Not logged in. · Lost password · Register
Forum: Fedora Sieci i serwery RSS
iptables

Announcement

2006-06-03, 10:40 by gajownik
Subject: Zanim coś napiszesz...
Witamy w naszych niskich progach ;-)

Zanim coś napiszesz na forum:
1. zapoznaj się z Wiki i FAQ a także Poradnikiem - są tam odpowiedzi na najczęściej pojawiające się pytania
2. skorzystaj z forumowej wyszukiwarki i/lub Google - jest spora szansa, że ktoś już rozwiązał Twój problem
3. uaktualnij cały system
4. przeczytaj regulamin oraz tekst na temat mądrego zadawania pytań
5. jeśli masz jakiś problem, przekaż nam o nim odpowiednią ilość informacji - jak na razie nie potrafimy jeszcze wróżyć z fusów
6. dla każdego nowego problemu twórz osobny wątek używając jednak zdrowego rozsądku
7. nie pisz niczego, czego wstydził(a)byś się przed swoją mamą ;-)

Życzymy miłej zabawy - zespół fedorapl.org
Create new thread · Reply
Reply · Quote rupert12 #1 (2007-02-28, 22:17)
since Feb 2007 · 3 posts
Group memberships: Użytkownicy
Show profile · Link to this post
Subject: iptables
witam mam następujący problem muszę zabezpieczyć moją bramę, i muszę pozamykać wszystkie możliwe porty (to mi sie chyba udało) ale muszę zostawić otwarty FTP tylko dla konkretnego MAC. Jednocześnie muszę zrobić forward portu na serwer 192.168.2.99 z komputera 192.168.1.120 tak aby uruchomić zdalny pulpit na 192.168.2.99 gdzie zainstalowany jest win2003, przy założeniu że port ten zostanie otwarty tylko dla konkretnego MAC tak samo jak w przypadku FTP, i delikatnie mówiąc nie wiem jak.
Bardzo proszę o pomoc.
Avatar
Reply · Quote gwiazdor_online #2 (2007-03-01, 01:55)
User title: taki nieogolony typek
since May 2006 · 247 posts · Location: Skarżysko-Kamienna -> Kraków
Group memberships: Moderatorzy, Użytkownicy, Zespół fedorapl.org
Show profile · Link to this post
http://www.ziolek.piotrkow.pl/linux/iptablesi.htm
http://www.cyberciti.biz/tips/iptables-mac-address-filteri…
tak z gąszcza linków wyrzuconych przez google

Spróbuj zrozumieć/napisać samemu i jak coś nie zadziała, to pomożemy.
Nie próbuj dyskutować z debilem. Najpierw sprowadzi cię do swojego poziomu, a następnie pokona doświadczeniem.
Reply · Quote rupert12 #3 (2007-03-11, 20:32)
since Feb 2007 · 3 posts
Group memberships: Użytkownicy
Show profile · Link to this post
Pozwoliłem sobie znowu napisać gdyż jakieś formułki udało mi sie napisać jednak nie wiem czy one mają najmnieszy sens i czy sie wzajemnie nie wykluczają, poniżej podaje kod i jestem otwarty na wszelaką krytykę. z góry dziękuje za odpowiedz
echo 1 > /proc/sys/net/ipv4/ip_forward

echo ----------------------------------------------------------
echo Rozpoczynam zabezpieczania komputera
echo Czy┼Ťcimy tablice
#czyszczenie tablic ./iptables odpowiedzialne za nat i filtrowanie pakiet├│w
cd /
cd /sbin
./iptables -F
./iptables -X

./iptables -t nat -X
./iptables -t nat -F

echo Ustalam polityk─Ö dzielenia
./iptables -P INPUT DROP
./iptables -P FORWARD DROP
./iptables -P OUTPUT ACCEPT

./iptables -A INPUT -i lo -j ACCEPT
./iptables -A FORWARD -o lo -j ACCEPT

#./iptables -A INPUT -s 0/0-d

#po┼é─ůczenie nawi─ůzane
./iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
./iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
./iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED


#UDOST─śPNIAM W LANIE
./iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
./iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
#./iptables -A INPUT -i $WAN -s 0/0 -j DROP
#./iptables -A INPUT -i $LAN -s 0.0.0.0/0 -j DROP
# ZABEZPIECZEŃ CIAG DALSZY

