Титла: Iptables правила
Публикувано от: bobibiturboto в Apr 07, 2008, 10:52
Имам компютър с инсталиран него Slack12 който ползвам като рутер с NAT на eth0 e входа от ADSL модема а на eth1 са вързани компютрите от службата искам да им блокирам порт 25 защото хващат вируси и изпращат спам и от антиспам сърварите ми блокират мейл сървара който е отделен комп вързан директно за ADSL правилата на iptables са (със въведени от мен опитиза блокиране на порта:
Незнам дали оказва влияние но имам вързани 2 интернета в load balancing ето и рутинг таблицата
| Примерен код |
| # Generated by iptables-save v1.3.8 on Mon Apr 7 10:39:30 2008 *nat :PREROUTING ACCEPT [1091957:101464542] :POSTROUTING ACCEPT [49195:3675729] :OUTPUT ACCEPT [49193:3675577] -A POSTROUTING -s 192.168.7.0/255.255.255.0 -j MASQUERADE COMMIT # Completed on Mon Apr 7 10:39:30 2008 # Generated by iptables-save v1.3.8 on Mon Apr 7 10:39:30 2008 *filter :INPUT ACCEPT [7576342:6543220591] :FORWARD ACCEPT [5736092:2348301396] :OUTPUT ACCEPT [5453498:2316036909] -A INPUT -i eth1 -p tcp -m tcp --dport 25 -j DROP -A INPUT -i eth1 -p tcp -m tcp --dport 587 -j DROP -A INPUT -i eth1 -p tcp -m tcp --dport 25 -j DROP -A INPUT -s 192.168.7.0/255.255.255.0 -i eth1 -p tcp -m tcp --dport 25 -j DROP -A INPUT -s 192.168.7.0/255.255.255.0 -i eth1 -p tcp -m tcp --dport 25 -j DROP -A INPUT -i eth1 -p tcp -m tcp --dport 25 -j DROP -A INPUT -i eth0 -p tcp -m tcp --dport 25 -j DROP -A INPUT -i eth2 -p tcp -m tcp --dport 25 -j DROP -A FORWARD -s 192.168.7.0/255.255.255.0 -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -j DROP COMMIT # Completed on Mon Apr 7 10:39:30 2008 |
Незнам дали оказва влияние но имам вързани 2 интернета в load balancing ето и рутинг таблицата
| Примерен код |
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.7.99 0.0.0.0 255.255.255.255 UH 0 0 0 * 192.168.7.140 0.0.0.0 255.255.255.255 UH 0 0 0 * 192.168.18.2 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0 192.168.7.232 0.0.0.0 255.255.255.255 UH 0 0 0 * 213.91.155.200 0.0.0.0 255.255.255.252 U 0 0 0 eth2 192.168.7.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 10.31.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 10.0.0.0 10.31.10.1 255.0.0.0 UG 0 0 0 eth2 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo 0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 eth0 |
Титла: Iptables правила
Публикувано от: VladSun в Apr 07, 2008, 12:53
Съвсем наскоро ти бяха един линк, в който много ясно е описано и нарисувано как точно се обработва всеки пакет от iptables... явно изобщо не си го погледнал.
Прочети малко от него - поне началото - и си пренапиши скрипта и тогава, ако все още имаш проблеми пиши тук - ще ти отговоря...
ПП: Използвай поне минимума от препинателните знаци ....
Прочети малко от него - поне началото - и си пренапиши скрипта и тогава, ако все още имаш проблеми пиши тук - ще ти отговоря...
ПП: Използвай поне минимума от препинателните знаци ....
Титла: Iptables правила
Публикувано от: KPETEH в Apr 07, 2008, 12:57
И каква е идеята на това ?
Клиентските машини няма да получават мейли и не е лошо ако ще блокираш то да блокираш и 110 порт като толкова искаш да не получават поща.
И пак зависи уиндоуски ли са клиентските компютри,ако са им инсталирай spamfighter безплатна програма която се ъпдейтва.Има и друго решение просто да не ползват outlook ами например thunderbird за уиндоус.
И не на последно място има ли на мейл сървъра инсталирани spamassasin,amavisd или clamav ?
И накрая преинсталация на уиндоусите и инсталация на clamav за windows и spamfighter и двете са безплатни.
Clamav за уиндоус има опции за сканиране на всички писма преди да бъдат получени от пощенския клиент.
Spamfighter пък ги слага в блок листа на самия клиент.
Клиентските машини няма да получават мейли и не е лошо ако ще блокираш то да блокираш и 110 порт като толкова искаш да не получават поща.
И пак зависи уиндоуски ли са клиентските компютри,ако са им инсталирай spamfighter безплатна програма която се ъпдейтва.Има и друго решение просто да не ползват outlook ами например thunderbird за уиндоус.
