problém s iptables

Blokujem sieťovú prevádzku na routeri nasledovne:

NET="192.168.1.0/24"
IPT="/sbin/iptables"
TCP="ssh,smtp,www,https,ftp,ftp-data,irc,5190,pop3,pop3s,lotusnote"

$IPT -P FORWARD DROP

$IPT -A FORWARD -m multiport -p tcp -i eth1 -o eth0 \
    --dports $TCP -s $NET -j ACCEPT

$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPT -A FORWARD -p udp -i eth1 -o eth0 -j ACCEPT

Okrem toho beží maškaráda:

iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE

A napriek tomuto opatreniu sa podarí nadviazať toto spojenie:

tcp      6 431999 ESTABLISHED src=192.168.1.79 dst=194.228.84.88 sport=4378 dport=50962
src=194.228.84.88 dst=172.28.1.22 sport=50962 dport=4378 [ASSURED] use=1

Ako je to možné a ako sa tomu dá zabrániť?

SNAT nejde přes FORWARD, musíte filtrovat OUTPUT.

11.11.2005 22:06 Zdeněk Burda | skóre: 61 | blog: Zdendův blog | Praha
Rozbalit Rozbalit vše Re: problém s iptables

Nějak nechápu na co vlastně reaguješ (a ještě k tomu nepřesně). Maškaráda se běžně dělá v POSTROUTING

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

-- Nezdar není hanbou, hanbou je strach z pokusu.

11.11.2005 22:09 zabza | skóre: 52 | blog: Nad_sklenkou_cerveneho
Rozbalit Rozbalit vše Re: problém s iptables

jojo, den blbec, normálně nejlepší je mě dneska ignorovat

11.11.2005 22:15 secido | skóre: 27
Rozbalit Rozbalit vše Re: problém s iptables

Nemohlo by to byť ftp-čko?

11.11.2005 22:25 zabza | skóre: 52 | blog: Nad_sklenkou_cerveneho
Rozbalit Rozbalit vše Re: problém s iptables

mohlo, akorát dneska na všecko potřebuju více pokusů :-)

11.11.2005 22:06 zabza | skóre: 52 | blog: Nad_sklenkou_cerveneho
Rozbalit Rozbalit vše Re: problém s iptables

kecám, sakra... :-(

11.11.2005 22:10 secido | skóre: 27
Rozbalit Rozbalit vše Re: problém s iptables

Prečo OUTPUT? FORWARD náhodou celkom dobre funguje. Skúsil som


iptables -A OUTPUT -s 192.168.1.79 -j DROP

ale vôbec nič to nebolo platné:

    0     0 DROP       all  --  any    any     192.168.1.79      anywhere

Dotaz: problém s iptables

Odpovědi