./iptables -A INPUT -p all -i $WAN -j DROP

./iptables -A OUTPUT -p tcp --dport 23 -o $WAN -j LOG
./iptables -A INPUT -p TCP -s 0 --syn -i $WAN -j DROP
./iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH SYN -i $WAN -j DROP

./iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -i $WAN -j DROP

./iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -i $WAN -j DROP

./iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -i $WAN -j DROP

./iptables -A INPUT -m conntrack --ctstate INVALID -p tcp --tcp-flags ! SYN,RST,ACK,FIN,PSH,URG SYN,RST,ACK,FIN,PSH,URG -i $WAN -j DROP

./iptables -A INPUT -p icmp --icmp-type echo-request -i $WAN -j DROP
#REJECT --reject-with icmp-host-unreachable

#./iptables -A INPUT -p udp -i $LAN -j ACCEPT

echo Blokuje rozsyanie SPAM
#modprobe ipt_recent ip_list_tot=32
#./iptables -A FORWARD -m state --state RELATED, ESTABLISHED -j ACCEPT
./iptables -A FORWARD -p tcp --dport 25 -m recent --name SMTP --seconds 60 --update -i $WAN -j DROP
./iptables -A FORWARD -p tcp --dport 25 -m limit --limit 1/second --limit-burst 5 -j LOG --log-level info --log-prefix "smtp "
./iptables -A FORWARD -p tcp --dport 25 -m recent --name SMTP --set -j ACCEPT

echo aby nam nie skanowali ftp
./iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
./iptables -A INPUT -p tcp --dport 21 -m recent --name FTP --seconds 120 --update -i $WAN -j DROP
./iptables -A INPUT -p tcp --dport 21 -m limit --limit 5/second --limit-burst 15 -m recent --name FTP --set -i $WAN -j ACCEPT


echo Skaner portół Furtive
./iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/m -i $WAN -j ACCEPT

echo Ping of death
./iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/m -i $WAN -j ACCEPT


echo Blokujemy dost─Öp do serwera www:
./iptables -A INPUT -p tcp --dport 80 -i $WAN -j DROP

echo Blokujemy UDP dla $WAN
./iptables -A INPUT -p udp -i $WAN -j DROP


echo ÔÇťUkrywamyÔÇŁ firewalla
./iptables -A INPUT -p tcp -i $WAN -j REJECT --reject-with tcp-reset
./iptables -A INPUT -p udp -i $WAN -j REJECT --reject-with icmp-port-unreachable

echo Odblokowanie protokołów dla sieci LAN

./iptables -A INPUT -p udp -i $LAN -j ACCEPT
./iptables -A INPUT -p tcp -i $LAN -j ACCEPT
./iptables -A OUTPUT -p udp -o $LAN -j ACCEPT
./iptables -A OUTPUT -p tcp -o $LAN -j ACCEPT

#./iptables -I FORWARD -p all -s 192.168.2.0/24  -o $WAN -j DROP

echo Blokujemy porty UDP TCP
./iptables -t nat -A PREROUTING -p TCP --dport 21 -i $WAN -j DROP
./iptables -t nat -A PREROUTING -p TCP --dport 22 -i $WAN -j DROP
./iptables -t nat -A PREROUTING -p TCP --dport 111 -i $WAN -j DROP
./iptables -t nat -A PREROUTING -p udp --dport 21 -i $WAN -j DROP
./iptables -t nat -A PREROUTING -p udp --dport 22 -i $WAN -j DROP
./iptables -t nat -A PREROUTING -p udp --dport 111 -i $WAN -j DROP

./iptables -A INPUT -p udp --dport 21 -i $WAN -j DROP
./iptables -A OUTPUT -p udp --dport 21 -o $WAN -j DROP
./iptables -A INPUT -p tcp --dport 21 -i $WAN -j DROP
./iptables -A OUTPUT -p tcp --dport 21 -o $WAN -j DROP

./iptables -A INPUT -p udp --dport 22 -i $WAN -j DROP
./iptables -A OUTPUT -p udp --dport 22 -o $WAN -j DROP
./iptables -A INPUT -p tcp --dport 22 -i $WAN -j DROP
./iptables -A OUTPUT -p tcp --dport 22 -o $WAN -j DROP

