Тема: Iptables и samba..... (Прочетена 3416 пъти)

emagi · « -: Oct 23, 2007, 21:56 »

Направих си следната защитна стена:
Но немога да видя споделените ресурси на LINUX машината!Също така,не мога да пусна и торент клиента,а той е мю торент(доколкото видех работи на порт 14386)
Ето го и конфигурационния файл rc.firewall

Примерен код

#!/bin/sh
modprobe ip_tables
modprobe ip_conntrack_ftp
modprobe iptable_nat
modprobe ip_nat_ftp
#delete old chain's policy
iptables --flush
iptables --delete-chain
iptables --flush -t nat
iptables --delete-chain -t nat
#POLICY
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
#INPUT policy
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "Stealth scan attemp"
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
#allowing DHCP server to "gives" IP addresses
iptables -A INPUT -p udp --dport 67 -j ACCEPT
#permision to reach the Local server(Apache)
iptables -A INPUT -p tcp -i eth1 --dport 80 -j ACCEPT
iptables -I INPUT 1 -i lo -j ACCEPT
iptables -I OUTPUT 1 -o lo -j ACCEPT
#samba
iptables -A INPUT -p tcp --dport 139 -j ACCEPT
#accept SSH from inside net
iptables -A INPUT -p tcp -s 172.16.2.0/24 --dport 22 -m state --state NEW -j ACCEPT
iptables -A INPUT -j LOG --log-prefix "Dropped by default (INPUT)"
#OUTPUT policy
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p udp --dport 68 -j ACCEPT
#samba
iptables -A OUTPUT -p tcp --sport 139 -j ACCEPT
iptables -A OUTPUT -j LOG --log-prefix "Dropped by default (OUTPUT)"
iptables -A OUPUT -j DROP
#FORWARD policy
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "Stealth scan attemp"
iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
#internet to outside net
iptables -A FORWARD -p udp -s 10.10.11.0/24 -m state --state NEW,RELATED --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -s 10.10.11.0/24 -m state --state NEW,RELATED --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp -s 10.10.11.0/24 -m state --state NEW --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -s 10.10.11.0/24 -m state --state NEW --dport 443 -j ACCEPT
#TORRENT
iptables -A FORWARD -s 10.10.11.0/24 -p tcp --dport 14386 -j ACCEPT
iptables -A FORWARD -j LOG --log-prefix "Dropped by default (OUTPUT)"
#NAT
iptables -t nat -A POSTROUTING -s 10.10.11.0/24 -o eth0 -j MASQUERADE
#torrent
iptables -t nat -A PREROUTING -s 10.10.11.0/24 -p tcp --dport 14386 -j ACCEPT

След стартирането ./rc.firewall ми изписва следното:

Цитат

root@moon:/etc/rc.d# ./rc.firewall
iptables: No chain/target/match by that name

VladSun · « **Отговор #1 -:** Oct 23, 2007, 21:57 »

Цитат (emagi @ Окт. 23 2007,21:56)

Ето го и конфигурационния файл rc.firewall

'> много кратък ми изглежда

'>

VladSun · « **Отговор #2 -:** Oct 23, 2007, 22:18 »

http://troy.jdmz.net/samba/fw/

тоя "No chain/target/match by that name" ти го дава на

iptables -A OUPUT -j DROP

правилото ...

emagi · « **Отговор #3 -:** Oct 23, 2007, 22:47 »

OK!Мерси,а за другото,някой може ли да помогне

'>

VladSun · « **Отговор #4 -:** Oct 23, 2007, 23:19 »

Цитат (emagi @ Окт. 23 2007,22:47)

OK!Мерси,а за другото,някой може ли да помогне

'>

Кое е "другото"? sambata или uTorrent-a? Ако е за sambata - линка по-горе. Ако е за торента - така и не разбрах - торент клиентът на рутера (т.е. тази машина) ли върви или на някой от 10.10.11.0/24 мрежата ...

emagi · « **Отговор #5 -:** Oct 24, 2007, 00:16 »

Машината е от мрежа 10.10.11.0/24!Тоест,зад LINUX рутера е!

VladSun · « **Отговор #6 -:** Oct 24, 2007, 00:41 »

Няма нужда от удивителни

'>

Разрешил си само dst port 14386 във FORWARD ... т.е. в този случай е необходимо и твоя клиент и сървера отсреща да са точно на тези портове ... Плюс това, НАТ-а който правиш трябва да НЕ чупи адресирането по портове, но ти имаш цяла /24 мрежа отзад, така че не можеш да го направиш с един порт.
До колкото виждам от http://www.utorrent.com/setup_guide.php трябва задължително да правиш port forwarding ...

