iptables script- Átnéznétek?

Az X-MAS scan-t szerinte elírtad, az nmap oldala alapján nekem máshogy jött ki (nálam: http://panther.inf.elte.hu/linux/scripts/fwon.new.txt ), lásd itt: http://www.insecure.org/nmap/man/man-port-scanning-techniques.html

forward láncban a 22-es portot direkt nem engedélyezed?

Egyébként jónak tűnik.

Miért nem használod a multiport kapcsolót?
Még Csákk Norisz sem bogozza ki hogy mit is akarsz. :)

Szerintem sokkal áttekinthetőbb igy...

iptables -A FORWARD -i $IFACE_INT -p tcp -m multiport --dport http,ftp,smtp -m state --state NEW,RELATED -j ACCEPT

--
maszili

átfaragtam a konfigom az itt említett alapján, de csaknem akar rendesen menni. A levelezés a klienseknél nem működik ( külső mail szervert nem érnek el), és egyes, főleg külföldi oldalak amik eddig bejöttek nem jönnek be. pölö microsoft.com, scan.sygate.com de az origo, meg az index simán jön....

Mit böktem el?

eth0 belső háló eth1 ppp0 külső háló, a gép közvetlenül csatlakozik a nethez. Ping terén a linuxos gép is ugyanúgy viselkedik, mint a kliensek. ping origo.hu jön válasz, ping microsoft.com névfeloldás ok, válasz nincs. (route tábla rendben.)

IP: 192.168.0.1 a belső háló felé
futó szervizek: ssh, apache, mysql, ftp néha

#!/bin/sh

echo "Starting firewall"
external_ip="`ifconfig ppp0 |grep 'inet addr' | awk '{print $2}' | sed -e 's/.*://'`"
echo " External IP: $external_ip"

echo 1 > /proc/sys/net/ipv4/ip_forward
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

iptables -Z
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -P INPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
#iptables -t nat -A PREROUTING -i ppp0 -s eth0 -p tcp --dport 80 -j REDIRECT --to-ports 3128

iptables -A INPUT -i ppp0 -p icmp --icmp-type echo-request -m limit --limit 16/s -j ACCEPT
iptables -A INPUT -p tcp --syn -m limit --limit 8/s -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP
iptables -A INPUT -m state --state ! INVALID -j ACCEPT
#iptables -A INPUT -j LOG --log-level warning

for i in 21 22 25 53 80 110 123 139 443 1863
do
iptables -A INPUT -i ppp0 -p tcp --dport $i -m state --state ! INVALID -j ACCEPT
done

for i in 21 22 25 53 80 110 123 443 1863
do
iptables -A INPUT -i ppp0 -p udp --dport $i -m state --state ! INVALID -j ACCEPT
done

for i in 21 22 25 53 80 110 123 139 443 1863
do
iptables -A INPUT -i eth0 -p tcp --dport $i -m state --state ! INVALID -j ACCEPT
done

for i in 21 22 25 53 80 110 123 443 1863
do
iptables -A INPUT -i eth0 -p udp --dport $i -m state --state ! INVALID -j ACCEPT
done

iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -A FORWARD -i ppp0 -m state --state ! INVALID -j ACCEPT
iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 16/s -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP
iptables -A FORWARD -p icmp -j ACCEPT

iptables -A OUTPUT -j ACCEPT
echo 'Done'

1863-as port elvileg a messengernek kell m$ oldal alapján...

Sziasztok!

Nem nyitok külön topicot, gondolom passzol a témához.
Problémám: Amint DROP-ra állitom az OUTPUT láncot, hiába engedem ki az ntpdate-t, nem akar szinkronizálni. netstat -alpn-el megnéztem, azt a portot is beirtam de nem megy. Kernelben van ipv6 támogatás, de ipv4-es szerverrel is ugyanez a gond. Milyen ötletek van? Ill. ha kicsit debugolnátok, hogy jó lesz-e igy, külön megköszönném:)

Ime a tűzfal script:

#!/bin/bash

iptables -F
iptables -F -t mangle

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#####################
## INPUT szabályok ##
#####################

#engedelyezzuk befele, ami tolunk szarmazik
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#-------------------------------------------------------------
#DoS elleni védelem
------------------------
#portscan elleni vedelem
iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

#ping-flood elleni vedelem
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

#tiltas MS portoknak
iptables -A INPUT -i eth0 -p TCP --dport 135 -j DROP
iptables -A INPUT -i eth0 -p TCP --dport 139 -j DROP
iptables -A INPUT -i eth0 -p TCP --sport 135 -j DROP
iptables -A INPUT -i eth0 -p TCP --sport 139 -j DROP
#--------------------------------------------------------------

#Loopback
iptables -A INPUT -i lo -j ACCEPT

#DNS
#iptables -A INPUT -i eth0 -p UDP --sport 53 -j ACCEPT
#iptables -A INPUT -i eth0 -p TCP --sport 53 -j ACCEPT

#NS SERVERRE becsatlakozas(ha nameserverkent akarjak hasznalni a serverunket:))
iptables -A INPUT -i eth0 -p UDP --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p TCP --dport 53 -j ACCEPT

#SSH SERVERRE becsatlakozas
iptables -A INPUT -i eth0 -p TCP --dport 22 -s 10.2.25.2 -j ACCEPT

#FTP SERVERRE becsatlakozas
iptables -A INPUT -i eth0 -p TCP --dport 21 -j ACCEPT

#POP3 SERVERRE becsatlakozas
iptables -A INPUT -i eth0 -p TCP --dport 110 -j ACCEPT

#SMTP SERVERRE becsatlakozas
iptables -A INPUT -i eth0 -p TCP --dport 25 -j ACCEPT

#IMAP SERVERRE becsatlakozas
iptables -A INPUT -i eth0 -p TCP --dport 143 -j ACCEPT

#HTTP SERVERRE becsatlakozas
iptables -A INPUT -i eth0 -p TCP --dport 80 -j ACCEPT

#HTTPS SERVERRE becsatlakozas
iptables -A INPUT -i eth0 -p TCP --dport 443 -j ACCEPT

#ICMP(ping) befele
iptables -A INPUT -i eth0 -p ICMP -j ACCEPT
iptables -A INPUT -i eth0 -p ICMP --icmp-type ! echo-request -j ACCEPT

#maradek eldobasa
iptables -A INPUT -i eth0 -j DROP

######################
## OUTPUT szabályok ##
######################

## jóváhagyott kapcsolatok engedélyezése
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT
#iptables -A OUTPUT -o eth0 -j ACCEPT

#DNS kifele(localrol inditva)
iptables -A OUTPUT -o eth0 -p TCP --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o eth0 -p UDP --dport 53 -m state --state NEW -j ACCEPT

#ICMP(ping) kifele
iptables -A OUTPUT -o eth0 -p ICMP -j ACCEPT --icmp-type echo-request

#Kulso serverek elerese#
#======================#

#Kulso SSH-ra KI
iptables -A OUTPUT -o eth0 -p TCP --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

#Kulso FTP-re KI
iptables -A OUTPUT -o eth0 -p TCP --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT

#Kulso HTTP-re KI
iptables -A OUTPUT -o eth0 -p TCP --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT

#Kulso HTTPS-re KI
iptables -A OUTPUT -o eth0 -p TCP --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT

#NTP date
iptables -A OUTPUT -d 148.6.0.1 -o eth0 -p tcp --dport 37 -m state --state NEW,ESTABLISHED -j ACCEPT

Üdv!

"Gyorsba" össze kellett dobnom egy tűzfalat iptables-el!Előtte még nem igen volt dolgom ezzel, viszont kiindulásnak nagyon jó volt (sőt), amit itt találtam az abszolut használható és a nagyját képezi a tűzfalamnak.Mégis vannak vele gondok és nem igazán értek 1-2 dolgot!Szeretném,ha valaki lemeózná a szabályokat és segítségemre lenne!

Egy DNS szerverként funkcionáló gép tűzfala lenne!

Script: (Ahol vmit nem értek oda teszek egy "?"-et!)
-------

#!/bin/bash

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -F
iptables -X /?
iptables -N in_attack
iptables -N drop_icmp

#----------------------------------------------------------------------------------#
# INPUT lánc szabályai: #
#----------------------------------------------------------------------------------#

#lo interface mehet
iptables -A INPUT -i lo -j ACCEPT

#Meglévő és kapcsolódó folyamatokat engedélyezi
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#ping
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -m state --state ESTABLISHED,RELATED -j drop_icmp

iptables -A INPUT -p icmp --icmp-type echo-request -m state --state NEW -j drop_icmp
iptables -A INPUT -d 255.255.255.0 -j DROP /?
iptables -A INPUT -d 224.0.0.0/8 -j DROP /?

#Gyanus csomagok eldobása
iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j in_attack /?
iptables -A INPUT -i eth0 -s 172.16.0.0/16 -j in_attack /?
iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j in_attack /?

#SSH engedése a megadott tartományról + loggolás
iptables -A INPUT -s x.x.x.x/24 -p tcp --dport 22 -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "Bejövő SSH kapcsolat: "
iptables -A INPUT -s x.x.x.x/24 -p tcp --dport 22 -m limit --limit 1/hour --limit-burst 1 -j ACCEPT
iptables -A INPUT -s x.x.x.x/24 -p tcp --dport 22 -m limit --limit 1/min --limit-burst 1 -j LOG --log-prefix "3 Sikertelen próbálkozás: "

#dns
iptables -A INPUT -p udp --dport 53 -m state --state NEW,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -m state --state NEW,RELATED -j ACCEPT

#Minden más bejövő eldobása és loggolása:
iptables -A INPUT -m limit --limit 3/min --limit-burst 1 -j LOG --log-prefix "Tíltott bejövő kapcsolat: "
iptables -A INPUT -j DROP

#----------------------------------------------------------------------------------#
# OUTPUT lánc szabályai: #
#----------------------------------------------------------------------------------#

#lo interface mehet
iptables -A OUTPUT -o lo -j ACCEPT

iptables -A OUTPUT -d 255.255.255.0 -j DROP /?
iptables -A OUTPUT -d 224.0.0.0/8 -j DROP /?

