iptables

[quote:dfd6168a61="Mono"]De bejön és megy. Tehát egyértelműen igen.

Igen, ezt írja az a doksi is, amit az előző hozzászólásomban beidéztem. Tehát ebben egyezik a véleményünk. :D Amúgy köszi a kérdést, mert megint tanultam valamit. :wink:

Köszi a segítséget, ssh-n keresztül csináltam és másolgattam és a kötő jeleket alulvonássá alakította.
illetve az is hiba volt, hogy nem 2 kötőjelet használtam.
Lenne még két kérdésem.
1. hol tudom beállítani, hogy ha a tűzfal 2222 portjára jön be valami és elvileg acceptre megy, akkor utánna menjen továb a belső hálózat megadott címére.
2. ha szertnék proxy-t is beálítani , akkor meg kell tiltani az átmenő 80-as forgalmat és belső hálozatról , mondjuk engedélyezem a 8080 befelé és a 80-ast kifelé. jól gondolom?

[quote:5ba102e61c="Willow"]Köszi a segítséget, ssh-n keresztül csináltam és másolgattam és a kötő jeleket alulvonássá alakította.
illetve az is hiba volt, hogy nem 2 kötőjelet használtam.
Lenne még két kérdésem.
1. hol tudom beállítani, hogy ha a tűzfal 2222 portjára jön be valami és elvileg acceptre megy, akkor utánna menjen továb a belső hálózat megadott címére.

$IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p tcp --dport 65535 -j DNAT --to 192.168.27.145:65535

Az INPUT láncban nincs szükség az ACCEPT-re, mivel oda az átirányítás miatt be sem kerül.

2. ha szertnék proxy-t is beálítani , akkor meg kell tiltani az átmenő 80-as forgalmat és belső hálozatról , mondjuk engedélyezem a 8080 befelé és a 80-ast kifelé. jól gondolom?

$IPTABLES -t nat -A PREROUTING -p tcp -s $LAN_IP_RANGE -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128

Üdv.

cookie

Egy kicist bővebben lehetne.
El tudnád magyarázni?

[quote:fdaa4f6e30="Willow"]Egy kicist bővebben lehetne.
El tudnád magyarázni?

Megpróbálom.
1. Egy interfacere beérkező csomag előszőr a MANGLE majd NAT tábla PREROUTING láncán megy át. Ez utóbbi az ahol te azt egy másik gépre, portra átirányíthatod.
Átirányítás esetén nem kerül az adott interface INPUT láncára a csomag
hanem a FORWARD láncra kerül és távozik a megfelelő interfacen.

2. Proxy esetén pedig a beérkező 80 vagy 8080 destination portokra irányuló csomagok átirányítódnak a 3128-as porton figyelő/futó proxy kiszolgálóhoz.

Remélem sikerült érthetően elmagyaráznom.
Ha mégsem akkor hátha akad valaki aki érhetőbben el tudja magyarázni.

Ajánlom figyelmedbe a következőt:
http://iptables-tutorial.frozentux.net/iptables-tutorial.html

Üdv.

cookie

[quote:68f54bbbc6="cookie"]$IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p tcp --dport 65535 -j DNAT --to 192.168.27.145:65535

SNAT-ra nincs szükség a válaszcsomagokra?[quote:68f54bbbc6="cookie"]$IPTABLES -t nat -A PREROUTING -p tcp -s $LAN_IP_RANGE -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128

Belső gépre kell a proxy-t, külső eléréssel?

Köszi a címet, már olvastam és sok jópofa ötletet adott.
A natolással is vannak problémáim.
ADSL kapcsolat van, ami be megy egy broadban routerbe és onnan a tűzfalba.
a router külső címe xxx.xxx.xxx.xxx, a publikus fix ip cím.
a router és a tűzfal között van egy yyy.yyy.yyy.yyy privát cím tartomány,
ahol a router belső oldala az 1-es a tűzfal meg 2-es végződésű.
A tűzfalon belüli hálozatnak megint van egy privát tartománya.

pub ip priv ip priv ip
internet---------router---------tűzfal---------intranet

Itt hogy kel csinálni a cím fordítást?
a router elvileg NAt-ol.
A tűzfalnál a pub ip-re v. a külső priv ip-re kell forgatni?

Picit felhoznám ezt a topikot, következő dolgot szeretném megvalóítani: van egy szerver, belső hálón, belső fix IP címmel, egy hálókártyával. Fut rajta néhány olyan szolgáltatás, melyet el kellene érni hálózaton, ill. néhány, melyet nem.
Azt szeretném iptables-szel megvalósítani, hogy minden szerver felé irányuló kérés tiltva legyen, azon portok kivételével, melyekre szükségem van. Alapvetően mail szerverről lenne szó, tehát 25 (SMTP), 993 (IMAP-SSL), 443 (https) lennének azon szolgáltatások, melyeket engedélyezni akarok. Nyilván van még egy-két port, melyet engedélyeznem kellene, pl. - ha jól gondolom - 53-as (DNS).
További gondom az a protokoll. Ha nézem pl. az imap-ssl-t, akkor az 993-as port, tcp és udp is megadva. Kell-e az udp mindenképpen, vagy elég csak a tcp? Kell-e DNS esetében az 53-as portot is kinyitnom? Elviekben az belülről irányulna kifelé kérés szinten, ekkor is meg kell adnom azt, hogy az 53-as portot kinyitom? - mert ez esetben egy, a mail szerveren futó bind-ot (DNS Cache miatt telepítem csak) használhatná boldog-boldogtalan mint DNS szerver, nem?

A következőt adagoltam be az iptables-nek, gondolom nem igazán jó, de kicsit homályos még a dolog, emellett nem igazán működött úgy, ahogy szerettem volna. Nem tudtam az általam kinyitott portok egyikére sem telnetelni (pl. SMTP) kintről, ill. bentről sem tudtam kifelé web-ezni. Mi a gond, vagy mi kellhet még ehhez?

