Wpuszczenie www w IPTABLES
Moderatorzy: Moderatorzy, Administratorzy
Wpuszczenie www w IPTABLES
Witam
Sprawa banalna ale mam problem z wpuszczeniem portu 80 pomiędzy VLANU <-> LAN.
Na początek blokuję wszystko pomiędzy ...
IPTABLES -I FORWARD -j eth1.2 -o eth1 -j DROP
IPTABLES -I FORWARD -j eth1 -o eth1.2 -j DROP
i to działa prawidłowo
Następnie chciałbym umożliwić działanie portu 80 pomiędzy ww. interfejsami więc ...
IPTABLES -I FORWARD -j eth1.2 -o eth1 -p tcp --dport 80 -j ACCEPT
IPTABLES -I FORWARD -j eth1 -o eth1.2 -p tcp --dport 80 -j ACCEPT
Mam jeszcze eth0 z WAN, czy aby zadziała reguła muszę wskazać interfejs WAN. Robiłem tak ale nie dział.
Dziękuję za sugestie.
Sprawa banalna ale mam problem z wpuszczeniem portu 80 pomiędzy VLANU <-> LAN.
Na początek blokuję wszystko pomiędzy ...
IPTABLES -I FORWARD -j eth1.2 -o eth1 -j DROP
IPTABLES -I FORWARD -j eth1 -o eth1.2 -j DROP
i to działa prawidłowo
Następnie chciałbym umożliwić działanie portu 80 pomiędzy ww. interfejsami więc ...
IPTABLES -I FORWARD -j eth1.2 -o eth1 -p tcp --dport 80 -j ACCEPT
IPTABLES -I FORWARD -j eth1 -o eth1.2 -p tcp --dport 80 -j ACCEPT
Mam jeszcze eth0 z WAN, czy aby zadziała reguła muszę wskazać interfejs WAN. Robiłem tak ale nie dział.
Dziękuję za sugestie.
Re: Wpuszczenie www w IPTABLES
No na mój rozum jak jest DROP przed ACCEPT to jak ma działać?
Pozdr0
dienet
[img]http://i164.photobucket.com/albums/u19/slawek15/kotekeo0lq3.jpg[/img]
dienet
[img]http://i164.photobucket.com/albums/u19/slawek15/kotekeo0lq3.jpg[/img]
Re: Wpuszczenie www w IPTABLES
DROP-em blokuję wszystko a następnie chcę zezwolić na 80.
Re: Wpuszczenie www w IPTABLES
No ja wiem co chcesz zrobić, ale robisz to odwrotnie.tomekn pisze:DROP-em blokuję wszystko a następnie chcę zezwolić na 80.
Pozdr0
dienet
[img]http://i164.photobucket.com/albums/u19/slawek15/kotekeo0lq3.jpg[/img]
dienet
[img]http://i164.photobucket.com/albums/u19/slawek15/kotekeo0lq3.jpg[/img]
Re: Wpuszczenie www w IPTABLES
Zaraz zaraz z tego co mi wiadomo to takie podejście jak moje jest prawidłowe.
Przekonaj mnie że jestem w błędzie.
Przekonaj mnie że jestem w błędzie.
Re: Wpuszczenie www w IPTABLES
rozumowanie masz dobre, najpierw blokujemy wszystko a potem wpuszcamy poszczegolne,
u mnie np tak to wyglada, przerob sobie na 80 i sprawdz
iptables -A INPUT -p tcp -i ppp0 --dport 631 -j DROP
iptables -A INPUT -p tcp -i ppp0 --dport 2601 -j DROP
iptables -A INPUT -p tcp -i ppp0 --dport 2602 -j DROP
iptables -A INPUT -p tcp -i ppp0 --dport 22 -j ACCEPT
u mnie np tak to wyglada, przerob sobie na 80 i sprawdz
iptables -A INPUT -p tcp -i ppp0 --dport 631 -j DROP
iptables -A INPUT -p tcp -i ppp0 --dport 2601 -j DROP
iptables -A INPUT -p tcp -i ppp0 --dport 2602 -j DROP
iptables -A INPUT -p tcp -i ppp0 --dport 22 -j ACCEPT
Ostatnio zmieniony 2010-01-15, 23:15 przez m00n, łącznie zmieniany 1 raz.