#Meglévő, új és a kapcsolódó folyamatokat engedélyezi
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

#ftp
iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,RELATED -j ACCEPT
iptables -A OUTPUT -p udp --dport 21 -m state --state NEW,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -m state --state NEW,RELATED -j ACCEPT
iptables -A OUTPUT -p udp --dport 20 -m state --state NEW,RELATED -j ACCEPT

#dns
iptables -A OUTPUT -p udp --dport 53 -m state --state NEW,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -m state --state NEW,RELATED -j ACCEPT

#http
iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW,RELATED -j ACCEPT
iptables -A OUTPUT -p udp --dport 80 -m state --state NEW,RELATED -j ACCEPT

#smtp
iptables -A OUTPUT -p udp --dport 25 -m state --state NEW,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 25 -m state --state NEW,RELATED -j ACCEPT

#Minden más loggolva lesz
iptables -A OUTPUT -m limit --limit 3/min -j LOG --log-prefix "Eldobott kimenő kapcsolat: "
iptables -A OUTPUT -j DROP

#accept icmp
iptables -A drop_icmp -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "Kitíltott ping: " /?
iptables -A drop_icmp -j DROP

#----------------------------------------------------------------------------------#
# Betörések elleni védekezés: #
#----------------------------------------------------------------------------------#

#Syn-flood elleni védelem
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

#Portscan elleni védelem
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

#Ping-flood elleni védelem
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

Tehát ez egy DNS szerver tűzfala lesz.
-Csak a saját tartományból akarom engedni az ssh-t!
-Dns szerver 53-as port mehet.
-Ftp mivel akarom,h frissíteni a csomagokat
-Jelenleg be van kapcsolva a http is,de az nem kell
-Smtp 25-ös port,h a szerver tudjon levelet küldeni!

A Forward részt nem teljesen világos számomra!
Így lefuttatom a scriptet, hiba nélkül megy is és "működik", viszont állandóan tiltott bejövő kapcsolatot jelez a saját tartományunkból. Gondolom túl erős a log vagy?Ezt hol tudnám állítani?
Még egy olyan kellene nekem,h ne a klog-ba mentsen,hanem egy általam kinevezett fájlba és a logokat bizonyos időközönként küldje el nekem!

Előre is köszönöm
Üdv Corvin

Üdv!

talisker: dj_crow@freemail.hu | Előre is köszönöm!
Kivettem az általad javasoltakat!Ftp-vel nem is akarom elérni a szervert,csak le akarom szedni a frissítéseket crontab segítségével a gépre!Ezért hagyom ezt kimenni, bejönni viszont nem kell,mert ftp nem fut a gépen!
smpt szintén csak azért van a kimenőbe,mert a logokat akarom hogy küldje nekem a gép!
A Winfosos portpásztázást kitíltottam:
#iptables -A INPUT -p tcp -m multiport --dport 135,136,137,138,139,445 -j REJECT
#iptables -A INPUT -p udp -m multiport --dport 135,136,137,138,139,445 -j REJECT
De még így is a tűzfal indulása után elkezdi a tartományból "Tíltott bejövő kapcsolat néven a loggolást..." - Lehet, hogy a végével van a probléma, hogy mindent logolok és utánna dobok el mindent???
Most engedem az icmp-t,erre érdemes lenne vmi megszorítást tenni?Pl, ha vki túl nagy csomaggal bombázza a szervert stb stb...
Vmilyen szabályt érdemes lenne még belefűzni?
Előre is köszönöm!
-------------------------------------------------------------------------------------------------------
Itt vannak a változtatások:

#!/bin/bash

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -F
iptables -X

#----------------------------------------------------------------------------------#
# INPUT lánc szabályai: #
#----------------------------------------------------------------------------------#

#lo interface mehet
iptables -A INPUT -i lo -j ACCEPT

#Meglévő és kapcsolódó folyamatokat engedélyezi
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#ping
iptables -A INPUT -i eth0 -p icmp -j ACCEPT

#Gyanus csomagok eldobása
iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i eth0 -s 172.16.0.0/16 -j DROP
iptables -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP

#SSH engedése a megadott tartományról + loggolás
iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "Bejövő SSH kapcsolat: "
iptables -A INPUT -s x.x.x.x/24 -p tcp --dport 22 -j ACCEPT

#dns
iptables -A INPUT -p udp --dport 53 -m state --state NEW,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -m state --state NEW,RELATED -j ACCEPT

#Winfos ellen:
iptables -A INPUT -p tcp -m multiport --dport 135,136,137,138,139,445 -j REJECT
iptables -A INPUT -p udp -m multiport --dport 135,136,137,138,139,445 -j REJECT

#Minden más bejövő eldobása és loggolása:
iptables -A INPUT -j LOG --log-prefix "Tíltott bejövő kapcsolat: "
iptables -A INPUT -j DROP

#----------------------------------------------------------------------------------#
# OUTPUT lánc szabályai: #
#----------------------------------------------------------------------------------#

#lo interface mehet
iptables -A OUTPUT -o lo -j ACCEPT

#Meglévő, új és a kapcsolódó folyamatokat engedélyezi
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

#ftp
iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,RELATED -j ACCEPT
iptables -A OUTPUT -p udp --dport 21 -m state --state NEW,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -m state --state NEW,RELATED -j ACCEPT
iptables -A OUTPUT -p udp --dport 20 -m state --state NEW,RELATED -j ACCEPT

#dns
iptables -A OUTPUT -p udp --dport 53 -m state --state NEW,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -m state --state NEW,RELATED -j ACCEPT

#http
iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW,RELATED -j ACCEPT
iptables -A OUTPUT -p udp --dport 80 -m state --state NEW,RELATED -j ACCEPT

#smtp
iptables -A OUTPUT -p udp --dport 25 -m state --state NEW,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 25 -m state --state NEW,RELATED -j ACCEPT

#Minden más loggolva lesz
iptables -A OUTPUT -j LOG --log-prefix "Eldobott kimenő kapcsolat: "
iptables -A OUTPUT -j DROP

Hello!

Egy szerverre szeretnék iptables scriptet írni. Azt szeretném, ha csak a megadott IP címről, az adott IP-hez rendelt MAC address-el, és csak megadott portokra lehetne csatlakozni.

Ilyesmire gondolok:

INPUT lánc policy DROP

-A INPUT --dport port1,port2,...,portn -s (IP) -m mac --mac (MAC) -j ACCEPT

Tehát hogy csak a szerver port1,port2,...,portn portjaira lehessen csatlakozni a megadott IP-jű, megadott MAC address-ű gépről.

Ez így jó? Vagy máshogy kell?

Petya

Hali!

Szabadidőmben kísérletezgettem 1-2 dologgal, és akadt egy érdekes problémám.

Kipróbáltam, hogy működik e az ha percenként csak 3-szor engedek ssh kapcsolatot a gépmhez, így:

iptables -A INPUT -p tcp --dport 22 -m limit --limit 3/m -j LOG --log-prefix "SSH_ACCEPT: "
iptables -A INPUT -p tcp --dport 22 -m limit --limit 3/m -j ACCEPT

Működik szépen. A pingeléssel ez már nem olyan szépen működik:

iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 3/m -m length --length 0:85 -j LOG --log-prefix "rovid_ping_ACCEPT: "
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 3/m -m length --length 0:85 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 3/m -m length --length 86:65535 -j LOG --log-prefix "hosszu_ping_DROP: "
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 3/m -m length --length 86:65535 -j DROP

Úgy működik, hogy ha megpingelem magam kívülről akkor az első 5 ping válasz megérkezik mintha misem történt volna, a 6. ping választól úgy jön ahol kell, 20 másodpercenként. Vajon miért "szökik" be az az 5 ping? Mindegy mit állítok a limithez (1/m) akkor is ugyan ez történik.

Tudja valaki miért?

Hello!

A segítségeteket kérném:

Van egy router, a FORWARD-on csináltam egy saját láncot, itt szerepelnek azok az IP-t, akiknek a forgalmát korlátozni szeretném.

Ilyen szabályok vannak jelenleg:

-A sajat_lanc_neve -s a.gep.ip.cime -d 0.0.0.0/0 -p tcp -m multiport --dport ! 80,443 -j DROP

Itt én csak egy portot, vagy port tartományt tudok megadni, de pl azt, hogy "http,https,ftp", nem. Hogyan tudnám megoldani ezt a problémát?

Tehát: azt szeretném, hogy:

-A sajat_lanc_neve -s a.gep.ip.cime -d 0.0.0.0/0 -p tcp -m multiport --dport http,https,ftp -j DROP

Csakhogy ezt nem fogadja el az iptables.

Petya

Sziasztok!
Van egy szerverem, ami 1 tartományban van, de kintről is szeretném, ha különböző szolgáltatásai is elérhetőek lennének különböző címekről. A gépnek van publikus címe. Amire szükség van:
helyi hálózatból minden engedélyezett
Internet felől:
ssh elérés néhány ip címről,
80-as, 8080-as portok elérése (egyelőre) néhány ip címről,
1194-es udp (OpenVPN) port elérése néhány ip címről.
ftp szerver elérése néhány címről
11111-es port továbbítása a helyi háló adott gépe felé mindenhonnan (de jobb lenne, csak Magyarországra szűrni)
1099, 1100, 1199, 1200 portok engedélyezése néhány ip címről
Kérlek benneteket, segítsétek a munkámat annyival, hogy átnézitek az elkészített scriptemet, és ha valami hiányzik\nem jó, szóljatok!

A script:
#!/bin/sh

echo -n 'Configuring firewall '
# 1. firewall script by csonkasanyi
#

#Allandok
intface='192.168.10.252'
extface='1.2.3.4'
dns1='x.x.x.x'
dns2='y.y.y.y'

#A policy-t minden esetben DROPra állítjuk
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

iptables -t nat -P PREROUTING DROP
iptables -t nat -P POSTROUTING DROP
iptables -t nat -P OUTPUT DROP

iptables -t mangle -P INPUT DROP
iptables -t mangle -P FORWARD DROP
iptables -t mangle -P OUTPUT DROP
iptables -t mangle -P PREROUTING DROP
iptables -t mangle -P POSTROUTING DROP

#Töröljük a korábbi bejegyzéseket
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT

iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING
iptables -t nat -F OUTPUT

iptables -t mangle -F INPUT
iptables -t mangle -F FORWARD
iptables -t mangle -F OUTPUT
iptables -t mangle -F PREROUTING
iptables -t mangle -F POSTROUTING

#Kezdjünk el engedélyezni... :-)

#A localhostról, és a helyi hálózatról engedélyezzük a hozzáférést
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -s 192.168.10.0/24 -j ACCEPT
iptables -A OUTPUT -d 192.168.10.0/24 -j ACCEPT

#DNS jó, ha van...
iptables -A INPUT -s $dns1 -j ACCEPT
iptables -A INPUT -s $dns2 -j ACCEPT

#Az általunk kezdeményezett kapcsolatokra szeretnénk választ kapni!
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

#22-es, 80-as, illetve a 8080-as portok engedélyezése
iptables -A INPUT -s a.a.a.a -p tcp -m multiport --dport 22,80,8080 -j ACCEPT
iptables -A INPUT -s b.b.b.b -p tcp -m multiport --dport 22,80,8080 -j ACCEPT
iptables -A INPUT -s c.c.c.c -p tcp -m multiport --dport 22,80,8080 -j ACCEPT
iptables -A INPUT -s d.d.d.d -p tcp -m multiport --dport 22,80,8080 -j ACCEPT