[code:1:680c8d5f32]iptables -A INPUT -p tcp -m tcp -m multiport -d 192.168.1.1 -j ACCEPT --dports 22,25,443,993

iptables -A INPUT ! -s 127.0.0.1 -d 192.168.1.1 -i eth0 -j REJECT --reject-with icmp-port-unreachable[/code:1:680c8d5f32]

Segítsetek már légyszi abban, mik kellenének még a mellett, vagy mi lenne a helyes szabály, melyet meg kellene adjak.
Tehát egy gép, melyet kintről (itt már a LAN is annak számít) kellene védeni, alapból minden befelé irányuló portot tiltani, azok kivételével, melyeket én akarok, hogy elérhető legyen (plusz még a szükséges(ek), ha van(nak) ilyen(ek)), valamint belülről (tehát a szerverről) kifelé irányuló kérések menjenek (azaz pl. lehessen WEB-ezni a szerverről), az operációs rendszer Debian Sarge.

Előre is köszi!

[quote:a17d34d54a="Mono"][code:1:a17d34d54a]iptables -A INPUT -p tcp -m tcp -m multiport -d 192.168.1.1 -j ACCEPT --dports 22,25,443,993

iptables -A INPUT ! -s 127.0.0.1 -d 192.168.1.1 -i eth0 -j REJECT --reject-with icmp-port-unreachable[/code:1:a17d34d54a]

Az INPUT lánc az adott gépre érkező csomagokra vonatkozik, tehát ha egy IP címed van, akkor azt nem fontos megadni a szabályban. Továbbá a -j szerintem a végére kell, de erről könnyen meggyőződhetsz, ha megnézed az ipables -L -t. Ebben nem vagyok biztos. Aztán ha egyszer elfogadtad az összes csomagot, amit el akarsz fogadni, utána már mindent eldobhatsz, akár DROP, akár REJECT (ez utóbbi csak tcp-re megy AFAIK).

Ezek után csak az jöhet be, amit megengedsz. A válaszcsomagokkal nincs gond, ha az OUTPUT lánccal nem babráltál.

Nézzük a kimenő kapcsolatokat. Ilyenkor ha pl. webezel, akkor a 80-as portra mennek ki a kérések, és a válaszok egy 1024 feletti portra jönnek vissza. Csakhogy ezeket te lazán kidobálod, magyarul a te irányodba nem jöhet semmi. Hogy ez jól működjön, a létrejött TCP kapcsolatokhoz tartozó csomagokat be kell engedned. Elsőre én most így tippelném:[code:1:a17d34d54a]iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp -m multiport --dports 22,25,443,993 -j ACCEPT
iptables -A INPUT -p tcp -j REJECT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -j DROP[/code:1:a17d34d54a]

Az 53-as UDP portot be kell engedned, hogy a DNS válaszcsomagok megjöjjenek, mert UDP-nél nincs ESTABLISHED (mert kapcsolat sincs). Az ICMP csomagokat is be kellene engedni valahogy, arra limit-et szoktak, de azt fejből nem tudom. :)

[quote:d069aa6289="broven"][quote:d069aa6289="Mono"][code:1:d069aa6289]iptables -A INPUT -p tcp -m tcp -m multiport -d 192.168.1.1 -j ACCEPT --dports 22,25,443,993

iptables -A INPUT ! -s 127.0.0.1 -d 192.168.1.1 -i eth0 -j REJECT --reject-with icmp-port-unreachable[/code:1:d069aa6289]

Az INPUT lánc az adott gépre érkező csomagokra vonatkozik, tehát ha egy IP címed van, akkor azt nem fontos megadni a szabályban. Továbbá a -j szerintem a végére kell, de erről könnyen meggyőződhetsz, ha megnézed az ipables -L -t. Ebben nem vagyok biztos. Aztán ha egyszer elfogadtad az összes csomagot, amit el akarsz fogadni, utána már mindent eldobhatsz, akár DROP, akár REJECT (ez utóbbi csak tcp-re megy AFAIK).

Ezek után csak az jöhet be, amit megengedsz. A válaszcsomagokkal nincs gond, ha az OUTPUT lánccal nem babráltál.

Nézzük a kimenő kapcsolatokat. Ilyenkor ha pl. webezel, akkor a 80-as portra mennek ki a kérések, és a válaszok egy 1024 feletti portra jönnek vissza. Csakhogy ezeket te lazán kidobálod, magyarul a te irányodba nem jöhet semmi. Hogy ez jól működjön, a létrejött TCP kapcsolatokhoz tartozó csomagokat be kell engedned. Elsőre én most így tippelném:[code:1:d069aa6289]iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m tcp -m multiport --dports 22,25,443,993 -j ACCEPT
iptables -A INPUT -p tcp -j REJECT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -j DROP[/code:1:d069aa6289]

Az 53-as UDP portot be kell engedned, hogy a DNS válaszcsomagok megjöjjenek, mert UDP-nél nincs ESTABLISHED (mert kapcsolat sincs). Az ICMP csomagokat is be kellene engedni valahogy, arra limit-et szoktak, de azt fejből nem tudom. :)

Köszönöm gyors válaszod!!

Indítottam azon a gépen, melyen tudtam kicsit játszani az iptables-szel egy sendmail-t, volt egy ssh-m is. Tehát volt két olyan szolgáltatásom, melyre tudtam telnetelni, ezzel tesztelni, hogy beenged-e.

Követlezőt adtam be iptables-nek:
[code:1:d069aa6289]
[root@backup root]# iptables -A INPUT -p tcp -m tcp -m multiport --dports 22 -j ACCEPT
[root@backup root]# iptables -A INPUT -p tcp -j REJECT
[root@backup root]# iptables -A INPUT -p udp --dport 53 -j ACCEPT
[root@backup root]# iptables -A INPUT -j DROP
[/code:1:d069aa6289]

Ezzel azt szerettem volna figyelni, hogy a 22-es portra továbbra is be tudok-e jelentkezni úgy, hogy a 25-ösre már nem (mivel azt nem adtam meg itt mint engedett port).

iptables -L ekkor a következőt dobta ki:

[code:1:d069aa6289]
[root@backup root]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTAB
LISHED
ACCEPT tcp -- anywhere anywhere tcp multiport dport
s ssh
REJECT tcp -- anywhere anywhere reject-with icmp-po
rt-unreachable
ACCEPT udp -- anywhere anywhere udp dpt:domain
DROP all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@backup root]#
[/code:1:d069aa6289]

Írod, hogy UDP-nél nincs connection, ettől függetlenül hasonlóképpen kellene megadnom UDP-re is a dolgot?
Azaz ezt még ez a sor után hozzá kellene adnom?

iptables -A INPUT -p udp --dport 53 -j ACCEPT (ez után, ez most is van)

iptables -A INPUT -p udp -j REJECT (ezt?) - ahhoz, hogy az 53-ason kívül minden egyéb befelé irányuló UDP csomagot is tiltsak?

