Több rétegű hiba - Iptables

Linux-security

Hi all!

Segitséget szeretnék kérni az itt olvasottak alapjan se akkar müködni az "MSN Messenger" különös hiba mivel "Gaim" úgyan ahoz a hálozathoz csatlakozik ugyan az a porton is és működik vele az MSN.

Ez lenne az első hiba ha már ezzen tudnatok segíteni meg köszöném.
Azért a többit is leírom. :)

1.Windos Update&Internet Expoler nem megy , a windows update fontos lenne mert ugy-e szegényem bugos "egy" picit.Nem IE-t használok de azért jó lenne tudni a hiba okát ha legközelebb is ilyenel találkozok akkor legyen miből ihletett meríteni :).

2.A SmartDraw nevezetű program se tud le updatelni templateket a netről.

3. A server az APT nem megy.

4. Hupon nem müködik a beküldés nem tudok hozzá szólni se.

A hibákat úgyis meg vizsgáltam , hogy direktbe köttötem az ADSL modemel úgy viszont müködött minden ahogy kell.

#!/bin/sh

ipt="/sbin/iptables"
inet="ppp0"
ilan="eth1"

echo -n Modulok betoltese...

modprobe ip_tables
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
modprobe ip_nat_ftp
modprobe ip_nat_irc
modprobe iptable_nat
modprobe ipt_MASQUERADE
modprobe iptable_filter

echo -n Betoltve!

$ipt -F
$ipt -X
$ipt -Z
$ipt --flush
$ipt --table nat --flush
$ipt --delete-chain
$ipt --table nat --delete-chain

echo -n Szabalyok toltese...

$ipt -P INPUT DROP
$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD DROP
$ipt -t nat -F

$ipt -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
$ipt --append FORWARD --in-interface $inet -j ACCEPT
$ipt --append FORWARD --in-interface $ilan -j ACCEPT
$ipt -t mangle -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -o $inet -j TCPMSS --set-mss 1452

$ipt -A INPUT -i lo -j ACCEPT
$ipt -A OUTPUT -o lo -j ACCEPT

## SSH
# Kifele meno ssh engedelyezese
$ipt -A INPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

## SSH
# SSHD szerver engedelyezese (+kimeno ssh)
$ipt -A INPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
$ipt -A INPUT -m state --state NEW,ESTABLISHED -p tcp --dport 22 -j ACCEPT

## NTP
# Rdate-nek engedelyezzuk a time.kfki.hu-ra valo accesst
$ipt -A INPUT -s 148.6.0.1 -i $inet -p tcp --sport 37 -m state --state ESTABLISHED -j ACCEPT

# ICMP
# Elfogadjuk azokat az ICMP-ket amelyek related allapotban vannak (pl.: time exceeded (11) traceroute)
# vagy established-ben
$ipt -A INPUT -i $inet -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
# Minden icmp-t kiengedunk.
$ipt -A OUTPUT -o $ilan -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

## LOGGING
# Minden UDP amit eddig a pontig nem engedelyeztunk loggolva van es eldobva
$ipt -A INPUT -i $inet -p udp -j LOG --log-prefix "$ipt UDP-IN: "
$ipt -A INPUT -i $inet -p udp -j DROP
# Ugyanez ICMP-re
$ipt -A INPUT -i $inet -p icmp -j LOG --log-prefix "$ipt ICMP-IN: "
$ipt -A INPUT -i $inet -p icmp -j DROP
# TCP-re ugyanez
$ipt -A INPUT -i $inet -p tcp -j LOG --log-prefix "$ipt TCP-IN: "
$ipt -A INPUT -i $inet -p tcp -j DROP
# Minden mas amit eddig nem engedelyeztunk, eldobasra kerul (tudom mar engdelyeztuk, de paranoid vagyok :))
$ipt -A INPUT -i $inet -j LOG --log-prefix "$ipt PROTOCOL-X-IN: "
$ipt -A INPUT -i $inet -j DROP

echo -n Szabalyok betoltve...

echo -n Kernel flagek betoltese...

echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/conf/all/forwarding
echo 1 > /proc/sys/net/ipv4/ip_dynaddr

# Pingre nem valaszolunk (egyes esetekben szukseg van ra)
/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

# Broadcast ICMP reply-ok eldobasa. (Smurf vedelem)
/sbin/sysctl -w net.ipv4.icmp_echo_ignore_broadcasts=1

# Source routing letiltasa.
for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do
echo 0 > $f;
done

# ICMP redirect letiltasa.
echo 0 >/proc/sys/net/ipv4/conf/all/accept_redirects
echo 0 >/proc/sys/net/ipv4/conf/all/send_redirects

# Hibas ICMP csomagokat eldobjuk.
/sbin/sysctl -w net.ipv4.icmp_ignore_bogus_error_responses=1

# Azon csomagok letiltasa amelyek forrascime nem egyezik meg azzal az interfesszel ahonnan a csomag jon.
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $f
done

# Az RP filter altal eldobott packetek loggolasa (martians)
for f in /proc/sys/net/ipv4/conf/*/log_martians; do
echo 1 > $f
done

echo -n Kernel flagek betoltve
echo -n End.

  • 2376 megtekintés

( o_O v | 2006. 02. 24., p – 16:07 )

$ipt -t mangle -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -o $inet -j TCPMSS --set-mss 1452

1452re állítótam.

( o_O v | 2006. 02. 24., p – 20:34 )

Köszönöm 2 probléma ki löve már csak maradt 2 az APT és a MSN (szar) Messenger erre a ketterő is jó lenne megoldas. :)

( o_O v | 2006. 02. 24., p – 21:58 )

http de az OUTPUT nincs szürve ezért nem értem miért nem megy.
Gaim ugyan azt hasznaja mint az MSN Messenger csak , hogy nem muxik es nem tudom miért.

( o_O v | 2006. 02. 24., p – 22:20 )

Ismerem mint kettőt köszi tudom elégé rosszul fogalmaztam meg de most nem ez itt téma elég ideges vagyok miatta.Ha meg valami érdemleges válaszod is van az jó lenne köszi.

Akkor még egyszer.A gaim ugyan azt a szervert hasznaja mint az MSN Messenger ezt én is észrevettem és lekövettem azért köszönöm.

nekem ez van az iptables scriptemben
a 6891-6900 portokat fájlküldésre használja az msn
hang és videoátvitelre pedig 6901-es TCP/UDP portokat
#MSN MESSENGER
$IPTABLES -A OUTPUT -p TCP --dport 1863 -j ACCEPT
$IPTABLES -A INPUT -s 65.54.239.20 -p TCP --sport 1863 -j ACCEPT
$IPTABLES -A OUTPUT -p TCP --dport 6891 -j ACCEPT
$IPTABLES -A INPUT -p TCP --dport 6891 -j ACCEPT