./iptables -A INPUT -p udp --dport 111 -i $WAN -j DROP
./iptables -A OUTPUT -p udp --dport 111 -o $WAN -j DROP
./iptables -A INPUT -p tcp --dport 111 -i $WAN -j DROP
./iptables -A OUTPUT -p tcp --dport 111 -o $WAN -j DROP

./iptables -A INPUT -m mac --mac-source ! $MAC_Rup -i $WAN -j DROP

./iptables -A INPUT -p tcp --destination-port 20:23 -i $WAN -j DROP
./iptables -A INPUT -p tcp --destination-port $ZDALNY_WIN -i $WAN -j DROP
./iptables -A INPUT -p tcp --destination-port $dostep_do_windowsa -i $WAN -j DROP
./iptables -A INPUT -p tcp --destination-port $SER_US_TER -i $WAN -j DROP
./iptables -t nat -A PREROUTING -p tcp --destination-port 20:23 -j DROP
./iptables -t nat -A PREROUTING -p tcp --destination-port $ZDALNY_WIN -j DROP
./iptables -t nat -A PREROUTING -p tcp --destination-port $dostep_do_windowsa -j DROP
./iptables -t nat -A PREROUTING -p tcp --destination-port $SER_US_TER -j DROP

./iptables -A FORWARD  -p tcp --destination-port 20:23 -j DROP
./iptables -A FORWARD  -p tcp --destination-port $ZDALNY_WIN -j DROP
./iptables -A FORWARD  -p tcp --destination-port $dostep_do_windowsa -j DROP
./iptables -A FORWARD  -p tcp --destination-port $SER_US_TER -j DROP

echo Stosowanie zasad zaawansowanych

#odblokowanie portu 20:23 dla MAC
./iptables -A INPUT -p tcp --destination-port 20:23 -m mac --mac-source $MAC_Rup -i $WAN -j ACCEPT
./iptables  -t nat -A PREROUTING -p tcp --destination-port 20:23 -m mac --mac-source $MAC_Rup -j ACCEPT
./iptables -A FORWARD  -p tcp --destination-port 20:23 -m mac --mac-source $MAC_Rup -j ACCEPT


echo Urcuhamiam selektywny dost─Öp zdalny
./iptables -A INPUT -p tcp --destination-port $dostep_do_windowsa -m mac --mac-source $MAC_Rup -i $WAN -j ACCEPT
./iptables  -t nat -A PREROUTING -p tcp --destination-port $dostep_do_windowsa -m mac --mac-source $MAC_Rup -j ACCEPT
./iptables -A FORWARD  -p tcp --destination-port $dostep_do_windowsa -m mac --mac-source $MAC_Rup -j ACCEPT

./iptables -A INPUT -p tcp --destination-port $ZDALNY_WIN -m mac --mac-source $MAC_Rup -i $WAN -j ACCEPT
./iptables  -t nat -A PREROUTING -p tcp --destination-port $ZDALNY_WIN -m mac --mac-source $MAC_Rup -i $WAN -j ACCEPT
./iptables -A FORWARD  -p tcp --destination-port $ZDALNY_WIN -m mac --mac-source $MAC_Rup -i $WAN -j ACCEPT

./iptables -A INPUT -p tcp --destination-port $SER_US_TER -m mac --mac-source $MAC_Rup -j ACCEPT
./iptables  -t nat -A PREROUTING -p tcp --destination-port $SER_US_TER -m mac --mac-source $MAC_Rup -j ACCEPT
./iptables -A FORWARD  -p tcp --destination-port $SER_US_TER -m mac --mac-source $MAC_Rup -j ACCEPT

./iptables -A INPUT -p TCP -m mac --mac-source $MAC_Rup --syn -j ACCEPT

echo            Ustawiem forward portu
#forward portu wchodz─ůcego na zdalny na windows 2003 3389

