iptables gond

Linux-haladó

iptables gond

  • 670 megtekintés

( szola | 2005. 06. 18., szo – 10:23 )

Először azért irtam ide és nem a SuSE részlegbe, mert ott senki nem válaszolt még soha :(

Amit megadtál azt beírtam és elindítottam, de a következő üzenetet kaptam:

Starting Firewall Initialization (phase 2 of 3) Bad argument `192.168.0.1'
..done

Az oldalt amit ajánlottál megnéztem és ott találtam hasolnó beállításra példákat, de az eredmény ugyanaz tiltás és semmi eredmény.

Részletezem a dolgot, mi is a gond.
A hálózat felépítése: DSL (ppp0) (dinamikus IP)--> Server (SuSELinux, SuSEfirewall2) --> LAN (Belső hálózat) (statikus IP-k)

1. Belső hálózatról bárki rá tud csatlakozni a világhálón létrehozott Battlenet szerveren keresztül készített Warcraft3 hostra.

2.Forwardolással engedélyezni tudtam, hogy bármelyik belső hálózati gép tudjon Battleneten keresztül hostot létrehozni.

3. Az internetről bárki rá tud csatlakozni a készített hostra.

4. Belső hálózat összes gépéről viszont ugyanerre a készített hostra nem tud rácsatlakozni, a következő miatt a log file ból látszik, hogy a tüzfal tilt.

SuSE-FW-ACCESS_DENIED_INT IN=eth0 OUT= MAC=00:04:75:82:e9:e0:00:50:8d:6b:83:d7:08:00 SRC=192.168.0.110 DST=81.182.145.34 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=259 DF PROTO=TCP SPT=1052 DPT=6112 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405B401010402)

Remélem akad még megoldás erre a kérdésre.

Köszi előre is.

( Panther v | 2005. 06. 18., szo – 10:27 )

Ja, csak elnéztem. SNAT - a forrráscímet állítja át POSTROUTING-ban, --to-source opcióval

DNAT-ot akartam írni, ami a célcímet módosítja, amikor a csomag bekerül a gépbe :)

tehát -j DNAT --to-destionation A_gep_lan_feloli_ip_cime

( szola | 2005. 06. 18., szo – 10:28 )

Még egy kérés, hogy ha a DSL kapcsolat dinamikus, azt hogy írom bele az iptables-es sorba, mert nehéz lenne mindig ip cimeket beírni manuálisan?

Köszi

( Panther v | 2005. 06. 18., szo – 10:43 )

[code:1:3221cf6c58]PPP_ADDR=$(/sbin/ifconfig ppp0 | grep "inet addr" | cut -f2 -d: | cut -f1 -d" ")
[/code:1:3221cf6c58]

Ezután a $PPP_ADDR változót írod be az adsl ip címéhez (ha ppp0 az interface, alapesetben az)

( szola | 2005. 06. 18., szo – 10:51 )

Beírtam, és ezt írja ki hibaüzenetként:

iptables: Unknown arg --to-desination

( Panther v | 2005. 06. 18., szo – 10:54 )

[quote:c50442231c="szola"]Beírtam, és ezt írja ki hibaüzenetként:

iptables: Unknown arg --to-desination

Egyikünk sem tud gépelni :lol:
--to-destination

( szola | 2005. 06. 18., szo – 11:15 )

a tüzfal lefutott, ha beírtam az internet ip-t, de most meg be se tudok lépni a battlenetre :(

Ezzel meg valami baja van , mert azt írja iptables: host/network "PPP_ADDR" not found

ezt igy írtam be az iptables sorba (-d PPP_ADDR)

PPP_ADDR=$(/sbin/ifconfig ppp0 | grep "inet addr" | cut -f2 -d: | cut -f1 -d" ")

Nemtudom mi a baja :(

( Panther v | 2005. 06. 18., szo – 11:18 )

iptables -A PREROUTING -d $PPP_ADDR -j DNAT --to-destionation 192.168.0.1

Lemeradt a $.....

( szola | 2005. 06. 18., szo – 11:28 )

Köszi ez igy már ok. Lefutott.
Be tudtam lépni battlenetre, de rácsatlakozni nem tudtam, gyorsabban elutasított mint ezelött volt.
Legalább eltünt a ACCESS_DENIED :) csak nem oldottam meg a gondot.

