firewall na iptables

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

Awatar użytkownika
wasyl
Użytkownik
Posty: 16
Rejestracja: 2005-01-06, 02:10
Lokalizacja: Lubin
Kontakt:

firewall na iptables

Post autor: wasyl » 2009-10-19, 10:59

Serwer nie wysyla maili poprzez sendmail po zaimplementowaniu firewalla, czego tu brakuje ?

Kod: Zaznacz cały

#kod firewalla
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP

/sbin/iptables -F INPUT
/sbin/iptables -F OUTPUT
/sbin/iptables -F FORWARD
/sbin/iptables -t nat -F

/sbin/iptables -A INPUT  -i eth1 -j ACCEPT

/sbin/iptables -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP
/sbin/iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT  -i ppp0 -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT  -i ppp0 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT  -i ppp0 -p tcp --dport 25 -j ACCEPT

/sbin/iptables -A OUTPUT -j ACCEPT

/sbin/iptables -A FORWARD -s 192.168.0.2 -j ACCEPT
/sbin/iptables -A FORWARD -m state --state ESTABLISHED -d 192.168.0.2 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.3 -j ACCEPT
/sbin/iptables -A FORWARD -m state --state ESTABLISHED -d 192.168.0.3 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.4 -j ACCEPT
/sbin/iptables -A FORWARD -m state --state ESTABLISHED -d 192.168.0.4 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.5 -j ACCEPT
/sbin/iptables -A FORWARD -m state --state ESTABLISHED -d 192.168.0.5 -j ACCEPT

/sbin/iptables -A FORWARD -p udp --dport 53 -m state --state NEW,ESTABLISHED -m iprange --src-range 192.168.0.6-192.168.0.254
/sbin/iptables -A FORWARD -p tcp --dport 80 -m state --state NEW,ESTABLISHED -m iprange --src-range 192.168.0.6-192.168.0.254
/sbin/iptables -A FORWARD -p tcp --dport 443 -m state --state NEW,ESTABLISHED -m iprange --src-range 192.168.0.6-192.168.0.25
/sbin/iptables -A FORWARD -m state --state ESTABLISHED -m iprange --dst-range 192.168.0.6-192.168.0.254 -j ACCEPT


#/sbin/iptables -A FORWARD -p udp --dport 53 -s 192.168.0.3 -j ACCEPT
#/sbin/iptables -A FORWARD -p tcp --dport 80 -s 192.168.0.3 -j ACCEPT
#/sbin/iptables -A FORWARD -p tcp --dport 443 -s 192.168.0.3 -j ACCEPT


/sbin/iptables -t nat -A POSTROUTING -j SNAT --to (adres IP neta)


[ Komentarz dodany przez: Lizard: 2009-10-19, 14:37 ]
Tutaj brakowało znacznika

Kod: Zaznacz cały

[/b].
Ostatnio zmieniony 2009-10-19, 13:36 przez wasyl, łącznie zmieniany 1 raz.
free doesnt always mean worse ;)

Awatar użytkownika
Lizard
Moderator
Posty: 2567
Rejestracja: 2005-05-21, 15:48
Lokalizacja: miasto w mieście

Re: firewall na iptables

Post autor: Lizard » 2009-10-19, 13:42

Poniższe zestawienie regół jest bez sensu.

Kod: Zaznacz cały

/sbin/iptables -P FORWARD DROP 
/sbin/iptables -A OUTPUT -j ACCEPT
Lepiej zastąpić to jedną linią:

Kod: Zaznacz cały

/sbin/iptables -P FORWARD ACCEPT
i mieć święty spokój.

Wysyłanie pakietów, to także odbiór ich potwierdzeń. Najprościej sprawę załatwisz zmieniając:

Kod: Zaznacz cały

/sbin/iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
na

Kod: Zaznacz cały

/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Ostatnio zmieniony 2009-10-19, 13:44 przez Lizard, łącznie zmieniany 1 raz.
Error 404 - footer not found

Awatar użytkownika
xil
Moderator
Posty: 861
Rejestracja: 2004-06-20, 22:20
Lokalizacja: Białystok
Kontakt:

Re: firewall na iptables

Post autor: xil » 2009-10-19, 20:26

Kod: Zaznacz cały

/sbin/iptables -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP
jesli wytlumaczysz, co to robi, to moze zauwazysz, ze
jak sendmail nawiazuje polaczenie to ustawia SYN.
jak zdalny host odbiera to ustawia SYN,ACK
i to jest nadal -m state --state NEW
a Ty to dropujesz

