Összekukáztam iptables alá egy szabályrendszert, viszont a Transmission valami oknál fogva nem akarja az igazat mert nyitott port (OpenWrt) mellett sincs kimenő forgalom, íme:
*filter
# Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 -j REJECT
# Accept all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Allow all outbound traffic - you can modify this to only allow certain traffic
-A OUTPUT -j ACCEPT
# Allow HTTP and HTTPS connections from anywhere (the normal ports for websites and SSL).
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
# Allow SSH connections
-A INPUT -p tcp -m state --state NEW --dport 37 -j ACCEPT
# Allow ping
-A INPUT -p icmp --icmp-type echo-request -j ACCEPT
# Allow Samba connection
-A INPUT -p udp -m udp -s 192.168.1.240/24 --dport 137 -j ACCEPT
-A INPUT -p udp -m udp -s 192.168.1.240/24 --dport 138 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.1.240/24 --dport 139 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp -s 192.168.1.240/24 --dport 445 -j ACCEPT
# Allow DLNA connection
-A INPUT -s 192.168.1.240/24 -p tcp -m tcp --dport 8200 -j ACCEPT
-A INPUT -s 192.168.1.240/24 -p udp -m udp --dport 1900 -j ACCEPT
# Allow Transmission connection
-A INPUT -m state --state RELATED,ESTABLISHED -p tcp --dport 51333 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -p udp --dport 51333 -j ACCEPT
-A OUTPUT -p tcp --sport 51333 -j ACCEPT
-A OUTPUT -p udp --sport 51333 -j ACCEPT
# Allow Transmission web interface
-A INPUT -p tcp --dport 9091 -s 192.168.1.240/24 -j ACCEPT
# Log iptables denied calls
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
# Drop all other inbound - default deny unless explicitly allowed policy
-A INPUT -j DROP
-A FORWARD -j DROP
COMMIT
kern.log
...
Dec 18 16:15:13 raspberrypi kernel: [ 6526.520518] iptables denied: IN=eth0 OUT= MAC=b8:27:eb:f6:a6:f9:e8:de:27:d7:cd:7e:08:00:45:00:00:3a:72:8f:00:00:76:11:8c:dd SRC=94.21.36.190 DST=192.168.1.240 LEN=58 TOS=0x00 PREC=0x00 TTL=118 ID=29327 PROTO=UDP SPT=64569 DPT=51444 LEN=38
Dec 18 16:15:25 raspberrypi kernel: [ 6538.855939] iptables denied: IN=eth0 OUT= MAC=b8:27:eb:f6:a6:f9:e8:de:27:d7:cd:7e:08:00:45:00:00:3a:79:73:00:00:77:11:45:d5 SRC=91.144.102.103 DST=192.168.1.240 LEN=58 TOS=0x00 PREC=0x00 TTL=119 ID=31091 PROTO=UDP SPT=10808 DPT=51444 LEN=38
Dec 18 16:15:37 raspberrypi kernel: [ 6550.555331] iptables denied: IN=eth0 OUT= MAC=b8:27:eb:f6:a6:f9:e8:de:27:d7:cd:7e:08:00:45:00:00:30:7c:d8:00:00:78:11:63:7f SRC=84.0.75.242 DST=192.168.1.240 LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=31960 PROTO=UDP SPT=15532 DPT=51444 LEN=28
Dec 18 16:15:49 raspberrypi kernel: [ 6562.526852] iptables denied: IN=eth0 OUT= MAC=b8:27:eb:f6:a6:f9:e8:de:27:d7:cd:7e:08:00:45:00:00:34:79:3c:40:00:77:06:bc:70 SRC=185.33.82.130 DST=192.168.1.240 LEN=52 TOS=0x00 PREC=0x00 TTL=119 ID=31036 DF PROTO=TCP SPT=56967 DPT=51444 WINDOW=8192 RES=0x00 SYN URGP=0
Dec 18 16:16:01 raspberrypi kernel: [ 6574.502902] iptables denied: IN=eth0 OUT= MAC=b8:27:eb:f6:a6:f9:e8:de:27:d7:cd:7e:08:00:45:00:00:30:7c:71:00:00:77:11:56:0d SRC=188.6.242.196 DST=192.168.1.240 LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=31857 PROTO=UDP SPT=18747 DPT=51444 LEN=28
Dec 18 16:16:14 raspberrypi kernel: [ 6587.296780] iptables denied: IN=eth0 OUT= MAC=b8:27:eb:f6:a6:f9:e8:de:27:d7:cd:7e:08:00:45:00:00:34:54:e5:40:00:75:06:6a:a7 SRC=94.21.37.175 DST=192.168.1.240 LEN=52 TOS=0x00 PREC=0x00 TTL=117 ID=21733 DF PROTO=TCP SPT=52968 DPT=51444 WINDOW=8192 RES=0x00 SYN URGP=0
Dec 18 16:16:25 raspberrypi kernel: [ 6598.446510] iptables denied: IN=eth0 OUT= MAC=b8:27:eb:f6:a6:f9:e8:de:27:d7:cd:7e:08:00:45:00:00:34:5d:bd:40:00:78:06:1e:dc SRC=31.46.164.137 DST=192.168.1.240 LEN=52 TOS=0x00 PREC=0x00 TTL=120 ID=23997 DF PROTO=TCP SPT=27061 DPT=51444 WINDOW=8192 RES=0x00 SYN URGP=0
- 2214 megtekintés
Hozzászólások
Bemásoltad a releváns kernellogot, olvassuk el:
iptables denied: IN=eth0 OUT= MAC=b8:27:eb:f6:a6:f9:e8:de:27:d7:cd:7e:08:00:45:00:00:3a:72:8f:00:00:76:11:8c:dd SRC=94.21.36.190 DST=192.168.1.240 LEN=58 TOS=0x00 PREC=0x00 TTL=118 ID=29327 PROTO=UDP SPT=64569 DPT=51444 LEN=38Tehát azt látjuk, hogy az eth0 interfészen be akar jönni olyan forgalom, ami a géped UDP/51444 poprtjára tartana. A szabályrendszeredben nem látok ilyen portszámot, ellenben van 51333. Nem tudom, hogy az UDP/51333 kell-e egyáltalán neked, így azt mondom, első körben csak tedd mellé ugyanolyan szabályként az INPUT láncba.