Most a log szerint még mindig nem jó valami, most ezt írja:

Jun 18 11:22:17 server kernel: SuSE-FW-ILLEGAL-TARGET IN=ppp0 OUT= MAC= SRC=81.183.155.2 DST=192.168.0.1 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=58245 DF PROTO=TCP SPT=3787 DPT=135 WINDOW=64800 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Jun 18 11:23:17 server kernel: SuSE-FW-ILLEGAL-TARGET IN=ppp0 OUT= MAC= SRC=81.183.170.183 DST=192.168.0.1 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=57158 DF PROTO=TCP SPT=4554 DPT=135 WINDOW=64800 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Jun 18 11:23:20 server kernel: SuSE-FW-ILLEGAL-TARGET IN=ppp0 OUT= MAC= SRC=81.183.170.183 DST=192.168.0.1 LEN=48 TOS=0x00 PREC=0x00 TTL=125 ID=57482 DF PROTO=TCP SPT=4554 DPT=135 WINDOW=64800 RES=0x00 SYN URGP=0 OPT (020405A001010402)
Jun 18 11:23:24 server kernel: SuSE-FW-ILLEGAL-TARGET IN=ppp0 OUT= MAC= SRC=206.24.172.37 DST=192.168.0.1 LEN=1492 TOS=0x08 PREC=0x00 TTL=56 ID=9485 PROTO=TCP SPT=80 DPT=12674 WINDOW=6432 RES=0x00 ACK PSH URGP=0

Remélem te vágod mi is történik :)

( Ajnasz v | 2005. 06. 18., szo – 11:47 )

Nem vagyok benne biztos, még nem natoltam, de szerintem be kell állítani a nat táblára (-t nat)
[code:1:e315feb018]iptables -t nat -A PREROUTING -d $PPP_ADDR -j DNAT --to-destionation 192.168.0.1[/code:1:e315feb018]

( Panther v | 2005. 06. 18., szo – 11:51 )

Na, a 135ös portra csak ne akarjon csatlakozni semmi. Amit bemásoltál, annak semmi köze sincs a battle.net-hez. Ugyanis tutira nem kell a gépedhez 1024 alatti porton csatlakozni. A másik: a battle.net megy akkor is, ha csak a forward van engedélyezve, vagyis ha a belső hálóról az internet felé minden kapcsolatot enged a router. Semmit nem kellett beállítanom itthon. Csak ha én akartam szervert indítani.

Inkább arra gyanakszom, hogy vki próbálkozott a gépedet megtörni. Vagy épp csak egy program. Bár emlékeim szerint a windows a megosztásokhoz a 139-es portot használja...

( szola | 2005. 06. 18., szo – 11:54 )

Köszi. Pontosan igy használtam, ahogy leírtad.

( Panther v | 2005. 06. 18., szo – 11:54 )

Oopsz, egyvalamit elfelejtettem. A PREROUTING-os szabályban egy -i eth0 opció lemaradt, ha az eth0 a belső háló felőli interface

iptables -A POSTROUTING -i eth0 -d stb

A netről érkező kapcsolatokat nem kéne a belső címre dobni. Ez volt a furcsa benne. Ezért invalid a target (érvénytelen a cél).

( szola | 2005. 06. 18., szo – 12:02 )

Legalább ez is kiderült, hogy az nem a Battle.net hez tartozik.

Kérlek írd meg érted e pontosan mi is a problémám, mert lehet érthetetlenül írom le.

Alap beállítással ment minden belső hálózati gépről a battlenetre való csatlakozás, és tudott itt mindenki játszani.

Ahoz, hogy tudjanak hostolni, hogy az internetről bárki becsatlakozzon azt megoldottam forwardolással.

Viszont azt nem tudom megoldani, hogy helyi hálózatból kreál vaki egy gémet és egy helyi másik gépről is be tudjanak oda csatlakozni Battle.net en keresztül, és akár az internetről is vegyesen.

