» »

IPTables

IPTables

antonija ::

Najprej nekaj splosnih vprasanj:

V IPtables se v zaporedju appenda pravila za ravnanje s paketi. Ko se postavi eno ACCEPT pravilo, ali ga kaksen naknadni REJECT lahko "povozi"? (Recimo nastavimo accept na port 80, na koncu pa REJECT all: kaj obvelja?)

Kako je "bolj smiselno" nastavit IPTables ob zagonu:
- V /etc/init.d/ damo skripto z vsemi pravili
- V /etc/init.d damo skripto, ki iz druge datoteke prebere pravila

Pa ce ma kdo kaksen link do HowToja/tutoriala nastavljanja IPTables za QOS ga naj mirne volje objavi!!:))
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

Brane2 ::

Saj ti vse piše v navodilih za IPTABLES.


Načeloma se pravila za vsak paket sledijo, dokler sistem ne pride do pravila, ki mu opazovani paket ustreza in je ukaz tega pravila dokončen. Če je ukaz -j ACCEPT ali npr -j DROP, potem je to to. Ko je stvar enkrat ACCEPTala paket, je stvar že mimo in ga ne more več drop-at v istem chainu.

Če si na vhodu INPUTu že recimo acceptal paket, ga lahko ujameš še v FORWARD chainu ( če je seveda namenjen naprej, ne pa tvoji mašini in če imaš forwarding dovoljen) ali pa čisto na koncu na POSTROUTINGu, vendar ne vem, če tam filter chain "še nese"...

Ne vidim pa, zakaj ne moreš vsega, kar te zanima naredit v input chainu za pakete, ki prihajajo v stroj...
On the journey of life, I chose the psycho path.

Zgodovina sprememb…

  • spremenil: Brane2 ()

antonija ::

Ne vidim pa, zakaj ne moreš vsega, kar te zanima naredit v input chainu za pakete, ki prihajajo v stroj...
Tega stavka pa ne razumem najbolj. Please explain.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

64202 ::

Malo daljse ctivo ampak zelo berljivo:
frozentux.net

>>Ne vidim pa, zakaj ne moreš vsega, kar te zanima naredit v input chainu za pakete, ki prihajajo v stroj...
> Tega stavka pa ne razumem najbolj. Please explain.

Diagram za vgrajene verige:
c951
I am NaN, I am a free man!

antonija ::

TO MI DELI!!! Tole sm res rabu, ker nikjer nisem najdu seznama chainov in njihove razlage. A poznas se kaksnto stran kjer so vsi parametri za posameznen chain razlozeni?:8)
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

Brane2 ::

"man iptables" ? :D
On the journey of life, I chose the psycho path.

Brane2 ::

Gentoojev Portage ti na "emerge -s iptables" pove:


* net-firewall/iptables
Latest version available: 1.3.4
Latest version installed: 1.3.4
Size of downloaded files: 277 kB
Homepage: http://www.iptables.org http://www.linuximq.net http://l7-filter.sf.net
Description: Linux kernel (2.4+) firewall, NAT and packet mangling tools
License: GPL-2



:)
On the journey of life, I chose the psycho path.

Zgodovina sprememb…

  • spremenil: Brane2 ()

64202 ::

> A poznas se kaksnto stran kjer so vsi parametri za posameznen chain razlozeni?

Vzemi si cajt za tutorial, tam je skor vse not kar rabis vedet, edino QoSa ni not ce se prav spomnim.
I am NaN, I am a free man!

antonija ::

Brane2: Homepage od iptables (netfilter) sem gledal, sam so gor samo neki tutoriali in howtoji. Jst bi pa seznam, kjer so razlicni optioni s svojimi parametri in razlago. Sej verjetno to pise v man pageih, sam nisem zdraven linux boxa trenutno...
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

64202 ::

Ja, 'man iptables' ma vse not. Samo je malo nepregleden pa telegrafski :))
I am NaN, I am a free man!

Brane2 ::

antonija:

Najprej si prebereš "Packet Filtering Howto", po potrebi nadaljuješ z "Iptables Tutorialom" in na koncu, ko so ti koncepti jasni, po potrebi prebereš na kratko "man iptables". Tam te bodo takrat zanimali samo parametri.

Kot pa je videt, tebi niso še jasni koncepti, zato si le preberi howto in tutorial.