Pingelni egyelőre tényleg nem tudom a gépet az általad megadott iptables sorok beadagolása után, gondolom, hogy az ICMP-t engedélyeznem kellene, teljesen, korlátok nélkül? - erről egyelőre lövésem sincsen, ennek megpróbálok utánajárni, aztán majd tovább kérdeznék - ha nem gond.
Mindenesetre köszönöm az eddigi és a jövőbeli segítségedet egyaránt, ha lehet, segíts már légyszi abban, hogy ezt a dolgot egészítsük még ki az UDP csomagokkal is. Csak a szükséges (akár csak az 53-as?) UDP portokhoz lehessen hozzáférni kintről.

Még egyszer köszi! :)

[/code]

Szerintem egyszerűbb ha az INPUT lánc policyját DROP-nak adod meg (iptables -P INPUT DROP), mert így nem kell külön-külön a lánc végén az összes többi TCP és UDP csomagot eldobnod, hanem csak engedélyezni kell amit akarunk.

A pingelésre:
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT -m limit --limit 2/second --limit-burst 5

[quote:71746a0823="Mono"]Ezzel azt szerettem volna figyelni, hogy a 22-es portra továbbra is be tudok-e jelentkezni úgy, hogy a 25-ösre már nem (mivel azt nem adtam meg itt mint engedett port).

És sikerült? :D

[quote:71746a0823="Mono"]Írod, hogy UDP-nél nincs connection, ettől függetlenül hasonlóképpen kellene megadnom UDP-re is a dolgot?
Azaz ezt még ez a sor után hozzá kellene adnom?

UDP-nél csak 1-1 csomag szalad a hálón, tehát nem mondhatod neki, hogy ha ez felépült kapcsolathoz tartozik, akkor jöhet. Explicit módon meg kell mondani minden bejövő UDP csomagra, és minden bejövő UDP válaszcsomagra, ha be akarod engedni. Pl. ha a DNS kéréseidre választ is szeretnél kapni, akkor ki kell nyitni az 53-as UDP portot, ahogy írtad is, még akkor is, ha nem akarsz DNS szervert üzemeltetni.[quote:71746a0823="Mono"]iptables -A INPUT -p udp --dport 53 -j ACCEPT (ez után, ez most is van)

Az UDP csomagok (meg minden egyéb) eldobálása egyszerűen a legvégén:[code:1:71746a0823]iptables -A INPUT -j DROP[/code:1:71746a0823] (UDP-nél nincs ICMP reject) De tényleg egyszerű úgy is, ahogy lacipac írta: [quote:71746a0823="lacipac"]iptables -P INPUT DROP

Így minden csomag, ami eljut a lánc végére, egyszerűen csak eldobódik.

[quote:02799b5bf3="broven"][quote:02799b5bf3="cookie"]$IPTABLES -t nat -A PREROUTING -i $INET_IFACE -p tcp --dport 65535 -j DNAT --to 192.168.27.145:65535

SNAT-ra nincs szükség a válaszcsomagokra?[quote:02799b5bf3="cookie"]$IPTABLES -t nat -A PREROUTING -p tcp -s $LAN_IP_RANGE -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128

Belső gépre kell a proxy-t, külső eléréssel?

1. SNAT-ra nincs, mivel az internetről érkező csomag forrás címe nem érdekes. Viszont ha nem engedélyezel mindent a FORWARD láncon, akkor ennek megfelelően egy ACCEPT sor kell, hogy a csomag eljusson a 192.168.27.145-gép 65535 portjára.

2. Igen.

Üdv
cookie

[quote:52613996cf="Willow"]Köszi a címet, már olvastam és sok jópofa ötletet adott.
A natolással is vannak problémáim.
ADSL kapcsolat van, ami be megy egy broadban routerbe és onnan a tűzfalba.
a router külső címe xxx.xxx.xxx.xxx, a publikus fix ip cím.
a router és a tűzfal között van egy yyy.yyy.yyy.yyy privát cím tartomány,
ahol a router belső oldala az 1-es a tűzfal meg 2-es végződésű.
A tűzfalon belüli hálozatnak megint van egy privát tartománya.

pub ip priv ip priv ip
internet---------router---------tűzfal---------intranet

Itt hogy kel csinálni a cím fordítást?
a router elvileg NAt-ol.
A tűzfalnál a pub ip-re v. a külső priv ip-re kell forgatni?

A tűzfalon belüli tartomány akkor legyen 192.168.1.0 az eth1 interfacen
A tűzfal router felé néző IP-je meg legyen 192.168.0.2 az eth0 interfacen.

akkor a nat a következő:
$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j SNAT --to-source 192.168.0.2

Cookie

[quote:71c42dc1e5="gabcsi"]Egy woody osztja meg az internetet SNAT-al, van rajta egy squid proxy is.
Azt szeretném megoldani, hogy a http kérés a proxy-n menjen ki, de a felhasználóknak ne kelljen beállítani a proxy-t., vagyis ök úgy lássák mintha nem lenne.

"transparent proxy"-nak hivjak a konstrukciot:
http://www.tldp.org/HOWTO/TransparentProxy-4.html

Imhol egy elég jól működő tűzfal, vesézzétek ki!
Azt hiszem benne van néhány dolog, amiről beszéltetek.

#!/bin/sh
# /etc/rc.d/rc.firewall start/stop firewall
#
# Meditor Digital Startegies since 1989.
# A.D. 2005.