#a 21, 22-es portok engedélyezése
iptables -A INPUT -s e.e.e.e -p tcp -m multiport --dport 21,22 -j ACCEPT
iptables -A INPUT -s e.e.e.e -p tcp -m multiport --dport 21,22 -j ACCEPT

#Telephelyről 22-es, 80-as, 8080-as tcp, 1194-es udp portok engedélyezése
iptables -A INPUT -s f.f.f.f -p tcp -m multiport --dport 22,80,8080 -j ACCEPT
iptables -A INPUT -s g.g.g.g -p udp --dport 1194 -j ACCEPT

#1099-es, 1100-as, 1199-es 1200-as tcp portok engedélyezése
iptables -A INPUT -s h.h.h.h -p tcp -m multiport --dport 1099,1100,1199,1200 -j ACCEPT
iptables -A INPUT -s i.i.i.i -p tcp -m multiport --dport 1099,1100,1199,1200 -j ACCEPT
iptables -A INPUT -s j.j.j.j -p tcp -m multiport --dport 1099,1100,1199,1200 -j ACCEPT
iptables -A INPUT -s k.k.k.k -p tcp -m multiport --dport 1099,1100,1199,1200 -j ACCEPT
iptables -A INPUT -s l.l.l.l -p tcp -m multiport --dport 1099,1100,1199,1200 -j ACCEPT

#A 11111-es portra érkező kéréseket továbbítjuk a belső gépünk felé
iptables -t nat -A PREROUTING -i eth0 -p tcp -d $extface --dport 11111 -j DNAT --to 192.168.10.246:11111

Köszi, Sanyi

Jesszus... Ilyenkor áldom a SuSEfirewall-t :P
--
Discover It - Have a lot of fun!

Hali!

Az itt olvasottak alapjan gondoltam, en is osszealitok egy kis tuzfalat. Persze nem akar ugy mukodni, ahogy kellene. A belso halozatban meghalnak a szolgaltatasok, amikre szuksegem lenne.
A halozat es az igenyek a kovetkezok:
ADSL kapcsolat van az eth0 ppp0 interfacen.
A belso halo az eth1 interfacre csatlakozik.
Szeretnem, ha a server (ami egy hazi webserver csupan webprogramozas celjara, mindenfele dolgokkal: apache, php, mysql, ruby on rails...) internet felol tokeletes vedelmet elvezne, belso halorol pedig minden megengedett lenne.
Itt a hozzaszolasokban lattam a --dport port1,port2 -vel valo port felsorolast, ezzel szerettem volna a ki/be meno portokat engedelyezni internet felol. Sajnos tobb oranyi kiserletezes utan is lehalat a halozat fele:(
A problema meg az, hogy belso halozati geprol internetezek es eleg sokfele szolgaltatast hasznalok, amik persze nem tudom milyen porton csatlakoznak a nethez. Tehet a kimeno kapcsolataimat is ugy kellene beallitani, hogy barhova lehetseges legyen a kapcsolodas.

Az alap scriptem ennyi lenne, amivel a netmegosztas mukodik:

# Adatforgalom megosztasa a helyi halozatra
iptables -A FORWARD -i ppp0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o ppp0 -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

# IP tovabbitas engedelyezese
echo "1" > /proc/sys/net/ipv4/ip_forward

Par mintat szivessen vennek, amivel mukodne par dolog, mert ahogy en osszeolloztam, az halal volt a halozatra:)
Elore is koszi!

Ujrairtam a tuzfalamat, eddig minden mukodik vele ami kell. Kintrol, bentrol, azt erek el amit engedek.
De gondoltam kicsit tovabbfejlesztem. A serevren es a kliens gepen is FTP server van, mert szamomra ez a legjobb file megosztasi eljaras. De mindigis problema volt ha nem voltam otthon es kellet valami a belso geprol. Gondoltam most a belso gep FTP portjat bellitom 1021-re a tuzfalban pedig ezt atiranyitom a belso gep IP-jere. De az istenert sem akar mukodni!

Ime az eddigi tuzfalam:

#!/bin/bash

# Kernel modulok betolltese
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

# IP tovabbitas engedelyezese
echo "1" > /proc/sys/net/ipv4/ip_forward

# Tuzfal szabalyok torlese es alapertelmezesbe allitasa
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F -t nat

# INPUT lanc
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dport 20,21,22,80,1021 -j ACCEPT
iptables -A INPUT -j LOG --log-prefix "FW_INPUT_DROP: "
iptables -A INPUT -j DROP

# OUTPUT lanc
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --dport 20,21,22,80,1863,6667,1021 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -j LOG --log-prefix "FW_OUTPUT_DROP: "
iptables -A OUTPUT -j DROP

# Belso gep FTP eleresenek engedelyezese a 1021-as porton
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 1021 -j DNAT --to-destination 192.168.0.2:1021

# Adatforgalom megosztas a helyi halozatra
iptables -A FORWARD -i ppp0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o ppp0 -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Mar rengeteg kombinaciot csialtam a port tovabbitasra, de egyszeruen nem megy. Arra gondoltam, hogy tobb kell hozza mint sima tovabbitas. Ebben az esetben vajon mi?

Segitsegul nehagy halozati adatom:
ppp0 az internet interface
eth0 amire a DSL modem van dugva
eth1 a belso halozat interface
a server belso IP cime: 192.168.0.1
a kliens IP cime: 192.168.0.2

Megkoszonnem a segitsegeteket!

Van az alábbi scriptem. A problémám az, hogy hiába állítom be a portokat, mégsem megy az SSMTP és az SPOP3 (465 és 995 portok). Elvileg más rendben, de az nmap nem jelzi, hogy ezek nyitva vannak. A squid is fennt van és az SSL_ports -nál megadtam a 465 és 995 portokat, de nem megy.
Szerintetek mi lehet a gond?
Íme a teljes script
#!/bin/bash
TITLE="myfw"
IPTABLES=/sbin/iptables
SYSCTL=/sbin/sysctl
INET_IF=eth0 #külső interfész
LNET_IF=eth1 #belső interfész
INET_ADDR="a.b.c.d" #külső IP cím
FW_ADDR="192.168.0.1" #belső IP cím
LNET_ADDR="192.168.0.0/24" #védett hálózat IP címe
CLASS_A="10.0.0.0/8"
CLASS_B="172.16.0.0/12"
CLASS_C="192.168.0.0/16"
CLASS_D_MULTICAST="224.0.0.0/4"
CLASS_E_RESERVED="240.0.0.0/5"
DENIED_IPS="61.31.0.0/16
61.140.0.0/11
61.220.0.0/10
62.165.226.178
62.165.227.56
62.165.227.223
62.165.225.99
62.165.224.86
62.165.215.44
62.165.224.241
62.165.215.19
62.165.227.41
62.165.227.97
64.12.24.161
66.137.176.6
89.132.26.222
86.106.44.179
200.195.0.0/10
210.73.133.22
210.212.0.0/16
218.248.35.62
218.188.23.45
218.248.35.62
218.13.0.0/11
218.160.0.0/12
219.80.0.0/15
219.128.0.0/12
222.156.0.0/15
"
#
# Szűrési láncok létrehozása
#
create_chains() {
# Beállítjuk az alapértelmezett policykat: DROP Eldobunk minden
# csomagot alapból, előtte válogatunk.
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
# Csoportosított láncok a forgalom iránya alapján
# a gépről az internetre menő csomagok
$IPTABLES -N fw_to_inet
# az internetről a gépre jövő csomagok
$IPTABLES -N inet_to_fw
# a lokális hálózatról az internetre menő csomagok (forward)
$IPTABLES -N lnet_to_inet
# az internetről a lokális hálózatra menő csomagok
$IPTABLES -N inet_to_lnet
# a lokális hálózatról a gépre jövő csomagok
$IPTABLES -N lnet_to_fw
# a gépről a lokális hálózatra menő csomagok
$IPTABLES -N fw_to_lnet
# szűrési lánc
$IPTABLES -N security
}
#
# Láncok törlése
#
delete_chains() {
# Táblák tisztítása
$IPTABLES -F
$IPTABLES -X
$IPTABLES -F -t nat
$IPTABLES -X -t nat
$IPTABLES -F -t mangle
$IPTABLES -X -t mangle
# Csomagszámlálók nullázása
$IPTABLES -Z
# Minden forgalom engedélyezése
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
}
#
# Átirányítások
#
basic_rules() {
# Loopbacken mindent fogadunk
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
# Bejövő csomagok
$IPTABLES -A INPUT -i $INET_IF -j inet_to_fw
$IPTABLES -A INPUT -i $LNET_IF -s $LNET_ADDR -j lnet_to_fw
# Kimenő csomagok
$IPTABLES -A OUTPUT -o $INET_IF -j fw_to_inet
$IPTABLES -A OUTPUT -o $LNET_IF -d $LNET_ADDR -j fw_to_lnet
# Átmenő csomagok - továbbítás
$IPTABLES -A FORWARD -i $INET_IF -o $LNET_IF -d $LNET_ADDR -j inet_to_lnet
$IPTABLES -A FORWARD -i $LNET_IF -o $INET_IF -s $LNET_ADDR -j lnet_to_inet
}
#
# Az internetről a tűzfalra érkező csomagok
#
inet_to_fw() {
# Tiltott IP-k szűrése
for i in `echo $DENIED_IPS`; do
$IPTABLES -A inet_to_fw -s $i -j DROP
done

# Hamisított IP-k szűrése (sysctl-k bebiztosítása)
$IPTABLES -A inet_to_fw -s $CLASS_A -j LOG --log-prefix "$TITLE : fake IP source "
$IPTABLES -A inet_to_fw -s $CLASS_A -j DROP
$IPTABLES -A inet_to_fw -s $CLASS_B -j LOG --log-prefix "$TITLE : fake IP source "
$IPTABLES -A inet_to_fw -s $CLASS_B -j DROP
$IPTABLES -A inet_to_fw -s $CLASS_C -j LOG --log-prefix "$TITLE : fake IP source "
$IPTABLES -A inet_to_fw -s $CLASS_C -j DROP
$IPTABLES -A inet_to_fw -s $CLASS_D_MULTICAST -j LOG --log-prefix "$TITLE : fake IP source "
$IPTABLES -A inet_to_fw -s $CLASS_D_MULTICAST -j DROP
$IPTABLES -A inet_to_fw -s $CLASS_E_RESERVED -j LOG --log-prefix "$TITLE : fake IP source "
$IPTABLES -A inet_to_fw -s $CLASS_E_RESERVED -j DROP
# SYN-Flood
$IPTABLES -A inet_to_fw -p tcp --syn -m limit --limit 1/s --limit-burst 4 -j ACCEPT
$IPTABLES -A inet_to_fw -p tcp --syn -j LOG --log-prefix "$TITLE : SYN-Flood attack "
$IPTABLES -A inet_to_fw -p tcp --syn -j DROP
# Nmap FIN/URG/PSH
$IPTABLES -A inet_to_fw -p tcp --tcp-flags ALL FIN,URG,PSH -m limit --limit 5/m -j LOG --log-prefix "$TITLE : Nmap XMAS scan "
$IPTABLES -A inet_to_fw -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP

# SYN/RST
$IPTABLES -A inet_to_fw -p tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 5/m -j LOG --log-prefix "$TITLE : SYN/RST scan "
$IPTABLES -A inet_to_fw -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

#SYN/FIN
$IPTABLES -A inet_to_fw -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 5/m -j LOG --log-prefix "$TITLE : SYN/FIN scan "
$IPTABLES -A inet_to_fw -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

# Portscan,PoD
$IPTABLES -A inet_to_fw -p tcp --tcp-flags ALL ALL -j LOG --log-prefix "$TITLE : XMAS-tree scan "
$IPTABLES -A inet_to_fw -p tcp --tcp-flags ALL NONE -m state --state ! ESTABLISHED -j LOG --log-prefix "$TITLE : NULL scan "
# PING -re ne válaszoljunk
$IPTABLES -A inet_to_fw -m state --state NEW -p icmp -j DROP
$IPTABLES -A inet_to_fw -p icmp --icmp-type echo-request -m limit --limit 3/s -j ACCEPT
$IPTABLES -A inet_to_fw -p icmp --icmp-type echo-request -j LOG --log-prefix "$TITLE : PoD attack "
$IPTABLES -A inet_to_fw -p icmp --icmp-type echo-request -j DROP

# Az Ăşj kapcsolatok helyesen kezdődjenek ( közvetett DoS )
$IPTABLES -A inet_to_fw -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "$TITLE : hidden portscan "
$IPTABLES -A inet_to_fw -p tcp ! --syn -m state --state NEW -j DROP

# Jóváhagyott kapcsolatok elfogadása
$IPTABLES -A inet_to_fw -m state --state ESTABLISHED,RELATED -j ACCEPT

# Szolgáltatások engedélyezése (nyitott portok)
$IPTABLES -A inet_to_fw -m state --state NEW -p tcp --dport 20 -j ACCEPT # Ftp-data
$IPTABLES -A inet_to_fw -m state --state NEW -p udp --dport 20 -j ACCEPT # Ftp-data
$IPTABLES -A inet_to_fw -m state --state NEW -p tcp --dport 21 -j ACCEPT # Ftp
$IPTABLES -A inet_to_fw -m state --state NEW -p udp --dport 21 -j ACCEPT # Ftp

$IPTABLES -A inet_to_fw -m state --state NEW -p tcp --dport 23 -j ACCEPT # Telnet
$IPTABLES -A inet_to_fw -m state --state NEW -p udp --dport 23 -j ACCEPT # Telnet
$IPTABLES -A inet_to_fw -m state --state NEW -p tcp --dport 25 -j ACCEPT # SMTP
$IPTABLES -A inet_to_fw -m state --state NEW -p udp --dport 25 -j ACCEPT # SMTP
$IPTABLES -A inet_to_fw -m state --state NEW -p tcp --dport 465 -j ACCEPT # Secure SMTP
$IPTABLES -A inet_to_fw -m state --state NEW -p udp --dport 465 -j ACCEPT # Secure SMTP
$IPTABLES -A inet_to_fw -m state --state NEW -p tcp --dport 53 -j ACCEPT # DNS
$IPTABLES -A inet_to_fw -m state --state NEW -p udp --dport 53 -j ACCEPT # DNS
$IPTABLES -A inet_to_fw -m state --state NEW -p tcp --dport 80 -j ACCEPT # HTTP
$IPTABLES -A inet_to_fw -m state --state NEW -p udp --dport 80 -j ACCEPT # HTTP

$IPTABLES -A inet_to_fw -m state --state NEW -p tcp -s $LNET_ADDR --dport 22 -j ACCEPT # ssh
$IPTABLES -A inet_to_fw -m state --state NEW -p udp -s $LNET_ADDR --dport 22 -j ACCEPT # ssh
$IPTABLES -A inet_to_fw -m state --state NEW -p tcp --dport 107 -j ACCEPT # rtelnet
$IPTABLES -A inet_to_fw -m state --state NEW -p udp --dport 107 -j ACCEPT # rtelnet
$IPTABLES -A inet_to_fw -m state --state NEW -p tcp --dport 110 -j ACCEPT # POP3
$IPTABLES -A inet_to_fw -m state --state NEW -p udp --dport 110 -j ACCEPT # POP3
$IPTABLES -A inet_to_fw -m state --state NEW -p tcp --dport 995 -j ACCEPT # Secure POP3
$IPTABLES -A inet_to_fw -m state --state NEW -p udp --dport 995 -j ACCEPT # Secure POP3
$IPTABLES -A inet_to_fw -m state --state NEW -p tcp --dport 143 -j ACCEPT # IMAP
$IPTABLES -A inet_to_fw -m state --state NEW -p udp --dport 143 -j ACCEPT # IMAP
$IPTABLES -A inet_to_fw -m state --state NEW -p tcp --dport 3389 -j ACCEPT # Távsegítség
$IPTABLES -A inet_to_fw -m state --state NEW -p udp --dport 3389 -j ACCEPT # Távsegítség
$IPTABLES -A inet_to_fw -m state --state NEW -p tcp -s 127.0.0.1 --dport 3128 -j ACCEPT # loopback engedélyezése az 5555 porton
$IPTABLES -A inet_to_fw -m state --state NEW -p udp -s 127.0.0.1 --dport 3128 -j ACCEPT # loopback engedélyezése az 5555 porton

$IPTABLES -A inet_to_fw -m state --state NEW -p tcp -s $LNET_ADDR --dport 3128 -j ACCEPT # belső hálózat engedélyezése az 5555 porton
$IPTABLES -A inet_to_fw -m state --state NEW -p udp -s $LNET_ADDR --dport 3128 -j ACCEPT # belső hálózat engedélyezése az 5555 porton

}
#
# Az internetről a LAN-ra továbbított csomagok
#
inet_to_lnet() {
# Tiltott IP-k szűrése
for i in `echo $DENIED_IPS`; do
$IPTABLES -A inet_to_fw -s $i -j DROP
done
# Hamisított IP-k szűrése (sysctl-k bebiztosítása)
$IPTABLES -A inet_to_lnet -s $CLASS_A -j LOG --log-prefix "$TITLE : fake IP source "
$IPTABLES -A inet_to_lnet -s $CLASS_A -j DROP
$IPTABLES -A inet_to_lnet -s $CLASS_B -j LOG --log-prefix "$TITLE : fake IP source "
$IPTABLES -A inet_to_lnet -s $CLASS_B -j DROP
$IPTABLES -A inet_to_lnet -s $CLASS_C -j LOG --log-prefix "$TITLE : fake IP source "
$IPTABLES -A inet_to_lnet -s $CLASS_C -j DROP
$IPTABLES -A inet_to_lnet -s $CLASS_D_MULTICAST -j LOG --log-prefix "$TITLE : fake IP source "
$IPTABLES -A inet_to_lnet -s $CLASS_D_MULTICAST -j DROP
$IPTABLES -A inet_to_lnet -s $CLASS_E_RESERVED -j LOG --log-prefix "$TITLE : fake IP source "
$IPTABLES -A inet_to_lnet -s $CLASS_E_RESERVED -j DROP

# SYN-Flood
$IPTABLES -A inet_to_lnet -p tcp --syn -m limit --limit 1/s --limit-burst 4 -j ACCEPT
$IPTABLES -A inet_to_lnet -p tcp --syn -j LOG --log-prefix "$TITLE : SYN-Flood attack "
$IPTABLES -A inet_to_lnet -p tcp --syn -j DROP

# Nmap FIN/URG/PSH
$IPTABLES -A inet_to_lnet -p tcp --tcp-flags ALL FIN,URG,PSH -m limit --limit 5/m -j LOG --log-prefix "$TITLE : Nmap XMAS scan "
$IPTABLES -A inet_to_lnet -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP

# SYN/RST
$IPTABLES -A inet_to_lnet -p tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 5/m -j LOG --log-prefix "$TITLE : SYN/RST scan "
$IPTABLES -A inet_to_lnet -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

#SYN/FIN
$IPTABLES -A inet_to_lnet -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 5/m -j LOG --log-prefix "$TITLE : SYN/FIN scan "
$IPTABLES -A inet_to_lnet -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

# Portscan,PoD
$IPTABLES -A inet_to_lnet -p tcp --tcp-flags ALL ALL -j LOG --log-prefix "$TITLE : XMAS-tree scan "
$IPTABLES -A inet_to_lnet -p tcp --tcp-flags ALL NONE -m state --state ! ESTABLISHED -j LOG --log-prefix "$TITLE : NULL scan "

# PING -re ne válaszoljunk
$IPTABLES -A inet_to_lnet -m state --state NEW -p icmp -j DROP
$IPTABLES -A inet_to_lnet -p icmp --icmp-type echo-request -m limit --limit 3/s -j ACCEPT
$IPTABLES -A inet_to_lnet -p icmp --icmp-type echo-request -j LOG --log-prefix "$TITLE : PoD attack "
$IPTABLES -A inet_to_lnet -p icmp --icmp-type echo-request -j DROP

# Az Ăşj kapcsolatok helyesen kezdődjenek ( közvetett DoS )
$IPTABLES -A inet_to_lnet -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "$TITLE : hidden portscan "
$IPTABLES -A inet_to_lnet -p tcp ! --syn -m state --state NEW -j DROP

# Jóváhagyott kapcsolatok elfogadása
$IPTABLES -A inet_to_lnet -m state --state ESTABLISHED,RELATED -j ACCEPT

# Szolgáltatások engedélyezése (nyitott portok)
$IPTABLES -A inet_to_lnet -m state --state NEW -p tcp --dport 20 -j ACCEPT # Ftp-data
$IPTABLES -A inet_to_lnet -m state --state NEW -p udp --dport 20 -j ACCEPT # Ftp-data
$IPTABLES -A inet_to_lnet -m state --state NEW -p tcp --dport 21 -j ACCEPT # Ftp
$IPTABLES -A inet_to_lnet -m state --state NEW -p udp --dport 21 -j ACCEPT # Ftp
$IPTABLES -A inet_to_lnet -m state --state NEW -p tcp --dport 23 -j ACCEPT # Telnet
$IPTABLES -A inet_to_lnet -m state --state NEW -p udp --dport 23 -j ACCEPT # Telnet
$IPTABLES -A inet_to_lnet -m state --state NEW -p tcp --dport 25 -j ACCEPT # SMTP
$IPTABLES -A inet_to_lnet -m state --state NEW -p udp --dport 25 -j ACCEPT # SMTP
$IPTABLES -A inet_to_lnet -m state --state NEW -p tcp --dport 465 -j ACCEPT # Secure SMTP
$IPTABLES -A inet_to_lnet -m state --state NEW -p udp --dport 465 -j ACCEPT # Secure SMTP
$IPTABLES -A inet_to_lnet -m state --state NEW -p tcp --dport 53 -j ACCEPT # DNS
$IPTABLES -A inet_to_lnet -m state --state NEW -p udp --dport 53 -j ACCEPT # DNS
$IPTABLES -A inet_to_lnet -m state --state NEW -p tcp --dport 80 -j ACCEPT # HTTP
$IPTABLES -A inet_to_lnet -m state --state NEW -p udp --dport 80 -j ACCEPT # HTTP
$IPTABLES -A inet_to_lnet -m state --state NEW -p tcp --dport 22 -j ACCEPT # ssh
$IPTABLES -A inet_to_lnet -m state --state NEW -p udp --dport 22 -j ACCEPT # ssh
$IPTABLES -A inet_to_lnet -m state --state NEW -p tcp --dport 107 -j ACCEPT # rtelnet
$IPTABLES -A inet_to_lnet -m state --state NEW -p udp --dport 107 -j ACCEPT # rtelnet
$IPTABLES -A inet_to_lnet -m state --state NEW -p tcp --dport 110 -j ACCEPT # POP3
$IPTABLES -A inet_to_lnet -m state --state NEW -p udp --dport 110 -j ACCEPT # POP3
$IPTABLES -A inet_to_lnet -m state --state NEW -p tcp --dport 995 -j ACCEPT # Secure POP3
$IPTABLES -A inet_to_lnet -m state --state NEW -p udp --dport 995 -j ACCEPT # Secure POP3
$IPTABLES -A inet_to_lnet -m state --state NEW -p tcp --dport 143 -j ACCEPT # IMAP
$IPTABLES -A inet_to_lnet -m state --state NEW -p udp --dport 143 -j ACCEPT # IMAP
$IPTABLES -A inet_to_lnet -m state --state NEW -p tcp --dport 3389 -j ACCEPT # Távsegítség
$IPTABLES -A inet_to_lnet -m state --state NEW -p udp --dport 3389 -j ACCEPT # Távsegítség
}
#
# A LAN-ról a tűzfalra érkező csomagok
#
lnet_to_fw() {
# Itt mindent engedünk
$IPTABLES -A lnet_to_fw -j ACCEPT
# Másik alternatíva : SSH-t engedünk, pingelni lehet, dhcp ok
$IPTABLES -A lnet_to_fw -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A lnet_to_fw -m state --state NEW -p tcp --dport 22 -j ACCEPT
$IPTABLES -A lnet_to_fw -m state --state NEW -p udp --dport 22 -j ACCEPT
$IPTABLES -A lnet_to_fw -m state --state NEW -p icmp -j ACCEPT
$IPTABLES -A lnet_to_fw -p udp --dport 67 -j ACCEPT # DHCP
$IPTABLES -A lnet_to_fw -j DROP
}
#
# A LAN-ról az internetre küldött csomagok
#
lnet_to_inet() {
# Itt mindent engedünk
$IPTABLES -A lnet_to_inet -j ACCEPT
}
#
# A tűzfalról a LAN-ra küldött csomagok
#
fw_to_lnet() {
# Itt mindent engedünk
$IPTABLES -A fw_to_lnet -j ACCEPT
}
#
# A tűzfalról az internetre küldött csomagok
#
fw_to_inet() {
# Itt mindent engedünk
$IPTABLES -A fw_to_inet -j ACCEPT
}
#
# Internet megosztása a LAN számára
#
nat() {
$IPTABLES -t nat -A POSTROUTING -o $INET_IF -j MASQUERADE
}
#
# Sysctl beállítások a /proc fájlrendszeren
#
sysctls() {
# ICMP redirect fogadásának kikapcsolása
for f in /proc/sys/net/ipv4/conf/*; do
$SYSCTL -w net.ipv4.conf.`basename $f`.accept_redirects=0 > /dev/null;
done
$SYSCTL -w net.ipv4.conf.all.accept_redirects=0 > /dev/null

# A forrás-routolási csomagok kikapcsolása
for f in /proc/sys/net/ipv4/conf/*; do
$SYSCTL -w net.ipv4.conf.`basename $f`.accept_source_route=0 > /dev/null;
done
$SYSCTL -w net.ipv4.conf.all.accept_source_route=0 > /dev/null

# A lehetetlen IP ről jövő csomagok loggolása
for f in /proc/sys/net/ipv4/conf/*; do
$SYSCTL -w net.ipv4.conf.`basename $f`.log_martians=1 > /dev/null;
done
$SYSCTL -w net.ipv4.conf.all.log_martians=1 > /dev/null

# Routolási háromszögelés illetve ip spoofing védelem
for f in /proc/sys/net/ipv4/conf/*; do
$SYSCTL -w net.ipv4.conf.`basename $f`.rp_filter=1 > /dev/null;
done
$SYSCTL -w net.ipv4.conf.all.rp_filter=1 > /dev/null

# ICMP redirect engedélyezése az átjáróknak
for f in /proc/sys/net/ipv4/conf/*; do
$SYSCTL -w net.ipv4.conf.`basename $f`.secure_redirects=1 > /dev/null;
done
$SYSCTL -w net.ipv4.conf.all.secure_redirects=1 > /dev/null

# ICMP redirect kikapcsolása Ha a gép router, írjuk át 1-re, és a
# többi host kap ICMP redirect-t
for f in /proc/sys/net/ipv4/conf/*; do
$SYSCTL -w net.ipv4.conf.`basename $f`.send_redirects=0 > /dev/null;
done
$SYSCTL -w net.ipv4.conf.all.send_redirects=0 > /dev/null

# PING-re válaszolunk - majd a láncokon szűrjük/kikapcsolhatjuk
$SYSCTL -w net.ipv4.icmp_echo_ignore_all=0 > /dev/null
# Ne válaszoljunk a broadcast PING-re
$SYSCTL -w net.ipv4.icmp_echo_ignore_broadcasts=1 > /dev/null
# Ne loggoljuk a hibás router broadcastokat
$SYSCTL -w net.ipv4.icmp_ignore_bogus_error_responses=1 > /dev/null
# IP routolás engedélyezése NAT-hoz
$SYSCTL -w net.ipv4.ip_forward=1 > /dev/null
}
#
# Sysctl visszaállítások
#
unsysctls() {
# Default értékeket visszaállítjuk
# --- mégjobb lenne: config fájlban elmenteni a tűzfal előtti
# beállításokat, és onnan visszamenteni! ---
for f in /proc/sys/net/ipv4/conf/*; do
$SYSCTL -w net.ipv4.conf.`basename $f`.accept_redirects=1 > /dev/null;
done
for f in /proc/sys/net/ipv4/conf/*; do
$SYSCTL -w net.ipv4.conf.`basename $f`.accept_source_route=0 > /dev/null;
done
for f in /proc/sys/net/ipv4/conf/*; do
$SYSCTL -w net.ipv4.conf.`basename $f`.log_martians=0 > /dev/null;
done
for f in /proc/sys/net/ipv4/conf/*; do
$SYSCTL -w net.ipv4.conf.`basename $f`.rp_filter=0 > /dev/null;
done
for f in /proc/sys/net/ipv4/conf/*; do
$SYSCTL -w net.ipv4.conf.`basename $f`.secure_redirects=1 > /dev/null;
done
for f in /proc/sys/net/ipv4/conf/*; do
$SYSCTL -w net.ipv4.conf.`basename $f`.send_redirects=1 > /dev/null;
done
$SYSCTL -w net.ipv4.icmp_echo_ignore_all=0 > /dev/null
$SYSCTL -w net.ipv4.icmp_echo_ignore_broadcasts=0 > /dev/null
$SYSCTL -w net.ipv4.icmp_ignore_bogus_error_responses=0 > /dev/null
$SYSCTL -w net.ipv4.ip_forward=0 > /dev/null
}
#
# Az internethozzáférés zárása
#
lock() {
LINE=`$IPTABLES -L inet_to_lnet -n | head -3 | tail -1`
if ! ( [ `echo $LINE | awk '{print $1}'` == "DROP" ] && [ `echo $LINE | awk '{print $2}'` == "all" ] && [ `echo $LINE | awk '{print $4}'` == "0.0.0.0/0" ] && [ `echo $LINE | awk '{print $5}'` == "0.0.0.0/0" ]); then
$IPTABLES -I inet_to_lnet 1 -j DROP
fi
LINE=`$IPTABLES -L inet_to_fw -n | head -3 | tail -1`
if ! ( [ `echo $LINE | awk '{print $1}'` == "DROP" ] && [ `echo $LINE | awk '{print $2}'` == "all" ] && [ `echo $LINE | awk '{print $4}'` == "0.0.0.0/0" ] && [ `echo $LINE | awk '{print $5}'` == "0.0.0.0/0" ]); then
$IPTABLES -I inet_to_fw 1 -j DROP
fi
}
#
# Az internethozzáférés engedélyezése
#
unlock() {
LINE=`$IPTABLES -L inet_to_lnet -n | head -3 | tail -1`
if [ `echo $LINE | awk '{print $1}'` == "DROP" ] && [ `echo $LINE | awk '{print $2}'` == "all" ] && [ `echo $LINE | awk '{print $4}'` == "0.0.0.0/0" ] && [ `echo $LINE | awk '{print $5}'` == "0.0.0.0/0" ]; then
$IPTABLES -D inet_to_lnet 1
fi
LINE=`$IPTABLES -L inet_to_fw -n | head -3 | tail -1`
if [ `echo $LINE | awk '{print $1}'` == "DROP" ] && [ `echo $LINE | awk '{print $2}'` == "all" ] && [ `echo $LINE | awk '{print $4}'` == "0.0.0.0/0" ] && [ `echo $LINE | awk '{print $5}'` == "0.0.0.0/0" ]; then
$IPTABLES -D inet_to_fw 1
fi
}
case "$1" in
start)
if [ ! -x $IPTABLES ]; then
echo "No iptables found so not starting firewall..."
exit 1
fi
echo " * Starting Firewall..."
sysctls
delete_chains
create_chains
basic_rules
inet_to_fw
inet_to_lnet
lnet_to_fw
lnet_to_inet
fw_to_lnet
fw_to_inet
nat
;;
stop)
echo " * Stopping Firewall..."
delete_chains
unsysctls
;;
restart)
$0 stop
sleep 1
$0 start
;;
lock)
echo " * Locking System & LAN from Internet access..."
lock
;;
unlock)
echo " * Unlocking System & LAN for Internet acccess..."
unlock
;;
list)
$IPTABLES -L -n
;;
*)
echo "Usage : $0 {start|stop|restart|lock|unlock}"
exit 1
;;
esac

Remélem így jó. Bocsi, hogy csak így bevágtam, de eredetileg nem nem néztem, hogy más a kódolás.

To machobymb!

Most futottam neki masodjara (par nappal kesobb) de megint abbahagytam.
Ugye latod miert ... es valoszinuleg ezert nem jott meg valasz ra.

(Direkt nem arra valaszoltam, hogy szerkeszthesd)
-
budacsik

én is most barátkozom a netfilter használatával, aminek képességei igencsak ámulatba ejtenek, és jó lenne benne kissé elmélyednem - így nekem is lenne 1 közszemlére váró szkriptem, ami alapvetően működik, de néhány kellemetlen hiba miatt azért elég zavaró... :
első körben sikerült kizárnom magam 1 jó távoli szerverből, amit aztán csak e-mailezgetés útján tudtam újraindíttatni, így javaslom minden hozzám hasonló kontárnak, h vagy otthoni gépen kísérletezzen először v. a crontab-ban helyesen (én pl. path nélkül adtam meg a szkriptet...:D) adjon meg 1 iptables nullázós parancsot úgy 10 percenként :)
node jelenlegi problémáim szűk szavakban azoknak, akik nem akarják átnyálazni a pastebin-es irományt:
* első körben a mindenfelé fellelhető DoS,Ping of Death és egyéb támadások elleni védelemmel kapcs. kérdezem, h ezek mennyire valós veszélyek egy serverpark-ban elhelyezett gépnél (előszűrés a gépek előtt?) ill. gondolom a portscan ellen érdemes lehet védekezni (majd tesztelem, h műdödik-e rendesen az általam használt sorhalmaz...)
* a LOG érdekesen működik, pontosabban nem sikerült annak minden csínját-bínját elsajátítanom: kb. mindig az utolsó (INPUT DROP) bejegyzést kapom... próbáltam az elején logolni a SYN-flood részt (kikommentezve a szkriptben), de ennek hatására böngészőből érvénytelen portra való kapcsolódás kapásból SYN-flood bejegyzést eredményezett (bár lehetséges, h ez normális és ilyen esetben a böngésző elárasztja?)...
ami viszont komolyabb: az SSH port védése percenkénti 3 próbálkozási lehetőséggel/IP sikeres volt, azonban az ahhoz gyártott LOG-olási kísérletem totál működésképtelennek tűnik... (mind a tiltás, mind a sikeres bejelentkezés rögzítése)
elnézéseteket kérem a hosszú bejegyzésért és köszönet előre is azoknak, akik átnézik soraimat...

Sziasztok!

Már vagy 2 hete próbálok összerakni egy tűzfalat...de sajnos egyelőre nem túl sok sikerrel.
Már nem bírom tovább, és hozzátok fordulok segítségért.
Sajnos kezdő vagyok a témában. Pedig olvastam már egy rakás iptables example scriptet meg howto-t. Valami sohasem akar helyesen működni.

Konkrét példa:
adott egy szerver:

eth1.61 kulso fix ip
eth0 belso ip

ha ez a script fut le indulaskor akkor jo minden:

#!/bin/bash
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables-restore < /root/myip

a "myip" konkretan igy nez ki:

# Generated by iptables-save v1.3.6 on Tue Feb 19 18:47:38 2008
*filter
:INPUT DROP [203:41765]
:FORWARD DROP [394:29935]
:OUTPUT ACCEPT [1580:212066]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m multiport --dports 22,80,3389,443 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -j ACCEPT
COMMIT
# Completed on Tue Feb 19 18:47:38 2008
# Generated by iptables-save v1.3.6 on Tue Feb 19 18:47:38 2008
*nat
:PREROUTING ACCEPT [9426:1250219]
:POSTROUTING ACCEPT [319:45799]
:OUTPUT ACCEPT [173:23755]
-A PREROUTING -i ! eth0 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.100.2
-A POSTROUTING -o eth1.61 -j MASQUERADE
COMMIT
# Completed on Tue Feb 19 18:47:38 2008

Ezt nekem sikerult osszrakni,de ez ugye az alapnak az alapja, mindenfele vedelem nelkul.
Ha probalok (az itt lathato hozzaszolasok alapjan) lopni otletet mas scriptbol, akkor a szerver
belassul, ftp nem mukodik. Persze nem mintha a lopott otlet lenne rossz, hanem csak egyszeruen nekem nem akar mukodni az en verziomban. Legyszives segitsetek, meg ha nagyon primitiv hibakat is vetek. Valahol el kell kezdeni, de a HUP-on kivul nincs aki segítsen nekem. Koszonom!!!

A nem mukodo (es gondolom hibaktol hemzsego iptables mentesem):

# Generated by iptables-save v1.3.6 on Tue Mar 4 16:14:28 2008
*nat
:PREROUTING ACCEPT [875:122533]
:POSTROUTING ACCEPT [51:6496]
:OUTPUT ACCEPT [8:1546]
-A POSTROUTING -o eth1.61 -j MASQUERADE
COMMIT
# Completed on Tue Mar 4 16:14:28 2008
# Generated by iptables-save v1.3.6 on Tue Mar 4 16:14:28 2008
*filter
:INPUT DROP [1:52]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [176:24276]
:dosattack - [0:0]
:portscan - [0:0]
:security - [0:0]
:sinput - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -j security
-A INPUT -j dosattack
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j security
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A FORWARD -p icmp -m icmp --icmp-type 8 -m limit --limit 16/sec -j ACCEPT
-A FORWARD -p icmp -m icmp --icmp-type 8 -j DROP
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -i eth0 -p tcp -m multiport --dports 20,21,53,80,110,123,443 -m state --state NEW,RELATED -j ACCEPT
-A FORWARD -i eth0 -p udp -m multiport --dports 20,21,53,80,110,123,443 -m state --state NEW,RELATED -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
-A dosattack -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 8/sec -j sinput
-A dosattack -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "FW: Syn-Flood attack (?) "
-A dosattack -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A dosattack -j sinput
-A security -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j LOG --log-prefix "FW: Xmas-tree scan (?) "
-A security -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -m state --state INVALID,NEW,RELATED,UNTRACKED -j LOG --log-prefix "FW: Null scan (?) "
-A security -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A security -p icmp -m icmp --icmp-type 8 -j LOG --log-prefix "FW: PingofDeath attack (?) "
-A security -p icmp -m icmp --icmp-type 8 -j DROP
-A sinput -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j LOG --log-prefix "FW: hidded portscan (?) "
-A sinput -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A sinput -s 192.168.100.0/255.255.255.0 -i eth0 -p tcp -m multiport --dports 20,21,25,53,80,3128 -m state --state NEW -j ACCEPT
-A sinput -s 192.168.100.0/255.255.255.0 -i eth0 -p udp -m multiport --dports 20,21,25,53,80,3128 -m state --state NEW -j ACCEPT
-A sinput -p tcp -m tcp --dport 443 -j ACCEPT
-A sinput -p tcp -m tcp --dport 80 -j ACCEPT
-A sinput -p tcp -m tcp --dport 22 -j ACCEPT
-A sinput -p icmp -j ACCEPT
-A sinput -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Tue Mar 4 16:14:28 2008

---------------------------
A UNIX élt, él és élni fog!

Sziasztok!

Én is kérnék egy kis segítséget iptables ügyben.
Otthonra csináltam egy kis scriptet, nagyobb részt innen a hupról meg egy két más helyről összetallózva, amit majd a routeren(WRT54GL, Tomato-val) szeretnék használni, egyenlőre a gépemen tesztelem.
Nagyjából működik is minden, de pl. bizonyos eldobott csomagokat nem logol.
Mondjuk a whois nem ment(tcp/43) vagy ha nem szabvány ftp porton akartam csatlakozni simán csak elszállt timeouttal, logban semmi.
Meg ha törlöm a láncok tartalmát(iptables -F), akkor az egész adatkommunikáció meghal, semmit nem lehet pingelni, router sem elérhető(connect: Network is unreachable).
/etc/init.d/networking restart vagy ifconfig eth0 up/down sem segít, reboot után jó.
Most meg egy reboot után azt csinálja, hogy lefut a script, de ezt a hibát adja:

iptables v1.3.8: Unknown arg `--dport'
Try `iptables -h' or 'iptables --help' for more information.

A rendszerem egy Debian testing.
Itt van maga a script:

#!/bin/sh

## otthoni tűzfal

## először törlünk minden szabályt.
iptables -F
iptables -X
iptables -Z
## alap policy
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

## INPUT szabályok.
iptables -A INPUT -i lo -j ACCEPT ## loopback -en engedélyezzük a forgalmat.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ## engedélyezzük befele, ami tőlünk származik.
iptables -A INPUT -p tcp --dport ssh -m limit --limit 3/m -j LOG --log-uid --log-prefix "SSH_ACCEPT: "
iptables -A INPUT -p tcp -s 192.168.1.1 --syn --dport ssh -m limit --limit 3/m -j ACCEPT
iptables -A INPUT -p tcp --syn --dport ssh -m recent --update --seconds 60 --hitcount 3 -j DROP
iptables -A INPUT -p tcp --syn --dport
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT ## kintről "ping" mehet.
iptables -A INPUT -p tcp --dport 54896:54897 -j ACCEPT ## torrent
iptables -A INPUT -p udp --dport 54896:54897 -j ACCEPT ## torrent
iptables -A INPUT -p tcp ! --syn -m state --state NEW -m limit --limit 2/min # uj kapcsolat
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP #nem syn-nel kezdodik, kulonben esetleg tamadas
iptables -A INPUT -j LOG --log-uid --log-prefix "INPUT_DROP: "