Виж в настройките на uTorren какъв Listen port си сложил и виж тази тема: http://www.linux-bg.org/cgi-bin....forward

emagi · « **Отговор #7 -:** Oct 24, 2007, 09:58 »

За Самбата,пуснах следните портове-137,138,139,445-но резултата е същия

Цитат

#!/bin/sh
modprobe ip_tables
modprobe ip_conntrack_ftp
modprobe iptable_nat
modprobe ip_nat_ftp
#delete old chain's policy
iptables --flush
iptables --delete-chain
iptables --flush -t nat
iptables --delete-chain -t nat
#POLICY
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
#INPUT policy
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "Stealth scan attemp"
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
#allowing DHCP server to "gives" IP addresses
iptables -A INPUT -p udp --dport 67 -j ACCEPT
#permision to reach the Local server(Apache)
iptables -A INPUT -p tcp -i eth1 --dport 80 -j ACCEPT
iptables -I INPUT 1 -i lo -j ACCEPT
iptables -I OUTPUT 1 -o lo -j ACCEPT
#Samba Server
iptables -A INPUT -p udp -m udp --dport 137 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 138 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp -s 172.16.2.0/24 --dport 139 -j ACCEPT
iptables -A INPUT -m state --state NEW -m tcp -p tcp -s 172.16.2.0/24 --dport 445 -j ACCEPT
#accept SSH from inside net
iptables -A INPUT -p tcp -s 172.16.2.0/24 --dport 22 -m state --state NEW -j ACCEPT
iptables -A INPUT -j LOG --log-prefix "Dropped by default (INPUT)"
#OUTPUT policy
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p udp --dport 68 -j ACCEPT
iptables -A OUTPUT -j LOG --log-prefix "Dropped by default (OUTPUT)"
#FORWARD policy
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "Stealth scan attemp"
iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
#internet to outside net
iptables -A FORWARD -p udp -s 10.10.11.0/24 -m state --state NEW,RELATED --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -s 10.10.11.0/24 -m state --state NEW,RELATED --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp -s 10.10.11.0/24 -m state --state NEW --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -s 10.10.11.0/24 -m state --state NEW --dport 443 -j ACCEPT
#TORRENT
iptables -A FORWARD -s 10.10.11.0/24 -p tcp --dport 14386 -j ACCEPT
iptables -A FORWARD -j LOG --log-prefix "Dropped by default (OUTPUT)"
#NAT
iptables -t nat -A POSTROUTING -s 10.10.11.0/24 -o eth0 -j MASQUERADE
#torrent
iptables -t nat -A PREROUTING -s 10.10.11.0/24 -p tcp --dport 14386 -j ACCEPT

gat3way · « **Отговор #8 -:** Oct 24, 2007, 11:09 »

edit

VladSun · « **Отговор #9 -:** Oct 24, 2007, 12:28 »

@emagi - съвет за debug, по принцип:
пускаш в една конзола

Примерен код

watch iptables -nxvL

в друга

Примерен код

tcpdump -n -i eth1

...
генерираш искания от теб трафик от друга машина и гледаш в кое правило се увеличават броят на пакетите, както и какви пакети идват към машината.

2. През цялото време работеше с 10.10.11.0/24, а сега изведнъж се появи 172.16.2.0/24 мрежа - нали не си объркал нещо?

emagi · « **Отговор #10 -:** Oct 24, 2007, 12:48 »

Ей сега,ще пробвам!
Не съм се объркал!Просто изграждам вътрешна мрежа(172.16.2.0/24) между LINUX рутер и Windows-и клиент!А пускам PPPoE(10.10.11.0/24) върху тази 172.16.2.0/24.
Грешката е моя,не съм обяснил както трябва!
Цялата каша е заради OUTPUT веригата
Като дам политика ACCEPT и става,но иначе не!

VladSun · « **Отговор #11 -:** Oct 24, 2007, 13:45 »

Ми, отвори портовете за навън - същото както INPUT, но обратно (sport/dport).

emagi · « **Отговор #12 -:** Oct 24, 2007, 14:04 »

Пробвах със следните редове,но не стана:

Примерен код

iptables -A OUTPUT -p udp --sport 137 -j ACCEPT
iptables -A OUTPUT -p udp --sport 138 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 139 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 445 -j ACCEPT

VladSun · « **Отговор #13 -:** Oct 24, 2007, 15:31 »

Ми няма логика ...
Я пробвай само с това и кажи дали върви самбата ...

Примерен код

#!/bin/sh
modprobe ip_tables
modprobe ip_conntrack_ftp
modprobe iptable_nat
modprobe ip_nat_ftp
#delete old chain's policy
iptables -F -t filter
iptables -F -t nat
iptables -F -t mangle
iptables -F -t raw

iptables -X -t filter
iptables -X -t nat
iptables -X -t mangle
iptables -X -t raw

iptables -Z -t filter
iptables -Z -t nat
iptables -Z -t mangle
iptables -Z -t raw

#POLICY
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

iptables -A OUTPUT -p udp --sport 137 -j ACCEPT
iptables -A OUTPUT -p udp --sport 138 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 139 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 445 -j ACCEPT

iptables -A INPUT -p udp --dport 137 -j ACCEPT
iptables -A INPUT -p udp --dport 138 -j ACCEPT
iptables -A INPUT -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -p tcp --dport 445 -j ACCEPT

emagi · « **Отговор #14 -:** Oct 24, 2007, 22:18 »

Пак същото!И с твоя конфигурационнен файл,пак не става!Не разбирам защо!??

'>

Подобни теми
	Заглавие	Започната от	Отговора	Прегледи	Последна публикация
	Iptables Настройка на програми	mozly	1	7772	Dec 10, 2002, 23:48 от Vency
	iptables Настройка на програми	sunhater	3	7709	Apr 23, 2003, 15:02 от sunhater
	iptables Настройка на програми	dumdum	4	9000	Apr 30, 2003, 10:40 от dumdum
	IPTABLES Настройка на програми	achird	2	8704	May 20, 2003, 14:14 от achird
	проблем със SAMBA + iptables Настройка на програми	ma3x_Virus	1	1001	Jul 08, 2004, 14:41 от sdr

Автор Тема: Iptables и samba..... (Прочетена 3416 пъти)