 -m state --state ESTABLISHED -j ACCEPT

iptables -A INPUT -i eth1 -j DROP

iptables -A OUTPUT -o eth1 -j DROP

iptables -A INPUT -i eth0 -p tcp -s 192.168.0.0/24 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp -m state --state ESTABLISHED -j ACCEPT

iptables -A INPUT -i eth0 -j DROPiptables -A OUTPUT -o eth0 -j DROP

ale nějak to nejelo.

 

Díky moc

Toto APT má schopnosti svaté krávy.

Odpovědi

8.3.2015 17:01 NN
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
Pokud se nepletu tak 1723 je jen control a samotny tunel je GRE(47) a jeste nevidim forwarding mezi eth0 a eth1. Teke je dobre se podivat do logu, nebo pouzit tcpdump..
8.3.2015 17:05 maniakum | skóre: 20 | blog: medved
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

Pokud mám INPUT a OUTPUT ACCEPT, tak to jede bez problému.

Toto APT má schopnosti svaté krávy.
8.3.2015 19:36 bigBRAMBOR | skóre: 30
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
No tak povol jeste na inputu ten GRE
8.3.2015 21:35 maniakum | skóre: 20 | blog: medved
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

Zkouším různé návody, ale pokaždé mi něco nefunguje.

 

Mohl by mě nekdo nakoupnout a poradit, abych měl vše z venku zakázané krom PPTP VPN a FTP, z vnitřní sítě, aby mi vše fungovalo?

Toto APT má schopnosti svaté krávy.
8.3.2015 22:08 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
Co se někde inspirovat?

http://www.petricek.cz/mpfw/mpfw.sh.txt
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -A INPUT -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -i eth1 -p TCP --dport 21 -j ACCEPT
iptables -A INPUT -i eth1 -p TCP --dport 47 -j ACCEPT
iptables -A INPUT -i eth1 -p TCP --dport 1723 -j ACCEPT

iptables -A INPUT -i eth1 -p ICMP --icmp-type echo-request -j ACCEP

iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

Neřeším forward a nat.
8.3.2015 22:16 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
Aby fungoval forward ještě přidat:
iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A FORWARD -o eth1 -j ACCEPT
iptables -A FORWARD -o eth0 -j ACCEPT

9.3.2015 07:09 maniakum | skóre: 20 | blog: medved
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

Inspirací jsem již prošel a něco pořád nefungovalo. Nyní, pokud to zadám, tak jak píšeš, tak mi jde vnitřní síť OK, ale z venku se nepřipojím ani na VPN, ani na FTP.

 

Zkusil jsem namísto eth1 zadat ppp0 a situace je taková, že jde se připojit na VPN, ale nefunguje (to znamená, že se nedostanu na vnitřní síť a vše nějak trvá déle) a FTP se snaží sice připojit, ale nenačte se. Vše dlouho trvá.

 

Výpis iptables -L -n:

maniakum@server:~$ sudo iptables -L -n
Chain INPUT (policy DROP)target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:21
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:47
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:1723
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 8
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy DROP)target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
Chain OUTPUT (policy ACCEPT)target     prot opt source               destination


Při řešení eth1 se z venku tvářili porty zavřeny, Při ppp0 otevřený.

Toto APT má schopnosti svaté krávy.
9.3.2015 07:42 bigBRAMBOR | skóre: 30
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
Zkusil jsem namísto eth1 zadat ppp0

no, nechci vypadat jako kverulant, ale zrovna u firewallu by jsi měl vědět co děláš a proč to děláš než to zkoušet.
9.3.2015 07:48 Maniakum
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
To máš zajisté pravdu. Ale pokud mi to nejde rozběhnout tak, jak by mělo, tak se posunuji do fáze testování... Prosel jsem mraky návodů a pořád to nejde. Něco dělám špatně,ale i při použití výše uvedeného to nejdd...
9.3.2015 08:56 miro
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
jde se připojit na VPN, ale nefunguje (to znamená, že se nedostanu na vnitřní síť a vše nějak trvá déle)
  1. Zkontroloval bych routy. ip link show ??? ip route show ???
  2. Zkontroloval bych konfigurák openvpn, zda je povolená volba client-to-client
  3. Z klientů se na internet, předpokládám dostanete, takže cat /proc/sys/net/ipv4/ip_forward zřejmě vrací hodnotu 1
FTP se snaží sice připojit, ale nenačte se

U chainů input i forward sice máte výchozí politiku DROP, ale de facto tam projde úplně všechno díky posledním dvěma pravidlům v INPUT a díky posledním třem pravidlům ve FORWARD (mimochodem tyhle duplicity bych odstranil). Takže explicitně povolit port 20 nedává moc smysl, tak bych asi zkontroloval, zda FTP server naslouchá na vnějším rozhraní, zkontroloval logy týkající se FTP, eventuálně bych zkusil tcpdumpem odsledovat požadavek na data z vnějšího rozhraní.