## OUTPUT szabályok.
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT ##kifele menő "ping" -re szükség lehet.
iptables -A OUTPUT -o lo -j ACCEPT ## loopback -en engedélyezzük a forgalmat.
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ## jóváhagyott kapcsolatok engedélyezése.
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT ## a DNS -re szükség van.
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 123 -j ACCEPT ## ntp mehet
iptables -A OUTPUT -p tcp --dport 123 -m state --state NEW -j ACCEPT

iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT ## http mehet.
iptables -A OUTPUT -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT ## https mehet
iptables -A OUTPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT ## ssh mehet.
iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT ## ftp control mehet
iptables -A OUTPUT -p tcp --dport 20 -m state --state NEW,ESTABLISHED -j ACCEPT ## ftp data mehet
iptables -A OUTPUT -p tcp --dport 31337 -m state --state NEW,ESTABLISHED -j ACCEPT ## ftp
iptables -A OUTPUT -p tcp --dport 43 -m state --state NEW,ESTABLISHED -j ACCEPT ## whois
iptables -A OUTPUT -p tcp -d mail.chello.hu --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT ## Levelezés SMTP
iptables -A OUTPUT -p tcp -d imap.gmail.com --dport 993 -m state --state NEW,ESTABLISHED -j ACCEPT ## Levelezés IMAP4s
iptables -A OUTPUT -p tcp --dport 45761 -m state --state NEW,ESTABLISHED -j ACCEPT ## router távoli elérés
iptables -A OUTPUT -p tcp --dport 56732 -m state --state NEW,ESTABLISHED -j ACCEPT ## VNC

iptables -A OUTPUT -p tcp --dport 1863 -m state --state NEW,ESTABLISHED -j ACCEPT ## msn
iptables -A OUTPUT -p tcp --dport 6667 -m state --state NEW,ESTABLISHED -j ACCEPT ## irc
iptables -A OUTPUT -p tcp --dport 54896:54897 -m state --state NEW,ESTABLISHED -j ACCEPT ## torrent
iptables -A OUTPUT -p udp --dport 54896:54897 -m state --state NEW,ESTABLISHED -j ACCEPT ## torrent
iptables -A INPUT -j LOG --log-uid --log-prefix "OUTPUT_DROP: "

# FORWARD lanc
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 3/m --limit-burst 1 -j ACCEPT

Plusz kérdés, szerintetek a routeren is menni fog logolás?
Mert dmesg van, de amúgy a /tmp/var/log/messages fájlba logol.

Ja és légyszíves a válaszoknál vegyétek figyelembe, hogy nem vagyok egy guru, köszi. :)

Még egy dolog jutott az eszembe.

iptables -A INPUT -p tcp --syn --dport ssh -m recent --update --seconds 60 --hitcount 3 -j DROP

Ez a sor ugye elvileg azt csinálja, hogy ha ugyanarról az IP-ről 3 sikertelen bejelentkezés van akkor kitiltja egy percre, igaz?
Amennyiben kihagyom az "--update --seconds 60" részt akkor véglegesen kitiltja az adott IP-t?
Ha igen, akkor a későbbiekben hogyan tudom újra engedélyzni?

UP

Azt még sejtem is a man alapján, hogy letiltja fixen 3 próbálkozás után, de azt nem látom hogyan lehetne utána engedélyezni.
Vagy ahhoz, hogy letiltsa kellene utána ez a sor is "iptables -A INPUT -p TCP --syn --dport ssh -m recent --set -j ACCEPT"?
Bár ha jól értettem ez csak hozzáadja a forrás IP-t a listához.

Mármint 3 kapcsolódási kísérletet 2 perc alatt, igaz?
De összesen vagy egy adott IP-ről?
Bocs a lámaságomért...

Ez nehezebb lesz mint gondoltam.
Gépen belőttem faszán a tűzfalat, ment is minden, de ahogy felraktam a routerre összeomlott az egész, át kellett írni jó pár dolgot s őszintén szólva már totál belezavarodtam, hogy melyik láncon mit kell engedélyezni.
Most nagyjából minden megy, de a torrent nem hajlandó elindulni, a trackerekhez sem tud csatlakozni s nem vágom miért.
Itt a jelenlegi script, még eléggé gányolt verzió.

## otthoni t 171zfal

## el 151ször törlünk minden szabályt.
iptables -F
iptables -X
iptables -Z
## alap policy
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

## INPUT szabályok.
iptables -A INPUT -i lo -j ACCEPT ## loopback -en engedélyezzük a forgalmat.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ## engedélyezzük befele, ami t 151lünk származik.
iptables -A INPUT -p tcp ! --syn -m state --state NEW -m limit --limit 2/min # uj kapcsolat
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP #nem syn-nel kezdodik, kulonben esetleg tamadas
iptables -A INPUT -p tcp --dport ssh -m limit --limit 3/m -j LOG --log-uid --log-prefix "SSH_ACCEPT: "
iptables -A INPUT -p tcp -s 192.168.1.2 --syn --dport ssh -m limit --limit 3/m -j ACCEPT
iptables -A INPUT -p tcp -s 145.236.252.34 --syn --dport ssh -m limit --limit 3/m -j ACCEPT
iptables -A INPUT -p tcp -s 212.51.124.92 --syn --dport ssh -m limit --limit 3/m -j ACCEPT
iptables -A INPUT -p tcp --syn --dport ssh -m recent --update --seconds 60 --hitcount 3 -j DROP
iptables -A INPUT -p tcp --dport 45761 -m state --state NEW,ESTABLISHED -j ACCEPT ## router távoli elérés
iptables -A INPUT -p tcp --dport 56732 -m state --state NEW,ESTABLISHED -j ACCEPT ## VNC
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT ## kintr 151l "ping" mehet.
iptables -A INPUT -p tcp --dport 54896:54897 -j ACCEPT ## torrent
iptables -A INPUT -p udp --dport 54896:54897 -j ACCEPT ## torrent
iptables -A INPUT -p tcp -d kiszolgalo -m state --state NEW,ESTABLISHED -j ACCEPT ## ftp
iptables -A INPUT -p udp --dport 68 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.1.2 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.1.2 -j ACCEPT
iptables -A INPUT -j LOG --log-uid --log-prefix "INPUT_DROP: "
iptables -A INPUT -j DROP

## OUTPUT szabályok.
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ## jóváhagyott kapcsolatok engedélyezése.
iptables -A OUTPUT -p tcp -d 192.168.1.2 --syn --dport ssh -m limit --limit 3/m -j ACCEPT
iptables -A OUTPUT -j LOG --log-uid --log-prefix "OUTPUT_DROP: "
iptables -A OUTPUT -j DROP

# FORWARD lanc
iptables -A FORWARD -p icmp --icmp-type echo-request -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT ## loopback -en engedélyezzük a forgalmat.
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT ## jóváhagyott kapcsolatok engedélyezése.
iptables -A FORWARD -p udp --dport 53 -j ACCEPT ## a DNS -re szükség van.
iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -p udp --dport 123 -j ACCEPT ## ntp mehet
iptables -A FORWARD -p tcp --dport 123 -m state --state NEW -j ACCEPT

iptables -A FORWARD -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT ## http mehet.
iptables -A FORWARD -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT ## https mehet
iptables -A FORWARD -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT ## ssh mehet.
iptables -A FORWARD -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT ## ftp control mehet
iptables -A FORWARD -p tcp --dport 20 -m state --state NEW,ESTABLISHED -j ACCEPT ## ftp data mehet
iptables -A FORWARD -p tcp -d kiszolgalo -m state --state NEW,ESTABLISHED -j ACCEPT ## ftp
iptables -A FORWARD -p tcp --dport 43 -m state --state NEW,ESTABLISHED -j ACCEPT ## whois
iptables -A FORWARD -p tcp -d mail.chello.hu --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT ## Levelezés SMTP
iptables -A FORWARD -p tcp --dport 993 -m state --state NEW,ESTABLISHED -j ACCEPT ## Levelezés IMAP4s

iptables -A FORWARD -p tcp --dport 1863 -m state --state NEW,ESTABLISHED -j ACCEPT ## msn
iptables -A FORWARD -p tcp --dport 6667 -m state --state NEW,ESTABLISHED -j ACCEPT ## irc
iptables -A FORWARD -p tcp --dport 54896:54897 -m state --state NEW,ESTABLISHED -j ACCEPT ## torrent
iptables -A FORWARD -p udp --dport 54896:54897 -m state --state NEW,ESTABLISHED -j ACCEPT ## torrent
iptables -A FORWARD -p tcp --dport 2710 -m state --state NEW,ESTABLISHED -j ACCEPT ## torrent trackerek
iptables -A FORWARD -p udp --dport 2710 -m state --state NEW,ESTABLISHED -j ACCEPT ## torrent trackerek
iptables -A FORWARD -j LOG --log-uid --log-prefix "FORWARD_DROP: "
iptables -A FORWARD -j DROP

Ha jól értelmeztem akkor minden a gépemtől érkező kapcsolatot engedélyezni kell, mert a routernek az INPUT-nak számít, amiket aztán a forward láncon továbbít a külvilágnak.
Az OUTPUT láncot csak akkor használja ha ő maga kezdeményez kapcsolatot a gépem vagy a külvilág felé.
Ez így stimmel?
Natolásra kellene nekem figyelni a tűzfal szintjén vagy azt a router elvégzi magától?

sziasztok! én http://cvk.hu/tuzfal/ipfw ezt használom tűzfal scriptnek, de a torrentet sehogy nem tudom működésre bírni. tegnap óta szenvedek a tűzfal beállítással, a google a p2p-iptables keresésre olyat dob ki, hogy hogy kell letiltani...na az nekem megy alapból. :D rtorrentet használok, beállítottam a konfig fájlba, hogy csak a 6890-6895 terjedő portokat hasznája. tudna valaki valami segítséget adni? köszi

Sziasztok!

Egy gatewayen menne a lenti tűzfal script, ami működik, de ilyenekkel szorja a kern.log-t:

Apr 22 17:01:17 IBM-Server FORWARD_DROP: IN=eth2 OUT=eth3 SRC=192.168.1.74 DST=84.1.109.74 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=63895 DF PROTO=TCP SPT=3212 DPT=28554 WINDOW=65535 RES=0x00 SYN URGP=0
Apr 22 17:01:17 IBM-Server FORWARD_DROP: IN=eth2 OUT=eth3 SRC=192.168.1.74 DST=85.186.2.86 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=63896 DF PROTO=TCP SPT=3214 DPT=16488 WINDOW=65535 RES=0x00 SYN URGP=0
Apr 22 17:01:18 IBM-Server FORWARD_DROP: IN=eth2 OUT=eth3 SRC=192.168.1.74 DST=145.236.126.69 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=64200 DF PROTO=TCP SPT=3211 DPT=10211 WINDOW=65535 RES=0x00 SYN URGP=0
Apr 22 17:01:22 IBM-Server FORWARD_DROP: IN=eth2 OUT=eth3 SRC=192.168.1.74 DST=85.66.101.127 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=65054 DF PROTO=TCP SPT=3219 DPT=62675 WINDOW=65535 RES=0x00 SYN URGP=0
Apr 22 17:01:22 IBM-Server FORWARD_DROP: IN=eth2 OUT=eth3 SRC=192.168.1.74 DST=86.101.150.158 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=65055 DF PROTO=TCP SPT=3220 DPT=42091 WINDOW=65535 RES=0x00 SYN URGP=0
Apr 22 17:01:25 IBM-Server FORWARD_DROP: IN=eth2 OUT=eth3 SRC=192.168.1.74 DST=86.101.150.158 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=65534 DF PROTO=TCP SPT=3220 DPT=42091 WINDOW=65535 RES=0x00 SYN URGP=0
Apr 22 17:01:41 IBM-Server FORWARD_DROP: IN=eth2 OUT=eth3 SRC=192.168.1.74 DST=84.3.131.116 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=3380 DF PROTO=TCP SPT=3225 DPT=15312 WINDOW=65535 RES=0x00 SYN URGP=0

Mitől lehet?
Továbbá érdekelne, hogy működése mellett, biz.tech szempontból is jó lesz-e ez a script? (gw-re még nem raktam tűzfalat)
A legfontosabb: jelenleg koliban teszteljük, később adsl-en lesz. Elég csak a KULSO_ETH=ppp0-ra átirni?

