Přihlášení | Registrace

napište » Zprávičky

BreadboardOS pro Raspberry Pi Pico (RP2040)

včera 23:22 | Zajímavý software

BreadboardOS je firmware pro Raspberry Pi Pico (RP2040) umožňující s tímto MCU komunikovat pomocí řádkového rozhraní (CLI). Využívá FreeRTOS a Microshell.

Ladislav Hagara | Komentářů: 0

KDE Gear 24.05

včera 16:55 | Nová verze

Vývojáři KDE oznámili vydání balíku aplikací KDE Gear 24.05. Přehled novinek i s náhledy a videi v oficiálním oznámení. Do balíku se dostalo 5 nových aplikací: Audex, Accessibility Inspector, Francis, Kalm a Skladnik.

Ladislav Hagara | Komentářů: 1

Angular 18.0.0

včera 12:55 | Nová verze

Byla vydána (𝕏) nová verze 18.0.0 open source webového aplikačního frameworku Angular (Wikipedie). Přehled novinek v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0

Maker Faire Rychnov nad Kněžnou

22.5. 23:44 | Pozvánky

V neděli 26. května lze navštívit Maker Faire Rychnov nad Kněžnou, festival plný workshopů, interaktivních činností a především nadšených a zvídavých lidí.

Ladislav Hagara | Komentářů: 0

Alpine Linux 3.20.0

22.5. 16:33 | Nová verze

Byla vydána nová stabilní verze 3.20.0, tj. první z nové řady 3.20, minimalistické linuxové distribuce zaměřené na bezpečnost Alpine Linux (Wikipedie) postavené na standardní knihovně jazyka C musl libc a BusyBoxu. Z novinek lze vypíchnou počáteční podporu 64bitové architektury RISC-V.

Ladislav Hagara | Komentářů: 0

Jolla Community Phone a Jolla Mind2 Community Edition AI Computer

22.5. 14:11 | IT novinky

Společnost Jolla na akci s názvem Jolla Love Day 2 - The Jolla comeback představila telefon se Sailfish OS 5.0 Jolla Community Phone (ve spolupráci se společností Reeder) a počítač Jolla Mind2 Community Edition AI Computer.

Ladislav Hagara | Komentářů: 7

Alfa verze LibreOffice 24.8 dostupná k testování

22.5. 12:33 | Nová verze

LibreOffice 24.8 bude vydán jako finální v srpnu 2024, přičemž LibreOffice 24.8 Alpha1 je první předběžnou verzí od začátku vývoje verze 24.8 v prosinci 2023. Od té doby bylo do úložiště kódu odesláno 4448 commitů a více než 667 chyb bylo v Bugzille nastaveno jako opravené. Nové funkce obsažené v této verzi LibreOffice najdete v poznámkách k vydání.

ZCR | Komentářů: 0

MagPi 141 a HackSpace 78

21.5. 23:33 | Nová verze

Nová čísla časopisů od nakladatelství Raspberry Pi: MagPi 141 (pdf) a HackSpace 78 (pdf).

Ladislav Hagara | Komentářů: 0

Kotlin 2.0.0 a KotlinConf 2024

21.5. 21:22 | Nová verze

Byla vydána verze 2.0.0 programovacího jazyka Kotlin (Wikipedie, GitHub). Oficiálně bude představena ve čtvrtek na konferenci KotlinConf 2024 v Kodani. Livestream bude možné sledovat na YouTube.

Ladislav Hagara | Komentářů: 2

Erlang/OTP 27.0

21.5. 12:55 | Nová verze

Byla vydána nová major verze 27.0 programovacího jazyka Erlang (Wikipedie) a související platformy OTP (Open Telecom Platform, Wikipedie). Přehled novinek v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Podle hypotézy Mrtvý Internet mj. tvoří většinu online interakcí boti.

Jsem bot. (82%)

Jsem člověk. (4%)

Opravdu jsem člověk! (7%)

Jsem něco jiného. (7%)

Celkem 520 hlasů

Komentářů: 16, poslední 14.5. 11:05

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / povolit pouze pop3 přes maškarádu

Štítky: bezpečnost, databáze, DNS, e-mail, firewally, Internet, iptables, KDE, logování, NAT, proxy, sítě, SMTP, SQUID, tcpdump, Thunderbird

Dotaz: povolit pouze pop3 přes maškarádu

26.2.2005 08:46 phax7 | skóre: 34 | blog: PhaX_blog
povolit pouze pop3 přes maškarádu

Přečteno: 204×

Odpovědět | Admin

Dobrý den,

Mám Linuxový stroj a chci přes něj pro vnitřní síť povolit pouze POP3 protokol (a pak SMTP, ale předpokládám, že jen změním porty.)