( szola | 2005. 06. 18., szo – 12:06 )

Beírtam amit irtál, de továbbra sincs változás :(

( Panther v | 2005. 06. 18., szo – 12:51 )

Értem, de nem tudom elképzelni, melyik szabály tiltja le a kapcsolatot (eddig em tudtam meg túl sokat róla).

( szola | 2005. 06. 18., szo – 13:04 )

Tudsz nekem olyan iptables scriptet küldeni, ami ugy van beállítva, hogy csak alapszinten maszkol, és első körben nem véd nagyon?

Azon gondolkoztam, hogy ha alap tüzfalon indítom a dolgokat talán müködik. Persze nem szeretném úgy hagyni, de legalább lenne némi esély, hogy megoldható a probléma.

Vagy ha gondolod elküldeném a config fájlokat, meg egy iptables -L es listázást, hátha értesz belőle valamit és megoldást tudsz találni.

( Panther v | 2005. 06. 18., szo – 13:35 )

Hát én most feltettem egy SuSE8.2-ből a /etc/sysconfig/SuSEfirewall2 fájlomat ide:

http://cfhay.inf.elte.hu/~panther/linux/scripts/SuSEfirewall2

Elvileg kiszedtem minden felesleges dolgot belőle, de nem garantálom. Egy yast firewall mindenképpen kell utána :)

( szola | 2005. 06. 18., szo – 14:18 )

Köszi megkaptam, megnézem mit csinál igy. Nemtudom mikor tudom majd kipróbálni, mert a hálózaton most sokan vannak és nem szeretnék bekavarni :) Talán este tudom írni mi történt.

Köszi

( szola | 2005. 06. 19., v – 09:54 )

Kipróbáltam a te általad küldött config filet, de semmi, igy sem megy, továbbra is tiltás van.

Nem hiszem el, hogy nem lehet megoldani egy ilyen problémát.

( Panther v | 2005. 06. 19., v – 10:05 )

Lehet, többre mennék az iptables-save kimenetével. Nem értem egyébként, miért nem megy, mert mindig is tudtam tűzfal (router) mögött battle.net-en játszani. Természetesen az nem ment, hogy szervert indítsak, csak ha engedélyeztem a megfelelő portokat (portforward.com).

( szola | 2005. 06. 19., v – 10:19 )

Battle.Net-en bármelyik gépről tudnak játszani, fowardolással beállítottam , hogy szervert is tudjak csinálni.

Viszont itt az az igény, hogy ha csinál valaki egy szervert, ne csak internetről tudjanak becsatlakozni arra gépre, hanem a többi belső hálózatos gépről is. (ezt tiltja valami a tüzfalban éás ezt nem tudom kinyírni) :)

( szola | 2005. 06. 19., v – 10:24 )

Ide beillesztem a dolgokat :)