MY_NETWORK=192.168.2.0/24
IN_PRE="iptables -A INPUT -m state -p tcp --dport"
IN_POST="! --state INVALID -j ACCEPT"
OUT_PRE="iptables -A OUTPUT -m state -p tcp --sport"
OUT_POST="--state ESTABLISHED,RELATED -j ACCEPT"

firewall_start1() {
echo -n " Starting firewall - section: #1"

if test -x /usr/sbin/iptables
then
#1 delete all

iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# set loglevel: 1 = verbose
#iptables -A INPUT -s 192.168.2.3/24 -j LOG --log-prefix meditor_fwI_: --log-level 2
#iptables -A OUTPUT -d 192.168.2.3/24 -j LOG --log-prefix meditor_fwO_: --log-level 2

#2 enable ping, local interface and DNS_UDP

iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -i lo -j ACCEPT
iptables -A OUTPUT -d 127.0.0.1 -o lo -j ACCEPT

iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

iptables -A FORWARD -j ACCEPT
/usr/local/bin/rc_gb.sh good

else
/usr/local/bin/rc_gb.sh skip
/usr/local/bin/rc_gb.sh Not_exist:_/usr/sbin/iptables. -n
echo "Warning: /usr/sbin/iptables not exist!"> /etc/rc.d/rc.fw.status
fi
}

firewall_start2() {
echo -n " Starting firewall - section: last"

if test -x /usr/sbin/iptables
then

#1 enable ftp:ssh, http, dns, smtp, pop3

$IN_PRE 20:22 $IN_POST
$OUT_PRE 20:22 $OUT_POST
$IN_PRE 25 $IN_POST
$OUT_PRE 25 $OUT_POST
$IN_PRE 53 $IN_POST
$OUT_PRE 53 $OUT_POST
$IN_PRE 80 $IN_POST
$OUT_PRE 80 $OUT_POST
$IN_PRE 110 $IN_POST
$OUT_PRE 110 $OUT_POST

# SSL

$IN_PRE 443 $IN_POST
$OUT_PRE 443 $OUT_POST
$IN_PRE 465 $IN_POST
$OUT_PRE 465 $OUT_POST
$IN_PRE 989:995 $IN_POST
$OUT_PRE 989:995 $OUT_POST

#HIGH
$IN_PRE 1024:65535 $IN_POST
$OUT_PRE 1024:65535 $OUT_POST

#Last: show setting in status file
/usr/local/bin/rc_gb.sh good
/usr/local/bin/rc_gb.sh See_/etc/rc.d/rc.fw.status_for_firewall_setup. -n
iptables -L > /etc/rc.d/rc.fw.status

else
/usr/local/bin/rc_gb.sh skip
/usr/local/bin/rc_gb.sh Not_exist:_/usr/sbin/iptables. -n
echo "Warning: /usr/sbin/iptables not exist!"> /etc/rc.d/rc.fw.status
fi
}

# Stop IP packet forwarding:
firewall_stop() {
echo -n " Switch off firewall."

if test -x /usr/sbin/iptables
then
iptables -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -L > /etc/rc.d/rc.fw.status

/usr/local/bin/rc_gb.sh good
/usr/local/bin/rc_gb.sh Warning:_firewall_switched_off! -n

else
/usr/local/bin/rc_gb.sh skip
/usr/local/bin/rc_gb.sh Not_exist:_/usr/sbin/iptables. -n
echo "Warning: /usr/sbin/iptables not exist!"> /etc/rc.d/rc.fw.status
fi
}

# Restart IP packet forwarding:
firewall_restart() {
firewall_stop
sleep 1
firewall_start1
sleep 1
firewall_start2
}

##############################################
# Uncomment these three lines if you are in #
# testing mode and firewall make any trouble #
#firewall_stop #
#echo "Your firewall parameters is: $1 $2" #
#exit 0 #
##############################################

case "$1" in
'start') case "$2" in
'1')
firewall_start1
;;
'last')
firewall_start2
;;
*)
firewall_start1
firewall_start2
;;
esac
;;
'stop')
firewall_stop
;;
'restart')
firewall_restart
;;
*) echo "$0 start[section]|stop|restart"
esac

# end of firewall script

[quote:77a119b7b4="meditor"] iptables -A INPUT -s 127.0.0.1 -i lo -j ACCEPT

Hopp! Ezt el is felejtettük. :o

Mono: ezt írd jó előre. :wink:

Uraim! :)

A múltkorjában egyeztetett tűzfal konfigommal lenne egy kis gondom, segítsetek légyszi, ha tudtok!

Következő a felállás:
Van két Debian Sarge-t futtató gép, belső hálón, fix IP-kel, egyik egy "mezei" linux, a másik egy levelező szerver is.
A "sima" linuxon nincs, a levelező szerveren pedig fut Iptables, a lentebbi beállításokkal.
Internetet "hardveres" router csinál a belső háló számára, amin a levelezéshez szükséges portok forwardolva vannak a mail szerver IP címére.

Minden megy is rendesen, most jutottam el odáig, hogy kicsit jobban kidolgozzam az e-mailek archiválását. Ennek tar.gz-s eredményét automatizálva szeretném a "mezei" linuxos gépre FTP-vel átmásolni úgy, hogy a mail szerver küldje, azaz uploadolja a "sima" linuxos gépre, melyen ProFTP szerver fut és jelenleg nincs is rajta tűzfal.

A mail szerver iptables konfigja (gép bootoláskor van lefuttatva):
[code:1:333412fd41]
#!/bin/bash
iptables -F
ifdown eth0
ifup eth0
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -i lo -j ACCEPT
iptables -A INPUT -p tcp -m tcp -m multiport --dports 20,21,22,25,80,143,443,993 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT -m limit --limit 2/second --limit-burst 5
iptables -A INPUT -p tcp --dports 113 -j REJECT
iptables -P INPUT DROP
[/code:1:333412fd41]

"Sima" FTP parancsot használok a mail szerveren, minden egyes ftp parancs (login, könyvtárváltás, stb.) egy örökkévalóságnak tűnik (100MBit belső háló), 200kByte adatot 20 perc alatt sem sikerült feltöltenem az FTP szerverre. (Létrejön a fájl, 0 hosszal, ftp parancs futtatása folyamatban van végig, nem ad vissza hibát, v. promtot).
Ha a mail szerveren kikapcsolom a tűzfalat, akkor villámgyorsan megy minden úgy, ahogy az a "nagy könyvben meg van írva".