9.3.2015 09:48 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
Takže by to mělo být takto:

# Modul pro FTP prenosy
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp

# Zapneme routovani paketu
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/tcp_syncookies

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -i ppp0 -p TCP --dport 21 -j ACCEPT
iptables -A INPUT -i ppp0 -p TCP --dport 1723 -j ACCEPT
iptables -A INPUT -p 47 -j ACCEPT

iptables -A INPUT -i ppp0 -p ICMP --icmp-type echo-request -j ACCEP

iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

iptables -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A FORWARD -o ppp0 -j ACCEPT
iptables -A FORWARD -o eth0 -j ACCEPT

Jinak předpokládám že ftp běží na tom serveru.

Samozřejmě pokud používáš IPv6 musíš nastavit pravidla i pro IPv6
9.3.2015 17:32 maniakum | skóre: 20 | blog: medved
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

Stále stejné. VPN se připojí (znatelně pomaleji, než bez firewallu nebo dříve přes router). Server nevidí na klienta a ani klient nevidí na server.

 

FTP se připojí, ale nenačte se strom adresářů a celý proces trvá dlouho. V čem mám hledat potíž?

Toto APT má schopnosti svaté krávy.
10.3.2015 08:39 miro
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
V čem mám hledat potíž?

Třeba v tom, že některé rady ignorujete. Pan Šobáň ve vás zřejmě vzbudil naději, že to za vás kompletně naklape, a vám bude stačit jen copy&paste. Evidentně to nefunguje a i když se pan Šobáň opravdu snažil, tak to fungovat ani nebude, protože neposkytujete všechny informace, co jsou potřeba.

Takže - seznam rozhraní, jejich síťových adres a jejich rout (ne to, co vy si myslíte, že tam máte, ale jak to máte skutečně nastavené) - to už jsem se vám snažil naznačit výše. Neobtěžoval jste se sdělit, jestli máte na vpn serveru direktivu client-to-client, pokud se opravdu chcete dostat na vnitřní síť, jak tu tvrdíte. Pokud se chcete opravdu dostat na vnitřní síť, tak asi proto, že chcete používat nějaké služby vnitřní sítě, což jste ale zatím nijak nespecifikoval. Dál je potřeba seznam služeb a to, na jakých rozhraních a portech naslouchají. A nakonec (tedy doufám, že jsem na nic nezapoměl) by nebylo od věci si po každém zásahu do iptables nechat vypsat seznam všech pravidel a pastnout ho sem.

Taky jste se nepochlubil, co se děje na portu 20, když se pokusíte připojit k FTP, jak jsem vám doporučoval.

Pokud tady nebudete dodávat dostatek informací ke svému problému, ztrácí s vámi ostatní zbytečně čas. A vy ho ztrácíte zbytečně taky.

10.3.2015 20:01 maniakum | skóre: 20 | blog: medved
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

Omlouvám se, že jsem popsal nedostatečně a z části i chybně stávající řešení. Tak abych to napravil.

Níže jsem zaslal výpisy, které jste chtěl.

V podstatě na serveru jede rozhraní eth0 -vnitřní síť, eth1 resp. ppp0 - připojení pomocí modemu a protokolu PPPOE k internetu, ppp1 - připojení k VPN, které se vytvoří jen při spojení.

Na vnitřní síti bšží v tuto chvíli několik služdeb, ale řekněme, že asi nejdůležitješí je FTP, HTTP, SAMBA, DLNA. Tyto služby jsou k dispozici ve vnitřní síti. FTP chci mít k dispozici z internetu, také připojení k VPN. Pokud se připojím k VPN, chci mít dosažitelné i vnitřní služby. V tuto chvíli, jak jsem poslal zprávu níže, VPN a komunikace na vnitní síti jede. Nejsem si však jistý, zda-li to je nastaveno v pořádku.