Brez tega bo težko.
On the journey of life, I chose the psycho path.

antonija ::

OK, hvala.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

jl ::

Prosim bi za pomoč pri rule za preusmeritev na pasive FTP server. Trenutno imam nastavljeno na active FTP (in dela):

$IPT -t nat -A PREROUTING -p tcp -i $BAD_IFACE -d 193.189.x.x --dport 21 -j DNAT --to 192.168.0.2:21
$IPT -t nat -A PREROUTING -p tcp -i $BAD_IFACE -d 193.189.x.x --dport 20 -j DNAT --to 192.168.0.2:20
$IPT -A fwd-bad -p tcp -d 192.168.0.20 -m multiport --dport 20,21 -j ACCEPT

Za pasive FTP server potrebujem redirect portov nad 1024... Gledal sem na, nekje je opisano z --state RELATED, ESTABLISHED, vendar mi ne deluje in mi vedno zavrne connection.

Za odogovor se zahvaljujem.

lp

BigWhale ::

> Če si na vhodu INPUTu že recimo acceptal paket, ga lahko
> ujameš še v FORWARD chainu

Se mi je zdelo, da je INPUT chain samo za tiste pakete, ki so za lokalno masino.

Brane2 ::

Se ti je zdelo pravilno. My bad. :8)
On the journey of life, I chose the psycho path.

antonija ::

V debianovi dokumentaciji pise tole za DNAT:

DNAT alters the destination address of the packet and is used in the PREROUTING and OUTPUT chains, and user-defined chains which are only called from those chains. (nat table only)

--to-destination ipaddr[-ipaddr][:port-port]

A je mogoce treba uporabit ta dolgo varianto namesto "--to"


Pa kaj naredi chain "fwd-bad" oz. cemu sluzi?
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

SasoS ::

dejansko rabiš samo rule ki ti forwarda port 21 in pa related porte. Zato pa je iptables stateful :)

Vanquish ::

antonija: probaj si malo to pogledat http://www.fwbuilder.org/

je kr lušna zadeva za administracijo in omogoča marsi kaj - QoS pa nisem siguren če podpira

jl ::

Sasos; Kako naredim related politiko? Kaj v tem smislu:
$IPT -t nat -A PREROUTING -p tcp -i $BAD_IFACE -d 193.189.x.x --state RELATED --dport 1024: -j DNAT --to 192.168.0.2:20

64202 ::

Tole je zdaj z glave, ampak recimo :)


Na zacetek:
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp -i $BAD_IFACE -d 192.168.0.2 -m state --state NEW -j ACCEPT

Za fwd pa se tole:
iptables -t nat -A PREROUTING -p tcp -i $BAD_IFACE -d 193.189.x.x --dport 21 -j DNAT --to 192.168.0.2
iptables -t nat -A PREROUTING -p tcp -i $BAD_IFACE -d 193.189.x.x --dport 1024:65535 -j DNAT --to 192.168.0.2
I am NaN, I am a free man!

jl ::

64202: sem poskusil kot si predlagal vendar ne deluje. Pozabil sem omenit, da je IP 193.189.x.x v DMZ-ju in iz tega se mora nato preroutat na FTP server v lokalnem lanu. Router pa ima svoj wan port z IP 193.189.y.y...

Brane2 ::

Ostalih specifik nisem gledal, le toliko te opozarjam da moraš imet naložen conntrack ftp helper modul pri kakršnemoki xnatanju, ker mora ta ustrezno popraviti src/dst podatke v ftp paketih, drugače ne bo delalo. Točnega imena helper modula ne vem - conntrack-ftp ali nekaj takega. Zakurblaj "make menuconfig" in si poglej ustrezne podatke.
On the journey of life, I chose the psycho path.

Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

ProtFtp Passive mode in iptables

Oddelek: Programska oprema		252113 (1935) SasoS
»

iptables

Oddelek: Omrežja in internet		61412 (1327) kihc
»

pomoč pri iptables

Oddelek: Omrežja in internet		102471 (2300) HellRaiseR
»

iptables + forward

Oddelek: Operacijski sistemi		332250 (1825) tx-z
»

Kako naredim preusmeritev???

Oddelek: Operacijski sistemi		71254 (1144) 2nemesis

Več podobnih tem