Megjegyzés: Az "-A OUTPUT -j ACCEPT" után felesleges bármilyen "-A OUTPUT" szabály, hiszen soha nem fog elérni odáig. Lehetne több észrevételt is tenni.
- A hozzászóláshoz be kell jelentkezni
Először is köszönöm szépen mindenkinek , hogy foglakozott a problémával, sajnos nem nagyon értek hozzá viszont szeretném egyszer normálisan megcsinálni, hogy utána már kelljen vele foglalkozni.
Először is:
stra
Valóban, ki is szedtem transmission alól az OUTPUT sorokat, és módosítottam az INPUT részt, most tökéletesen működik a kliens.
norbertkiss
-A INPUT -m state --state RELATED,ESTABLISHED -p tcp --dport 51333 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -p udp --dport 51333 -j ACCEPT
Ez is módosításra került, köszönöm!
A "192.168.1.240/24" nem tudom mi akar lenni, de így jobban nézne ki:
192.168.1.0/24 - ha az egész 192.168.1.0 hálózatnak akarod engedni a hozzáférést
192.168.1.240/32 - ha csak egy konkrét ip-nek
Viszont ez nem működik! Ha fix IP állítok be /32 vel a végén akkor nem működik a minidlna, transmission samba hármas. Ez vajon miért lehet?
--
Debian GNU/Linux
- A hozzászóláshoz be kell jelentkezni
Gondolom azért, mert annak az ip tartománynak a broadcast IP címét (192.168.1.255) is engedélyezni kellene hozzá.
- A hozzászóláshoz be kell jelentkezni
És ezt hol tudom megtenni?
--
Debian GNU/Linux
- A hozzászóláshoz be kell jelentkezni
Használj x.y.z.0/24-et.
Gondolom a LAN-on belül akarod ezeket a forgalmakat engedni, azok pedig ebből a tartományból (x.y.z.0 - x.y.z.255) kapnak IP-t.
Amúgy nem értem mi vitt rá arra hogy ilyesmivel foglalkozz, pláne ha nem értesz hozzá. Alapvetően nincs sok értelme a LAN-on belüli forgalmat korlátozni, mert mindig lesz valami ami "nemmegy", aztán faraghatod folyton utána a tűzfalat.
- A hozzászóláshoz be kell jelentkezni
+1, mindenre.
- A hozzászóláshoz be kell jelentkezni
Nem lesz a NAS-en semmi mas csak amit mar a bevezetoben is leirtam.
A segitseget koszonom, mukodik minden!
--
Debian GNU/Linux
- A hozzászóláshoz be kell jelentkezni
-A INPUT -m state --state RELATED,ESTABLISHED -p tcp --dport 51333 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -p udp --dport 51333 -j ACCEPT
Én itt nem néznék állapotot, mivel az már a " -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT" sorban megtörtént.
A "NEW" állapotú csomagokra meg nincs is INPUT szabály. Ez így nem OK.
Törölném az idézett szabályokat és helyette:
-A INPUT -p tcp --dport 51333 -j ACCEPT
-A INPUT -p udp --dport 51333 -j ACCEPT
Az 51333, 51444 problémáról már írt előttem szóló.
- A hozzászóláshoz be kell jelentkezni
A "192.168.1.240/24" nem tudom mi akar lenni, de így jobban nézne ki:
192.168.1.0/24 - ha az egész 192.168.1.0 hálózatnak akarod engedni a hozzáférést
192.168.1.240/32 - ha csak egy konkrét ip-nek
- A hozzászóláshoz be kell jelentkezni
Én a "-m state --state NEW" részeket is kiszedném a szabályokból, mert minek van ott. De ezt itt mondjuk csak a dizájn miatt.
- A hozzászóláshoz be kell jelentkezni