Obecnie uzywam: Slackware, Debian, OpenBSD
Wyznawca Unixa i fanatyk Cisco ;]
Wyznawca Unixa i fanatyk Cisco ;]
Re: Wpuszczenie www w IPTABLES
Hm...u mnie ale na INPUT jak dam -j DROP przez -j ACCEPT to nie działa.Przekonaj mnie że jestem w błędzie.
I jak dla mnie ACCEPTy przed DROPami są logiczniejszą taktyką. No chyba że mówimy o policy.
Ostatnio zmieniony 2010-01-15, 23:21 przez dienet, łącznie zmieniany 2 razy.
Pozdr0
dienet
[img]http://i164.photobucket.com/albums/u19/slawek15/kotekeo0lq3.jpg[/img]
dienet
[img]http://i164.photobucket.com/albums/u19/slawek15/kotekeo0lq3.jpg[/img]
Re: Wpuszczenie www w IPTABLES
Wygląda Ok ale zależny mi na tym żeby wskazać interfejsy tzn. żeby decydować który vlan ma dostęp do 80.
Może być tak że w dalszej konfiguracji dla innego vlanu zdecyduję że 80 nie będzie dostępny a np. 22
Twój przykład udostępnia pewne porty na WAN.
Może być tak że w dalszej konfiguracji dla innego vlanu zdecyduję że 80 nie będzie dostępny a np. 22
Twój przykład udostępnia pewne porty na WAN.
Re: Wpuszczenie www w IPTABLES
A dodaj na sam koniec -j ACCEPT na 631 dla jakiego ip. No wg. mnie i wg. tego co widzę z moją VM to to nie zadziała. Takie dropowanie jak masz tu jest nieadekwatne do tego co chce autor postu.m00n pisze: iptables -A INPUT -p tcp -i ppp0 --dport 631 -j DROP
iptables -A INPUT -p tcp -i ppp0 --dport 2601 -j DROP
iptables -A INPUT -p tcp -i ppp0 --dport 2602 -j DROP
iptables -A INPUT -p tcp -i ppp0 --dport 22 -j ACCEPT
Pozdr0
dienet
[img]http://i164.photobucket.com/albums/u19/slawek15/kotekeo0lq3.jpg[/img]
dienet
[img]http://i164.photobucket.com/albums/u19/slawek15/kotekeo0lq3.jpg[/img]
Re: Wpuszczenie www w IPTABLES
po 1sze jak rozumiem -j eth1 i podobne w powyższym to literówkitomekn pisze:Witam
Sprawa banalna ale mam problem z wpuszczeniem portu 80 pomiędzy VLANU <-> LAN.
Na początek blokuję wszystko pomiędzy ...
IPTABLES -I FORWARD -j eth1.2 -o eth1 -j DROP
IPTABLES -I FORWARD -j eth1 -o eth1.2 -j DROP
i to działa prawidłowo
Następnie chciałbym umożliwić działanie portu 80 pomiędzy ww. interfejsami więc ...
IPTABLES -I FORWARD -j eth1.2 -o eth1 -p tcp --dport 80 -j ACCEPT
IPTABLES -I FORWARD -j eth1 -o eth1.2 -p tcp --dport 80 -j ACCEPT
Mam jeszcze eth0 z WAN, czy aby zadziała reguła muszę wskazać interfejs WAN. Robiłem tak ale nie dział.