Zde uvádím (snad) relevantní část z mého rc.firewall skriptu

IPTABLES=/usr/sbin/iptables

$IPTABLES -X
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
$IPTABLES -F FORWARD
$IPTABLES -F POSTROUTING -t nat
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP

ETH_NET=eth0 # sitovka do netu
ETH_LAN=eth1 # sitovka do vnitrni site

IP_NET=1.2.3.4 # moje verejna IP

$IPTABLES -t nat -A PREROUTING -i $ETH_NET -s 192.168.0.0/16 -j DROP
$IPTABLES -t nat -A PREROUTING -i $ETH_NET -s 172.16.0.0/12 -j DROP
$IPTABLES -t nat -A PREROUTING -i $ETH_NET -s 10.0.0.0/8 -j DROP

$IPTABLES -A INPUT -i lo -j ACCEPT

$IPTABLES -A INPUT -i $ETH_NET -m state --state ESTABLISHED,RELATED -j ACCEPT


$IPTABLES -A FORWARD -i $ETH_LAN -o $ETH_NET -p tcp --dport 110 -m state --state ESTABLISHED,RELATED -j ACCEPT  
$IPTABLES -A FORWARD -i $ETH_LAN -o $ETH_NET -p tcp --dport 110 -j ACCEPT

$IPTABLES -A FORWARD -i $ETH_LAN -o $ETH_NET -p udp --dport 110 -m state --state ESTABLISHED,RELATED -j ACCEPT  
$IPTABLES -A FORWARD -i $ETH_LAN -o $ETH_NET -p udp --dport 110 -j ACCEPT



$IPTABLES -A INPUT -i $ETH_LAN -p tcp --dport 3128  -j ACCEPT
$IPTABLES -A INPUT -i $ETH_LAN -p udp --dport 3128  -j ACCEPT



$IPTABLES -A POSTROUTING -t nat -s 192.168.1.0/255.255.255.0 -o $ETH_NET -j MASQUERADE

Nevím kde mám chybu - z vnitřní síťe je povolený squid proxy (kurzíva) a to funguje v pořádku. Taky mám možná trochu zmatek v udp paketech, nevím kde je mám povolit a kdy nemusím

Děkuji za rady

Nástroje: Začni sledovat (1) ?

Odpovědi

26.2.2005 09:21 ZAH
Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu

Myslímže jsou chybně pravidla pro forward nemužňuješ navazovat nová spojení. Dle mne chybí state NEW.

26.2.2005 09:25 phax7 | skóre: 34 | blog: PhaX_blog
Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu

$IPTABLES -A FORWARD -i $ETH_LAN -o $ETH_NET -p udp --dport 110 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

Přidal jsem tam to NEW a stále to bohužel nefunguje.

Jestli je to podstatné tak ve vnitřní síťi je Win XP a na poštu Thunderbird.

Díky za odpověd

26.2.2005 09:45 ZAH
Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu

Tak od začátku. Zavést modul pro maškarádu a pro jistotu i ty ostatní co kdybych za chvíli zkoušel něco jiného.

# Inicializace databaze modulu
/sbin/depmod -a
# Zavedeme moduly pro nestandardni cile
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE

povolit routování

# Zapneme routovani paketu
echo "1" > /proc/sys/net/ipv4/ip_forward

Pro první pokusy povolit vše Potom nasadit omezení a prohlížet log.

 # Implicitni politikou je zahazovat nepovolene pakety
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWRD ACCEPT

Povolit maškarádu

# IP maskarada - SNAT
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to $INET_IP

Vyzkoušet a ozvat se. Jinak squid je proxy server a ten potřebuje pouze přístup k netu nikoliv routování.

26.2.2005 10:53 Michal Kubeček
Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu

Implicitní politikou je zahazovat nepovolené pakety, proto nastavujete řetězcům FORWARD a INPUT politiku na ACCEPT? :-)

26.2.2005 10:07 ttt
Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu

Ten stavovy firewall mi prijde zbytecny, kdyz to v nasledujicim prikazu vsechno poustis. Taky si myslim, ze je treba povolit zdrojovy port namisto ciloveho. Treba nejak takto:

$IPTABLES -A FORWARD -i $ETH_LAN -p tcp --sport 110 -j ACCEPT

26.2.2005 10:12 ttt
Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu

ted vidim, ze spravne by spis melo byt: -i $ETH_NET

26.2.2005 10:51 Michal Kubeček
Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu

Proboha, jen to ne, jedině snad jako odstrašující příklad. To je klasická chyba, kdy začátečník v domnění, že povoluje odpovědi na svá POP3 (HTTP, SMTP, …) spojení, povolí jakoukoli TCP komunikaci do vnitřní sítě, použije-li útočník zdrojový port 110 (80, 25, …). Právě sem patří stavové pravidlo. Takže např.:

iptables -P FORWARD DROP
iptables -F FORWARD
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $ETH_LAN -o $ETH_NET -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 113 -j REJECT

26.2.2005 11:40 ttt
Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu

Ano, souhlasim co jsem napsal je blbost, ale napadla mi doplnujici otazka. Muze povoleny forward nejakym zpusobem ohrozit sit za NATem? Pokud ano, tak jakym.

