Firewall z mdk na slacka...

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

luka5z
Użytkownik
Posty: 19
Rejestracja: 2004-12-15, 16:22

Firewall z mdk na slacka...

Post autor: luka5z »

#! /bin/sh
# sciezka do
PATH="/sbin"
echo "startuje firewalla..."
eth0ip="**.**.***.***"

luka5z="192.168.0.2"

# Uruchomienie przekazywania pakietow
echo "1" > /proc/sys/net/ipv4/ip_forward

# Czyszczenie tablic iptables (NAT i Filtrowanie)
iptables -F
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter

# Odrzucenie i brak zezwolenia na forwardowanie pakietow
iptables -t filter -P FORWARD DROP

iptables -t filter -A FORWARD -s 192.168.0.2 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.2 -j ACCEPT

#limit ilosci polaczen
iptables -A INPUT -p tcp --syn --dport http -m iplimit --iplimit-mask 8 --iplimit-above 4 -j REJECT


iptables -t filter -A FORWARD -s 192.168.0.3 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.3 -j ACCEPT

iptables -t filter -A FORWARD -s 192.168.0.4 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.4 -j ACCEPT

iptables -t filter -A FORWARD -s 192.168.0.5 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.5 -j ACCEPT

iptables -t filter -A FORWARD -s 192.168.0.6 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.6 -j ACCEPT

iptables -t filter -A FORWARD -s 192.168.0.7 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.7 -j ACCEPT

iptables -t filter -A FORWARD -s 192.168.0.8 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.8 -j ACCEPT

iptables -t filter -A FORWARD -s 192.168.0.9 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.9 -j ACCEPT

iptables -t filter -A FORWARD -s 192.168.0.10 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.10 -j ACCEPT

iptables -t filter -A FORWARD -s 192.168.0.11 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.11 -j ACCEPT

iptables -t filter -A FORWARD -s 192.168.0.12 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.12 -j ACCEPT

# Udostepanianie Internetu przez Maskarade
#iptables -t nat -A POSTROUTING -s 192.168.12.0 -d 0/0 -j MASQUERADE
#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.2 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.3 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.4 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.5 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.6 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.7 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.8 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.9 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.10 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.11 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.12 -d 0/0 -j MASQUERADE
#iptables -t nat -A POSTROUTING -s 192.168.0.13 -d 0/0 -j MASQUERADE





# Wpuszczamy wszystko z lan
iptables -A INPUT -i eth0 -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.0.0/24 -j ACCEPT

# Moduly do FTP i IRCa
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_nat_irc

# Przepuszczamy juz aktywne polaczenia
iptables -A INPUT -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p tcp -j ACCEPT -m state --state RELATED
iptables -A INPUT -p udp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p icmp -j ACCEPT -m state --state ESTABLISHED
iptables -A INPUT -p icmp -j ACCEPT -m state --state RELATED
iptables -A FORWARD -p tcp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p tcp -j ACCEPT -m state --state RELATED
iptables -A FORWARD -p udp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p udp -j ACCEPT -m state --state RELATED
iptables -A FORWARD -p icmp -j ACCEPT -m state --state ESTABLISHED
iptables -A FORWARD -p icmp -j ACCEPT -m state --state RELATED

#SSH
iptables -A INPUT -p tcp -d 0/0 --dport 22 -j ACCEPT

#domain
iptables -A INPUT -p tcp -d 0/0 --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp -d 0/0 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -d 0/0 --dport 53 -j ACCEPT

#emule
iptables -A INPUT -p tcp -d 0/0 --dport 4662 -j ACCEPT
iptables -A PREROUTING -t nat -p tcp -d $eth0ip --dport 4662 -j DNAT --to-destination 192.168.0.2:4662
iptables -A INPUT -p udp -d 0/0 --dport 4672 -j ACCEPT
iptables -A PREROUTING -t nat -p udp -d $eth0ip --dport 4672 -j DNAT --to-destination 192.168.0.2:4672

#torrent azerus
iptables -A INPUT -p tcp -d 0/0 --dport 6881 -j ACCEPT
iptables -A PREROUTING -t nat -p tcp -d $eth0ip --dport 6881 -j DNAT --to-destination 192.168.0.2:6881

# Blokujemy reszte pakietow
iptables -A INPUT -j DROP -m unclean
#iptables -A INPUT -j DROP
Ten firewall dzialal mi na mandrake'u 9.1 p przejsciu na Slackware 10 sa niedociagniecia...
Wywala:
startuje firewalla...
./rc.fire: line 13: iptables: command not found
./rc.fire: line 14: iptables: command not found
./rc.fire: line 15: iptables: command not found
./rc.fire: line 16: iptables: command not found
./rc.fire: line 17: iptables: command not found
./rc.fire: line 20: iptables: command not found
./rc.fire: line 26: iptables: command not found
./rc.fire: line 27: iptables: command not found
...
Gdy usune poczatkowe linie wywala:
iptables v1.2.10: Couldn't load match `iplimit':/usr/lib/iptables/libipt_iplimit.so: cannot open shared object file: No such file or directory

Try `iptables -h' or 'iptables --help' for more information.
O co tu idzie ? :?
Awatar użytkownika
bzyk
Moderator w st. spocz.
Posty: 991
Rejestracja: 2004-06-05, 06:32
Lokalizacja: Pszczyna
Kontakt:

Re: Firewall z mdk na slacka...

