Титла: Iptables и samba.....
Публикувано от: emagi в Oct 23, 2007, 21:56
Направих си следната защитна стена:
Но немога да видя споделените ресурси на LINUX машината!Също така,не мога да пусна и торент клиента,а той е мю торент(доколкото видех работи на порт 14386)
Ето го и конфигурационния файл rc.firewall
След стартирането ./rc.firewall ми изписва следното:
Но немога да видя споделените ресурси на LINUX машината!Също така,не мога да пусна и торент клиента,а той е мю торент(доколкото видех работи на порт 14386)
Ето го и конфигурационния файл rc.firewall
| Примерен код |
#!/bin/sh modprobe ip_tables modprobe ip_conntrack_ftp modprobe iptable_nat modprobe ip_nat_ftp #delete old chain's policy iptables --flush iptables --delete-chain iptables --flush -t nat iptables --delete-chain -t nat #POLICY iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP #INPUT policy iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "Stealth scan attemp" iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP #allowing DHCP server to "gives" IP addresses iptables -A INPUT -p udp --dport 67 -j ACCEPT #permision to reach the Local server(Apache) iptables -A INPUT -p tcp -i eth1 --dport 80 -j ACCEPT iptables -I INPUT 1 -i lo -j ACCEPT iptables -I OUTPUT 1 -o lo -j ACCEPT #samba iptables -A INPUT -p tcp --dport 139 -j ACCEPT #accept SSH from inside net iptables -A INPUT -p tcp -s 172.16.2.0/24 --dport 22 -m state --state NEW -j ACCEPT iptables -A INPUT -j LOG --log-prefix "Dropped by default (INPUT)" #OUTPUT policy iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A OUTPUT -p icmp -j ACCEPT iptables -A OUTPUT -p udp --dport 53 -j ACCEPT iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p udp --dport 68 -j ACCEPT #samba iptables -A OUTPUT -p tcp --sport 139 -j ACCEPT iptables -A OUTPUT -j LOG --log-prefix "Dropped by default (OUTPUT)" iptables -A OUPUT -j DROP #FORWARD policy iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "Stealth scan attemp" iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP #internet to outside net iptables -A FORWARD -p udp -s 10.10.11.0/24 -m state --state NEW,RELATED --dport 53 -j ACCEPT iptables -A FORWARD -p tcp -s 10.10.11.0/24 -m state --state NEW,RELATED --dport 21 -j ACCEPT iptables -A FORWARD -p tcp -s 10.10.11.0/24 -m state --state NEW --dport 80 -j ACCEPT iptables -A FORWARD -p tcp -s 10.10.11.0/24 -m state --state NEW --dport 443 -j ACCEPT #TORRENT iptables -A FORWARD -s 10.10.11.0/24 -p tcp --dport 14386 -j ACCEPT iptables -A FORWARD -j LOG --log-prefix "Dropped by default (OUTPUT)" #NAT iptables -t nat -A POSTROUTING -s 10.10.11.0/24 -o eth0 -j MASQUERADE #torrent iptables -t nat -A PREROUTING -s 10.10.11.0/24 -p tcp --dport 14386 -j ACCEPT |
След стартирането ./rc.firewall ми изписва следното:
| Цитат |
root@moon:/etc/rc.d# ./rc.firewall iptables: No chain/target/match by that name |
Титла: Iptables и samba.....
Публикувано от: VladSun в Oct 23, 2007, 21:57
| Цитат (emagi @ Окт. 23 2007,21:56) |
| Ето го и конфигурационния файл rc.firewall |
много кратък ми изглежда 
Титла: Iptables и samba.....
Публикувано от: VladSun в Oct 23, 2007, 22:18
http://troy.jdmz.net/samba/fw/
тоя "No chain/target/match by that name" ти го дава на
iptables -A OUPUT -j DROP
правилото ...
тоя "No chain/target/match by that name" ти го дава на
iptables -A OUPUT -j DROP
правилото ...
Титла: Iptables и samba.....
Публикувано от: emagi в Oct 23, 2007, 22:47
OK!Мерси,а за другото,някой може ли да помогне
Титла: Iptables и samba.....
Публикувано от: VladSun в Oct 23, 2007, 23:19
| Цитат (emagi @ Окт. 23 2007,22:47) |
| OK!Мерси,а за другото,някой може ли да помогне |
Кое е "другото"? sambata или uTorrent-a? Ако е за sambata - линка по-горе. Ако е за торента - така и не разбрах - торент клиентът на рутера (т.е. тази машина) ли върви или на някой от 10.10.11.0/24 мрежата ...
Титла: Iptables и samba.....