./iptables -A PREROUTING -t nat -i $WAN -p tcp -d $NASZ_IP --dport $dostep_do_windowsa -j DNAT --to-destination $SERVER_winser:$ZDALNY_WIN

echo ----------------------------------------------------------
echo Identyfikuje siec firmowa
#NASZ LAN
./iptables -A INPUT -i $LAN -s 192.168.1.1/32 -j ACCEPT
./iptables -A INPUT -i $LAN -s 192.168.1.2/32 -j ACCEPT
./iptables -A INPUT -i $LAN -s 192.168.1.3/32 -j ACCEPT
./iptables -A INPUT -i $LAN -s 192.168.1.4/32 -j ACCEPT
./iptables -A INPUT -i $LAN -s 192.168.1.5/32 -j ACCEPT
./iptables -A INPUT -i $LAN -s 192.168.1.6/32 -j ACCEPT
./iptables -A INPUT -i $LAN -s 192.168.1.7/32 -j ACCEPT
./iptables -A INPUT -i $LAN -s 192.168.1.8/32 -j ACCEPT
./iptables -A INPUT -i $LAN -s 192.168.1.9/32 -j ACCEPT
./iptables -A INPUT -i $LAN -s 192.168.1.122/32 -j ACCEPT
./iptables -A INPUT -i $WAN -m mac --mac-source $MAC_Rup -j ACCEPT

echo Blokuje PING do stron zakazanych
#dlokujemy dns'y
#ko.kurnik.pl-193.222.135.229
./iptables -I FORWARD --dst 193.222.135.229 -j DROP

#kurnik.pl 193.222.135.227
./iptables -I FORWARD --dst 193.222.135.226 -j DROP
./iptables -I FORWARD --dst 193.222.135.227 -j DROP

#gry-online.interia.pl
./iptables -I FORWARD --dst 217.74.65.178 -j DROP

#gry-online.wp.pl
./iptables -I FORWARD --dst 212.77.100.83 -j DROP

echo Uruchamiam/Reset SAMBA
cd /etc/rc.d/init.d
./smb stop
./smb start

cd /sbin

echo Odblokowanie SAMBA
./iptables -A INPUT -p tcp --dport 137 -i $LAN -j ACCEPT
./iptables -A INPUT -p tcp --dport 138 -i $LAN -j ACCEPT
./iptables -A OUTPUT -p tcp --dport 137 -o $LAN -j ACCEPT
./iptables -A OUTPUT -p tcp --dport 138 -o $LAN -j ACCEPT

./iptables -A INPUT -p udp --dport 139 -i $LAN -j ACCEPT
./iptables -A INPUT -p udp --dport 445 -i $LAN -j ACCEPT
./iptables -A OUTPUT -p udp --dport 139 -o $LAN -j ACCEPT
./iptables -A OUTPUT -p udp --dport 445 -o $LAN -j ACCEPT
Avatar
Reply · Quote gwiazdor_online #4 (2007-03-12, 00:17)
User title: taki nieogolony typek
since May 2006 · 247 posts · Location: Skarżysko-Kamienna -> Kraków
Group memberships: Moderatorzy, Użytkownicy, Zespół fedorapl.org
Show profile · Link to this post
1. Zwykle robi się tak, że podstawiasz pod jakąś zmienną ścieżkę do iptables a potem się nią posługujesz:
IPT=/sbin/iptables

$IPT -P INPUT ACCEPT
Nie musisz wtedy wymyślać sztuczek z cd :)
2. Zauważyłem zmienną WAN, która nie została zainicjalizowana.
3. Sprawdź skrypt, przetestuj porty (program nmap) i jak zauważysz, że coś nie funkcjonuje dobrze i nie wiesz czemu, to pisz. Analizowanie całości takiego firewalla zajmuje sporo czasu i mózgu ;)
Nie próbuj dyskutować z debilem. Najpierw sprowadzi cię do swojego poziomu, a następnie pokona doświadczeniem.
Reply · Quote rupert12 #5 (2007-03-23, 15:48)
since Feb 2007 · 3 posts
Group memberships: Użytkownicy
Show profile · Link to this post
Witam, ciągle męczę iptables i mam kolejny problem niby wszystko poblokowane jednak przy skanowaniu portów są rozpoznawane jako filtered jednak chciałbym aby było jako closed. Nie wiem czy to ma sens ani jak to zrobić.
Obecnie blokuje formułką

./iptables -A INPUT -p udp -i $WAN -j DROP
Reply to this post:
Verification code: VeriCode Please note the verification code from the picture into the text field next to it.
Close Smaller – Larger +
Reply

Go to forum
Powered by Unclassified NewsBoard (© 2003-7 by Yves Goergen)
Current time: 2008-11-21, 13:47:26 (UTC +01:00)
Copyright © 2006 - 2007 fedorapl.org