abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 08:00 | Zajímavý článek

Portál Stack Overflow po roce opět vyzpovídal své uživatele, jedná se především o vývojáře softwaru, a zveřejnil detailní výsledky průzkumu. Průzkumu se letos zúčastnilo více než 80 tisíc vývojářů. Z Česka jich bylo 792. Ze Slovenska 252. Celkově bylo 91,67 % mužů a 5,31 % žen.

Ladislav Hagara | Komentářů: 6
dnes 07:00 | Zajímavý článek

Valentina Palmiotti ze společnosti Grapl v příspěvku na blogu podrobně rozebírá bezpečnostní chybu CVE-2021-3490 v Linuxu, konkrétně v eBPF, zneužitelnou k lokální eskalaci práv. Chyba byla v upstreamu opravena již v květnu.

Ladislav Hagara | Komentářů: 0
dnes 06:00 | Pozvánky

Od pátku 6. srpna do neděle 8. srpna proběhne online The Raku Conference, tj. konference věnovaná programovacímu jazyku Raku.

Ladislav Hagara | Komentářů: 0
včera 13:00 | IT novinky

Zítra končí bezpečnostní konference Black Hat USA 2021 (Twitter) a začíná bezpečnostní konference DEF CON 29 (Twitter). Kvůli COVID-19 letos probíhají obě konference hybridně, v Las Vegas i virtuálně. V rámci Black Hat budou vyhlášeny výsledky letošní Pwnie Awards (Twitter). Pwnie Awards oceňují to nejlepší, ale i to nejhorší z IT bezpečnosti (bezpečnostní Oscar a Malina v jednom). Viz nominace.

Ladislav Hagara | Komentářů: 0
včera 09:00 | Zajímavý článek Ladislav Hagara | Komentářů: 6
včera 08:00 | Pozvánky

MojeFedora.cz zve na online konferenci Nest with Fedora 2021 (Flock to Fedora). Konference proběhne od čtvrtka 5. srpna do soboty 7. srpna, vždy od 14:00. Na programu je řada zajímavých přednášek.

Ladislav Hagara | Komentářů: 0
včera 07:00 | Nová verze

CrossOver, komerční produkt založený na Wine, byl vydán ve verzi 21. Přehled novinek v ChangeLogu. Verze 21 je založena na Wine 6.0 s více než 8 300 vylepšeními.

Ladislav Hagara | Komentářů: 4
3.8. 16:22 | IT novinky

Byla vydána videohra o stínech minulosti Svoboda 1945: Liberation. Druhá světová válka skončila, ale ve vesnici Svoboda na česko-německém pohraničí mír nenastal. Přijeli jste rozhodnout desetiletí trvající spor. Komu věřit? Jak s tím souvisí vaše rodina? Vyzpovídejte svědky a odhalte pravdu o vlastní minulosti ve hře, jakou jste ještě nehráli.

Ladislav Hagara | Komentářů: 18
3.8. 15:22 | Komunita

Dnes 3. srpna od 20:00 a o týden 10. srpna od 20:00 proběhne online konference Qubes virtual mini-summit 2021 věnovaná operačnímu systému zaměřenému na bezpečnost Qubes OS (Wikipedie). Přednášky lze sledovat na YouTube.

Ladislav Hagara | Komentářů: 0
3.8. 07:00 | Nová verze

Po půl roce od vydání verze 2.33 byla vydána nová verze 2.34 knihovny glibc (GNU C Library). Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
Jak synchronizujete data mezi zařízeními?
 (22%)
 (22%)
 (14%)
 (18%)
 (24%)
Celkem 78 hlasů
 Komentářů: 10, poslední dnes 15:58
Rozcestník



Dotaz: iptables, kde mám chybu ?

5.9.2005 19:56 BlackShark | skóre: 15 | blog: windows
iptables, kde mám chybu ?
Přečteno: 77×
Zdravím, Vás. Chtěl jsme si zkusit nastavit sám iptables (doposud se o to stará shorewall, který bych rád odstranil), ale narazil jsem na problém. Přečetl jsem si spoustu diskusí zde i článek na root ( stavíme firewall ) a dokonce i něco v knize ( Linux kompletní příručka administrátora ), ale stále nemohu přijít na to, kde mám ve skriptu chybu. iptables nastavuji na serveru, ke kterému je připojeno 6 pc v síti 192.168.0. Server má rozhraní eth0( internet IP z DHCP (AA.BB.CC.DD) ) a eth1 ( lokální síť ). Po nastavení iptables ( viz. níže ) nemohu ze serveru ( ani z lokálních pc ) na internet ( http, ping ). Můžete mi někdo říct, proč s touto konfigurací nemohu ze serveru na net ? Moc by mi to pomohlo ... díky...
#!/bin/sh

iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -p ICMP -i eth0 --icmp-type 0 -j ACCEPT
iptables -A INPUT -p ICMP -i eth0 --icmp-type 3 -j ACCEPT
iptables -A INPUT -p ICMP -i eth0 --icmp-type 8 -j ACCEPT
iptables -A INPUT -p ICMP -i eth0 --icmp-type 11 -j ACCEPT

iptables -A INPUT -p all -i eth1 -j ACCEPT
iptables -A INPUT -p all -i lo -j ACCEPT
iptables -A INPUT -j LOG

iptables -A OUTPUT -p all -s 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -p all -s 192.168.0.1 -j ACCEPT
iptables -A OUTPUT -p all -s AA.BB.CC.DD -j ACCEPT
iptables -A OUTPUT -j LOG

iptables -A FORWARD -i eth1 -j ACCEPT 
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Odpovědi

5.9.2005 20:00 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
Rozbalit Rozbalit vše Re: iptables, kde mám chybu ?
Skript jsem moc nezkoumal :-), ale máš povolené forwardování? /proc/sys/net/ipv4/ip_forward
5.9.2005 20:04 BlackShark | skóre: 15 | blog: windows
Rozbalit Rozbalit vše Re: iptables, kde mám chybu ?
Jo to je povolené. Směrovací tabulky jsou taky OK.
Heron avatar 5.9.2005 20:17 Heron | skóre: 52 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: iptables, kde mám chybu ?
Můžete mi někdo říct, proč s touto konfigurací nemohu ze serveru na net? Moc by mi to pomohlo

problem muze byt jedine v iptables -A OUTPUT -p all -s AA.BB.CC.DD -j ACCEPT. Mas nejaky duvod filtrovat pakety z toho kompu?