Kérdésem az lenne tehát, mit kellene még módosítanom a fentebbi tűzfalszkripten ahhoz, hogy az ftp is szépen menjen vele? Gyanítom, hogy itt lehet valami probléma, hiszen iptables nélkül gyönyörűen megy.

Még egy "extra" kérdésem lenne, az iptables -F utasítás tudtommal teljesen üríti, "kikapcsolja" az aktuális tűzfal beállításokat. Nekem ez annyit tesz, hogy semmiféle kapcsolatot nem tudok folytatni, sem újat kezdeményezni, holott az iptables -L szerint tényleg üres. Sem az eredetileg tiltott portok, sem az eredetileg nyitott portokon nem lehet kommunikálni az iptables -F kiadása után a géppel. Ha az egész gépet újraindítom úgy, hogy nincs iptables birizgálva, nem adok meg szabályokat, akkor minden megy rendben, ftp is, iptables -L ugyanazt mutatja, mint amikor a -F kapcsolóval törlöm az addigi beállításokat.
Ez mitől lehet?
Két, telejesen független vason, is ugyanezt produkálja, mindkettő Sarge Debian.

És itt egy másik, csak a különböző részt teszem be. Ebben van egy
kicsit jobb forward és maskolás (snattal) is.

EXTDEV=eth1
INTDEV=eth0

firewall_start1() {
echo -n " Starting firewall - section: #1"

if test -x /usr/sbin/iptables
then
#1 delete all

iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#2 enable ping, local interface, MY_NETWORK and DNS_UDP

iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -i lo -j ACCEPT
iptables -A OUTPUT -d 127.0.0.1 -o lo -j ACCEPT
iptables -A INPUT -s $MY_NETWORK -i eth0 -j ACCEPT
iptables -A OUTPUT -d $MY_NETWORK -o eth0 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

/usr/local/bin/rc_gb.sh good

else
/usr/local/bin/rc_gb.sh skip
/usr/local/bin/rc_gb.sh Not_exist:_/usr/sbin/iptables. -n
echo "Warning: /usr/sbin/iptables not exist!"> /etc/rc.d/rc.fw.status
fi
}

firewall_start2() {
echo -n " Starting firewall - section: last"

if test -x /usr/sbin/iptables
then

#BASIC enable ftp:ssh, http, dns, smtp, pop3
$IN_PRE 20:22 $IN_POST
$OUT_PRE 20:22 $OUT_POST
$IN_PRE 25 $IN_POST
$OUT_PRE 25 $OUT_POST
$IN_PRE 53 $IN_POST
$OUT_PRE 53 $OUT_POST
$IN_PRE 80 $IN_POST
$OUT_PRE 80 $OUT_POST
$IN_PRE 110 $IN_POST
$OUT_PRE 110 $OUT_POST

$IN_PRE 59 $IN_POST
$OUT_PRE 59 $OUT_POST

# SSL
$IN_PRE 443 $IN_POST
$OUT_PRE 443 $OUT_POST
$IN_PRE 465 $IN_POST
$OUT_PRE 465 $OUT_POST
$IN_PRE 989:995 $IN_POST
$OUT_PRE 989:995 $OUT_POST

#HIGH
$IN_PRE 1024:65535 $IN_POST
$OUT_PRE 1024:65535 $OUT_POST

#Allow all connections OUT and only related ones IN
iptables -A FORWARD -i $EXTDEV -o $INTDEV -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $INTDEV -o $EXTDEV -j ACCEPT

#enable MASQUERADING
iptables -t nat -A POSTROUTING -j SNAT --to-source 62.77.254.100

/usr/local/bin/rc_gb.sh good
/usr/local/bin/rc_gb.sh See_/etc/rc.d/rc.fw.status_for_firewall_setup. -n
iptables -L > /etc/rc.d/rc.fw.status

else
/usr/local/bin/rc_gb.sh skip
/usr/local/bin/rc_gb.sh Not_exist:_/usr/sbin/iptables. -n
echo "Warning: /usr/sbin/iptables not exist!"> /etc/rc.d/rc.fw.status
fi
}

Suse 9.2 DVD-ről telepítve + yast online friisítésse automatán frissítve.
Iptables scriptet akarom épp belőni, de egy csomó hibát ír ki, amit nem teljesen értek.

$IPTABLES -A INPUT -s $NET_INT -i $IFACE_EXT -j LOG -log_prefix "Hamísított IP"
Erre a parancsa azt mondja, hogy
"iptables v1.2.11: Unknown arg `LOG'
Try `iptables -h' or 'iptables --help' for more information."
A script elején már szinte minden modult betöltöttem, de még mindig kiírja A modul betöltésnél nem ír semmi hibát.
( /sbin/depmod -a
$MODPROBE ip_tables
$MODPROBE ip_conntrack
$MODPROBE ip_conntrack_ftp
$MODPROBE ip_conntrack_irc
$MODPROBE iptable_nat
$MODPROBE ip_nat_ftp
$MODPROBE ip_nat_irc
$MODPROBE ipt_LOG
$MODPROBE ipt_limit
$MODPROBE ipt_state
$MODPROBE iptable_filter
$MODPROBE iptable_mangel

echo "1" > /proc/sys/net/ipv4/ip_forward)

Mi hiányzik még?
Több mindenre írja a hibákat, pl a -dportnál megadott portcímre is.

Most ért a hideg zuhany.
A tűzfalról minden működik amit terveztem, de most rákötöttem egy gépet a túl oldalra és onnan nem megy semmi.
Úgy is probáltam, hogy minden szabályt kivettem.

echo "1" > /proc/sys/net/ipv4/ip_forward

sor benne van, ami engedi a 2 kártya közti forgalmat, nem?
mi kell még?
utolsó proba az volt, hogy minden accept + forwarding+az előzőekben leírt NAT-olás.
mi lehet a baj?
A mikor a teljes láncok be voltak töltve, a naplo nem mutattot semmit.
csak az eldobásokat naplóztam.
Hogy lehetne tesztelni?

