abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 22:22 | Komunita

Společnost Purism představila kryptografický token Librem Key. Koupit jej lze za 59 dolarů. Token byl vyvinut ve spolupráci se společností Nitrokey a poskytuje jak OpenPGP čipovou kartu, tak zabezpečení bootování notebooků Librem a také dalších notebooků s open source firmwarem Heads.

Ladislav Hagara | Komentářů: 0
včera 20:33 | Nová verze

Společnost NVIDIA oficiálně vydala verzi 10.0 toolkitu CUDA (Wikipedie) umožňujícího vývoj aplikací běžících na jejich grafických kartách. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
včera 20:00 | Upozornění

Příspěvek Jak přežít plánovanou údržbu DNS na blogu zaměstnanců CZ.NIC upozorňuje na historicky poprvé podepsání DNS root zóny novým klíčem dne 11. října 2018 v 18:00. Software, který nebude po tomto okamžiku obsahovat nový DNSSEC root klíč, nebude schopen resolvovat žádná data. Druhým důležitým datem je 1. února 2019, kdy významní výrobci DNS softwaru, také historicky poprvé, přestanou podporovat servery, které porušují DNS standard

… více »
Ladislav Hagara | Komentářů: 5
včera 15:55 | Pozvánky

Spolek OpenAlt zve příznivce otevřených řešení a přístupu na 156. brněnský sraz, který proběhne v pátek 21. září od 18:00 v restauraci Na Purkyňce na adrese Purkyňova 80.

Ladislav Hagara | Komentářů: 0
včera 13:22 | Nová verze

Alan Griffiths z Canonicalu oznámil vydání verze 1.0.0 display serveru Mir (GitHub, Wikipedie). Mir byl představen v březnu 2013 jako náhrada X serveru a alternativa k Waylandu. Dnes Mir běží nad Waylandem a cílen je na internet věcí (IoT).

Ladislav Hagara | Komentářů: 0
20.9. 22:00 | Nasazení Linuxu
Stabilní aktualizace Chrome OS 69 (resp. Chromium OS), konkrétně 69.0.3497.95, přináší mj. podporu linuxových aplikací. Implementována je pomocí virtualizace, a proto je tato funkce také omezena na zařízení s dostatkem paměti a podporou hardwarové akcelerace, tudíž nejsou podporovány chromebooky s 32bitovými architekturami ARM, či Intel Bay Trail (tzn. bez Intel VT-x).
Fluttershy, yay! | Komentářů: 5
20.9. 21:32 | Zajímavý projekt
Došlo k uvolnění linuxové distribuce CLIP OS, vyvíjené francouzským úřadem pro kybernetickou bezpečnost ANSSI, jako open source. Vznikla za účelem nasazení v úřadech, kde je potřeba omezit přístup k důvěrným datům. Je založená na Gentoo.
Fluttershy, yay! | Komentářů: 1
20.9. 16:00 | Komerce

Zjistěte více o bezpečné a flexibilní architektuře v cloudu! IBM Cloud poskytuje bezpečné úložiště pro Vaše obchodní data s možností škálovatelnosti a flexibilitou ukládání dat. Zároveň nabízí prostředky pro jejich analýzu, vizualizaci, reporting a podporu rozhodování.

… více »
Fluttershy, yay! | Komentářů: 12
20.9. 12:22 | Nová verze

V dubnu letošního roku Mozilla představila webový prohlížeč pro rozšířenou a virtuální realitu Firefox Reality (GitHub). V úterý oznámila vydání verze 1.0. Ukázka na YouTube. Firefox Reality je k dispozici pro Viveport, Oculus a Daydream.

Ladislav Hagara | Komentářů: 2
20.9. 12:00 | Komunita

V srpnu loňského roku společnost Oracle oznámila, že Java EE (Enterprise Edition) bude uvolněna jako open source. O měsíc později bylo rozhodnuto, že tato open source Java EE bude přejmenována a předána Eclipse Foundation. Nové jméno bylo oznámeno v únoru letošního roku. Z Java EE se stala Jakarta EE. Eclipse Foundation včera oznámila dosažení dalšího milníku. Zdrojové kódy aplikačního serveru GlassFish jsou již k dispozici v git repozitářích Eclipse Foundation (GitHub).

Ladislav Hagara | Komentářů: 0
Na optické médium (CD, DVD, BD aj.) jsem naposledy vypaloval(a) data před méně než
 (13%)
 (14%)
 (21%)
 (23%)
 (25%)
 (4%)
 (1%)
Celkem 385 hlasů
 Komentářů: 33, poslední 16.9. 11:55
Rozcestník

Dotaz: povolit pouze pop3 přes maškarádu

26.2.2005 08:46 Petr Šigut | skóre: 34 | blog: PhaX_blog
povolit pouze pop3 přes maškarádu
Přečteno: 168×
Dobrý den,

Mám Linuxový stroj a chci přes něj pro vnitřní síť povolit pouze POP3 protokol (a pak SMTP, ale předpokládám, že jen změním porty.)