# Generated by iptables-save v1.2.7a on Sun Jun 19 10:22:42 2005
*mangle
:PREROUTING ACCEPT [78769853:26610854288]
:INPUT ACCEPT [64683926:19590760949]
:FORWARD ACCEPT [14077777:7016679207]
:OUTPUT ACCEPT [95551863:119285080316]
:POSTROUTING ACCEPT [109626988:126301546699]
-A PREROUTING -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --sport 20 -j TOS --set-tos 0x08
-A PREROUTING -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 20 -j TOS --set-tos 0x08
-A PREROUTING -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --sport 80 -j TOS --set-tos 0x08
-A PREROUTING -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 80 -j TOS --set-tos 0x08
-A PREROUTING -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --sport 53 -j TOS --set-tos 0x10
-A PREROUTING -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --dport 53 -j TOS --set-tos 0x10
-A PREROUTING -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --dport 161 -j TOS --set-tos 0x04
-A PREROUTING -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --dport 162 -j TOS --set-tos 0x04
-A PREROUTING -p udp -m udp --dport 514 -j TOS --set-tos 0x04
-A OUTPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --sport 20 -j TOS --set-tos 0x08
-A OUTPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 20 -j TOS --set-tos 0x08
-A OUTPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --sport 80 -j TOS --set-tos 0x08
-A OUTPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 80 -j TOS --set-tos 0x08
-A OUTPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --sport 53 -j TOS --set-tos 0x10
-A OUTPUT -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --dport 53 -j TOS --set-tos 0x10
-A OUTPUT -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --dport 161 -j TOS --set-tos 0x04
-A OUTPUT -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --dport 162 -j TOS --set-tos 0x04
-A OUTPUT -p udp -m udp --dport 514 -j TOS --set-tos 0x04
COMMIT
# Completed on Sun Jun 19 10:22:42 2005
# Generated by iptables-save v1.2.7a on Sun Jun 19 10:22:42 2005
*filter
:INPUT DROP [1:95]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [3873:5415796]
:forward_dmz - [0:0]
:forward_ext - [0:0]
:forward_int - [0:0]
:input_dmz - [0:0]
:input_ext - [0:0]
:input_int - [0:0]
:reject_func - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -d 255.255.255.255 -i eth0 -p udp -m state --state NEW,ESTABLISHED -m udp --sport 68 --dport 67 -j ACCEPT
-A INPUT -i eth0 -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --dport 137:138 -j ACCEPT
-A INPUT -s 127.0.0.0/255.0.0.0 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOFING " --log-tcp-options --log-ip-options
-A INPUT -d 127.0.0.0/255.0.0.0 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOFING " --log-tcp-options --log-ip-options
-A INPUT -s 127.0.0.0/255.0.0.0 -j DROP
-A INPUT -d 127.0.0.0/255.0.0.0 -j DROP
-A INPUT -s 192.168.0.1 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOFING " --log-tcp-options --log-ip-options
-A INPUT -s 192.168.0.1 -j DROP
-A INPUT -s 81.183.157.68 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOFING " --log-tcp-options --log-ip-options
-A INPUT -s 81.183.157.68 -j DROP
-A INPUT -d 81.183.157.68 -i ppp0 -j input_ext
-A INPUT -d 192.168.0.1 -i eth0 -j input_int
-A INPUT -d 192.168.0.255 -i eth0 -j DROP
-A INPUT -d 255.255.255.255 -i eth0 -j DROP
-A INPUT -d 81.183.157.68 -i eth0 -j LOG --log-prefix "SuSE-FW-ACCESS_DENIED_INT " --log-tcp-options --log-ip-options
-A INPUT -d 81.183.157.68 -i eth0 -j DROP
-A INPUT -j LOG --log-prefix "SuSE-FW-ILLEGAL-TARGET " --log-tcp-options --log-ip-options
-A INPUT -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i eth0 -o eth0 -j ACCEPT
-A FORWARD -i ppp0 -o ppp0 -j ACCEPT
-A FORWARD -i ppp0 -j forward_ext
-A FORWARD -i eth0 -j forward_int
-A FORWARD -j LOG --log-prefix "SuSE-FW-ILLEGAL-ROUTING " --log-tcp-options --log-ip-options
-A FORWARD -j DROP
-A FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j LOG --log-prefix "SuSE-FW-FORWARD-ERROR " --log-tcp-options --log-ip-options
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 11 -j LOG --log-prefix "SuSE-FW-TRACEROUTE-ATTEMPT " --log-tcp-options --log-ip-options
-A OUTPUT -p icmp -m icmp --icmp-type 11 -j DROP
-A OUTPUT -p icmp -m icmp --icmp-type 3/4 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 3/9 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 3/10 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 3/13 -j ACCEPT
-A OUTPUT -p icmp -m icmp --icmp-type 3 -j DROP
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -j LOG --log-prefix "SuSE-FW-OUTPUT-ERROR " --log-tcp-options --log-ip-options
-A forward_dmz -s 81.183.157.68 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOF " --log-tcp-options --log-ip-options
-A forward_dmz -s 81.183.157.68 -j DROP
