tűzfal probléma

Linux-kezdő

tűzfal probléma

  • 530 megtekintés

( Willow | 2005. 03. 24., cs – 08:43 )

Az a gond, hogy a tűzfal mögötti egyik szervernél beállítottam, hogy frissitse magát a egy külső timeserveren.
Beállítottam a forward láncot, hogy kifelé nyithat új udp 123 porton kapcsolatot. Elvileg a szinkron megy is.
A gond az ,hogy elég sok kapcsolatot akar létrehozni a külső time szerver, de nem az adott géppel, hanem a tűzfalammal.
( az INPUT láncon udp 123-ra udp 123-ról)
miért csinálja? most letiltottam, de azért érdekelne?
de ua. megcsinálja DNS -nél is, pedig a tűzfal gépen nincs dns szerver.

( maszili | 2005. 03. 24., cs – 09:36 )

[quote:497eccabfb="Willow"]
Beállítottam a forward láncot, hogy kifelé nyithat új udp 123 porton kapcsolatot.

Befele is van port forward?

[quote:497eccabfb="Willow"]
A gond az ,hogy elég sok kapcsolatot akar létrehozni a külső time szerver, de nem az adott géppel, hanem a tűzfalammal.

Ez termeszetes, hiszen az internet fele a tuzfalad latszik.
Ha a tuzfaladon beallitod hogy tovabbitsa az 123 portra erkezo
kereseket a 'mogotte' levo gepre akkor az a gep fogja megkapni.

( blanc | 2005. 03. 25., p – 13:01 )

[quote:7860ed43c6="Willow"]
A hibák nem a FORWARD, hanem az INPUT láncon vannak.

S mi van az INPUT-on?
A FORWARD-nak elvileg elégnek kéne lennie, bár én inkább úgy szoktam, hogy a bejövőknél mindent engedek ilyenkor kivéve a SYN-t. Merthogy ugye azt a belső szerver hozza létre.

( blanc | 2005. 03. 24., cs – 12:05 )

[quote:3db35a215b="Willow"]
A gond az ,hogy elég sok kapcsolatot akar létrehozni a külső time szerver, de nem az adott géppel, hanem a tűzfalammal.
( az INPUT láncon udp 123-ra udp 123-ról)
miért csinálja? most letiltottam, de azért érdekelne?
de ua. megcsinálja DNS -nél is, pedig a tűzfal gépen nincs dns szerver.

Engedd az adott time-szerverről befelé jövő kapcsolatot a belső háló felé (tehát a SYN csomagot ne, csak a SYN-ACK-ot és folyományait), DNS-szervernél szintén. Szerencsétleneknek vissza kell szólniuk valahogy a belső háló gépeire.

( Willow | 2005. 03. 24., cs – 12:08 )

Ezt értem.
De nem úgy kéne működnie, hogy a benti szerver kérdezi le az időt?
Meg a benti DNS szerver keres rá más DNS szerverekben a keresett web címre?
a belső szerver hozza létre a kapcsolatot.
Az engedélyezve van, hogy a visszatérő csomagok bemenjenek.
(RELATED,ESTABLISHED)

( blanc | 2005. 03. 24., cs – 12:46 )

[quote:19adefa9db="Willow"]Ezt értem.
De nem úgy kéne működnie, hogy a benti szerver kérdezi le az időt?
Meg a benti DNS szerver keres rá más DNS szerverekben a keresett web címre?
a belső szerver hozza létre a kapcsolatot.
Az engedélyezve van, hogy a visszatérő csomagok bemenjenek.
(RELATED,ESTABLISHED)

Hogyan állítottad be?
A Bind alapértelmezetten ezt teszi, megpróbálja feloldani önmaga a kérést és ha nem tudja, akkor megkérdezi a számára megadott DNS-szervertől, aztán feloldja, vagy ha nem, akkor megkérdi a neki megadott szervertől.... (és ezt nagyon sokáig tudnám még írni :-))
Ha a belső szervereden van egy DNS-szerver, akkor nézd meg, milyen beállításai vannak. Esetleg emellett logolhatnád a tűzfaladon az 53-as port kéréseit, hátha abbl kiderül valami.

Az ntp-szerver hasonló módon működik, ő szinkronizál a külső szerverrel és (ha úgy állítottad be a többit) a többi gép pedig róla.
De itt is csak azt tudom mondani, hogy beállítás kérdése. Mit adtál meg, hogy adtad meg, stb.

Ilyen esetekben csak azt tudom ajánlani, hogy logold a forgalmat az adott porton, abból lehet látni, mi milyen forgalmat generálni, s kiderülhet, hogy mi a gond.

( Willow | 2005. 03. 24., cs – 13:49 )

2 sor van megadva ehez kapcsolódva.
$IPTABLES -I FORWARD 1 -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -p udp -s $LAN -m state --state NEW --dport 123 -j ACCEPT #idoszinkron

én úgy érzem ennek elégnek kéne lenni, ahoz, hogy a belső szerver frissítsen,nem?
A hibák nem a FORWARD, hanem az INPUT láncon vannak.
NAt is van persze.
($IPTABLES -t nat -A POSTROUTING -s $LAN -o $NET_IFACE -j SNAT --to-source $NET_IP)
ez nem elég?