Публикувано от: emagi в Oct 24, 2007, 00:16
Машината е от мрежа 10.10.11.0/24!Тоест,зад LINUX рутера е!
Титла: Iptables и samba.....
Публикувано от: VladSun в Oct 24, 2007, 00:41
Няма нужда от удивителни
Разрешил си само dst port 14386 във FORWARD ... т.е. в този случай е необходимо и твоя клиент и сървера отсреща да са точно на тези портове ... Плюс това, НАТ-а който правиш трябва да НЕ чупи адресирането по портове, но ти имаш цяла /24 мрежа отзад, така че не можеш да го направиш с един порт.
До колкото виждам от http://www.utorrent.com/setup_guide.php трябва задължително да правиш port forwarding ...
Виж в настройките на uTorren какъв Listen port си сложил и виж тази тема: http://www.linux-bg.org/cgi-bin....forward
Разрешил си само dst port 14386 във FORWARD ... т.е. в този случай е необходимо и твоя клиент и сървера отсреща да са точно на тези портове ... Плюс това, НАТ-а който правиш трябва да НЕ чупи адресирането по портове, но ти имаш цяла /24 мрежа отзад, така че не можеш да го направиш с един порт.
До колкото виждам от http://www.utorrent.com/setup_guide.php трябва задължително да правиш port forwarding ...
Виж в настройките на uTorren какъв Listen port си сложил и виж тази тема: http://www.linux-bg.org/cgi-bin....forward
Титла: Iptables и samba.....
Публикувано от: emagi в Oct 24, 2007, 09:58
За Самбата,пуснах следните портове-137,138,139,445-но резултата е същия
| Цитат |
#!/bin/sh modprobe ip_tables modprobe ip_conntrack_ftp modprobe iptable_nat modprobe ip_nat_ftp #delete old chain's policy iptables --flush iptables --delete-chain iptables --flush -t nat iptables --delete-chain -t nat #POLICY iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP #INPUT policy iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "Stealth scan attemp" iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP #allowing DHCP server to "gives" IP addresses iptables -A INPUT -p udp --dport 67 -j ACCEPT #permision to reach the Local server(Apache) iptables -A INPUT -p tcp -i eth1 --dport 80 -j ACCEPT iptables -I INPUT 1 -i lo -j ACCEPT iptables -I OUTPUT 1 -o lo -j ACCEPT #Samba Server iptables -A INPUT -p udp -m udp --dport 137 -j ACCEPT iptables -A INPUT -p udp -m udp --dport 138 -j ACCEPT iptables -A INPUT -m state --state NEW -m tcp -p tcp -s 172.16.2.0/24 --dport 139 -j ACCEPT iptables -A INPUT -m state --state NEW -m tcp -p tcp -s 172.16.2.0/24 --dport 445 -j ACCEPT #accept SSH from inside net iptables -A INPUT -p tcp -s 172.16.2.0/24 --dport 22 -m state --state NEW -j ACCEPT iptables -A INPUT -j LOG --log-prefix "Dropped by default (INPUT)" #OUTPUT policy iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A OUTPUT -p icmp -j ACCEPT iptables -A OUTPUT -p udp --dport 53 -j ACCEPT iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p udp --dport 68 -j ACCEPT iptables -A OUTPUT -j LOG --log-prefix "Dropped by default (OUTPUT)" #FORWARD policy iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "Stealth scan attemp" iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP #internet to outside net iptables -A FORWARD -p udp -s 10.10.11.0/24 -m state --state NEW,RELATED --dport 53 -j ACCEPT iptables -A FORWARD -p tcp -s 10.10.11.0/24 -m state --state NEW,RELATED --dport 21 -j ACCEPT iptables -A FORWARD -p tcp -s 10.10.11.0/24 -m state --state NEW --dport 80 -j ACCEPT iptables -A FORWARD -p tcp -s 10.10.11.0/24 -m state --state NEW --dport 443 -j ACCEPT #TORRENT iptables -A FORWARD -s 10.10.11.0/24 -p tcp --dport 14386 -j ACCEPT iptables -A FORWARD -j LOG --log-prefix "Dropped by default (OUTPUT)" #NAT iptables -t nat -A POSTROUTING -s 10.10.11.0/24 -o eth0 -j MASQUERADE #torrent iptables -t nat -A PREROUTING -s 10.10.11.0/24 -p tcp --dport 14386 -j ACCEPT |
Титла: Iptables и samba.....
Публикувано от: gat3way в Oct 24, 2007, 11:09
edit
Титла: Iptables и samba.....
Публикувано от: VladSun в Oct 24, 2007, 12:28
@emagi - съвет за debug, по принцип:
пускаш в една конзола
в друга
...