Awatar użytkownika
wasyl
Użytkownik
Posty: 16
Rejestracja: 2005-01-06, 02:10
Lokalizacja: Lubin
Kontakt:

:)

Post autor: wasyl » 2009-10-20, 13:47

Dzięki wielkie sprawa rozwiązana, ale problem był innej natury

Cytuję:

Kod: Zaznacz cały

/sbin/iptables -P FORWARD DROP
/sbin/iptables -A OUTPUT -j ACCEPT

Lepiej zastąpić to jedną linią:
Kod:

/sbin/iptables -P FORWARD ACCEPT
Może i święty spokój ale domyślna polityka forward na ACCEPT ;)

Kod: Zaznacz cały

Wysyłanie pakietów, to także odbiór ich potwierdzeń. Najprościej sprawę załatwisz zmieniając:

/sbin/iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

na
Kod:
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT"
Tu sie zgadzam - pakiety spokrewnione jak najbardziej

następnie:

Kod: Zaznacz cały

/sbin/iptables -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP


jesli wytlumaczysz, co to robi, to moze zauwazysz, ze
jak sendmail nawiazuje polaczenie to ustawia SYN.
jak zdalny host odbiera to ustawia SYN,ACK
i to jest nadal -m state --state NEW
a Ty to dropujesz
Gdyby tak było to i na ssh tez nie można było by się dostać (ssh tez działa na tcp też ustala SYN, ACK - a jednak ssh działa ) nawiązuje połączenie nie mając żadnego problemu

problem spowodowany był brakiem wpisu:

Kod: Zaznacz cały

/sbin/iptables -A INPUT -i lo -j ACCEPT
za pomoc serdecznie dziękuję i pozdrawiam

EDIT:(xil) code
Ostatnio zmieniony 2009-10-20, 18:30 przez wasyl, łącznie zmieniany 3 razy.
free doesnt always mean worse ;)

Awatar użytkownika
Lizard
Moderator
Posty: 2567
Rejestracja: 2005-05-21, 15:48
Lokalizacja: miasto w mieście

Re: firewall na iptables

Post autor: Lizard » 2009-10-20, 14:23

wasyl pisze:Może i święty spokój ale domyślna polityka forward na ACCEPT ;)
Sorry. Wszystko miało dotyczyć łańcucha INPUT.
wasyl pisze:problem spowodowany był brakiem wpisu:
/sbin/iptables -A INPUT -i lo -j ACCEPT
Najtrudniej zobaczyć to, czego nie widać. ;-)
Error 404 - footer not found

Awatar użytkownika
xil
Moderator
Posty: 861
Rejestracja: 2004-06-20, 22:20
Lokalizacja: Białystok
Kontakt:

Re: firewall na iptables

Post autor: xil » 2009-10-20, 18:32

wasyl pisze:

Kod: Zaznacz cały

/sbin/iptables -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j DROP 
jesli wytlumaczysz, co to robi, to moze zauwazysz, ze
jak sendmail nawiazuje polaczenie to ustawia SYN.
jak zdalny host odbiera to ustawia SYN,ACK
i to jest nadal -m state --state NEW
a Ty to dropujesz
Gdyby tak było to i na ssh tez nie można było by się dostać (ssh tez działa na tcp też ustala SYN, ACK - a jednak ssh działa ) nawiązuje połączenie nie mając żadnego problemu
zasmuce Cie:)
na ssh sie wbijales, bo serwer dostawal czyste SYN bez ustawionego ACK.
taka parka szla na outpucie

podejrzewam tez, ze z tym wysylaniem maili to chodzilo Ci o klienta, ktory laczyl sie po petli do sendmaila, nie o samego sendmaila.
do tego dodaj sobie powyzszy wpis, ktory wedlug Ciebie nie stanowi problemu i sprobuj lynxem pobrac jakas strone :P
Ostatnio zmieniony 2009-10-20, 18:35 przez xil, łącznie zmieniany 1 raz.

Awatar użytkownika
wasyl
Użytkownik
Posty: 16
Rejestracja: 2005-01-06, 02:10
Lokalizacja: Lubin
Kontakt:

:)

Post autor: wasyl » 2009-10-22, 07:08

Witam serdecznie,

links łączy się bez problemu, lynks również


pozdrawiam
dziękuję za podpowiedzi, wątek uważam za zakończony :)
Ostatnio zmieniony 2009-10-22, 07:08 przez wasyl, łącznie zmieniany 1 raz.
free doesnt always mean worse ;)

ODPOWIEDZ