26.2.2005 12:16 phax7 | skóre: 34 | blog: PhaX_blog
Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu

Díky za vaše rady, ale stále asi někde dělám chybu, zavádím teď takovéto pravidla:

IPTABLES=/usr/sbin/iptables

/sbin/depmod -a
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE

ETH_NET=eth0 # sitovka do netu
ETH_LAN=eth1 # sitovka do vnitrni site

IP_NET=1.2.3.4 # moje verejna IP


$IPTABLES -X
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
$IPTABLES -F FORWARD
$IPTABLES -F POSTROUTING -t nat
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD DROP

$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $ETH_LAN -o $ETH_NET -p tcp --dport 110 -j ACCEPT

$IPTABLES -A INPUT -i lo -j ACCEPT

$IPTABLES -A INPUT -i $ETH_LAN -j ACCEPT

$IPTABLES -A INPUT -i $ETH_NET -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A INPUT -i $ETH_NET -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 5 -j ACCEPT

$IPTABLES -A INPUT -i $ETH_NET -p udp -d $IP_NET --dport 9176 -j ACCEPT
$IPTABLES -A INPUT -i $ETH_NET -p tcp -d $IP_NET --dport 9176 -j ACCEPT

A přijímání pošty stále nefunguje, když změním policy u FORWARD na accept, tak funguje.

Díky

26.2.2005 12:19 phax7 | skóre: 34 | blog: PhaX_blog
Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu

A ještě:

cat /proc/sys/net/ipv4/ip_forward
1

26.2.2005 12:37 ttt
Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu

Zkus vypustit '-o $ETH_NET' v chainu FORWARD, toto se deje pred NATem, a nejsem si jist zda paket tusi kterym rozhranim pujde ven.

26.2.2005 12:47 phax7 | skóre: 34 | blog: PhaX_blog
Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu

Vypustil jsem to:

$IPTABLES -A FORWARD -i $ETH_LAN -p tcp --dport 110 -j ACCEPT

Ale stále to nefunguje...

Dík

26.2.2005 12:48 Michal Kubeček
Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu

To samozřejmě ví, na konci se přepisuje zdrojová adresa, která na to nemá vliv.

26.2.2005 12:52 Michal Kubeček
Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu

Pokud přidáte ještě ten překlad adres, nevidím důvod, proč by to nemělo fungovat. Zkuste tcpdump na vnitřním a vnějším rozhraní, případně zapnout logování všech zahozených paketů, abyste zjistil, kde to mizí. Nebude to nějaký trapný problém typu nefunkčních DNS dotazů?

26.2.2005 13:06 phax7 | skóre: 34 | blog: PhaX_blog
Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu

Ano, přidal jsem ten překlad a už to funguje:

$IPTABLES -t nat -A POSTROUTING -o $ETH_NET -j SNAT --to $IP_NET

Díky moc všem za pomoc!

Kdybyste někdo věděli o nějaké hezké knížce o iptables (nejradši česky, pak anglicky) rád bych si ji koupil.

Mějte se

26.2.2005 11:01 Michal Kubeček
Rozbalit Rozbalit vše Re: povolit pouze pop3 přes maškarádu

UDP komunikaci povolte jen tam, kde ji potřebujete povolit. POP3 ani HTTP proxy to rozhodně nejsou. Z běžně používaných služeb vás bude zajímat asi jen DNS (pozor, tam je to TCP i UDP) a NTP.

Pokud to máte opravdu takto, squid vám na vnitřním rozhraní nemá šanci fungovat, protože propustíte pouze SYN paket (ESTABLISHED pouštíte jen zvenku). O dalších chybách (v tučné části vždy druhé pravidlo zahrnuje všechno co první, takže první je zbytečné) už se tu mluvilo.

A jedna metodická poznámka: názvy tabulek naznačují, k čemu slouží. Tedy filter k filtraci paketů, nat k překladu adres a mangle k dalším manipulacím s pakety (které nespadají pod NAT). Filtrovat v tabulce nat můžete sice v zásadě také, ale není to příliš šťastné.

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje