iptables kérdés #2

Hálózatok egyéb

Üdv,

Az alább látható az IPTABLES script-em. Debian 4.0r2 rendszerem van és minden működik megfelelően (levelezés, net stb.) Egy Router mögött vagyok.

Ha mindent engedélyezek az iptables-ben, akkor tudok wput-tal feltölteni külső ftp-re. Viszont az alábbi szabályokkal valami gond van, mert a wput bejelentkezik (login = OK), csak a feltöltés nem indul el.

Hálás lennék ha meg tudnátok nézni az iptables script-emet.
Előre is köszönöm.

Ui.: a log fájlban a forrás (SCP) és rendeltetés (DTP) portoknak nagy értékeket kapok néhány program esetében. Ez miért van? Nem tudom pl. megállapítani a Transmission torrent kliensem-nek az engedélyezendő port számát. Hogyan tudhatom meg, hogy egy proginak milyen port kell hogy nyitva legyen?

----------------------------------------------------------------------------

#!/bin/bash

# LOG MESSAGES PRODUCED BY IPTABLES:
# cat /var/log/messages

# ******************
# **** IPTABLES ****
# ******************

iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# *************
# ** INPUT **
# *************

# lokális forgalom engedélyezett
iptables -A INPUT -i lo -j ACCEPT
# csak olyan bemenet engedélyezett, amik tőlünk indított csomagra adott válasz
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# SSH
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# CUPS
iptables -A INPUT -p tcp --dport 631 -j ACCEPT

# naplózás beállítása
iptables -A INPUT -j LOG --log-prefix "INPUT_DROP: "
# minden egyéb eldob
iptables -A INPUT -j DROP

# *****************
# ** OUTPUT lanc **
# *****************

# lokális forgalom engedélyezett
iptables -A OUTPUT -o lo -j ACCEPT
# csak olyan kimenet engedélyezett, amik tőlünk indított csomagra adott válasz
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# *************
# ** PORTS **
# *************

# DNS
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
# PING
iptables -A OUTPUT -p ICMP -j ACCEPT
# FTP
iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT
# SSH
iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
# SMTP
iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT
# HTTP
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
# POP3
iptables -A OUTPUT -p tcp --dport 110 -j ACCEPT
# NTP
iptables -A OUTPUT -p tcp --dport 123 -j ACCEPT
# IMAP2
iptables -A OUTPUT -p tcp --dport 143 -j ACCEPT
# HTTPS
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
# SSMTP
iptables -A OUTPUT -p tcp --dport 465 -j ACCEPT
# CUPS
iptables -A OUTPUT -p tcp --dport 631 -j ACCEPT
# IMAPS
iptables -A OUTPUT -p tcp --dport 993 -j ACCEPT
# POP3S
iptables -A OUTPUT -p tcp --dport 995 -j ACCEPT
# MSN
iptables -A OUTPUT -p tcp --dport 1863 -j ACCEPT
# IRC
# iptables -A OUTPUT -p tcp --dport 6667 -j ACCEPT
# TORRENT
iptables -A OUTPUT -p tcp --dport 6881 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 9090 -j ACCEPT
iptables -A OUTPUT -p udp --dport 9090 -j ACCEPT

# naplózás beállítása
iptables -A OUTPUT -j LOG --log-prefix "OUTPUT_DROP: "
# minden egyéb eldob
iptables -A OUTPUT -j DROP

  • 2335 megtekintés

( Gans | 2008. 01. 03., cs – 13:15 )

Ha tippelnem kéne, akkor beengedném az INPUT láncon az icmp-type 3-as csomagokat. Itt láthatod, hogy a 4-es kódú üzeneteket sem kapod meg.

( log69 | 2008. 01. 03., cs – 13:57 )

Közben megtaláltam a problémát: Az OUTPUT -nál nem engedélyeztem a NEW (új csomagok) kifele küldését :)

iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Ui.: Ha ennek ellenére van valakinek valami észrevétele, azt szívesen fogadnám. Köszi.

( log69 | 2008. 01. 03., cs – 15:20 )

Tudnátok segíteni abban, hogy vajon miért van az, hogy a torrent kliensemnek egy csomó csomagját eldobja a tűzfal.

Az alábbihoz hasonló hibaüzenetek tömkelegét küldi a log fájlba:

Jan 3 15:18:43 desktop kernel: OUTPUT_DROP: IN= OUT=eth0 SRC=192.168.2.101 DST=88.213.77.84 LEN=582 TOS=0x00 PREC=0x00 TTL=64 ID=51535 DF PROTO=TCP SPT=60577 DPT=27551 WINDOW=46 RES=0x00 ACK PSH FIN URGP=0

Mik ezek a port számok?

Sziasztok!

Van 2 gépem. Nevezzük őket Debian1 és Debian2 -nek. Mindkét gép dedikált IP címmel rendelkezik.
Annyit szeretnék megcsinálni, hogy Debian1 80-as portjának forgalmát, Debian2 80-as portjára irányítsa.

Próbálkoztam ilyenekkel:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to Debian2ipcim:80

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination Debian2ipcim:80

Egyik sem vezetett megoldásra, mert ha ezt kiadtam, utánna a böngészőben nem lehetett elérni utánna Debian1-et sem, de a célomat se értem el, mert Debian2 sem válaszolt. Itt értelem szerűen egy honlap jelenne meg.
Én vagyok a balf@sz ugye?

--
Nem az erős aki sosem esik el, hanem az aki mindig fel tud állni!

Szia!

debian1:~# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-destination debian2ipcíme:80
iptables v1.3.6: Unknown arg `--to-destination'
Try `iptables -h' or 'iptables --help' for more information.

Guglizok ezerrel, de még nem jártam sikerrel.
--
Nem az erős aki sosem esik el, hanem az aki mindig fel tud állni!

Gondoldd át, mi is történik:

1. A kliensed elküldi a kérést Debian1 IP címére
2. Az átírja a célcímet Debian2-ére és elküldi neki a csomagot
3. Debian2 a saját IP címével válaszol a kliensnek
4. A kliens nem Debian2-től, hanem Debian1-től várja a választ, ezért a csomagot elhajítja.

Az eredmény pontosan az, amit tapasztalsz. Szerintem ebből rájössz, mi a teendő :-).

( tsb | 2008. 09. 02., k – 15:11 )

Hello

CUPS-ot miért engeded ki a világba?
A http://localhost:631 az helyi forgalomként működik sztem, nem kell külön szabály hogy a saját gépedről elérd.
Vagy nem értek valamit? :)