[quote:de4b8a0ddc="Willow"]$IPTABLES -A INPUT -s $NET_INT -i $IFACE_EXT -j LOG -log_prefix "Hamísított IP"
Erre a parancsa azt mondja, hogy
"iptables v1.2.11: Unknown arg `LOG'

Mit tartalmaz a $NET_INT illetve a $IFACE_EXT? Nem üres valamelyik véletlenül?

-j LOG --log-prefix="....."
Kötöjel, nem aulvonás.

Uraim! 8)

Köszönöm az eddigi segítségeiteket, igyekeztem az eddig leírtak alapján összereszelni egy megoldást. Kérlek titeket, ellenőrizzétek már légyszi, hogy jó-e, vagy van-e valahol benne valami hiba.
Egyelőre nem bonyolítanám, a feladat az lenne, hogy egy egy hálókártyás linuxos gépet kellene kintről védeni mindentől, de az ssh menjen (egyelőre most legyen csak ez az egy port az egyszerűség kedvéért), menjen szépen a névfeloldás, minden más befelé irányuló tcp és udp portot tiltani akarok. Emellett minden, a védendő linuxos gépről kifelé irányuló dolog működjön. Továbbá most már - a segítségetek alapján - pingelni is tudom a gépet, de hallottam olyasmit, hogy egyes routerek, smtp szerverek, amik majd az enyémmel kommunikálnak, valamire használ(hat)ják az (általam visszaküldött?) icmp csomagokat is. Az icmp csomagokról aztán tényleg nem sokat tudok, nagyjából annyit tudtam róla, hogy a pingelés és az arra való válasz icmp csomagokkal megy. De lekértem az icmp csomagokra való iptables man-t és elég sok - számomra nem sokat mondó - dolgot kaptam vissza.
Erre: iptables -p icmp -h
Ezt:
[code:1:10f1e03eff]

Valid ICMP Types:
any
echo-reply (pong)
destination-unreachable
network-unreachable
host-unreachable
protocol-unreachable
port-unreachable
fragmentation-needed
source-route-failed
network-unknown
host-unknown
network-prohibited
host-prohibited
TOS-network-unreachable
TOS-host-unreachable
communication-prohibited
host-precedence-violation
precedence-cutoff
source-quench
redirect
network-redirect
host-redirect
TOS-network-redirect
TOS-host-redirect
echo-request (ping)
router-advertisement
router-solicitation
time-exceeded (ttl-exceeded)
ttl-zero-during-transit
ttl-zero-during-reassembly
parameter-problem
ip-header-bad
required-option-missing
timestamp-request
timestamp-reply
address-mask-request
address-mask-reply
[/code:1:10f1e03eff]

Nem tudom, hogy ha így látjátok magatok előtt ezt a listát, nincs-e esetleg még valami olyasmi dolog, amit jó lenne, ha engednék a pingelésen kívül, vagy esetleg kellhet a fentebb említett esetekre is (gondolom, hogy az interneten levő "célállomás", melyhez kapcsolódok pl. egy SMTP protokollal és az én gépem között nem pinget kellene engedélyeznem, hanem valami más, de icmp csomagot).
Kérdésem itt az lenne, hogy lehet-e, ill. okoz-e az valami problémát, ha a lentebb levő "jelenlegi" iptables konfigom icmp-s sorai helyére valami ilyesmi kerülne:
[code:1:10f1e03eff]iptables -A INPUT -p icmp --icmp-type any -j ACCEPT[/code:1:10f1e03eff]
E két sor helyett:
[code:1:10f1e03eff]
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT -m limit --limit 2/second --limit-burst 5
[/code:1:10f1e03eff]
megoldja-e azt a problémámat, hogy icmp csomagokat nem blokkolok, mehet mindegyik úgy, mint egy üres iptables-szel? Vétek-e ezzel valami biztonsági hibát, ha így csinálnám? Milyen veszélyes dolgoknak tehetem ki a gépem, ha minden icmp csomagot beengedek továbbra is, csak a tcp és udp portokat tiltogatom le?

Végül tehát a jelenlegi "konfigom", légyszi ellenőrizzétek már le, hogy tényleg azt csinálja-e amit szeretnék:

[code:1:10f1e03eff]iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -i lo -j ACCEPT
iptables -A INPUT -p tcp -m tcp -m multiport --dports 22 -j ACCEPT
iptables -A INPUT -p tcp -j REJECT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT -m limit --limit 2/second --limit-burst 5
iptables -A INPUT -j DROP
[/code:1:10f1e03eff]

Továbbra is mindent köszönök nektek, sajna ehhez a dologhoz nem nagyon konyítok, iptables-es problémáim mellé még betársul az is, hogy kicsit nehezen látom még át az egyes protokollok tényleges működését (fogalmam sincs, egy SMTP-hez pl. miért kellhet icmp csomag, vagy miért kellhet egyes routerek számára is...)

Ja, még valami, javasoltátok az összes befelé irányuló kérés, mely nem engedélyezett, azt az
[code:1:10f1e03eff]iptables -P INPUT -j DROP[/code:1:10f1e03eff] sorral tiltsam, nekem nem igazán jött be a dolog:

[code:1:10f1e03eff]
[root@backup root]# iptables -P INPUT -j DROP
iptables v1.2.9: -P requires a chain and a policy
Try `iptables -h' or 'iptables --help' for more information.
[root@backup root]# [/code:1:10f1e03eff]

iptables -A -val viszont szépen benyelte, jó ez így nekem? :)

a default policy-t ACCEPT-re állítod?

iptables -A INPUT -p tcp -m tcp -m multiport --dports 22 -j ACCEPT

Felesleges a -m multiport.
iptables -A INPUT -p tcp -dport 22 -j ACCEPT

Én a loopback interface a következő szabályokat használom
iptables -A INPUT -p ALL -i lo -j ACCEPT
iptables -A OUTPUT -p ALL -o lo -j ACCEPT

Továbbra is mindent köszönök nektek, sajna ehhez a dologhoz nem nagyon konyítok, iptables-es problémáim mellé még betársul az is, hogy kicsit nehezen látom még át az egyes protokollok tényleges működését (fogalmam sincs, egy SMTP-hez pl. miért kellhet icmp csomag, vagy miért kellhet egyes routerek számára is...)