-A forward_dmz -s 192.168.0.0/255.255.255.0 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOF " --log-tcp-options --log-ip-options
-A forward_dmz -s 192.168.0.0/255.255.255.0 -j DROP
-A forward_dmz -d 192.168.0.1 -j LOG --log-prefix "SuSE-FW-DROP-CIRCUMVENTION " --log-tcp-options --log-ip-options
-A forward_dmz -d 192.168.0.1 -j DROP
-A forward_dmz -d 81.183.157.68 -j LOG --log-prefix "SuSE-FW-DROP-CIRCUMVENTION " --log-tcp-options --log-ip-options
-A forward_dmz -d 81.183.157.68 -j DROP
-A forward_dmz -p icmp -m state --state RELATED -m icmp --icmp-type 3 -j ACCEPT
-A forward_dmz -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT
-A forward_dmz -d 192.168.0.12 -p tcp -m tcp --dport 6112 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-ACCEPT-TRUST " --log-tcp-options --log-ip-options
-A forward_dmz -d 192.168.0.12 -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 6112 -j ACCEPT
-A forward_dmz -s 192.168.0.12 -p tcp -m state --state RELATED,ESTABLISHED -m tcp --sport 6112 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A forward_dmz -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A forward_dmz -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A forward_dmz -d 192.168.0.12 -i ppp0 -p tcp -m tcp --dport 6112 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-ACCEPT-REVERSE_MASQ " --log-tcp-options --log-ip-options
-A forward_dmz -d 192.168.0.12 -i ppp0 -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 6112 -j ACCEPT
-A forward_dmz -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_dmz -j DROP
-A forward_ext -s 192.168.0.0/255.255.255.0 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOF " --log-tcp-options --log-ip-options
-A forward_ext -s 192.168.0.0/255.255.255.0 -j DROP
-A forward_ext -d 192.168.0.1 -j LOG --log-prefix "SuSE-FW-DROP-CIRCUMVENTION " --log-tcp-options --log-ip-options
-A forward_ext -d 192.168.0.1 -j DROP
-A forward_ext -p icmp -m state --state RELATED -m icmp --icmp-type 3 -j ACCEPT
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT
-A forward_ext -d 192.168.0.12 -p tcp -m tcp --dport 6112 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-ACCEPT-TRUST " --log-tcp-options --log-ip-options
-A forward_ext -d 192.168.0.12 -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 6112 -j ACCEPT
-A forward_ext -s 192.168.0.12 -p tcp -m state --state RELATED,ESTABLISHED -m tcp --sport 6112 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A forward_ext -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A forward_ext -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A forward_ext -d 192.168.0.12 -i ppp0 -p tcp -m tcp --dport 6112 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-ACCEPT-REVERSE_MASQ " --log-tcp-options --log-ip-options
-A forward_ext -d 192.168.0.12 -i ppp0 -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 6112 -j ACCEPT
-A forward_ext -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_ext -j DROP
-A forward_int -s 81.183.157.68 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOF " --log-tcp-options --log-ip-options
-A forward_int -s 81.183.157.68 -j DROP
-A forward_int -d 81.183.157.68 -j LOG --log-prefix "SuSE-FW-DROP-CIRCUMVENTION " --log-tcp-options --log-ip-options
-A forward_int -d 81.183.157.68 -j DROP
-A forward_int -p icmp -m state --state RELATED -m icmp --icmp-type 3 -j ACCEPT
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT
-A forward_int -d 192.168.0.12 -p tcp -m tcp --dport 6112 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-ACCEPT-TRUST " --log-tcp-options --log-ip-options
-A forward_int -d 192.168.0.12 -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 6112 -j ACCEPT
-A forward_int -s 192.168.0.12 -p tcp -m state --state RELATED,ESTABLISHED -m tcp --sport 6112 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A forward_int -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A forward_int -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A forward_int -d 192.168.0.12 -i ppp0 -p tcp -m tcp --dport 6112 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-ACCEPT-REVERSE_MASQ " --log-tcp-options --log-ip-options
-A forward_int -d 192.168.0.12 -i ppp0 -p tcp -m state --state NEW,RELATED,ESTABLISHED -m tcp --dport 6112 -j ACCEPT
-A forward_int -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A forward_int -j DROP
-A input_dmz -s 81.183.157.68 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOF " --log-tcp-options --log-ip-options
-A input_dmz -s 81.183.157.68 -j DROP
-A input_dmz -s 192.168.0.0/255.255.255.0 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOF " --log-tcp-options --log-ip-options
-A input_dmz -s 192.168.0.0/255.255.255.0 -j DROP
-A input_dmz -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT
-A input_dmz -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 3 -j ACCEPT
