Hálózatok általános

Egy szerver hosting szolgáltatónál elhelyezett gépen akarok
postfixet konfigurálni. Az a baj, hogy az smtp port valahol
kiszűródik.

Postfix leállítva.

Csomagszűrés kiiktatva, iptables-save eredménye:

# Generated by iptables-save v1.4.0 on Sat Jan 31 11:28:11 2009
*filter
:INPUT ACCEPT [7833:6274168]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [9802:8200174]
COMMIT

nmap -sT -p 25 host
eredménye host-ról nézve:

PORT STATE SERVICE
25/tcp closed smtp

nmap -sT -p 25 host
eredménye kívülről (otthonról) nézve:

PORT STATE SERVICE
25/tcp filtered smtp

Ebből arra következtetek, hogy a host és a külvilág között valami
tűzfal szűri a 25-ös portot. Nálam (a host-on) nincs szűrés. A szerver
hosting szolgáltató azt mondja, hogy nála sincs szűrés.

Mi lehet akkor a megoldás?

Két internet kapcsolat van a gépen, azt szeretném megoldani hogy alapvetően csak az egyiket használja, de ha azon nem elérhető valami, akkor a másik felé (is) próbálja.
Azaz a második (ppp0) csak tartalék kapcsolatként funkcionáljon.

Ezzel próbálkozom:
ip route add default scope global nexthop via a.b.c.d dev eth0 weight 2 nexthop via e.f.g.h dev ppp0 weight 1

Így az eth0-án küldi ki a csomagokat, viszont időnként src-nek a ppp0 ip-jét adja meg... amire a köv router nem válaszol érthető okból.
Ill. ppp0-án pedig az eth0 ip-jet amire még bont is a szolgáltató.

Mit rontok el?

---------

Ha
/etc/iproute2/rt_tables -ben létrehozok két táblát a két kapcsolatnak, és ezekben
ip route add default via a.b.c.d dev eth0 src IP0
ill. hasonlóan a másikat is, akkor legalább jó az src, viszont hol/hogy legyen a nexthop? Azaz mi mondja meg, hogy ne próbálkozzon a végtelenségig azon a táblán ami elöbbre van a sorban.

Szóval összekeveredtem :/

Hogy lehet ilyet csinálni?

Üdv mindenkinek!

Véleményeket, tapasztalatokat szeretnék gyűjteni a tárgyban megjelölt témakörben.

Cégünknél felmerült a lehetősége a linuxra-való részleges átállásnak.
Jelenleg XP-k vannak, server 2003-al, Active Directoryval.

A fő irányvonal a SuSE, de kiváncsi lennék kinek milyen tapasztalatai vannak ilyen, illetve más rendszerekkel, Desktop/Server alkalmazásban. Szóba került még Ubuntu (franciák után szabadon), valamint CentOS/Fedora, de bármilyen megoldás érdekel.
Fő szempontok természetesen: stabilitás, a hálózati felhasználóazonosítás, finomhangolható jogosultságkezelés, megosztott nyomtatóhasználat, Desktop oldalon pedig a felhasználóbarát környezet.

Szóval ha valaki a közelmúltban állt át, ide beírhatja a tapasztalatait :)

Köszönet előre is!

Sziasztok,

Nem működik a masquerading. Tudtok segíteni?
OS: Debian-lenny
Két hálókártya: eth0 WAN fele, ath0 vezetéknélküli hálókártya LAN, AP-nak beállítva. Driver madwifi.

eth0 ADSL routerről kap IP-címet (192.168.1.100), ath0-nek statikus címe van: 192.168.2.1
IP-masquerading van beállítva.

Kliens csatlakozik az AP-hoz. Böngészés viszont nem megy.

/etc/network/interfaces:
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eth0
iface eth0 inet dhcp
up ethtool -s eth0 wol g

#Ap interface setup
auto ath0

iface ath0 inet static
address 192.168.2.1
netmask 255.255.255.0
broadcast 192.168.2.255
pre-up /etc/init.d/ath0_preup
post-down /etc/init.d/ath0_postdown

iptables_rules:
#!/bin/bash

case "$1" in
start)

echo -n "Starting IP Firewall..."

#allandok
NET_INT=192.168.1.0/255.255.255 #belso halozatot lefedo teljes cimtartomany
IFACE=eth0
WLANIF=ath0
IP_GW=192.168.1.1 #gateway address

#IPtables modulok betoltese
modprobe ip_conntrack_ftp

## Kernel flags
# To dynamically change kernel parameters and variables on the fly you need
# CONFIG_SYSCTL defined in your kernel. I would advise the following:

# Disable response to ping.
/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

# Disable response to broadcasts.
# You don't want yourself becoming a Smurf amplifier.
/bin/echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# Don't accept source routed packets. Attackers can use source routing to generate
# traffic pretending to be from inside your network, but which is routed back along
# the path from which it came, namely outside, so attackers can compromise your
# network. Source routing is rarely used for legitimate purposes.
/bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route

# Disable ICMP redirect acceptance. ICMP redirects can be used to alter your routing
# tables, possibly to a bad end.
/bin/echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects

# Enable bad error message protection.
/bin/echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

# Log spoofed packets, source routed packets, redirect packets.
/bin/echo "1" > /proc/sys/net/ipv4/conf/all/log_martians

# This enables dynamic address hacking.
# This may help if you have a dynamic IP address \(e.g. slip, ppp, dhcp\).
/bin/echo "1" > /proc/sys/net/ipv4/ip_dynaddr

# Make sure that IP forwarding is turned off. We only want this for a multi-homed host.
/bin/echo "1" > /proc/sys/net/ipv4/ip_forward

#Clear old rules
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -Z

#-----------Chain_Rules---------------------------#
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#----------------------Loopback_Interface_engedelyezese------------------------#
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#---------------------Gateway_engedelyezese------------------------------------#
iptables -A INPUT -s 192.168.1.1 -j ACCEPT
iptables -A OUTPUT -d 192.168.1.1 -j ACCEPT

#-------------------------------VMWare-----------------------------------------#
iptables -A INPUT -i vmnet8 -j ACCEPT
iptables -A INPUT -i vmnet1 -j ACCEPT
iptables -A OUTPUT -o vmnet8 -j ACCEPT
iptables -A OUTPUT -o vmnet8 -j ACCEPT

#--------------------Network_printer_engedelyezese-----------------------------#
iptables -A INPUT -s 192.168.1.115 -j ACCEPT
iptables -A OUTPUT -d 192.168.1.115 -j ACCEPT

#-------------------WLANSETUP--------------------------------------------------#
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A FORWARD -i eth0 -o ath0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i ath0 -o eth0 -m state --state NEW -j ACCEPT

#-------------------------------------------------------------------------------#

# Allow DHCP request
iptables -A INPUT -p udp --dport 67:68 --sport 67:68 -j ACCEPT
iptables -A OUTPUT -p udp --dport 67:68 --sport 67:68 -j ACCEPT

## SYN-FLOODING PROTECTION
## Make sure NEW tcp connections are SYN packets
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "hidden portscan :"
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

## SYN-FLOODING PROTECTION
# This rule maximises the rate of incoming connections. In order to do this we divert tcp
# packets with the SYN bit set off to a user-defined chain. Up to limit-burst connections
# can arrive in 1/limit seconds ..... in this case 4 connections in one second. After this, one
# of the burst is regained every second and connections are allowed again. The default limit
# is 3/hour. The default limit burst is 5.
iptables -N syn-flood
iptables -A INPUT -p tcp --syn -j syn-flood
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A syn-flood -j LOG --log-prefix "SYN-Flood attack :"
iptables -A syn-flood -p tcp --syn -j DROP

# Nmap FIN/URG/PSH
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -m limit --limit 5/m -j LOG --log-prefix "Nmap XMAS scan :"
iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP

# SYN/RST
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 5/m -j LOG --log-prefix "SYN/RST scan :"
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

#SYN/FIN
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 5/m -j LOG --log-prefix "SYN/FIN scan :"
iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

# Portscan,PoD
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j LOG --log-prefix "XMAS-tree scan :"
iptables -A INPUT -p tcp --tcp-flags ALL NONE -m state --state ! ESTABLISHED -j LOG --log-prefix "NULL scan :"

# Jovahagyott kapcsolatok engedelyezese
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# Allow no-ip.org
iptables -A INPUT -p tcp -s 204.16.252.97 --sport 8245 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -d 204.16.252.97 --dport 8245 -m state --state NEW,ESTABLISHED -j ACCEPT

## DNS
# NOTE: DNS uses tcp for zone transfers, for transfers greater than 512 bytes (possible, but unusual), and on certain
# platforms like AIX (I am told), so you might have to add a copy of this rule for tcp if you need it
# Allow UDP packets in for DNS client from nameservers.
iptables -A INPUT -p udp --sport 53 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --sport 53 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --sport 5353 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 5353 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# Allow UDP packets to DNS servers from client.
iptables -A OUTPUT -p udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp --sport 5353 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 5353 -m state --state NEW,ESTABLISHED -j ACCEPT

#Allow SSH and logging
iptables -A INPUT -p tcp --dport 22 -m limit --limit 6/h --limit-burst 5 -j LOG --log-prefix "Incoming_SSH_connection: "

#ALLOW SSH IN
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 2 -j DROP
#iptables -A INPUT -p tcp -s 213.253.214.125 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
#iptables -A INPUT -p tcp -s 217.22.55.50 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
#iptables -A INPUT -p tcp -s 192.168.1.1/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

#ALLOW SSH OUT
iptables -A INPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT

## FTP In and Out
# FTP loggolasa
iptables -A INPUT -p tcp --dport 21 -j LOG --log-prefix "Incoming_FTP_Connection: "

# Allow ftps inbound
iptables -A INPUT -p tcp --sport 1024: --dport 989:990 -j ACCEPT
iptables -A INPUT -p udp --sport 1024: --dport 989:990 -j ACCEPT

# Allow ftp server inbound
# Allow active ftp
iptables -A INPUT -p tcp --dport 21 --sport 1024: -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 21 --dport 1024: -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --sport 1024: --dport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 20 --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allow passive ftp

#iptables -A INPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 21 --dport 1024: -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --sport 1024: --dport 50000:50100 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 50000:50100 --dport 1024: -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# Allow ftp client outbound.
iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
# Now for the connection tracking part of ftp. This is discussed more completely in my section
# on connection tracking to be found here.
# 1) Active ftp.
# This involves a connection INbound from port 20 on the remote machine, to a local port
# passed over the ftp channel via a PORT command. The ip_conntrack_ftp module recognizes
# the connection as RELATED to the original outgoing connection to port 21 so we don't
# need NEW as a state match.
iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
# 2) Passive ftp.
# This involves a connection outbound from a port >1023 on the local machine, to a port >1023
# on the remote machine previously passed over the ftp channel via a PORT command. The
# ip_conntrack_ftp module recognizes the connection as RELATED to the original outgoing
# connection to port 21 so we don't need NEW as a state match.
iptables -A INPUT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT

## Allow Apache Web Server inbound
iptables -A INPUT -p tcp --sport 1024: -m multiport --dports 80,8080,443 -j LOG --log-prefix "Incoming_web_connection: "
iptables -A INPUT -p tcp --sport 1024: -m multiport --dports 80,443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT

## Allow web browser outbound
iptables -A INPUT -p tcp -m multiport --sports 80,8080,443 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: -m multiport --dports 80,8080,443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# Allow Privoxy
iptables -A INPUT -p tcp -s 127.0.0.1 --dport 8118 -j ACCEPT
iptables -A OUTPUT -p tcp -m owner --uid-owner 109 -j ACCEPT

#Allow Tor client
iptables -A INPUT -p tcp -s 127.0.0.1 --dport 9050 -j ACCEPT
iptables -A OUTPUT -p tcp -m owner --uid-owner 110 -j ACCEPT

# Allow Tor server
iptables -A INPUT -p tcp -m multiport --dports 9001,9030 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --sports 9001,9030 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Allow Bittornado
#Allow tracker port
iptables -A OUTPUT -p tcp -m multiport --dports 6969,9898 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --sports 6969,9898 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Minport 10001, maxport 10004
iptables -A INPUT -p tcp --dport 6881:6999 -j ACCEPT
iptables -A INPUT -p tcp --dport 10001:10004 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p udp --dport 10001:10004 -j ACCEPT
#iptables -A OUTPUT -p tcp -m owner --uid-owner 1000 -j ACCEPT

# Spamassassin utilizes port 783 to properly scan and release e-mail. If you have a firewall on
#your server, you will need to open port 783 going in and out.
iptables -A INPUT -s 127.0.0.1 -p tcp --dport 783 -j ACCEPT
iptables -A OUTPUT -d 127.0.0.1 -p tcp --dport 783 -j ACCEPT

# Allow CUPS
iptables -A INPUT -s 127.0.0.1 -p tcp --dport 631 -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -p udp --dport 631 -j ACCEPT
iptables -A OUTPUT -d 127.0.0.1 -p tcp --dport 631 -j ACCEPT
iptables -A OUTPUT -d 127.0.0.1 -p udp --dport 631 -j ACCEPT

# Allow HPLIP
iptables -A INPUT -s 127.0.0.1 -p tcp --dport 2207:2208 -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -p udp --dport 2207:2208 -j ACCEPT
iptables -A OUTPUT -d 127.0.0.1 -p tcp --dport 2207:2208 -j ACCEPT
iptables -A OUTPUT -d 127.0.0.1 -p udp --dport 2207:2208 -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -p tcp --dport 2912 -j ACCEPT
iptables -A OUTPUT -d 127.0.0.1 -p tcp --dport 2912 -j ACCEPT

#Telnet
iptables -A INPUT -p tcp --sport 23 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 23 -m state --state NEW,ESTABLISHED -j ACCEPT

## SMTP,SMTPS,IMAP,IMAPS,POP3,POP3S
# Allow smtp,POP etc. outbound.
iptables -A INPUT -p tcp -m multiport --sports 25,465,143,993,110,995 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --dports 25,465,143,993,110,995 -m state --state NEW,ESTABLISHED -j ACCEPT

## AUTH server
# Reject ident probes with a tcp reset.
# I need to do this for a broken mailhost that won't accept my mail if I just drop its ident probe.
iptables -A INPUT -p tcp --dport 113 -j REJECT --reject-with tcp-reset

# ntp, rdate
iptables -I INPUT -p udp --sport 123 --dport 123 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -I INPUT -p tcp --dport 123 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp --sport 123 --dport 123 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --dport 123,37 -m state --state NEW,ESTABLISHED -j ACCEPT

# Skype
iptables -A INPUT -p tcp --dport 23399 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --dport 23399 -m state --state NEW,ESTABLISHED -j ACCEPT

# Ekiga
iptables -A INPUT -p udp -m multiport --sports 3478,5060 -m state --state NEW,ESTABLISHED -j ACCEPT

# Allow IRC
iptables -A INPUT -p tcp --sport 6667 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 6667 -m state --state NEW,ESTABLISHED -j ACCEPT

# Talk,ntalk
#iptables -A INPUT -p udp --dport 517:518 -j ACCEPT
#iptables -A OUTPUT -p udp --sport 517:518 -j ACCEPT

# ICQ
iptables -A OUTPUT -p tcp --dport 5190 -m state --state NEW,ESTABLISHED -j ACCEPT

# Skype
iptables -A INPUT -p tcp --dport 2172 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --dport 2172 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 2172 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp --sport 2172 -m state --state NEW,ESTABLISHED -j ACCEPT

# MSN,Yahoo
iptables -A OUTPUT -p tcp -m multiport --dports 1863,6891,6892,6893,6894,6895,6896,6897,6898,6899,6900,5050 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp -m multiport --dports 1900,6891:6900 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -m multiport --dports 6891:6900 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 1863,6891,6892,6893,6894,6895,6896,6897,6898,6899,6900,5050 -m state --state ESTABLISHED,RELATED -j ACCEPT

# PGP Keyserver
iptables -A OUTPUT -p tcp --dport 11371 -m state --state NEW,ESTABLISHED -j ACCEPT

## Allow samba
#iptables -A OUTPUT -p tcp --dport 134:139 -m state --state NEW,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -p udp --dport 134:139 -m state --state NEW,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -p tcp --dport 445 -m state --state NEW,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -p udp --dport 445 -m state --state NEW,ESTABLISHED -j ACCEPT

## Whois
iptables -A INPUT -p tcp --sport 43 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 43 -m state --state NEW,ESTABLISHED -j ACCEPT

## TRACEROUTE
# Outgoing traceroute anywhere.
# The reply to a traceroute is an icmp time-exceeded which is dealt with by the next rule.
iptables -A OUTPUT -p udp --sport 32769: --dport 33434:33523 -m state --state NEW -j ACCEPT

# ICMP
# We accept icmp in if it is "related" to other connections (e.g a time exceeded (11)
# from a traceroute) or it is part of an "established" connection (e.g. an echo reply (0)
# from an echo-request (8)).
#iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 3/s -j ACCEPT
#iptables -A INPUT -p icmp --icmp-type echo-request -j LOG --log-prefix "PoD attack :"
iptables -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT

## LOGGING
# You don't have to split up your logging like I do below, but I prefer to do it this way
# because I can then grep for things in the logs more easily. One thing you probably want
# to do is rate-limit the logging. I didn't do that here because it is probably best not too
# when you first set things up ................. you actually really want to see everything going to
# the logs to work out what isn't working and why. You cam implement logging with
# "-m limit --limit 6/h --limit-burst 5" (or similar) before the -j LOG in each case.
#
# Any udp not already allowed is logged and then dropped.
iptables -A INPUT -p udp -j LOG --log-prefix "IPTABLES UDP-IN: "
iptables -A INPUT -p udp -j DROP
iptables -A OUTPUT -p udp -j LOG --log-prefix "IPTABLES UDP-OUT: "
iptables -A OUTPUT -p udp -j DROP
# Any icmp not already allowed is logged and then dropped.
iptables -A INPUT -p icmp -j LOG --log-prefix "IPTABLES ICMP-IN: "
iptables -A INPUT -p icmp -j DROP
iptables -A OUTPUT -p icmp -j LOG --log-prefix "IPTABLES ICMP-OUT: "
iptables -A OUTPUT -p icmp -j DROP
# Any tcp not already allowed is logged and then dropped.
iptables -A INPUT -p tcp -j LOG --log-prefix "IPTABLES TCP-IN: "
iptables -A INPUT -p tcp -j DROP
iptables -A OUTPUT -p tcp -j LOG --log-prefix "IPTABLES TCP-OUT: "
iptables -A OUTPUT -p tcp -j DROP
#FORWARD logging
iptables -A FORWARD -j LOG --log-prefix "FORWARD logs: "

echo "done."
echo
;;

stop)

echo -n "Stopping IP Firewall..."

iptables -F
iptables -X
iptables -Z

# IP tables base policy

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

echo "done."
echo
;;

restart)
echo -n "Restarting IP Firewall..."
$0 stop > /dev/null
sleep 1
$0 start > /dev/null
;;

*)
echo "Usage: $0 {start|stop|restart}"
exit 1
;;

esac

exit 0

dmesg:
54259.215232] FORWARD logs: IN=ath0 OUT=eth0 SRC=192.168.2.10 DST=63.245.209.120 LEN=121 TOS=0x00 PREC=0x00 TTL=127 ID=55264 PROTO=TCP SPT=2663 DPT=443 WINDOW=65535 RES=0x00 ACK PSH URGP=0
[54259.215460] FORWARD logs: IN=ath0 OUT=eth0 SRC=192.168.2.10 DST=63.245.209.116 LEN=121 TOS=0x00 PREC=0x00 TTL=127 ID=55265 PROTO=TCP SPT=2665 DPT=443 WINDOW=62500 RES=0x00 ACK PSH URGP=0
[54264.074436] FORWARD logs: IN=ath0 OUT=eth0 SRC=192.168.2.10 DST=98.124.167.250 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=55399 DF PROTO=TCP SPT=2668 DPT=80 WINDOW=62500 RES=0x00 ACK URGP=0
[54264.180084] FORWARD logs: IN=ath0 OUT=eth0 SRC=192.168.2.10 DST=98.124.167.250 LEN=469 TOS=0x00 PREC=0x00 TTL=127 ID=55402 DF PROTO=TCP SPT=2668 DPT=80 WINDOW=62500 RES=0x00 ACK PSH URGP=0
[54264.443602] FORWARD logs: IN=ath0 OUT=eth0 SRC=192.168.2.10 DST=63.245.209.49 LEN=205 TOS=0x00 PREC=0x00 TTL=127 ID=55403 DF PROTO=TCP SPT=2651 DPT=443 WINDOW=65535 RES=0x00 ACK PSH FIN URGP=0
[54264.443738] FORWARD logs: IN=ath0 OUT=eth0 SRC=192.168.2.10 DST=63.245.209.120 LEN=207 TOS=0x00 PREC=0x00 TTL=127 ID=55404 DF PROTO=TCP SPT=2652 DPT=443 WINDOW=65535 RES=0x00 ACK PSH FIN URGP=0
[54264.443851] FORWARD logs: IN=ath0 OUT=eth0 SRC=192.168.2.10 DST=66.249.93.101 LEN=121 TOS=0x00 PREC=0x00 TTL=127 ID=55405 DF PROTO=TCP SPT=2659 DPT=443 WINDOW=62500 RES=0x00 ACK PSH URGP=0
[54264.544220] FORWARD logs: IN=ath0 OUT=eth0 SRC=192.168.2.10 DST=63.245.209.116 LEN=220 TOS=0x00 PREC=0x00 TTL=127 ID=55406 DF PROTO=TCP SPT=2653 DPT=443 WINDOW=62500 RES=0x00 ACK PSH FIN URGP=0
[54264.544280] FORWARD logs: IN=ath0 OUT=eth0 SRC=192.168.2.10 DST=63.245.209.116 LEN=220 TOS=0x00 PREC=0x00 TTL=127 ID=55407 DF PROTO=TCP SPT=2654 DPT=443 WINDOW=62500 RES=0x00 ACK PSH FIN URGP=0
[54264.544343] FORWARD logs: IN=ath0 OUT=eth0 SRC=192.168.2.10 DST=63.245.209.116 LEN=220 TOS=0x00 PREC=0x00 TTL=127 ID=55408 DF PROTO=TCP SPT=2658 DPT=443 WINDOW=62500 RES=0x00 ACK PSH FIN URGP=0
[54264.544480] FORWARD logs: IN=ath0 OUT=eth0 SRC=192.168.2.10 DST=63.245.209.116 LEN=220 TOS=0x00 PREC=0x00 TTL=127 ID=55409 DF PROTO=TCP SPT=2655 DPT=443 WINDOW=62500 RES=0x00 ACK PSH FIN URGP=0
[54264.544621] FORWARD logs: IN=ath0 OUT=eth0 SRC=192.168.2.10 DST=63.245.209.116 LEN=220 TOS=0x00 PREC=0x00 TTL=127 ID=55410 DF PROTO=TCP SPT=2656 DPT=443 WINDOW=62500 RES=0x00 ACK PSH FIN URGP=0
[54264.544767] FORWARD logs: IN=ath0 OUT=eth0 SRC=192.168.2.10 DST=63.245.209.116 LEN=220 TOS=0x00 PREC=0x00 TTL=127 ID=55411 DF PROTO=TCP SPT=2657 DPT=443 WINDOW=62500 RES=0x00 ACK PSH FIN URGP=0

Ebből gondolom valamit nagyon elszúrtam. Mi a rossz a configban?
Köszönöm előre is.

Sziasztok!

Adott egy intel alaplap, rajta 2x Intel Corporation 82541GI/PI Gigabit Ethernet Controller (rev 05)
Sajnos a kimenő forgalom 45Mbyte/s-nél koppan. Több nem megy át kártyán.
Neten utánaolvasva driver bug lehet: http://www.beowulf.org/archive/2005-August/013452.html
Kernel: 2.6.22.6
Kipróbáltam a legfrissebb driverrel, de az eredmény ugyanaz: http://downloadcenter.intel.com/filter_results.aspx?strTypes=all&Produc…!

Ti tapasztaltatok már ilyet?
Van valami esély arra, hogy kártya csere nélkül megoldás szülessen?
Előre is köszönöm a válaszokat!

Sziasztok!

Van egy Cisco 2800. mögötte egy debian.
Ha a debian dhcp-n kap címet, akkor tökéletesen tud kifelé beszélgetni.
Ha statikusat állítok be (paraméterek jók!!!), akkor már a cisco ip-jét sem tudja pingelni, nemhogy átmenni rajta. (Destinaton host unreachable jön a cisco-ra).
Ha beállítottam statikus dhcp-t (de olyan tartományból, ami a cisco-n ip dhcp exclude-ban van)
akkor megkapja a cisco-tól, de a jelenség ugyan az, mintha kézzel állítottam volna be.

show access-list szerint a teljes IP tartományt ki kellene engednie, amiben a debian van.

Létezik olyan beállítás a Cisco-ban, hogy csak azoknak a klisenseknek engedje a forgalmat, amiknek Ő adott IP-t? Vagy mit nézhetnék meg esetleg?

Előre is köszi: Dani

Sziasztok,

Nem indul el a dhcp3-server, konfigurácios hiba miatt. Segítségeteket szeretném kérni.
OS: Debian-lenny
Két hálókártya: eth0 WAN fele, ath1 vezetéknélküli hálókártya LAN, AP-nak beállítva. Driver madwifi.

eth0 ADSL routerről kap IP-címet (192.168.1.100), ath1-nek statikus címe van: 192.168.2.1
IP-masquerading van beállítva.

Hibaüzenet:
Jan 18 17:54:44 freeroute dhcpd:
Jan 18 17:54:44 freeroute dhcpd: No subnet declaration for ath1 (0.0.0.0).
Jan 18 17:54:44 freeroute dhcpd: ** Ignoring requests on ath1. If this is not what
Jan 18 17:54:44 freeroute dhcpd: you want, please write a subnet declaration
Jan 18 17:54:44 freeroute dhcpd: in your dhcpd.conf file for the network segment
Jan 18 17:54:44 freeroute dhcpd: to which interface ath1 is attached. **
Jan 18 17:54:44 freeroute dhcpd:
Jan 18 17:54:44 freeroute dhcpd:
Jan 18 17:54:44 freeroute dhcpd: Not configured to listen on any interfaces!
Config file-ok:

/etc/network/interfaces:
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eth0
iface eth0 inet dhcp
up ethtool -s eth0 wol g

#Ap interface setup
auto ath1

iface ath1 inet static
address 192.168.2.1
netmask 255.255.255.0
broadcast 192.168.2.255
pre-up /etc/init.d/ath1_preup
post-up /etc/init.d/ath1_postdown

less /etc/dhcp3/dhcpd.conf:
# option definitions common to all supported networks...
option domain-name "intra";
option domain-name-servers 208.67.222.222, 208.67.220.220;

default-lease-time 600;
max-lease-time 7200;
# A slightly different configuration for an internal subnet.
subnet 192.168.2.0 netmask 255.255.255.0 {
range 192.168.2.10 192.168.2.100;
option domain-name-servers 192.168.2.1;
option domain-name "internal.no-ip.org";
option routers 192.168.2.1;
option broadcast-address 192.168.2.255;
default-lease-time 600;
max-lease-time 7200;
}

freeroute:/home/freeroute# ifconfig
ath1 Link encap:Ethernet HWaddr 06:20:a6:57:81:64
inet6 addr: fe80::420:a6ff:fe57:8164/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:2290 Metric:1
RX packets:1594 errors:0 dropped:0 overruns:0 frame:0
TX packets:382 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:62564 (61.0 KiB) TX bytes:40042 (39.1 KiB)

eth0 Link encap:Ethernet HWaddr 00:0a:cd:02:4b:df
inet addr:192.168.1.100 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::20a:cdff:fe02:4bdf/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:23271 errors:0 dropped:0 overruns:0 frame:0
TX packets:19574 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:4205504 (4.0 MiB) TX bytes:5204133 (4.9 MiB)
Interrupt:11 Base address:0xd000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:4892 errors:0 dropped:0 overruns:0 frame:0
TX packets:4892 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:627582 (612.8 KiB) TX bytes:627582 (612.8 KiB)

wifi1 Link encap:UNSPEC HWaddr 00-20-A6-57-81-64-00-00-00-00-00-00-00-00-00-00
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:6495 errors:0 dropped:0 overruns:0 frame:631
TX packets:2503 errors:677 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:280
RX bytes:381331 (372.3 KiB) TX bytes:355931 (347.5 KiB)
Interrupt:11

Sziasztok!

Szagemberektől :D kérnék segítséget.

Probléma röviden:

Elméleti terv:

Apóséknak lőnék át Wifin LAN-t 1 WXP-s gépre WPA2 PSK-val.
Nekik meg felesleges havi 5k HUF-ért csengetni a 2Mbites LAN-ért.

Jelenlegi eszközpark.
Linksys Wrt 54 GL router DD-WRT 24 SP1,
Linkpro WLG 54 zuh V2 upgradelt (gyári) antennával.

Mostani helyzet.

Nálam most katasztrófahelyzet van (ADSL-em xarakodik), így tőlük nyúlom a netet, fordított a felállás.

Házban csillagpontosan van Ethernet mindenhol, pincében van a rendező, ott vannak a végpontok és a Linksys router.

2 födémen keresztül függőlegesen a jel lowend minőségű hozzám sajnos.

A router valószínű nem fogja fellőni apósékig a jelet, ez tuti. :D

Az elhelyeztés olyan, hogy pont apósékhoz viszonyítva ellenkező irányban van a router, esélytelen födémen átmenni oda a pincéből Wifivel.

Wifit felvittem apósékhoz.
Beállítottam.

Az antennámat úgy tettem, hogy apósék ablaka, ahova a router ki lett téve, kb 30 méterre van tőlem max. Szembe látszik. Egy fenyőfa lombozata picit belóg az ablakba, ennyi az akadály.