Ja, még valami, javasoltátok az összes befelé irányuló kérés, mely nem engedélyezett, azt az
[code:1:c461276727]iptables -P INPUT -j DROP[/code:1:c461276727] sorral tiltsam, nekem nem igazán jött be a dolog:

[code:1:c461276727]
[root@backup root]# iptables -P INPUT -j DROP
iptables v1.2.9: -P requires a chain and a policy
Try `iptables -h' or 'iptables --help' for more information.
[root@backup root]# [/code:1:c461276727]

iptables -A -val viszont szépen benyelte, jó ez így nekem? :)

Természetesen jó, de így nem alapértelmezett szabályként érvényesül.

iptables -P INPUT DROP -- igy helyes

cookie köszönöm!

Kicsit eltoltad a quote tag-et, de kiházmotam a dolgot :)

Szóval erre:
[code:1:e28dbe0dac]iptables -A INPUT -p tcp -m tcp -m multiport --dports 22 -j ACCEPT[/code:1:e28dbe0dac]

Írod ezt:
[code:1:e28dbe0dac]iptables -A INPUT -p tcp -dport 22 -j ACCEPT [/code:1:e28dbe0dac]

Ezt csak a multiport miatt írtad? Mármint amolyan "egyszerűsítés" végett :?: - ha igen, akkor köszi, de maradok a multiportnál, az egyszerűbb "tanulás" miatt írtam csak a 22-es portot az amúgy elég hosszú lista helyére, lesz még mellette SMTP,HTTP,HTTPS,IMAP-SSL,....

Én a loopback interface a következő szabályokat használom
iptables -A INPUT -p ALL -i lo -j ACCEPT
iptables -A OUTPUT -p ALL -o lo -j ACCEPT

Ha nem "szekálom" az OUTPUT szekciót az iptables-szel, elviekben akkor az mindent enged, nem :?: - akkor a második sorod ez esetben nem felesleges :?: - nem tudom, kérdezem csak.

iptables -P INPUT DROP -- igy helyes

Köszönöm! :)
Van-e különbség, ill. ha igen, akkor mi e két sor között :?:
[code:1:e28dbe0dac]iptables -P INPUT DROP[/code:1:e28dbe0dac]
és
[code:1:e28dbe0dac]iptables -A INPUT -j DROP[/code:1:e28dbe0dac]

Köszi eddig is, előre is! :wink: :)

cookie látom közben szerkesztetted, így előző hozzászólásom már nem teljesen állja meg a helyét :)

Tehát sima egyszerűsítés volt a multiport miatt, ok, de mivel több port kell, csak az itteni beszélgetés egyszerűsítése miatt írtam csak egy portot, így akkor marad a multiport.

lo interface miatti kérdésem még mindig állna, ha nem piszkálom az iptables OUTPUT-jait, kell-e akkor is a második sor, hiszen ez esetben alapszinten is minden kifelé irányuló dolgot engedélyezek, nem :?:

A végén ezt az "iptables -P INPUT DROP" vs. iptables -A INPUT -j DROP" dolgot nem igazán értem, de ha a "P"-vel az alapértelmezett tiltás szabályt adom meg neki, akkor ám legyen, mivel én azt szeretném :)

- Nincs mit.
- Láttam hogy elbaltáztam/elkapkodtam a dolgot és javítottam utána.

Ezt csak a multiport miatt írtad? Mármint amolyan "egyszerűsítés" végett :?: - ha igen, akkor köszi, de maradok a multiportnál, az egyszerűbb "tanulás" miatt írtam csak a 22-es portot az amúgy elég hosszú lista helyére, lesz még mellette SMTP,HTTP,HTTPS,IMAP-SSL,....

Igen mivel csak egy portot adtál meg. De az általad említett esetben helyes a használata.

Ha nem "szekálom" az OUTPUT szekciót az iptables-szel, elviekben akkor az mindent enged, nem :?: - akkor a második sorod ez esetben nem felesleges :?: - nem tudom, kérdezem csak.

Igen igazad van, mert a default az ACCEPT.

iptables -P INPUT DROP -- igy helyes
Van-e különbség, ill. ha igen, akkor mi e két sor között :?:
[code:1:2de15adf0c]iptables -P INPUT DROP[/code:1:2de15adf0c]
[code:1:2de15adf0c]iptables -A INPUT -j DROP[/code:1:2de15adf0c]

a -P az alapértelmezett szabályt ad meg egy tábla egy adott láncára.
a -A pedig egy új szabályt ad egy megadott tábla (-t [filter/nat/mange]) egy adott lánchoz (INPUT, OUPUT, FORWARD).

Remélem tudtam segíteni.

[quote:304aabd53b="broven"]

csak a broven es az iptables! :)

deta

[quote:96eec3ecac="deta"]csak a broven es az iptables! :)

Szia deta! Csak nem neked is iptables problémád van? :wink:

Mono:

iptables -A INPUT -p tcp -m tcp -m multiport --dports 22 -j ACCEPT

a -m tcp nem kell, ha van -p tcp, mert a -p tcp betölti a tcp modult.
Cookie:

iptables -A INPUT -p ALL -i lo -j ACCEPT
iptables -A OUTPUT -p ALL -o lo -j ACCEPT

Itt meg nem látom értelmét a -p ALL használatának.

Lényegében ezek csak formalitásbeli dolgok, csak semmi hasznuk nincs :D

Mono: az a különbség a -A INPUT -j DROP és a -P INPUT DROP között, hogy az utóbbi akkor van érvényben, ha egy csomag eléri az INPUT lánc végét (vagyis egy szabályra sem illeszkedik), az előbbi meg bármilyen, az INPUT láncon lévő csomagot eldob. Természetesen ha a -j DROP-osat a végére írod, ugyanaz, mint a másik.