генерираш искания от теб трафик от друга машина и гледаш в кое правило се увеличават броят на пакетите, както и какви пакети идват към машината.
2. През цялото време работеше с 10.10.11.0/24, а сега изведнъж се появи 172.16.2.0/24 мрежа - нали не си объркал нещо?
пускаш в една конзола
| Примерен код |
watch iptables -nxvL |
в друга
| Примерен код |
tcpdump -n -i eth1 |
...
генерираш искания от теб трафик от друга машина и гледаш в кое правило се увеличават броят на пакетите, както и какви пакети идват към машината.
2. През цялото време работеше с 10.10.11.0/24, а сега изведнъж се появи 172.16.2.0/24 мрежа - нали не си объркал нещо?
Титла: Iptables и samba.....
Публикувано от: emagi в Oct 24, 2007, 12:48
Ей сега,ще пробвам!
Не съм се объркал!Просто изграждам вътрешна мрежа(172.16.2.0/24) между LINUX рутер и Windows-и клиент!А пускам PPPoE(10.10.11.0/24) върху тази 172.16.2.0/24.
Грешката е моя,не съм обяснил както трябва!
Цялата каша е заради OUTPUT веригата
Като дам политика ACCEPT и става,но иначе не!
Не съм се объркал!Просто изграждам вътрешна мрежа(172.16.2.0/24) между LINUX рутер и Windows-и клиент!А пускам PPPoE(10.10.11.0/24) върху тази 172.16.2.0/24.
Грешката е моя,не съм обяснил както трябва!
Цялата каша е заради OUTPUT веригата
Като дам политика ACCEPT и става,но иначе не!
Титла: Iptables и samba.....
Публикувано от: VladSun в Oct 24, 2007, 13:45
Ми, отвори портовете за навън - същото както INPUT, но обратно (sport/dport).
Титла: Iptables и samba.....
Публикувано от: emagi в Oct 24, 2007, 14:04
Пробвах със следните редове,но не стана:
| Примерен код |
iptables -A OUTPUT -p udp --sport 137 -j ACCEPT iptables -A OUTPUT -p udp --sport 138 -j ACCEPT iptables -A OUTPUT -p tcp --sport 139 -j ACCEPT iptables -A OUTPUT -p tcp --sport 445 -j ACCEPT |
Титла: Iptables и samba.....
Публикувано от: VladSun в Oct 24, 2007, 15:31
Ми няма логика ...
Я пробвай само с това и кажи дали върви самбата ...
Я пробвай само с това и кажи дали върви самбата ...
| Примерен код |
| #!/bin/sh modprobe ip_tables modprobe ip_conntrack_ftp modprobe iptable_nat modprobe ip_nat_ftp #delete old chain's policy iptables -F -t filter iptables -F -t nat iptables -F -t mangle iptables -F -t raw iptables -X -t filter iptables -X -t nat iptables -X -t mangle iptables -X -t raw iptables -Z -t filter iptables -Z -t nat iptables -Z -t mangle iptables -Z -t raw #POLICY iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP iptables -A OUTPUT -p udp --sport 137 -j ACCEPT iptables -A OUTPUT -p udp --sport 138 -j ACCEPT iptables -A OUTPUT -p tcp --sport 139 -j ACCEPT iptables -A OUTPUT -p tcp --sport 445 -j ACCEPT iptables -A INPUT -p udp --dport 137 -j ACCEPT iptables -A INPUT -p udp --dport 138 -j ACCEPT iptables -A INPUT -p tcp --dport 139 -j ACCEPT iptables -A INPUT -p tcp --dport 445 -j ACCEPT |
Титла: Iptables и samba.....
Публикувано от: emagi в Oct 24, 2007, 22:18
Пак същото!И с твоя конфигурационнен файл,пак не става!Не разбирам защо!??
Титла: Iptables и samba.....
Публикувано от: VladSun в Oct 24, 2007, 22:37
Добре ... а tcpdump на eth1 при опит да се достъпи самбата на рутера какъв трафик ти показва?
Титла: Iptables и samba.....