Zde uvádím (snad) relevantní část z mého rc.firewall skriptu
IPTABLES=/usr/sbin/iptables

$IPTABLES -X
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
$IPTABLES -F FORWARD
$IPTABLES -F POSTROUTING -t nat
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP

ETH_NET=eth0 # sitovka do netu
ETH_LAN=eth1 # sitovka do vnitrni site

IP_NET=1.2.3.4 # moje verejna IP

$IPTABLES -t nat -A PREROUTING -i $ETH_NET -s 192.168.0.0/16 -j DROP
$IPTABLES -t nat -A PREROUTING -i $ETH_NET -s 172.16.0.0/12 -j DROP
$IPTABLES -t nat -A PREROUTING -i $ETH_NET -s 10.0.0.0/8 -j DROP

$IPTABLES -A INPUT -i lo -j ACCEPT

$IPTABLES -A INPUT -i $ETH_NET -m state --state ESTABLISHED,RELATED -j ACCEPT


$IPTABLES -A FORWARD -i $ETH_LAN -o $ETH_NET -p tcp --dport 110 -m state --state ESTABLISHED,RELATED -j ACCEPT  
$IPTABLES -A FORWARD -i $ETH_LAN -o $ETH_NET -p tcp --dport 110 -j ACCEPT

$IPTABLES -A FORWARD -i $ETH_LAN -o $ETH_NET -p udp --dport 110 -m state --state ESTABLISHED,RELATED -j ACCEPT  
$IPTABLES -A FORWARD -i $ETH_LAN -o $ETH_NET -p udp --dport 110 -j ACCEPT



$IPTABLES -A INPUT -i $ETH_LAN -p tcp --dport 3128  -j ACCEPT
$IPTABLES -A INPUT -i $ETH_LAN -p udp --dport 3128  -j ACCEPT



$IPTABLES -A POSTROUTING -t nat -s 192.168.1.0/255.255.255.0 -o $ETH_NET -j MASQUERADE

Nevím kde mám chybu - z vnitřní síťe je povolený squid proxy (kurzíva) a to funguje v pořádku. Taky mám možná trochu zmatek v udp paketech, nevím kde je mám povolit a kdy nemusím

Děkuji za rady

Odpovědi

26.2.2005 09:21 ZAH
Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
Myslímže jsou chybně pravidla pro forward nemužňuješ navazovat nová spojení. Dle mne chybí state NEW.
26.2.2005 09:25 Petr Šigut | skóre: 34 | blog: PhaX_blog
Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
$IPTABLES -A FORWARD -i $ETH_LAN -o $ETH_NET -p udp --dport 110 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT  
Přidal jsem tam to NEW a stále to bohužel nefunguje.

Jestli je to podstatné tak ve vnitřní síťi je Win XP a na poštu Thunderbird.

Díky za odpověd
26.2.2005 09:45 ZAH
Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
Tak od začátku. Zavést modul pro maškarádu a pro jistotu i ty ostatní co kdybych za chvíli zkoušel něco jiného.
# Inicializace databaze modulu
/sbin/depmod -a
# Zavedeme moduly pro nestandardni cile
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE
povolit routování
# Zapneme routovani paketu
echo "1" > /proc/sys/net/ipv4/ip_forward
Pro první pokusy povolit vše Potom nasadit omezení a prohlížet log.
 # Implicitni politikou je zahazovat nepovolene pakety
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWRD ACCEPT
Povolit maškarádu
# IP maskarada - SNAT
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to $INET_IP
Vyzkoušet a ozvat se. Jinak squid je proxy server a ten potřebuje pouze přístup k netu nikoliv routování.
26.2.2005 10:53 Michal Kubeček
Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
Implicitní politikou je zahazovat nepovolené pakety, proto nastavujete řetězcům FORWARD a INPUT politiku na ACCEPT? :-)
26.2.2005 10:07 ttt
Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
Ten stavovy firewall mi prijde zbytecny, kdyz to v nasledujicim prikazu vsechno poustis. Taky si myslim, ze je treba povolit zdrojovy port namisto ciloveho. Treba nejak takto:

$IPTABLES -A FORWARD -i $ETH_LAN -p tcp --sport 110 -j ACCEPT
26.2.2005 10:12 ttt
Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
ted vidim, ze spravne by spis melo byt: -i $ETH_NET
26.2.2005 10:51 Michal Kubeček
Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
Proboha, jen to ne, jedině snad jako odstrašující příklad. To je klasická chyba, kdy začátečník v domnění, že povoluje odpovědi na svá POP3 (HTTP, SMTP, …) spojení, povolí jakoukoli TCP komunikaci do vnitřní sítě, použije-li útočník zdrojový port 110 (80, 25, …). Právě sem patří stavové pravidlo. Takže např.:

iptables -P FORWARD DROP
iptables -F FORWARD
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $ETH_LAN -o $ETH_NET -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 113 -j REJECT
26.2.2005 11:40 ttt
Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
Ano, souhlasim co jsem napsal je blbost, ale napadla mi doplnujici otazka. Muze povoleny forward nejakym zpusobem ohrozit sit za NATem? Pokud ano, tak jakym.
26.2.2005 12:16 Petr Šigut | skóre: 34 | blog: PhaX_blog
Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
Díky za vaše rady, ale stále asi někde dělám chybu, zavádím teď takovéto pravidla:
IPTABLES=/usr/sbin/iptables

/sbin/depmod -a
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE

ETH_NET=eth0 # sitovka do netu
ETH_LAN=eth1 # sitovka do vnitrni site

IP_NET=1.2.3.4 # moje verejna IP


$IPTABLES -X
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
$IPTABLES -F FORWARD
$IPTABLES -F POSTROUTING -t nat
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP

$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $ETH_LAN -o $ETH_NET -p tcp --dport 110 -j ACCEPT

$IPTABLES -A INPUT -i lo -j ACCEPT

$IPTABLES -A INPUT -i $ETH_LAN -j ACCEPT

$IPTABLES -A INPUT -i $ETH_NET -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A INPUT -i $ETH_NET -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 5 -j ACCEPT

$IPTABLES -A INPUT -i $ETH_NET -p udp -d $IP_NET --dport 9176 -j ACCEPT
$IPTABLES -A INPUT -i $ETH_NET -p tcp -d $IP_NET --dport 9176 -j ACCEPT
A přijímání pošty stále nefunguje, když změním policy u FORWARD na accept, tak funguje.

Díky
26.2.2005 12:19 Petr Šigut | skóre: 34 | blog: PhaX_blog
Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
A ještě:
cat /proc/sys/net/ipv4/ip_forward
1
26.2.2005 12:37 ttt
Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
Zkus vypustit '-o $ETH_NET' v chainu FORWARD, toto se deje pred NATem, a nejsem si jist zda paket tusi kterym rozhranim pujde ven.
26.2.2005 12:47 Petr Šigut | skóre: 34 | blog: PhaX_blog
Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
Vypustil jsem to:
$IPTABLES -A FORWARD -i $ETH_LAN -p tcp --dport 110 -j ACCEPT
Ale stále to nefunguje...

Dík
26.2.2005 12:48 Michal Kubeček
Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
To samozřejmě ví, na konci se přepisuje zdrojová adresa, která na to nemá vliv.
26.2.2005 12:52 Michal Kubeček
Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
Pokud přidáte ještě ten překlad adres, nevidím důvod, proč by to nemělo fungovat. Zkuste tcpdump na vnitřním a vnějším rozhraní, případně zapnout logování všech zahozených paketů, abyste zjistil, kde to mizí. Nebude to nějaký trapný problém typu nefunkčních DNS dotazů?
26.2.2005 13:06 Petr Šigut | skóre: 34 | blog: PhaX_blog
Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
Ano, přidal jsem ten překlad a už to funguje:
$IPTABLES -t nat -A POSTROUTING -o $ETH_NET -j SNAT --to $IP_NET
Díky moc všem za pomoc!

Kdybyste někdo věděli o nějaké hezké knížce o iptables (nejradši česky, pak anglicky) rád bych si ji koupil.

Mějte se
26.2.2005 11:01 Michal Kubeček
Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu
UDP komunikaci povolte jen tam, kde ji potřebujete povolit. POP3 ani HTTP proxy to rozhodně nejsou. Z běžně používaných služeb vás bude zajímat asi jen DNS (pozor, tam je to TCP i UDP) a NTP.

Pokud to máte opravdu takto, squid vám na vnitřním rozhraní nemá šanci fungovat, protože propustíte pouze SYN paket (ESTABLISHED pouštíte jen zvenku). O dalších chybách (v tučné části vždy druhé pravidlo zahrnuje všechno co první, takže první je zbytečné) už se tu mluvilo.

A jedna metodická poznámka: názvy tabulek naznačují, k čemu slouží. Tedy filter k filtraci paketů, nat k překladu adres a mangle k dalším manipulacím s pakety (které nespadají pod NAT). Filtrovat v tabulce nat můžete sice v zásadě také, ale není to příliš šťastné.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.