U FTP byl můj problém, že jsem neměl natažený ip_conntrack a ip_conntrack_ftp, ikdyž jsem myslel, že ano.

Toto APT má schopnosti svaté krávy.
12.3.2015 10:16 miro
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
V tuto chvíli, jak jsem poslal zprávu níže, VPN a komunikace na vnitní síti jede.

Tak důležité je, že už máte funkční konfiguraci, pokud budete cokoli ořezávat, a přestane to jet, tak aspoň se máte k čemu vrátit.

U FTP byl můj problém, že jsem neměl natažený ip_conntrack a ip_conntrack_ftp, ikdyž jsem myslel, že ano.

No jo, stane se. To je jedna z nejblbějších chyb, protože člověk si myslí, že už to má opraveno, a přitom tam ta chyba pořád straší.

Nejsem si však jistý, zda-li to je nastaveno v pořádku.

Možná trochu zbytečně nadužíváte direktivu state, zpomaluje to filtrovací proceduru (i když to při vašem malém počtu pravidel nejspíš vůbec nepocítíte), ale state NEW je IMHO ve většině případů zbytečná.

Čtvrté pravidlo v chainu INPUT (zkuste příště dávat výpis iptables s volbou --line-numbers) tam vypadá nadbytečně, pravidlo se ani jednou neaktivovalo, takže bych ho zkusil vyhodit, navíc si nejsem úplně jistý, jestli zrovna tenhle protokol povolený paušálně (tj. bez restrikce na konkrétní port/y) na vnějším rozhraní nemůže znamenat nějaké bezpečnostní riziko. Poslední pravidlo v chainu INPUT je duplicitní.

Jinak FTP a PPTP nejsou samy o sobě příliš nebezpečné služby, takže momentálně bych viděl největší bezpečnostní riziko spíš právě v nich než ve špatně nastaveném firewallu.

12.3.2015 10:20 miro
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

Errata:

Jinak FTP a PPTP nejsou samy o sobě příliš nebezpečné služby

(Pravda, u FTP záleží na tom, k čemu přesně ho používáte).

12.3.2015 10:27 maniakum
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
FTP jede jen na zálohování, nic důležitého tam není. Máte nějaký lepší návrh jak se vyhnout ne moc bezpečným službám FTP a PPTP a nahradit je? Dobře, u VPN si dokáži představit IPSec.
12.3.2015 11:35 miro
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
FTP jede jen na zálohování, nic důležitého tam není.

Asi záleží na tom, co zálohujete. Pokud obrazy linuxových instalaček, tak asi ok (pokud si kontrolujete checksumy). Pokud jsou to data více či méně privátního charakteru, tak bych to za ok nepovažoval (ale jsme lidé různí a máme různým způsobem nastavenou citlivost k úniku osobních dat, že). U FTP taky hrozí, že někdo odposlechne v komunikaci přihlašovací heslo, a pak to úložiště vymaže, takže pokud je to jediná zálohovací technika, pak to není úplně optimální.

PPTP má AFAIK slabý autentizační mechanismus, ne sice tak moc, jako to FTP, a prolomit ho už vyžaduje určitou námahu a/nebo čas a/nebo peníze, takže to nejspíš nebude nikomu stát moc za to, ale do optima to má IMHO daleko. IPSec asi není špatná volba, ale vlastními zkušenostmi neposloužím, já používám openvpn (lépe řečeno "jsem používal", teď mi trochu hnije, protože mi stačí ssh), které by snad taky nemělo trpět nějakým zásadním neduhem.

FTP samozřejmě použít můžete (i když bych osobně upřednostnil nfs nebo sambu v závislosti na klientských OS), ale když už tam máte tu VPN (ať už jakoukoli), co vám brání tu službu zavěsit na loopback serveru místo aby visela na vnějším rozhraní, a přistupovat k té službě přes tu VPN? Od toho ta VPN je - aby se skrz ni protáhly služby, u nichž nemá bezpečnost tak vysokou prioritu.

12.3.2015 11:38 miro
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
co vám brání tu službu zavěsit na loopback serveru

trochu jsem to zmátl - zvyk z ssh - služba může naslouchat na virtuálním rozhraní té VPN.

