+  «« LiNUX-ViP FóRUM »»
|-+  Linuxos gondok, disztribúció specifikusan» Ubuntu, Kubuntu» iptables
Felhasználónév:
Jelszó:
Főoldal Súgó Keresés Bejelentkezés Regisztráció
Oldalak: [1]
  Nyomtatás  
Szerző Téma: iptables  (Megtekintve 757 alkalommal)
0 Felhasználó és 1 vendég van a témában
sumo
Újonc
*
Nem elérhető Nem elérhető

Hozzászólások: 1
« Dátum: 2008. január 11. 16:10:37 »
sziasztok.

a problémám:
Az ubuntu.hu -n olvasott dokumentációt átolvasva ( http://ubuntu.hu/konyvlap/alap-tuzfal-otthoni-pc-re-iptables ), létrehoztam egy iptables scriptet.
a script működik (legalábbis a scriptet lefuttatva a változások megtörténnek), viszont p2p alkalmazásokat sehogyan sem tudok kommunikációra bírni.
p2p alkalmazások nálam = linuxdcpp és deluge torrent.
a használt portokat megadtam a scriptben (linuxdcpp esetén udp-t is, sőt később már mindkét esetben adtam tcp-t és udp-t is az input és output láncon is).
mégsem akar működni, az eredmény mindkét alkalmazás esetén connection timeout.

fontosabb információk:
a gép router mögött van (sajnos arra nem tér ki a leírás, hogy ezt hogyan kell definiálni a scriptben, talán ez a probléma? persze a neten sok script kering, de nem akartam többől összeollózni), a routeren a portforwardok rendesen be vannak állítva, a szükséges portok a megfelelő ip-kre vannak irányítva. régóta működik.
a gépben 2 hálókártya van, egy alaplapi és egy pci. a pci-t használom, de az alaplapi sincs letiltva. pci = eth0, alaplapi = eth1
a router ip címe: 192.168.0.1 (ez a gw) adsl nettel;
a gépem ip címe: 192.168.0.2 (fixen beállítva)

a jelenlegi, elkeseredett utolsó próbálkozásom eredménye (így sem működik sem a torrent sem a dc, de ezeken kívül minden megy, levelezés, böngészés, stb):
Kód:
#!/bin/bash

IFACE_INT=eth0

# ip tovabbitas bekapcsolasa
echo "1" > /proc/sys/net/ipv4/ip_forward
# anti-synflood, anti-spoofing vedelem
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1" > /proc/sys/net/ipv4/conf/default/rp_filter

# modulok betoltese
modprobe ip_conntrack_ftp

iptables -F
iptables -X
iptables -Z
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# INPUT lanc
iptables -A INPUT -i eth0
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp ! --syn -m conntrack --ctstate NEW -j DROP
iptables -A INPUT -i eth0 -p tcp --dport 4242 -m limit --limit 3/m -j LOG --log-prefix "SSH_ACCEPT: "
iptables -A INPUT -i eth0 -p tcp --dport 4242 -m limit --limit 3/m -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m multiport --dport 5000,6464,6881 -j ACCEPT # ldcpp, aquila, deluge

iptables -A INPUT -i eth0 -p udp -m multiport --dport 5000,6464,6881 -j ACCEPT # ldcpp, aquila, deluge
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 3/m --limit-burst 1 -j ACCEPT
iptables -A INPUT -j LOG --log-prefix "INPUT_DROP: "
iptables -A INPUT -j DROP

# OUTPUT lanc
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --dport 20,21,22 -j ACCEPT # ftp, ssh
iptables -A OUTPUT -p tcp -m multiport --dport 25,110,465,993,995 -j ACCEPT # levelezes
iptables -A OUTPUT -p tcp -m multiport --dport 80,143,443,8080 -j ACCEPT # web
iptables -A OUTPUT -p tcp -m multiport --dport 1863,6667 # msn, irc
iptables -A OUTPUT -p tcp -m multiport --dport 5000,6464,6881 -j ACCEPT # ldcpp, aquila, deluge

iptables -A OUTPUT -p udp --dport 53 -j ACCEPT # dns
iptables -A OUTPUT -p udp -m multiport --dport 5000,6464,6881 -j ACCEPT # ldcpp, aquila, deluge
iptables -A OUTPUT -j LOG --log-prefix "OUTPUT_DROP: "
iptables -A OUTPUT -j DROP

# FORWARD lanc
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp ! --syn -m conntrack --ctstate NEW -j DROP
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 3/m --limit-burst 1 -j ACCEPT
iptables -A FORWARD -p icmp -j DROP

# nat
iptables -t nat -A POSTROUTING -o $IFACE_INT -s 192.168.0.0/24 -j MASQUERADE
a portok: az ssh service nem a 22-esen figyel, ezért is van a scriptben másképp megadva, a linuxdcpp 5000-es portot használ, a deluge 6881-et, a 6464 pedig egy hubszoftver (aquila), ami tesztelési, debugolási céllal kell, hogy fusson

gondolom a script már jól el van tolva, de már picit el voltam keseredve.
most a script át van nevezve, nem tud elindulni.

a segítséget előre is köszönöm: sumo.

p.s.: majd el felejtettem: ubuntu 7.10 / gnome
Naplózva
masterminds
Adminisztrátor
*****
Nem elérhető Nem elérhető

Hozzászólások: 430


L1NuX PR0J3CT
« Válasz #1 Dátum: 2008. január 24. 00:25:53 »
Hali!


Próbáld meg először úgy, hogy az output láncot teljesen nyitva hagyod. Egyszer én is be akartam üzemelni Valknutot egy zárt tűzfallal, de teljesen random portokat akart használni az alap mellett, így időhiányában én is ezen a ponton függesztettem fel a dolgot. Smiley
Naplózva
Fedora 11 (x86) @ KDE 4.3.1
Kernel 2.6.30.8 @ Core2Duo E7500 2,9Ghz
nVidia Driver 185.18.36 @ GeForce 9400 GT
Oldalak: [1]
  Nyomtatás  

 
Ugrás:  

Powered by MySQL | PHP | XHTML | CSS
Original theme by m3talc0re
Modified version by masterminds 		Powered by SMF 1.1.10 | SMF © 2006, Simple Machines LLC
Magyar fordítás: SMF Magyarország

 Weblink Linkgyűjtemény | WYW Linkek
Magyar Honlap Linkek | Linktar