iptables kérdés

Linux-kezdő

hello,

iptables konfigolásban nem vagyok otthon ezért kérném a segítségeteket.
Adott egy hálózat.
1. ADSL router (192.168.2.254)
2. Szerver (squid,samba,dhcp, 192.168.2.253)
3. Kliens gépek

A kliensgépek átmásznak a squid.en és mindenki boldog böngésző.DE.Az outlook kliensek nem tudnak letölteni leveleket a kiszolgálóról (pop3).Ami normális, mivel a routeren MAC szűrés van, és csak a szervert engedi át.Itt jön a kérdés.milyen szabályt kell felvennem iptables-el, hogy a levelezés is működjön ?
A kliensekről pingelni sem lehet a pop3 kiszolgálót.A kliensek GW-je a szerver.Valahogy a szervernek kellene továbblöknie a portokat. Nat-olni ?

Köszi a helpet.

  • 1768 megtekintés

( cilimpo | 2008. 01. 31., cs – 13:42 )

Szerintem telepítd a fethmail-t és a postfixet.

Többek között ezeknek is szerepelnie kell az tűzfal scriptben.

IPTABLES="/sbin/iptables"

$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A FORWARD -p tcp --destination-port 110 -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -p tcp --destination-port 25 -m state --state NEW -j ACCEPT

$IPTABLES -t nat -A POSTROUTING -o $INTERNET -j MASQUERADE

Pingelni nem tudsz, azt külön szabályban kell engedni.

Hát én ezt nem tenném be :)

inkább valami hasonlót:

eth0="INT"
eth1="LAN"

$IPTABLES FORWARD -A -i $LAN -o $INT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst=1 -j ACCEPT

Másodpercenként egyet. Tudom parania, meg felesleges, de még egy "-s 192.168.2.0/24" is elférne benne. De inkább külön lácot érdemesebb lenne erre. Vagy nemtudom ... :)

-
budacsik

A biztonság kedvéért most üres az iptables, azaz accept minden, és nincs nat tábla sem.
Tegnap néhány óra után ezzel a parancsal a mac szűrés ellenére minden gép ki tudott menni a netre, ill. így nyilván ment a ping és a pop3-as lekérés is.

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Valaki elmondja nekem hogy ez mit jelent, a jelenlegi hálózatban?
Kszi.

És ha hozzáteszem hogy --dport 110, illetve 25, akkor csak ezek a portok fognak "átmenni" ?

--
Unfortunately, no one can be told what The Matrix is. You have to see it for yourself.

közben sikerült megoldani, hogy a pop3 és ssmtp menjen.
iptables -P FORWARD DROP
iptables -A FORWARD -p tcp --source-port 25 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp --destination-port 25 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp --source-port 465 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp --destination-port 465 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp --source-port 993 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp --destination-port 993 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

köszi a helpeket.

--
Unfortunately, no one can be told what The Matrix is. You have to see it for yourself.

Szerintem ennyi elég lenne("hogy a pop3 és ssmtp menjen"):


eth0="INT"
eth1="LAN"
iptables -P FORWARD DROP
iptables -A FORWARD -i $LAN -o $INT -p tcp --syn --dport 465 -m state --state NEW -j ACCEPT
iptables -A FORWARD -i $LAN -o $INT -p tcp --syn --dport 110 -m state --state NEW -j ACCEPT

110 = POP3
465 = SMTPS

-
budacsik

( budacsik | 2008. 02. 21., cs – 13:37 )

Üdv!

[törölve, baromság volt, és megtévesztő]


iptables -A FORWARD -p tcp --syn -m limit --limit 1/s --limit-burst=1 -j ACCEPT
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s --limit-burst=1 -j LOG --log-prefix "SYN_FLOOD?! "

Szerk.: tipikusan az az emberfajta vagyok aki akkor jön rá a dolgokra, ha már hosszas töprengés után, azt a fórumba megírta. A válasz evidens. Másodpercenként egyet _enged_!! vagyis nem lépteti tovább, amit tovább megy azt DROP-olni kell azonnal, mint fentebb írtam.
De hozzáteszem, ez kicsit így megtévesztő volt. Ezt a z utána lévő DROP szabályal együtt kellene reklémozni. Így útólag persze már jó hülyének érzem magam :)

Szerk2:
Lehet, hogy túlreagálom, de megint nem tetszik valami.
A fenti két sorral a a bajom, hogy viszont minden csomagot kienged, persze csak másodpercenként egyet.

Most így tesztelem:


# ami nem jó csomag, azzal ne vesződjön sokat
iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "INVALID_SYN "
iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
# és a lényeg itt lesz
iptables -A FORWARD -p tcp --syn -m state --state NEW -j syn_flood
iptables -A syn_flood -p tcp --syn -m limit --limit 5/s --limit-burst=10 -j RETURN
iptables -A syn_flood -p tcp --syn -m limit --limit 1/s --limit-burst=1 -j LOG --log-prefix "SYN_DROP "
iptables -A syn_flood -p tcp --syn -j DROP

Nem sok hűhó semmiért? Elég sok csomagot megfog ami a 80-as port felé menne. Persze utánanézve ezek leggtöbbször:
83.130.20.217.in-addr.arpa domain name pointer rehs.index.hu.
# host 217.20.130.76
76.130.20.217.in-addr.arpa domain name pointer thumb1.indafoto.hu.
# host 212.52.167.40
40.167.52.212.in-addr.arpa domain name pointer new.bookline.hu.
# host 217.20.131.2
2.131.20.217.in-addr.arpa domain name pointer ldir-loopback.index.hu.
# host 193.68.35.149
149.35.68.193.in-addr.arpa domain name pointer audit1.median.hu.
# host 195.228.242.101
101.242.228.195.in-addr.arpa domain name pointer ads.adverticum.net.

És ez csak _1_ védelem fajta. Mennyi erőforrásba/lasulásba kerülne sok ilyen megoldás?
Mondjuk legyen csak 10.

-
budacsik