-A input_dmz -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 11 -j ACCEPT
-A input_dmz -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 12 -j ACCEPT
-A input_dmz -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 14 -j ACCEPT
-A input_dmz -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 18 -j ACCEPT
-A input_dmz -p icmp -j LOG --log-prefix "SuSE-FW-DROP-ICMP " --log-tcp-options --log-ip-options
-A input_dmz -p icmp -j DROP
-A input_dmz -p tcp -m tcp --dport 113 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-REJECT " --log-tcp-options --log-ip-options
-A input_dmz -p tcp -m tcp --dport 113 --tcp-flags SYN,RST,ACK SYN -j reject_func
-A input_dmz -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_dmz -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_dmz -p tcp -m tcp --dport 111 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_dmz -p tcp -m tcp --dport 111 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_dmz -p tcp -m tcp --dport 139 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_dmz -p tcp -m tcp --dport 139 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_dmz -p tcp -m tcp --dport 631 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_dmz -p tcp -m tcp --dport 631 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_dmz -p tcp -m tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_dmz -p tcp -m tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_dmz -p tcp -m tcp --dport 6000 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_dmz -p tcp -m tcp --dport 6000 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_dmz -p tcp -m tcp --dport 10000 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_dmz -p tcp -m tcp --dport 10000 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_dmz -p tcp -m state --state RELATED,ESTABLISHED -m tcp --dport 1024:65535 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-ACCEPT " --log-tcp-options --log-ip-options
-A input_dmz -p tcp -m state --state RELATED,ESTABLISHED -m tcp --dport 1024:65535 -j ACCEPT
-A input_dmz -p tcp -m state --state ESTABLISHED -m tcp --dport 600:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A input_dmz -p tcp -m state --state ESTABLISHED -m tcp --dport 20 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A input_dmz -s 195.228.240.248 -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A input_dmz -s 145.236.224.249 -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A input_dmz -p udp -m udp --dport 22 -j DROP
-A input_dmz -p udp -m udp --dport 67 -j DROP
-A input_dmz -p udp -m udp --dport 111 -j DROP
-A input_dmz -p udp -m udp --dport 111 -j DROP
-A input_dmz -p udp -m udp --dport 137 -j DROP
-A input_dmz -p udp -m udp --dport 138 -j DROP
-A input_dmz -p udp -m udp --dport 139 -j DROP
-A input_dmz -p udp -m udp --dport 631 -j DROP
-A input_dmz -p udp -m udp --dport 631 -j DROP
-A input_dmz -p udp -m udp --dport 3128 -j DROP
-A input_dmz -p udp -m udp --dport 6000 -j DROP
-A input_dmz -p udp -m udp --dport 10000 -j DROP
-A input_dmz -p udp -m udp --dport 10000 -j DROP
-A input_dmz -p udp -m state --state RELATED,ESTABLISHED -m udp --dport 1024:65535 -j ACCEPT
-A input_dmz -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_dmz -j DROP
-A input_ext -s 192.168.0.0/255.255.255.0 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOF " --log-tcp-options --log-ip-options
-A input_ext -s 192.168.0.0/255.255.255.0 -j DROP
-A input_ext -s 81.183.157.68 -p icmp -m icmp --icmp-type 4 -j LOG --log-prefix "SuSE-FW-ACCEPT-SOURCEQUENCH " --log-tcp-options --log-ip-options
-A input_ext -s 81.183.157.68 -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A input_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT
-A input_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 3 -j ACCEPT
-A input_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 11 -j ACCEPT
-A input_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 12 -j ACCEPT
-A input_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 14 -j ACCEPT
-A input_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 18 -j ACCEPT
-A input_ext -p icmp -j LOG --log-prefix "SuSE-FW-DROP-ICMP " --log-tcp-options --log-ip-options
-A input_ext -p icmp -j DROP
-A input_ext -p tcp -m tcp --dport 113 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-REJECT " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 113 --tcp-flags SYN,RST,ACK SYN -j reject_func
-A input_ext -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_ext -p tcp -m tcp --dport 111 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 111 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_ext -p tcp -m tcp --dport 139 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 139 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_ext -p tcp -m tcp --dport 631 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 631 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_ext -p tcp -m tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_ext -p tcp -m tcp --dport 6000 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 6000 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_ext -p tcp -m tcp --dport 10000 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-DROP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 10000 --tcp-flags SYN,RST,ACK SYN -j DROP
-A input_ext -p tcp -m state --state RELATED,ESTABLISHED -m tcp --dport 1024:65535 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-ACCEPT " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m state --state RELATED,ESTABLISHED -m tcp --dport 1024:65535 -j ACCEPT
-A input_ext -p tcp -m state --state ESTABLISHED -m tcp --dport 600:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A input_ext -p tcp -m state --state ESTABLISHED -m tcp --dport 20 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A input_ext -s 195.228.240.248 -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A input_ext -s 145.236.224.249 -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A input_ext -p udp -m udp --dport 22 -j DROP
-A input_ext -p udp -m udp --dport 67 -j DROP
-A input_ext -p udp -m udp --dport 111 -j DROP
-A input_ext -p udp -m udp --dport 111 -j DROP
-A input_ext -p udp -m udp --dport 137 -j DROP
-A input_ext -p udp -m udp --dport 138 -j DROP
-A input_ext -p udp -m udp --dport 139 -j DROP
-A input_ext -p udp -m udp --dport 631 -j DROP
-A input_ext -p udp -m udp --dport 631 -j DROP
-A input_ext -p udp -m udp --dport 3128 -j DROP
-A input_ext -p udp -m udp --dport 6000 -j DROP
-A input_ext -p udp -m udp --dport 10000 -j DROP
-A input_ext -p udp -m udp --dport 10000 -j DROP
-A input_ext -p udp -m state --state RELATED,ESTABLISHED -m udp --dport 1024:65535 -j ACCEPT
-A input_ext -p udp -m state --state ESTABLISHED -m udp --dport 61000:65095 -j ACCEPT
-A input_ext -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_ext -j DROP
-A input_int -s 81.183.157.68 -j LOG --log-prefix "SuSE-FW-DROP-ANTI-SPOOF " --log-tcp-options --log-ip-options
-A input_int -s 81.183.157.68 -j DROP
-A input_int -j ACCEPT
-A input_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT
-A input_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 3 -j ACCEPT
-A input_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 11 -j ACCEPT
-A input_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 12 -j ACCEPT
-A input_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 14 -j ACCEPT
-A input_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 18 -j ACCEPT
-A input_int -p icmp -j LOG --log-prefix "SuSE-FW-DROP-ICMP " --log-tcp-options --log-ip-options
-A input_int -p icmp -j DROP
-A input_int -p tcp -m tcp --dport 113 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-REJECT " --log-tcp-options --log-ip-options
-A input_int -p tcp -m tcp --dport 113 --tcp-flags SYN,RST,ACK SYN -j reject_func
-A input_int -p tcp -m state --state RELATED,ESTABLISHED -m tcp --dport 1024:65535 --tcp-flags SYN,RST,ACK SYN -j LOG --log-prefix "SuSE-FW-ACCEPT " --log-tcp-options --log-ip-options
-A input_int -p tcp -m state --state RELATED,ESTABLISHED -m tcp --dport 1024:65535 -j ACCEPT
-A input_int -p tcp -m state --state ESTABLISHED -m tcp --dport 600:65535 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A input_int -p tcp -m state --state ESTABLISHED -m tcp --dport 20 ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A input_int -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --dport 1375 -j ACCEPT
-A input_int -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --dport 3130 -j ACCEPT
-A input_int -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --dport 3401 -j ACCEPT
-A input_int -s 195.228.240.248 -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A input_int -s 145.236.224.249 -p udp -m state --state NEW,RELATED,ESTABLISHED -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A input_int -p udp -m state --state RELATED,ESTABLISHED -m udp --dport 1024:65535 -j ACCEPT
-A input_int -j LOG --log-prefix "SuSE-FW-DROP-DEFAULT " --log-tcp-options --log-ip-options
-A input_int -j DROP
-A reject_func -p tcp -j REJECT --reject-with tcp-reset
-A reject_func -p udp -j REJECT --reject-with icmp-port-unreachable
-A reject_func -j REJECT --reject-with icmp-proto-unreachable
COMMIT
# Completed on Sun Jun 19 10:22:42 2005
# Generated by iptables-save v1.2.7a on Sun Jun 19 10:22:42 2005
*nat
:PREROUTING ACCEPT [592392:33254489]
:POSTROUTING ACCEPT [28987:2081477]
:OUTPUT ACCEPT [363500:22365117]
-A PREROUTING -d 81.183.157.68 -i ppp0 -p tcp -m tcp --dport 6112 -j DNAT --to-destination 192.168.0.12:6112
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Sun Jun 19 10:22:42 2005

( Panther v | 2005. 06. 19., v – 10:45 )

Hm, éljen a gányolás. Nincs már jobb 5letem:

iptables -t nat -A POSTROUTING -d 192.168.0.12 -p tcp --dport 6112 -o eth0 -s 192.168.0.0/24 -j SNAT --to-source 192.168.0.1

192.168.0.1 az eth0 ip-je.

Na most ha ez müxik, akkor:
-A PREROUTING -d 81.183.157.68 -i ppp0 -p tcp -m tcp --dport 6112 -j DNAT --to-destination 192.168.0.12:6112
sorral átdobod a kapcsolatot a belső címre, a fenti sorral meg átírod a forrást.

Valamikor korábban volt egy hasonló téma itt, csak elfeledkeztem róla: belső címet kell belső/dmz címre továbbítani (vmi proxys gond volt).

( szola | 2005. 06. 19., v – 10:56 )

iptables -A PREROUTING -d 81.183.157.68 -i ppp0 -p tcp -m tcp --dport 6112 -j DNAT --to-destination 192.168.0.12:6112

iptables: No chain/target/match by that name

A másodikkal van valami baja :(

( szola | 2005. 06. 19., v – 11:02 )

Ja ok elírtam lefutott, de semmi eredmény :(

Szerintem elég ebből :)

Nem szeretnélek tovább feltartani ezzel a kinylódással. Köszi a segítséget :)

Ha esetleg majd eszedbe jut valami örömmel fogadom.

( orpheus | 2005. 06. 19., v – 15:10 )

Kicsit más. Segítséget kérnék.
Hogyan lehet azt megoldani, hogy mikor LOG-olom az iptablest (-j LOG), megszabhassam, hogy hova, milyen fájlba menjen a kimenet? Ahogy észreveszem, a /var/log/messages fájlba megy.
Azt szeretném megoldani, hogy az input, output és forward láncok külön-külön legyelek LOGolva, pl.:
/var/log/ipfw-log-in
/var/log/ipfw-log-out
/var/log/ipfw-log-fwd

( szola | 2005. 06. 18., szo – 06:31 )

Sziasztok!

A tüzfal log file ban ilyen tiltás van, ezt iptables-sel hogy lehet feloldani?

SuSE-FW-ACCESS_DENIED_INT IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=192.168.0.110 DST=81.182.145.34 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=259 DF PROTO=TCP SPT=1052 DPT=6112 WINDOW=65535 RES=0x00 SYN URGP=0 OPT (020405B401010402)

Az a lényeg, hogy ne legyen tiltva.
Köszi előre is a segítséget.

( Panther v | 2005. 06. 18., szo – 07:55 )

Van SuSE linuxos kategória.

Nem igazán látom, hogy mit csinál a kérdéses csomag, mert látszólag egy belső ip címről megy egy külsőre, viszont a tűzfal az INPUT láncon kapja el (pontosabban input_int-en).

Még SuSE 8.2-ben kicist kigeészítettem a tűzfalszabályokat, ehhez engedélyeztem a /etc/sysconfig/scripts/SuSEfirewall2-customv betöltését, és pl a fw_custom_before_port_handling() fv-be írtam. Ezzel garantáltan az előtt lép életbe a szabály, mielőtt bármilyen portot is engedélyezne vagy tiltana a SuSE.

Szerintem mondjuk:
[code:1:a4f49c6bc2]/sbin/iptables -t nat -A PREROUTING -d 81.182.145.34 -j SNAT -to-destination 192.168.0.1[/code:1:a4f49c6bc2]

ekkor az adott ip címre küldött csomagokat a gép belső ip címére küldi, még a legelején.

Ajánlom figyelmedbe:
http://iptables-tutorial.frozentux.net/iptables-tutorial.html