Nos, köszi az eddigi segítséget, van egy "végleges" konfig fájlom:
[code:1:581cc2c111]
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -i lo -j ACCEPT
iptables -A INPUT -p tcp -m tcp -m multiport --dports 22 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT -m limit --limit 2/second --limit-burst 5
iptables -A INPUT -p tcp --dport 113 -j REJECT
iptables -A INPUT -j DROP [/code:1:581cc2c111]

Ehhez mit szóltok :?:

[quote:3cdc32547a="Mono"]Nos, köszi az eddigi segítséget, van egy "végleges" konfig fájlom:
[code:1:3cdc32547a]
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -i lo -j ACCEPT
iptables -A INPUT -p tcp -m tcp -m multiport --dports 22 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT -m limit --limit 2/second --limit-burst 5
iptables -A INPUT -p tcp --dport 113 -j REJECT
iptables -A INPUT -j DROP [/code:1:3cdc32547a]

Ehhez mit szóltok :?:

Így valószínűleg nem fogsz tudni megpingelni sem, kivéve magadat (127.0.0.1). Vagy engedélyeztd külön a --icmp-type echo-reply -t, vagy -p icmp -vel az összest, szerintem nem pingekkel fognak téged dosolni, ha arra kerülne a sör.

[quote:a4fc033034="lacipac"][quote:a4fc033034="Mono"]Nos, köszi az eddigi segítséget, van egy "végleges" konfig fájlom:
[code:1:a4fc033034]
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -i lo -j ACCEPT
iptables -A INPUT -p tcp -m tcp -m multiport --dports 22 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT -m limit --limit 2/second --limit-burst 5
iptables -A INPUT -p tcp --dport 113 -j REJECT
iptables -A INPUT -j DROP [/code:1:a4fc033034]

Ehhez mit szóltok :?:

Így valószínűleg nem fogsz tudni megpingelni sem, kivéve magadat (127.0.0.1). Vagy engedélyeztd külön a --icmp-type echo-reply -t, vagy -p icmp -vel az összest, szerintem nem pingekkel fognak téged dosolni, ha arra kerülne a sör.

No kicsit kiokosítottak már icmp terén.
Bár ezt nem teljesen értem:

Így valószínűleg nem fogsz tudni megpingelni sem,...

hogy itt ki-kit pingel :) , de mindenesetre a védett gépet tudom pingelni, limitáltan persze, ahogy be van állítva, sima ping ok, pingflood-ra 95%-os packet loss jön vissza, ill. a védett gépről is tudok pingelni kifelé, bárhova.

A titok nyitja a pingelést tekintve abban az egy icmp-s sorban rejlik, ő elfogad pinget, bizonyos megszorításokkal. A további, esetleges icmp válaszokat a külső célállomásról is fogadni tudja, mivel a legelső sorba rejtett ESTABLISHED szó erre ad lehetőséget, egy, már felépített kapcsolat esetében biztosítja a kapcsolathoz szükséges icmp csatornákat.

De tesztek alapján jónak tűnik a dolog, mivel a legutolsó sorban DROP van REJECT helyett, így jó sok idő telik el egy bezárt portra való csatlakozáskor, az eredmény: Connection timeout, ami elég jó védelem egy portscannelés ellen, nagyságrendekkel tovább tart kivárni a timeout-ot ívülről, mint egyből megkapni egy connection refused icmp üzenetet, amit a REJECT nyújtana.

De ha van további észrevétel, írjátok meg légyszi! :)

[quote:9045ea7eb4="x-daemon"]a default policy-t ACCEPT-re állítod?

Jogos, ez a gond. Más okból (alapból tiltás) ezt nem tehetem, de legalább tudom a "hiba" okát, ez azért megnyugtató, köszi!

ftp problémám is megoldódott közben, fentebbi kérdésem így már tárgytalan.

Bocsi, nyelvtanilag meg tartalmilag is hülyeséget mondtam.

Rendben.

De melyik deb csomag kell hozzá, ha van?
És hogyan lesz belőle transparent proxy?

Előre is köszi.

squid, es nez vegig a configot, tele van comment-el

[quote:6a86fe0b3a="lacipac"]Bocsi, nyelvtanilag meg tartalmilag is hülyeséget mondtam.

Azt hiszem, én is, az előző hozzászólásban az icmp-t nem az ESTABLISHED, hanem a RELATED oldja meg.

Erről pont ma indult vagy folytatódott egy topic...

[quote:1dc3824e14="Mono"]Azt hiszem, én is, az előző hozzászólásban az icmp-t nem az ESTABLISHED, hanem a RELATED oldja meg.

Hmmm. Akkor lehet, hogy van RELATED UDP-re is? :) Ezekkel mélyebben még nem foglalkoztam, de itt az idő utánajárni. :wink:

Na, sikerült hülyeséget mondanom. :) Ezt találtam:

Because it lacks sequence numbers, udp is known as a "stateless" protocol . However, this does not mean we can't track udp connections.

Állítólag a /proc/net/ip_conntrack fájlban érdemes nézegetni. A jegyzett kapcsolatokat. Bővebben itt: http://www.sns.ias.edu/~jns/security/iptables/iptables_conntrack.html

[quote:fe847a0e13="broven"][quote:fe847a0e13="Mono"]Azt hiszem, én is, az előző hozzászólásban az icmp-t nem az ESTABLISHED, hanem a RELATED oldja meg.

Hmmm. Akkor lehet, hogy van RELATED UDP-re is? :) Ezekkel mélyebben még nem foglalkoztam, de itt az idő utánajárni. :wink:

Aki még felvilágosított ebben a dologban, azt mondja, hogy igen. Kicsit másabb udp esetében, mint tcp-nél, de van. Alátámasztásként annyit tudok mondani, hogy nézd meg a fenti "konfigomat". Tökéletesen megy vele a DNS. DNS szerverkéntként a szolgáltatóm DNS szervere van megadva azon a gépen, elviekben udp portot nem deifináltam, hogy legyen nyitva, főként nem az 53-as (volt előtte olyan is itt a topikban, de elhagytam, mégis megy). Elviekben ha nem lenne, akkor a DNS kérdésemre a válasz nem tudna bejutni. De bejön és megy. Tehát egyértelműen igen.