5.9.2005 20:32 BlackShark | skóre: 15 | blog: windows
Rozbalit Rozbalit vše Re: iptables, kde mám chybu ?
Asi to bude blbost, ale mám to tam, protože jsem si myslel, že pokud to tam nedám, tak mi to ty packety ven nepustí.
Heron avatar 5.9.2005 20:35 Heron | skóre: 52 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: iptables, kde mám chybu ?

pokud tam nebude iptables -P OUTPUT DROP tak pusti urcite ;-)

5.9.2005 20:37 Michal Marek (twofish) | skóre: 55 | blog: { display: blog; } | Praha
Rozbalit Rozbalit vše Re: iptables, kde mám chybu ?
Koukni se do logu, jaké pakety ti to zahazuje. Kdyžtak přidej -j LOG i do FORWARD a dej ke každému LOGu jiný prefix ať poznáš kde ten paket "propadnul", třeba:
iptables -A INPUT -j LOG --log-prefix INPUT-DROP
iptables -A OUTPUT -j LOG --log-prefix OUTPUT-DROP
iptables -A FORWARD -j LOG --log-prefix FORWARD-DROP
5.9.2005 20:52 BlackShark | skóre: 15 | blog: windows
Rozbalit Rozbalit vše Re: iptables, kde mám chybu ?
To má jeden háček. Do jakého logu ? Našel jsem zmínky ve více souborech. /var/log/daemons/* /var/log/syslog /var/log/kernel/* ... a nejsem z nich vůbec chytrej. Kde mám ty logy heldat ?
5.9.2005 20:58 Martin Tůma | skóre: 38 | blog: RTFM | Praha
Rozbalit Rozbalit vše Re: iptables, kde mám chybu ?

IMHO je chyba v tom, že pro spojení ze serveru nemáš povolen INPUT (chybí něco jako iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT) a pro spojení z vnitřní sítě zase není povolen OUTPUT (respektivě je povolen pro jediný počítač 192.168.0.1, ne síť)

Každý má právo na můj názor!
5.9.2005 21:41 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: iptables, kde mám chybu ?
Řetězcem OUTPUT jsou filtrovány pouze lokálně generované pakety, ne průchozí (jako tomu bylo u ipchains).
5.9.2005 22:07 Martin Tůma | skóre: 38 | blog: RTFM | Praha
Rozbalit Rozbalit vše Re: iptables, kde mám chybu ?
Řetězcem OUTPUT jsou filtrovány pouze lokálně generované pakety, ne průchozí (jako tomu bylo u ipchains).

Myslel jsem si to, ale pak mě nenapadal důvod, proč mu nefunguje spojení z té vnitřní sítě ;-)

Každý má právo na můj názor!
5.9.2005 21:47 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: iptables, kde mám chybu ?
  1. V řetězci OUTPUT jsou pouze pakety, které jste vyrobil sám, nemá tedy smysl kontrolovat zdrojovou IP adresu. Nemáte-li k tomu nějaký zásadní důvod, nedoporučoval bych OUTPUT vůbec filtrovat.
  2. Jak už zde padlo, v řetězci INPUT povolujete zvenku pouze ICMP pakety (typy 0,3,8,11), takže neprojdou odpovědi na vámi generované pakety. Řešení už bylo naznačeno.
  3. Na začátku promažte raději i tabulku nat, příkazem 'iptables -F' mažete pouze obsah řetězců v tabulce filter
  4. Pravidlo pro maškarádu omezte raději jen na pakety s adresami, které maškarádovat opravdu chcete.
5.9.2005 23:02 BlackShark | skóre: 15 | blog: windows
Rozbalit Rozbalit vše Re: iptables, kde mám chybu ?
Všem díky za odpovědi. Věřím, že teď už bych to mohl dát dohromady.
6.9.2005 09:09 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
Rozbalit Rozbalit vše Re: iptables, kde mám chybu ?
Zdravim

Pokud nezadas tabulku, tak defaultni je filter. to znamena, ze prikazem "iptables -F" smazes jen tabulku filter, takze musis mit:

iptables -F -t filter

iptables -F -t mangle

iptables -F -t nat

Ze zacatku bych urcite zacal tim, ze vsechny chainy povolis

iptables -P INPUT ACCEPT

iptables -P OUTPUT ACCEPT

iptables -P FORWARD ACCEPT

a nechas tam jen maskaradu

iptables -A FORWARD -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

Melo by to chodit, pak zkus dat policy na DROP a pridavat jednotlivy pravidla.

Doporucuju skouknout petrickouv firewall, nazhav strejdu googla.

Zdenek
www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf
6.9.2005 13:23 Juraj
Rozbalit Rozbalit vše Re: iptables, kde mám chybu ?
Skus sa pozret aj na toto: http://deja-vix.sk/sysadmin/firewall.html#top

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.