Nastaveni firewalu. (jsem zoufalý :-( )

Ahoj,

potřebuju pomoc s nastavením firewalu, už jsem přečetl články na rootu a tady na Abíčku a i dokumentaci k iptables.

Mám připojení od O2, modem externí link na popis modemu . A k PC se net připojuje přes pppoe, modem je nastaven na bridge ( to funguje ). PC, kde má běžet router je Cyrix M-II s 90MB RAM. Rohraní do LAN je eth0 a do netu je ppp0. Nejprve jsem zkoušel jen jednoduchý NATování, takto


iptables -t nat -A POSTROUTING -o ppp0 -j MASQUARADE (šlo to i s -j SNAT --to x.x.x.x)

Potom jsem si stáhl tento hotový firewall link a upravil jsem ho takto link (zkoušel jsem ho i bez upravování) a šlo všechno kromě http ( nešly načíst žádný stránky). Nevíte co je špatně, jestli se už něco od toho roku 2004 nezměnilo (podle toho co jsem kde četl by to mělo fungovat). Případné logy dodám :-)

Odpovědi

To bude asi timto kouskem:

# Odchozi HTTP pozadavky (na port 80 s vyjimkou lokalniho serveru) 
# budou presmerovany na lokalniho squida (na portu 3128) ve funkci 
#transparentni proxy cache.
$IPTABLES -t nat -A PREROUTING -p tcp -i ! $INET_IFACE -d ! $INET_IP --dport 80 -j REDIRECT --to-port 3128

10.2.2007 19:53 michich | skóre: 51 | blog: ohrivane_parky
Rozbalit Rozbalit vše Re: Nastaveni firewalu. (jsem zoufalý :-( )

aha, v te upravene verzi uz to mas zakomentovane, takze tim to asi nebude

10.2.2007 19:54 cenda | skóre: 24 | blog: dedalebedanebohurvajs | Planá nad Lužnicí
Rozbalit Rozbalit vše Re: Nastaveni firewalu. (jsem zoufalý :-( )

Já jsem si myslel, že tento kousek funguje tak, že požadavky na HTTP přesměruje na ten SQUID, jenže já nic takového na síti nemám tak jsem to zakomentoval a předpokládal jsem, že se požadavky na HTTP budou normálně routovat do internetu...

10.2.2007 22:07 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Nastaveni firewalu. (jsem zoufalý :-( )

To si myslíš správně, jen to zakomentování nerozhodne o tom co se s paketama stane, ale jen to, že se s nima tohle nestane, alespoň ne hned ;-)

Hello world ! Segmentation fault (core dumped)

11.2.2007 12:26 stativ | skóre: 54 | blog: SlaNé roury
Rozbalit Rozbalit vše Re: Nastaveni firewalu. (jsem zoufalý :-( )

Take myslim, ze bude chyba urcite tady. Co jsem zbezne mrkl na ten skript tak tam ma nastaveno policy na DROP. Tim, ze jste zakomentoval radek

$IPTABLES -t nat -A PREROUTING -p tcp -i ! $INET_IFACE -d ! $INET_IP --dport 80 -j REDIRECT --to-port 3128

doslo k tomu, ze se nekontroluji http pozadavky a okamzite jsou zahozeny. Takze opravit na ACCEPT:

$IPTABLES -t nat -A PREROUTING -p tcp -i ! $INET_IFACE -d ! $INET_IP --dport 80 -j ACCEPT

Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk

11.2.2007 12:42 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Nastaveni firewalu. (jsem zoufalý :-( )

HTTP požadavky ale přece vyhoví následujícím pravidlům

# Routing zevnitr site ven neomezujeme
$IPTABLES -A FORWARD -i $LAN1_IFACE -j ACCEPT

# Routing zvenku dovnitr pouze pro navazana spojeni (stavovy firewall)
$IPTABLES -A FORWARD -i $INET_IFACE -o $LAN1_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT

A nevidím před těmito pravidly nic, co by pakety http DROPovalo…

Navíc vámi zmíněné řádky jsou z -t nat PREROUTING, a ta nemá žádné policy explicitně nastavené, takže platí default ACCEPT.

11.2.2007 14:34 stativ | skóre: 54 | blog: SlaNé roury
Rozbalit Rozbalit vše Re: Nastaveni firewalu. (jsem zoufalý :-( )

neprocital jsem to cele, jenom jsem koukl na

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

a pak na to presmerovani.

Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk

a šlo všechno kromě http

Můžeš rozvést, co přesně to "všechno" je?

11.2.2007 12:02 cenda | skóre: 24 | blog: dedalebedanebohurvajs | Planá nad Lužnicí
Rozbalit Rozbalit vše Re: Nastaveni firewalu. (jsem zoufalý :-( )

Např. pingy, icq, pošta, ... ( já vím že to není úplně všechno :-)

)

Kdybych si měl náhodně tipnout, tak bych řekl, že to bude stejný problém jako v tomto dotazu.

11.2.2007 12:24 cenda | skóre: 24 | blog: dedalebedanebohurvajs | Planá nad Lužnicí
Rozbalit Rozbalit vše Re: Nastaveni firewalu. (jsem zoufalý :-( )

Jo, díky tahle diskuze je přesně můj problém ( asi jsem nehledal s dostatečnou vervou :-)

)

Máte v síti vlastní DNS resolver? Nebo používáte nějaký v internetu? Nejsem si tím jist, ale

$IPTABLES -A FORWARD -i $INET_IFACE -o $LAN1_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT

se podle mne týká jenom TCP spojení, takže vám na DNS dotazy do internetu nepřijde odpověď. Zkuste přidat

$IPTABLES -A FORWARD -i $INET_IFACE -o $LAN1_IFACE -p udp --dport 53 -j ACCEPT

10.2.2007 22:10 michich | skóre: 51 | blog: ohrivane_parky
Rozbalit Rozbalit vše Re: Nastaveni firewalu. (jsem zoufalý :-( )

Nejsem si tím jist, ale
$IPTABLES -A FORWARD -i $INET_IFACE -o $LAN1_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
se podle mne týká jenom TCP spojení, takže vám na DNS dotazy do internetu nepřijde odpověď.

Connection tracking funguje i na UDP, v tomhle by problém být neměl.

11.2.2007 05:21 cenda | skóre: 24 | blog: dedalebedanebohurvajs | Planá nad Lužnicí
Rozbalit Rozbalit vše Re: Nastaveni firewalu. (jsem zoufalý :-( )

Tak tim to neni, protože např. z PC v síti si klidně pingnu třeba seznam, ale zobrazit v prohlížeči tento web nelze.

11.2.2007 10:45 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Nastaveni firewalu. (jsem zoufalý :-( )

Nemáte nastavený proxy server na tom PC?

Zkuste na tom počítači s firewallem spustit postupně

tcpdump -ni eth0 'ip proto \tcp and port 80'
tcpdump -ni ppp0 'ip proto \tcp and port 80'

Uvidíte, kam až pakety dorazí a kde se ztrácejí. Pokud by se vám nezobrazil průchod vůbec žádného paketu, je chyba na PC. Pokud se objeví alespoň na vstupu eth0, je problém s firewallem a podle toho, kde se ztrácejí poznáte, kde hledat.

11.2.2007 10:48 pepa
Rozbalit Rozbalit vše Re: Nastaveni firewalu. (jsem zoufalý :-( )

co napise


telnet www.seznam.cz 80

a pripadne potom


GET / HTTP/1.0

Dotaz: Nastaveni firewalu. (jsem zoufalý :-( )

Odpovědi