Sziasztok!
Én is kérnék egy kis segítséget iptables ügyben.
Otthonra csináltam egy kis scriptet, nagyobb részt innen a hupról meg egy két más helyről összetallózva, amit majd a routeren(WRT54GL, Tomato-val) szeretnék használni, egyenlőre a gépemen tesztelem.
Nagyjából működik is minden, de pl. bizonyos eldobott csomagokat nem logol.
Mondjuk a whois nem ment(tcp/43) vagy ha nem szabvány ftp porton akartam csatlakozni simán csak elszállt timeouttal, logban semmi.
Meg ha törlöm a láncok tartalmát(iptables -F), akkor az egész adatkommunikáció meghal, semmit nem lehet pingelni, router sem elérhető(connect: Network is unreachable).
/etc/init.d/networking restart vagy ifconfig eth0 up/down sem segít, reboot után jó.
Most meg egy reboot után azt csinálja, hogy lefut a script, de ezt a hibát adja:
iptables v1.3.8: Unknown arg `--dport'
Try `iptables -h' or 'iptables --help' for more information.
A rendszerem egy Debian testing.
Itt van maga a script:
#!/bin/sh
## otthoni tűzfal
## először törlünk minden szabályt.
iptables -F
iptables -X
iptables -Z
## alap policy
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
## INPUT szabályok.
iptables -A INPUT -i lo -j ACCEPT ## loopback -en engedélyezzük a forgalmat.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ## engedélyezzük befele, ami tőlünk származik.
iptables -A INPUT -p tcp --dport ssh -m limit --limit 3/m -j LOG --log-uid --log-prefix "SSH_ACCEPT: "
iptables -A INPUT -p tcp -s 192.168.1.1 --syn --dport ssh -m limit --limit 3/m -j ACCEPT
iptables -A INPUT -p tcp --syn --dport ssh -m recent --update --seconds 60 --hitcount 3 -j DROP
iptables -A INPUT -p tcp --syn --dport
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT ## kintről "ping" mehet.
iptables -A INPUT -p tcp --dport 54896:54897 -j ACCEPT ## torrent
iptables -A INPUT -p udp --dport 54896:54897 -j ACCEPT ## torrent
iptables -A INPUT -p tcp ! --syn -m state --state NEW -m limit --limit 2/min # uj kapcsolat
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP #nem syn-nel kezdodik, kulonben esetleg tamadas
iptables -A INPUT -j LOG --log-uid --log-prefix "INPUT_DROP: "
## OUTPUT szabályok.
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT ##kifele menő "ping" -re szükség lehet.
iptables -A OUTPUT -o lo -j ACCEPT ## loopback -en engedélyezzük a forgalmat.
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ## jóváhagyott kapcsolatok engedélyezése.
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT ## a DNS -re szükség van.
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 123 -j ACCEPT ## ntp mehet
iptables -A OUTPUT -p tcp --dport 123 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT ## http mehet.
iptables -A OUTPUT -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT ## https mehet
iptables -A OUTPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT ## ssh mehet.
iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT ## ftp control mehet
iptables -A OUTPUT -p tcp --dport 20 -m state --state NEW,ESTABLISHED -j ACCEPT ## ftp data mehet
iptables -A OUTPUT -p tcp --dport 31337 -m state --state NEW,ESTABLISHED -j ACCEPT ## ftp
iptables -A OUTPUT -p tcp --dport 43 -m state --state NEW,ESTABLISHED -j ACCEPT ## whois
iptables -A OUTPUT -p tcp -d mail.chello.hu --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT ## Levelezés SMTP
iptables -A OUTPUT -p tcp -d imap.gmail.com --dport 993 -m state --state NEW,ESTABLISHED -j ACCEPT ## Levelezés IMAP4s
iptables -A OUTPUT -p tcp --dport 45761 -m state --state NEW,ESTABLISHED -j ACCEPT ## router távoli elérés
iptables -A OUTPUT -p tcp --dport 56732 -m state --state NEW,ESTABLISHED -j ACCEPT ## VNC
iptables -A OUTPUT -p tcp --dport 1863 -m state --state NEW,ESTABLISHED -j ACCEPT ## msn
iptables -A OUTPUT -p tcp --dport 6667 -m state --state NEW,ESTABLISHED -j ACCEPT ## irc
iptables -A OUTPUT -p tcp --dport 54896:54897 -m state --state NEW,ESTABLISHED -j ACCEPT ## torrent
iptables -A OUTPUT -p udp --dport 54896:54897 -m state --state NEW,ESTABLISHED -j ACCEPT ## torrent
iptables -A INPUT -j LOG --log-uid --log-prefix "OUTPUT_DROP: "
# FORWARD lanc
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 3/m --limit-burst 1 -j ACCEPT
Plusz kérdés, szerintetek a routeren is menni fog logolás?
Mert dmesg van, de amúgy a /tmp/var/log/messages fájlba logol.
Ja és légyszíves a válaszoknál vegyétek figyelembe, hogy nem vagyok egy guru, köszi. :)