#!/bin/sh

echo "Starting firewall"
BELSO_ETH=eth2
KULSO_ETH=eth3

iptables -Z
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

echo "1" > /proc/sys/net/ipv4/ip_forward                # IP forwarding bekapcsolása
echo "1" >/proc/sys/net/ipv4/tcp_syncookies     # DOS vedelem
echo "1" >/proc/sys/net/ipv4/conf/all/rp_filter # Source Address Verification

# INPUT lanc
 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 iptables -A INPUT -i $BELSO_ETH -j ACCEPT
 iptables -A INPUT -i lo -j ACCEPT

 iptables -A INPUT -i $KULSO_ETH -p tcp --dport 22 -j ACCEPT
 iptables -A INPUT -i $KULSO_ETH -p tcp --dport 22 -m limit --limit 3/m -j LOG --log-prefix "SSH_ACCEPT: "
 iptables -A INPUT -i $KULSO_ETH -p tcp -m multiport --dport 21,80 -j ACCEPT 

 iptables -A INPUT -i $BELSO_ETH -p tcp --syn -s 192.168.1.0/8 -dport 139 -j ACCEPT

 iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 3/m --limit-burst 1 -j ACCEPT
 iptables -A INPUT -j LOG --log-prefix "INPUT_DROP: "


# OUTPUT lanc
 iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 iptables -A OUTPUT -o lo -j ACCEPT
 iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT # dns
 iptables -A OUTPUT -p udp --dport 53 -j ACCEPT # dns

# iptables -A OUTPUT -o $BELSO_ETH -j ACCEPT
# iptables -A OUTPUT -o $KULSO_ETH -j ACCEPT
 iptables -A OUTPUT -p tcp -m multiport --dport 20,21,22,80,1863,6667,1021 -j ACCEPT
 iptables -A OUTPUT -j LOG --log-prefix "OUTPUT_DROP: "


# FORWARD lanc
 iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
 iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
# iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
 iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 3/m --limit-burst 1 -j ACCEPT

 iptables -t nat -A PREROUTING -p tcp -s 192.168.1.0/8 --destination-port 80 -j REDIRECT --to-ports 3128 # squid

iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu         # packet fregmentálódásra

 iptables -A FORWARD -j LOG --log-prefix "FORWARD_DROP: "

# NAT
 iptables -t nat -A POSTROUTING -o $KULSO_ETH -s 192.168.1.0/8 -j MASQUERADE

Itt az enyém, egy klaszikus LAMP szervert fog védeni.
A szerver egy VPS eddig nem volt rajta semmi publikus.
Ezután egy .hu domain lesz rajta.
Kis magyarázat.
A black_list láncot egy cron szkript frissiti egy fájlból.
A wan_net_ssh és wan_net_private láncokat port kopogtató démon intézi.
Nyilván még messze nincs kész.
Arra lennék kiváncsi hogy az alap felépités logikailag helyes e.
Köszönöm.

#!/bin/bash
wan_interface=eth0
#lan_interface=eth1
wan_address=192.168.3.173
#lan_address=192.168.3.173
#ip_cim=192.168.3.173

iptables -F
iptables -X
iptables -Z

iptables -P FORWARD DROP
iptables -P INPUT DROP
#A fekete lista szabalyai
#A fekete lista vegen minden el nem dobott csomag visszater az wan_net lancba
iptables -N black_list
iptables -A black_list -j RETURN

#Letrehozzut a wan_net lancot
iptables -N wan_net
#Letrehozzut a wan_net_icmp lancot
iptables -N wan_net_icmp

iptables -A wan_net_icmp -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A wan_net_icmp -p icmp --icmp-type echo-request -j LOG --log-prefix "FW: PingofDeath attack (?) "
iptables -A wan_net_icmp -p icmp --icmp-type echo-request -j REJECT

#Letrehozzut a wan_net_ssh lancot
iptables -N wan_net_ssh
iptables -A wan_net_ssh -s 192.168.3.57 -j ACCEPT
iptables -A wan_net_ssh -j REJECT --reject-with icmp-host-unreachable

#Letrehozzut a wan_net_private lancot
iptables -N wan_net_private
iptables -A wan_net_private -j REJECT --reject-with icmp-host-unreachable

#�tengedj�k a lo interfacet
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#Atadjuk a wan_net tartalmat elemzesre a black_list lancnak
iptables -A wan_net -j black_list

#Megvizsgaljuk hogy tortent e cim hamisitast
iptables -A wan_net -s 127.0.0.1 -j DROP
#iptables -A wan_net -s $lan_address -j DROP

#Az icmp forgalmat levalasztjuk wan_net lancrol
iptables -A wan_net -p icmp -j wan_net_icmp

iptables -A wan_net -p tcp --syn -m limit --limit 8/s -j ACCEPT
iptables -A wan_net -p tcp --syn -j DROP

## DoS elleni vedelem bekapcsolva ...
iptables -A wan_net -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

#ssh forgalmat atiranyitjuk a wan_net_ssh lancba
iptables -A wan_net -p tcp --dport 22 -j wan_net_ssh

#Adadjuk a maganhasznalati forgalmat a wan_net_private lancnak
iptables -A wan_net -p tcp --dport 24340 -j wan_net_private
iptables -A wan_net -p tcp --dport 232431 -j wan_net_private
iptables -A wan_net -p tcp --dport 14310 -j wan_net_private
iptables -A wan_net -p tcp --dport 14345 -j wan_net_private
iptables -A wan_net -p tcp --dport 13213 -j wan_net_private

iptables -A wan_net -p tcp --dport 80 -j ACCEPT
iptables -A wan_net -p tcp --dport 25 -j ACCEPT
iptables -A wan_net -j DROP

# felol jon es nem a mi ipcimunk a celja
iptables -A INPUT -i $wan_interface -d ! $wan_address -j DROP

#A wan interface forgamat a wan_net lancba kuldjuk
iptables -A INPUT -i $wan_interface -j wan_net

Helló mindenkinek!

SZükségem lenne egy kis segítségre iptables témában:

A belső hálón lévő Tomcat felületét szeretném elérhetővé tenni kívülről.
Az idevágó részlet a scriptből:

iptables -F
iptables -t nat -F

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

iptables -A INPUT -i eth0 -p tcp -d xxx.xxx.13.50 --dport 22 -j ACCEPT
...
iptables -A INPUT -i eth0 -p tcp -m state --state NEW,ESTABLISHED -d xxx.xxx.13.50 --dport 18080 -j LOG --log-prefix "INPUT " --log-level 0
iptables -A INPUT -i eth0 -p tcp -m state --state NEW,ESTABLISHED -d xxx.xxx.13.50 --dport 18080 -j ACCEPT

iptables -A FORWARD -i eth1 -p tcp -d xxx.xxx.64.223 --dport 18080 -j LOG --log-prefix "FORWARD " --log-level 0
iptables -A FORWARD -i eth1 -p tcp -d xxx.xxx.64.223 --dport 18080 -j ACCEPT

iptables -t nat -A PREROUTING -i eth0 -p tcp -d xxx.xxx.13.50 --dport 18080 -j LOG --log-prefix "PREROUTING " --log-level 0
iptables -t nat -A PREROUTING -i eth0 -p tcp -d xxx.xxx.13.50 --dport 18080 -j DNAT --to-destination xxx.xxx.64.223:18080

iptables -t nat -A POSTROUTING -o eth1 -s xxx.xxx.64.223 -d 0/0 -j LOG --log-prefix "POSTROUTING " --log-level 0
iptables -t nat -A POSTROUTING -o eth1 -s 172.16.64.223 -d 0/0 -j SNAT --to-source 213.163.13.50
...
echo 1 > /proc/sys/net/ipv4/ip_forward

De ez így nem igazán mükszik, és logban sem látszik semmi. Aki tud, kérem segítsen....

subscribe

---
Ami a windowsban szarrágás, az linuxban hegesztés.
Ha megszeretted a windowst, tanuld meg használni!
A linux igenis felhasználó-, és NEM idiótabarát.
A linuxot mi irányítjuk, a windows minket irányít.

Milyen paranccsal lehet egy adott portra érkező kérést egy másik ip-re átirányítani? Mindkét IP külső IP, semmilyen belső hálózat nincs.

Tehát a célom az, hogy ha valaki az egyik Interneten levő szerverem 21-es portjára akar csatlakozni, akkor a szerver a kérést passzolja át egy másik Interneten közvetlenül levő szerver szintén 21-es portjára úgy, hogy a felhasználó ebből semmit se lásson.

Tehát a cél, hogy a tényleges szerver IP-je rejtve legyen.

Köszi

subscribe

hogy mik vannak...

Világ életemben mind az INPUT, mind az OUTPUT láncon be- illetve ki voltak engedve a RELATED,ESTABLISHED állapotú kapcsolatok (TCP protokoll esetén).

Most találtam egy másfajta megközelítést: http://www.sns.ias.edu/~jns/wp/2006/01/12/iptables-connection-tracking-…

iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED -j ACCEPT

(A cikknek magyar vonatkozása is van, Kadlecsik József személyében, a második oldalon.)

----------------------------
színes ingyen domain domain

Ezek mellé

$IPT -t filter -I INPUT -i lo -j ACCEPT
$IPT -t filter -I OUTPUT -o lo -j ACCEPT

van értelme/kellenek a következő szabályok

$IPT -t filter -I INPUT -o lo -j ACCEPT
$IPT -t filter -I OUTPUT -i lo -j ACCEPT

???

(Az INPUT és az OUTPUT policy is egyaránt DROP.)

--------------------------------------------------------------------------
színes