( tocs | 2008. 03. 04., k – 17:16 )

Sziasztok!

Már vagy 2 hete próbálok összerakni egy tűzfalat...de sajnos egyelőre nem túl sok sikerrel.
Már nem bírom tovább, és hozzátok fordulok segítségért.
Sajnos kezdő vagyok a témában. Pedig olvastam már egy rakás iptables example scriptet meg howto-t. Valami sohasem akar helyesen működni.

Konkrét példa:
adott egy szerver:

eth1.61 kulso fix ip
eth0 belso ip

ha ez a script fut le indulaskor akkor jo minden:

#!/bin/bash
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables-restore < /root/myip

a "myip" konkretan igy nez ki:

# Generated by iptables-save v1.3.6 on Tue Feb 19 18:47:38 2008
*filter
:INPUT DROP [203:41765]
:FORWARD DROP [394:29935]
:OUTPUT ACCEPT [1580:212066]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m multiport --dports 22,80,3389,443 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -j ACCEPT
COMMIT
# Completed on Tue Feb 19 18:47:38 2008
# Generated by iptables-save v1.3.6 on Tue Feb 19 18:47:38 2008
*nat
:PREROUTING ACCEPT [9426:1250219]
:POSTROUTING ACCEPT [319:45799]
:OUTPUT ACCEPT [173:23755]
-A PREROUTING -i ! eth0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.100.2
-A POSTROUTING -o eth1.61 -j MASQUERADE
COMMIT
# Completed on Tue Feb 19 18:47:38 2008

Ezt nekem sikerult osszrakni,de ez ugye az alapnak az alapja, mindenfele vedelem nelkul.
Ha probalok (az itt lathato hozzaszolasok alapjan) lopni otletet mas scriptbol, akkor a szerver
belassul, ftp nem mukodik. Persze nem mintha a lopott otlet lenne rossz, hanem csak egyszeruen nekem nem akar mukodni az en verziomban. Legyszives segitsetek, meg ha nagyon primitiv hibakat is vetek. Valahol el kell kezdeni, de a HUP-on kivul nincs aki segítsen nekem. Koszonom!!!

A nem mukodo (es gondolom hibaktol hemzsego iptables mentesem):

# Generated by iptables-save v1.3.6 on Tue Mar 4 16:14:28 2008
*nat
:PREROUTING ACCEPT [875:122533]
:POSTROUTING ACCEPT [51:6496]
:OUTPUT ACCEPT [8:1546]
-A POSTROUTING -o eth1.61 -j MASQUERADE
COMMIT
# Completed on Tue Mar 4 16:14:28 2008
# Generated by iptables-save v1.3.6 on Tue Mar 4 16:14:28 2008
*filter
:INPUT DROP [1:52]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [176:24276]
:dosattack - [0:0]
:portscan - [0:0]
:security - [0:0]
:sinput - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -j security
-A INPUT -j dosattack
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j security
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A FORWARD -p icmp -m icmp --icmp-type 8 -m limit --limit 16/sec -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type 8 -j DROP
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -i eth0 -p tcp -m multiport --dports 20,21,53,80,110,123,443 -m state --state NEW,RELATED -j ACCEPT
-A FORWARD -i eth0 -p udp -m multiport --dports 20,21,53,80,110,123,443 -m state --state NEW,RELATED -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
-A dosattack -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 8/sec -j sinput
-A dosattack -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "FW: Syn-Flood attack (?) "
-A dosattack -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A dosattack -j sinput
-A security -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j LOG --log-prefix "FW: Xmas-tree scan (?) "
-A security -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -m state --state INVALID,NEW,RELATED,UNTRACKED -j LOG --log-prefix "FW: Null scan (?) "
-A security -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A security -p icmp -m icmp --icmp-type 8 -j LOG --log-prefix "FW: PingofDeath attack (?) "
-A security -p icmp -m icmp --icmp-type 8 -j DROP
-A sinput -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "FW: hidded portscan (?) "
-A sinput -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A sinput -s 192.168.100.0/255.255.255.0 -i eth0 -p tcp -m multiport --dports 20,21,25,53,80,3128 -m state --state NEW -j ACCEPT
-A sinput -s 192.168.100.0/255.255.255.0 -i eth0 -p udp -m multiport --dports 20,21,25,53,80,3128 -m state --state NEW -j ACCEPT
-A sinput -p tcp -m tcp --dport 443 -j ACCEPT
-A sinput -p tcp -m tcp --dport 80 -j ACCEPT
-A sinput -p tcp -m tcp --dport 22 -j ACCEPT
-A sinput -p icmp -j ACCEPT
-A sinput -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Tue Mar 4 16:14:28 2008

---------------------------
A UNIX élt, él és élni fog!