Публикувано от: emagi в Oct 25, 2007, 15:42
| Примерен код |
| root@moon:/etc/rc.d# tcpdump -i eth1 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes 15:37:06.725309 IP 172.16.2.31.netbios-dgm > 172.16.2.255.netbios-dgm: NBT UDP PACKET(138) 15:37:06.726894 IP 172.16.2.31.netbios-ns > 172.16.2.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 15:37:07.476169 IP 172.16.2.31.netbios-ns > 172.16.2.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 15:37:08.226177 IP 172.16.2.31.netbios-ns > 172.16.2.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 15:37:10.975911 IP 172.16.2.31.netbios-dgm > 172.16.2.255.netbios-dgm: NBT UDP PACKET(138) 15:37:10.975938 IP 172.16.2.31.netbios-ns > 172.16.2.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 15:37:11.725888 IP 172.16.2.31.netbios-ns > 172.16.2.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 15:37:12.475769 IP 172.16.2.31.netbios-ns > 172.16.2.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 15:37:15.225570 IP 172.16.2.31.netbios-dgm > 172.16.2.255.netbios-dgm: NBT UDP PACKET(138) 15:37:15.225598 IP 172.16.2.31.netbios-ns > 172.16.2.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 15:37:15.975494 IP 172.16.2.31.netbios-ns > 172.16.2.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 15:37:16.725434 IP 172.16.2.31.netbios-ns > 172.16.2.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 15:37:19.475234 IP 172.16.2.31.netbios-dgm > 172.16.2.255.netbios-dgm: NBT UDP PACKET(138) 15:37:19.475330 IP 172.16.2.31.netbios-dgm > 172.16.2.255.netbios-dgm: NBT UDP PACKET(138) 15:37:19.475354 IP 172.16.2.31.netbios-ns > 172.16.2.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 15:37:19.476356 IP 172.16.2.1.netbios-dgm > 172.16.2.255.netbios-dgm: NBT UDP PACKET(138) 15:37:20.225154 IP 172.16.2.31.netbios-ns > 172.16.2.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 15:37:20.883350 IP 172.16.2.31.netbios-dgm > 172.16.2.255.netbios-dgm: NBT UDP PACKET(138) 15:37:20.975092 IP 172.16.2.31.netbios-ns > 172.16.2.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 15:37:22.978788 IP 172.16.2.1.netbios-dgm > 172.16.2.255.netbios-dgm: NBT UDP PACKET(138) 15:37:23.724901 IP 172.16.2.31.netbios-dgm > 172.16.2.255.netbios-dgm: NBT UDP PACKET(138) 15:37:23.724929 IP 172.16.2.31.netbios-ns > 172.16.2.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 15:37:24.474813 IP 172.16.2.31.netbios-ns > 172.16.2.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 15:37:24.475271 IP 172.16.2.1.netbios-dgm > 172.16.2.255.netbios-dgm: NBT UDP PACKET(138) 15:37:25.224754 IP 172.16.2.31.netbios-ns > 172.16.2.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 15:37:26.222874 IP 172.16.2.1.netbios-dgm > 172.16.2.255.netbios-dgm: NBT UDP PACKET(138) 15:37:27.974560 IP 172.16.2.31.netbios-dgm > 172.16.2.255.netbios-dgm: NBT UDP PACKET(138) 15:37:27.974586 IP 172.16.2.31.netbios-ns > 172.16.2.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 15:37:27.975346 IP 172.16.2.1.netbios-dgm > 172.16.2.255.netbios-dgm: NBT UDP PACKET(138) 15:37:28.724480 IP 172.16.2.31.netbios-ns > 172.16.2.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 15:37:29.474418 IP 172.16.2.31.netbios-ns > 172.16.2.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 31 packets captured 62 packets received by filter 0 packets dropped by kernel |
Титла: Iptables и samba.....
Публикувано от: VladSun в Oct 25, 2007, 15:59
Ми, това са портове 137 и 138 UDP - те са отворени ... Хм... и в моята стена ли, като зададеш -P OUТPUT ACCEPT тръгва Sambata и какво дава тогава tcpdump-a?
ПС: Пускай tcpdump-a с -n опция
ПС: Пускай tcpdump-a с -n опция
Титла: Iptables и samba.....
Публикувано от: emagi в Oct 25, 2007, 16:37
Сега стана!Не ме питай,какво беше причината 
!
Много ти благодаря,за отделеното време и помоща!
Относно torrent клиента,като направя port forwarding,пак към порт трябва да го пренасоча.ПОгленах,моя торент клиент ползва порт 14386.Сега ако трябва да го пренасоча,към кой порт ще да е това?
!Много ти благодаря,за отделеното време и помоща!
Относно torrent клиента,като направя port forwarding,пак към порт трябва да го пренасоча.ПОгленах,моя торент клиент ползва порт 14386.Сега ако трябва да го пренасоча,към кой порт ще да е това?
Титла: Iptables и samba.....
Публикувано от: VladSun в Oct 25, 2007, 17:37
Прочиташ темата дето ти дадох по-горе, избираш си един порт на сървера > 1024, поглеждаш кой ти е порта на торента и попълваш в скрипта ми - ИП-та и портове.