Dziękuję za sugestie.
dienet ale on dodaje przez -I (insert) a nie -A (append) więc reguły są faktycznie w odwrotnej kolejności w łańcuchu FORWARD więc np to zadziała ok
Kod: Zaznacz cały
iptables -I FORWARD --dport 80 -j DROP
iptables -I FORWARD --dport 80 -s 10.10.10.10 -j ACCEPT
w regułach iptables nie musisz podawać interfejsów, -i i -o są opcjonalne (i możesz podać też tylko jedno z nich)
Re: Wpuszczenie www w IPTABLES
No tak masz rację. Ale dla mnie to i tak zaciemnianie obrazu.dienet ale on dodaje przez -I (insert) a nie -A (append) więc reguły są faktycznie w odwrotnej kolejności w łańcuchu FORWARD więc np to zadziała ok
Pozdr0
dienet
[img]http://i164.photobucket.com/albums/u19/slawek15/kotekeo0lq3.jpg[/img]
dienet
[img]http://i164.photobucket.com/albums/u19/slawek15/kotekeo0lq3.jpg[/img]
Re: Wpuszczenie www w IPTABLES
tzn? ja często jak dodaję z palca reguły (szczególnie takie na chwilę dla testu) to daję -I aby nie wgryzać się w którym momencie mogę dać -A (szukanie nr linii)dienet pisze:No tak masz rację. Ale dla mnie to i tak zaciemnianie obrazu.
chociaż fakt w skryptach firewalla czytelniej jest z Append
Re: Wpuszczenie www w IPTABLES
Kyan mój problem polega na tym że potrzebuję za pomocą iptables umożliwić korzystanie z www komputerom z vlanu eth1.2. (Wszystko inne ma być zablokowane)
Blokowanie wszystkiego robię w tak i to działa:
IPTABLES -I FORWARD -i eth1.2 -o eth1 -j DROP
IPTABLES -I FORWARD -i eth1 -o eth1.2 -j DROP
A teraz jak zrobić aby port 80 działał.
PTABLES -I FORWARD -i eth1.2 -o eth1 -p tcp --dport 80 -j ACCEPT
IPTABLES -I FORWARD -i eth1 -o eth1.2 -p tcp --dport 80 -j ACCEPT
Blokowanie wszystkiego robię w tak i to działa:
IPTABLES -I FORWARD -i eth1.2 -o eth1 -j DROP
IPTABLES -I FORWARD -i eth1 -o eth1.2 -j DROP
A teraz jak zrobić aby port 80 działał.
PTABLES -I FORWARD -i eth1.2 -o eth1 -p tcp --dport 80 -j ACCEPT
IPTABLES -I FORWARD -i eth1 -o eth1.2 -p tcp --dport 80 -j ACCEPT
Re: Wpuszczenie www w IPTABLES
Nie chce mi się czytać wszystkich postów. Nie ma być przypadkiem w jedną stronę dport a wracajac sport?tomekn pisze:A teraz jak zrobić aby port 80 działał.
PTABLES -I FORWARD -i eth1.2 -o eth1 -p tcp --dport 80 -j ACCEPT
IPTABLES -I FORWARD -i eth1 -o eth1.2 -p tcp --dport 80 -j ACCEPT
Druga uwaga to taka, że za bardzo restrykcyjnie do tego podchodzisz. Najlepiej wykorzystywać flage syn do podejmowania akcji. Natomiast resztę przepuszczać.
Ostatnio zmieniony 2010-01-16, 12:53 przez memus, łącznie zmieniany 2 razy.
Re: Wpuszczenie www w IPTABLES
kyan, ale to właśnie przy -I masz prawo (nie obowiązek ) podać numer linii, -A dodaje na koniec i tyle (bez prawa podania miejsca).
tomekn, a daj politykę na DROP i będziesz miał część problemu z głowy. Później tylko ACCEPTY
i dobrze memus, mówi, nie używaj na pałę -dport, uprość nieco całość (chyba że koniecznie potrzebujesz i we i wy interfejsu). Poza tym poza zestawieniem połączenia reszta transmisji już nie odbywa się na porcie 80.
tomekn, a daj politykę na DROP i będziesz miał część problemu z głowy. Później tylko ACCEPTY
i dobrze memus, mówi, nie używaj na pałę -dport, uprość nieco całość (chyba że koniecznie potrzebujesz i we i wy interfejsu). Poza tym poza zestawieniem połączenia reszta transmisji już nie odbywa się na porcie 80.