A routerben alapértelmezett minden beállítás ami a Wifi jelerősséget+ilyesmiket illeti (titkosítás nem).
Na most a jel így is a béka feneke alatt van, szakadozik óránként a kapcsolat.

Most pl 18Mbps és very low a jelerősség.

csatornát próbáltam váltani. Az sem segített.

Ezzel elevezgetek, de hosszú távon gondolkodom, hogy mit lehetne tenni.

Amin gondolkodom:

-Még egy uilyen linksys, Lannal összekötve a másik szobában a lenti routerrel és após a fentire csatlakozna.

A jelerősséget tekintve vannak kétségeim, mivel gyakorlatilag direkt rálátással rossz a jelerősség.

Külső antennát nem szeretnék használni, sem erős belsőt (gyerekszobában lenne a router).

- A másik lehetőség, beruházni egy mikrotik routerbe, és azt használni AP-nek, a lenti linksyssel összekötve.

A harmadik lehetőség, hogy a pincébe mikrotikot tennék izom jelerősséggel, és eleve azzal nyomulnék, apóshoz meg feltenném a linksys-t/ wireless usb stixket, nem tudom. A mikrotik nagyon szompatikus megoldásnak tűnik.

Javaslatokat kérnék mikrotik ügyben, illetve a komplett témával kapcsolatban.

Most 2 pc van nálam LAN-on + 1 notebook wifivel lesz + após gépe szomszédból wifivel.

8Mbites ADSL-en fog lógni, hosszú távon lehet, hogy 25 Mbites lesz, főleg ha ócó lesz.

A válaszokat előre is köszönöm!

Sziasztok.

Lenne egy pár problémám. PPPoE csatlakozás megy. DHCP config rendben van, működik. Először is a DynDNS-es elérést nem igazán sikerül megoldani:
/etc/ddclient.conf -ban ezek a beállításaim
daemon=120
pid=/var/run/ddclient.pid
ssl=yes
use=web, web=checkip.dyndns.com/, web-skip='**.**.**.**'
login=****
password='****'
protocol=dyndns2
server=members.dyndns.org
****.dyndns.org

/etc/default/ddcclient:
run_ipup="true"
run_daemon="true"
daemon_interval="120"

/etc/init.d/ddclient status
Status of Dynamic DNS service update utility: ddclient is running.

Úgy gondolom hogy valami port probléma van. Próbálkoztam elég sok beállítási lehetőséggel. Valaki nem tudna esetleg ajánlani egy jó tűzfal configot, amivel minimálisra tudnám csökkenteni a nyitott portokat, csak a fontosak menjenek és hogy később "egyszerűen" tudjak nyitni/zárni portokat. A configban ppp0 eth0 és eth1 van. Lehet-e külön kártyán nyitni/zárni portokat ip-hez rendelve, hogy egyes gépeken fusson xy alkalmazás, másokon pedig nem.

Előre is köszönöm a segítséget.

Sziasztok !

A Segítségeteket szerezném kérni mert, elakadtam egy VPN-ennel.

Az egyik cég két telephelye össze van kötve VPN -nel (512 VPN béreltvonal, T-COM). Ezt szeretném kiváltani 2db ADSL -el amin 2db VIGOR 2200E+ VPN router csücsül.

A két VIGOR között létre jött a VPN kapcsolat. Sőt a Vigor eszközre TELNET -elve pingelni is tudom a másik oldalon az összes IP-t. Ha viszont nem az eszközről nézem hanem az ottani hálózatról, akkor nem látom a másik oldal gépeit. A másik router -re viszont gond nélkül kapcsolódok a belső hálón keresztül.

Csináltam egy ábrát a hálózatról :
http://rs338.rapidshare.com/files/182181159/VPN-1.pdf

A jelenleg kapcsolatot az alábbi link alapján csináltam meg. Igazából az IPsec ideálisabb lenne de azzal nem épül fel a VPN kapcsolat.
http://www.draytek.co.uk/support/vpn_setup.html

Még adatok:

Az A.telephelyen 192.168.6.X IP-k vannak. A B.Telephelyen 192.168.7.x. A mask /23 volt eddig beállítva hogy a két tartomány lássa egymást.

Az A.telephelyen van egy béreltvonal(a router Lan: 192.168.6.200) amin neteznek. A B.Telephelyen is a netre ezen a routeren keresztül mennek ki(tehát a GW:192.168.6.200).

Milyen tapasztalatik vannak ezekkel az eszközökkel ? Miért csak telneten keresztül látszódnak a gépek ?