Post autor: bzyk »

A idzie o tę linię;

Kod: Zaznacz cały

#limit ilosci polaczen
iptables -A INPUT -p tcp --syn --dport http -m iplimit --iplimit-mask 8 --iplimit-above 4 -j REJECT 
Zahaszuj i po kłopocie.
In /dev/null no one can hear you scream.
luka5z
Użytkownik
Posty: 19
Rejestracja: 2004-12-15, 16:22

Re: Firewall z mdk na slacka...

Post autor: luka5z »

ok to wiem, ale prosze o pomysl jak ta linie tam zostawic by trzymal limit bo w mdk'u jakos nie plulo sie do tego a tu niestety :(
Awatar użytkownika
maiki
Użytkownik
Posty: 376
Rejestracja: 2004-06-18, 10:41
Lokalizacja: Tarnów

Re: Firewall z mdk na slacka...

Post autor: maiki »

W iptables v1.2.10, czyli defultowo ze Slackware 10 nie ma takiej biblioteki,
chyba zostala wycofana...
Zrob tak, w iptables v1.2.8 jest ten plik (libipt_iplimit.so),
zgraj go..karkolomne rozwiazanie..moze zadziala :wink:

Jesli chcesz ograniczac ilosc polaczen proponuje patch-o-matic i patcha connlimit.

Pozdrawiam.
Want a productivity tip? Go away and do it fucking now.
luka5z
Użytkownik
Posty: 19
Rejestracja: 2004-12-15, 16:22

Re: Firewall z mdk na slacka...

Post autor: luka5z »

a moze jakies info dot. jak to zrobic by dzialalo ? czy conn limit nie jest tez do dzielenia lacza ? bo uzywam niceshapera teraz... bede wdzieczny za info. Nie wiem czy te bodajze 7 plikow nalezy zgrac do rc.d i tam pokonfigurowac i gra ? :D
Awatar użytkownika
maiki
Użytkownik
Posty: 376
Rejestracja: 2004-06-18, 10:41
Lokalizacja: Tarnów

Re: Firewall z mdk na slacka...

Post autor: maiki »

brakuje ich w /usr/lib/iptables/

A odnosnie CONNLIMIT

Kod: Zaznacz cały

This match allows you to restrict the number of parallel TCP
connections to a server per client IP address (or address block).
Want a productivity tip? Go away and do it fucking now.
Awatar użytkownika
snaj
Moderator w st. spocz.
Posty: 1608
Rejestracja: 2004-10-10, 16:32
Lokalizacja: Warszawa
Kontakt:

Re: Firewall z mdk na slacka...

Post autor: snaj »

iplimit / connlimit to nie biblioteki :) to moduly netfilter-a.
connlimit to nastepca iplimit dostepny wlasnie w pom-ie (patch-o-maticu).
Juz od iptables 1.2.9 nie ma iplimit.
*
[color=blue]Sieci[/color]/[color=green]Serwery[/color]/[color=red]Security[/color] - Freelancer
*
luka5z
Użytkownik
Posty: 19
Rejestracja: 2004-12-15, 16:22

Re: Firewall z mdk na slacka...

Post autor: luka5z »

Nie no... :) qmam baze o co biega, bodajze mowicie o tym http://www.inet.one.pl ale chodzi mi o to jak sie do tego odniesc, tzn w ktorych plikach musze pogrzebac by to dzialalo... mialem 1 probe i porazka :D
Awatar użytkownika
maiki
Użytkownik
Posty: 376
Rejestracja: 2004-06-18, 10:41
Lokalizacja: Tarnów

Re: Firewall z mdk na slacka...

Post autor: maiki »

Snaj, no nazwalem to niewlasciwie ..moj blad :!: :)
Co do inet.one.pl tam chyba jest dosc przystepny opis urabiania jaja
Want a productivity tip? Go away and do it fucking now.
Awatar użytkownika
snaj
Moderator w st. spocz.
Posty: 1608
Rejestracja: 2004-10-10, 16:32
Lokalizacja: Warszawa
Kontakt:

Re: Firewall z mdk na slacka...

Post autor: snaj »

inet to zestaw skryptow - shaper + firewall. Natomiast ci potrzebny jest wlasciwie tylko jeden modul. Wiec wejdz na stronke netfilter-a, sciagnij se patch-o-matic-ng, rozpakuj, przeczytaj INSTALL i README i zaaplikuj tylko patch connlimit.
No chyba ze chcesz korzsytac ze skryptow inet-a wtedy jak maiki powiedzial maja tam ladny opis co i jak zrobic zeby zadzialaly.
*
[color=blue]Sieci[/color]/[color=green]Serwery[/color]/[color=red]Security[/color] - Freelancer
*
luka5z
Użytkownik
Posty: 19
Rejestracja: 2004-12-15, 16:22

Re: Firewall z mdk na slacka...

Post autor: luka5z »

thx... na poczatek ale pewnie jeszcze zawroce glowe nie jeden raz o ile przy slacku sie zatrzymam :)
ODPOWIEDZ