9.3.2015 18:26 maniakum | skóre: 20 | blog: medved
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

Pokud mu povolím ještě tohle:

-A INPUT -s 192.168.0.0/24 -m state --state NEW -p tcp --dport 137 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -m state --state NEW -p tcp --dport 138 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -m state --state NEW -p tcp --dport 139 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -m state --state NEW -p tcp --dport 445 -j ACCEPT

Tak mi to sdílení jede, ale pořád mám pocit, že to jede trochu pomaleji... Každopádně, tohle by přeci nemělo být nutné, když tam je pravidlo FORWARD ne?

Toto APT má schopnosti svaté krávy.
9.3.2015 18:56 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
A proč tam toto cpeš? Ty sdílíš soubory přes sambu? Vždyť jsi tvrdil že přes FTP!

Jinak wireshark a skouknout kde je jaká komunikace.

To co jsem napsal já povoluje veškerou odchozí komunikaci ze serveru, a povoluje veškerou navázanou komunikaci z internetu, a navázat komunikaci povoluje na portech 21 a 1723.

Jinak taky záleží jak máš nastavený NAT - máš ho vůbec nastavený?
9.3.2015 19:06 maniakum | skóre: 20 | blog: medved
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

Ano, na serveru běží i SAMBA. A FTP také běží, pro komunikaci z vnějšku.

NAT jsem vůbec neřešil, přiznávám se.

Toto APT má schopnosti svaté krávy.
9.3.2015 19:55 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
A pak se divíš že to nefunguje.

Nebude jednoduší nainstalovat nějaké gui nad iptables a naklikat si to?

Fakt pokud nevíš co děláš tak to je cesta do pekel co takhle nastudovat jak iptables fungují?

Správa linuxového serveru: Linuxový firewall, základy iptables

Základní konfigurace Linux firewallu pomocí Iptables
9.3.2015 20:04 maniakum | skóre: 20 | blog: medved
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

za odkazy děkuji, prostuduji.

 

Jinak nic GUI instalovat nemůžu, nemám na serveru nahozený žádný window manager. Jak jsem psal níže, tak jsem NAT nastavil a stejně mi to nejde. Je mi jasný, že mi něco chybí nebo dělám špatně, jen nemůžu přijít na to co..

Toto APT má schopnosti svaté krávy.
9.3.2015 19:17 maniakum | skóre: 20 | blog: medved
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

Tak jsem tam nabouchal toto:

 

http://www.revsys.com/writings/quicktips/nat.html

 

Ale stejně nepomohlo

Toto APT má schopnosti svaté krávy.
9.3.2015 18:30 maniakum | skóre: 20 | blog: medved
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

Jak docílit toho, aby všechny porty, všechna komunikace ve vnitřní síti byla povolena (samozřejmě, aby byla povolena komunikace i z venčí, pokud byla otevřena zevnitř) a z vnějšku aby běželo FTP a VPN PPPTP (kde dostává stejnou síť jako uvnitř) ??

Toto APT má schopnosti svaté krávy.
10.3.2015 19:24 maniakum | skóre: 20 | blog: medved
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

1. ip link show:

maniakum@server:~$ ip link show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 44:8a:5b:24:15:d4 brd ff:ff:ff:ff:ff:ff
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 00:e0:7d:9c:75:a9 brd ff:ff:ff:ff:ff:ff
5: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1492 qdisc pfifo_fast state UNKNOWN qlen 3
    link/ppp
37: ppp1: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1396 qdisc pfifo_fast state UNKNOWN qlen 3
    link/ppp

1. ip route show

maniakum@server:~$ ip route show
default dev ppp0  scope link
10.0.0.2 dev ppp1  proto kernel  scope link  src 10.0.0.1
88.103.xx.xx dev ppp0  proto kernel  scope link  src xxx.xxx.xxx.xxx
192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.11

2. nepoužívám openvpn, ale pptpd. Každopádně, žádnou takovou volbu jsem tam nezadával

Nyní mi chodí VPN, ale přiznám se, že si nejsem jistý, zda je to tak dobře. V tuto chvíli výpis iptables -L -nv vypadá takto (eth0 vnitřní síť, ppp0 internet pomocí VDSL modemu, ppp0 PPTP VPN). Je tam nějaká chyba, která by mi to mohla nabourat, resp. není ta mnějaká věc zbytečně?:

Chain INPUT (policy DROP 215 packets, 36627 bytes)
 pkts bytes target     prot opt in     out     source               destination
 3920  661K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
12020 4639K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    4   176 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:1723 state NEW
    0     0 ACCEPT     47   --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW
    3   132 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:21 state NEW
  960  281K ACCEPT     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0            state NEW
  400  106K ACCEPT     all  --  ppp1   *       0.0.0.0/0            0.0.0.0/0            state NEW
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:21 state NEW

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 3869 1036K ACCEPT     all  --  eth0   ppp0    0.0.0.0/0            0.0.0.0/0
 6297 5406K ACCEPT     all  --  ppp0   eth0    0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  ppp1   eth0    0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
 3891  407K ACCEPT     all  --  ppp1   ppp0    0.0.0.0/0            0.0.0.0/0
 3209 2986K ACCEPT     all  --  ppp0   ppp1    0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 4890 packets, 3340K bytes)
 pkts bytes target     prot opt in     out     source               destination

3. ano je tam 1

Toto APT má schopnosti svaté krávy.
9.3.2015 10:00 Václav Vanc | skóre: 14
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
Zkusil jsem namísto eth1 zadat ppp0
Forward je opravdu potřeba mít mezi eth0 a ppp0 a služby povolit pro ppp0. Protože ppp0 je to rozhraní které má veřejnou IP adresu. Po eth1 leze jen jen ppp tunel (myslím, že eth1 nemusí mít přidělenou ani žádnou IP adresu, aby to fungovalo) k poskytovateli (jestli tedy kabel z eth1 vede do modemu a k modemu, už není připojené nic jiného).
9.3.2015 17:34 maniakum | skóre: 20 | blog: medved
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

Ano, je to tak, ETH1 nemá nastavenou žádnou IP. a je vyloženě jen pro připojení k modemu.

Toto APT má schopnosti svaté krávy.
9.3.2015 19:23 j
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
Hele, jesli zkousis "ruzny navody", tak si na to nekoho najmi, a zaplat mu za to, ze ti to nakonfiguruje. Zkouset "ruzny navody" je nejlepsi cesta k tomu to totalne pohnojit.

Pokud se ti nechce platit, tak se priprav na par stovek hodin, kdy se budes muset naucit, co ten firewall dela, kde a proc. Neni nad to si to zkouset na provoznim stroji ...

Uz jen z toho co tu vidim, tak se musim smat - deravy jak reseto.

Pokud mu povolím ještě tohle:

-A INPUT -s 192.168.0.0/24 -m state --state NEW -p tcp --dport 137 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -m state --state NEW -p tcp --dport 138 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -m state --state NEW -p tcp --dport 139 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -m state --state NEW -p tcp --dport 445 -j ACCEPT

Jooo, nejlepsi je pustit deravou sambu do sveta ...lol
9.3.2015 20:06 maniakum | skóre: 20 | blog: medved
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

Jedná se sice o provozní stroj, ale o domácí server, kde v podstatě nic není.

Chci se to naučit sám, ať vím jak to tam je nastavený a proč. Nemyslím, že by to mělo být pár stovek hodin, ale něco tomu věnovat budu.

Ano zkoušel jsem m to povolit, abych věděl kde hledat chybu.

Toto APT má schopnosti svaté krávy.
pavlix avatar 10.3.2015 09:27 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
Taky si nemyslím, že se musí nutně jednat o stovky hodin, ale musíš zkoušet, hrát si, koukat do statistik iptables -vL a pochopit, jak co funguje.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
9.3.2015 08:20 Gejbriel007
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
Já bych jen podotknul, že GRE neběží na TCP portu 47, ale je to samostatný protokol.

iptables -A INPUT -p 47 -j ACCEPT

11.3.2015 11:14 NoXO
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
pro VPN a různé takové protokoly IPSEC, PPTP, L2TP, jsou důležité i porty 500 a 4500 .. TPC/UDP..
11.3.2015 11:16 maniakum | skóre: 20 | blog: medved
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb

Nikde jsem nenašel zmínku o tom, že bych měl povolovat i tyto porty. Když jsem měl připojení přes modem router, tak jsem přeposílal jen port 1723 a šlo to.

Toto APT má schopnosti svaté krávy.
11.3.2015 18:16 bigBRAMBOR | skóre: 30
Rozbalit Rozbalit vše Re: Iptables povolení jen některých služeb
To Ne, pro pptp mu staci gre a 1723

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.