И не на последно място има ли на мейл сървъра инсталирани spamassasin,amavisd или clamav ?
И накрая преинсталация на уиндоусите и инсталация на clamav за windows и spamfighter и двете са безплатни.
Clamav за уиндоус има опции за сканиране на всички писма преди да бъдат получени от пощенския клиент.
Spamfighter пък ги слага в блок листа на самия клиент.
Титла: Iptables правила
Публикувано от: KPETEH в Apr 07, 2008, 13:51
Ето ти малък списък с мрежи които спамят (всякакъв латино американски и азиатски боклучарник в нета) :
/usr/sbin/iptables -A INPUT -i eth0 -s 219.0.0.0/8 -j DROP
/usr/sbin/iptables -A FORWARD -i eth0 -s 219.0.0.0/8 -j DROP
и така за всяка от описаните мрежи долу слагаш правилата в маршрутизатора ти.
220.0.0.0/8
221.0.0.0/8
210.0.0.0/8
211.0.0.0/8
200.0.0.0/8
200.59.91.10
195.225.177.27
200.163.190.151
65.57.163.0/25
216.251.43.11
207.134.171.0/24
62.253.164.0/24
155.247.210.0/24
164.109.168.0/24
61.77.78.0/24
200.42.0.0/24
193.252.19.0/24
193.110.136.0/24
67.96.136.0/24
61.11.48.0/24
209.63.68.0/24
216.191.203.0/24
209.125.37.0/24
66.70.14.0/24
64.80.217.0/24
64.80.218.0/24
202.108.44.0/24
209.73.162.0/24
66.7.131.0/24
216.32.64.0/24
168.95.4.0/24
163.32.96.0/24
207.253.100.0/24
203.251.180.0/24
195.53.182.0/24
207.79.74.0/24
200.212.99.0/24
64.28.74.0
210.145.137.0/24
209.185.149.0/24
216.33.104.0/24
209.183.236.0/24
202.219.52.0/24
63.20.240.0/24
210.123.152.0/24
200.241.80.0/24
194.21.74.0/24
210.59.228.0/24
150.57.60.0/24
64.28.75.0/24
209.121.135.0/24
212.210.15.0/24
216.35.159.0/24
210.59.144.0/24
192.106.88.0/24
211.20.142.0/24
202.96.194.0/24
216.251.232.0/24
202.242.18.0/24
202.166.255.0/24
206.190.171.0/24
64.71.132.0/24
64.1.242.0/24
216.233.51.0/24
216.233.69.0/24
206.130.106.0/24
P.S. Аре и умната че русата е тъпа и силиконена :-)
/usr/sbin/iptables -A INPUT -i eth0 -s 219.0.0.0/8 -j DROP
/usr/sbin/iptables -A FORWARD -i eth0 -s 219.0.0.0/8 -j DROP
и така за всяка от описаните мрежи долу слагаш правилата в маршрутизатора ти.
220.0.0.0/8
221.0.0.0/8
210.0.0.0/8
211.0.0.0/8
200.0.0.0/8
200.59.91.10
195.225.177.27
200.163.190.151
65.57.163.0/25
216.251.43.11
207.134.171.0/24
62.253.164.0/24
155.247.210.0/24
164.109.168.0/24
61.77.78.0/24
200.42.0.0/24
193.252.19.0/24
193.110.136.0/24
67.96.136.0/24
61.11.48.0/24
209.63.68.0/24
216.191.203.0/24
209.125.37.0/24
66.70.14.0/24
64.80.217.0/24
64.80.218.0/24
202.108.44.0/24
209.73.162.0/24
66.7.131.0/24
216.32.64.0/24
168.95.4.0/24
163.32.96.0/24
207.253.100.0/24
203.251.180.0/24
195.53.182.0/24
207.79.74.0/24
200.212.99.0/24
64.28.74.0
210.145.137.0/24
209.185.149.0/24
216.33.104.0/24
209.183.236.0/24
202.219.52.0/24
63.20.240.0/24
210.123.152.0/24
200.241.80.0/24
194.21.74.0/24
210.59.228.0/24
150.57.60.0/24
64.28.75.0/24
209.121.135.0/24
212.210.15.0/24
216.35.159.0/24
210.59.144.0/24
192.106.88.0/24
211.20.142.0/24
202.96.194.0/24
216.251.232.0/24
202.242.18.0/24
202.166.255.0/24
206.190.171.0/24
64.71.132.0/24
64.1.242.0/24
216.233.51.0/24
216.233.69.0/24
206.130.106.0/24
P.S. Аре и умната че русата е тъпа и силиконена :-)
Титла: Iptables правила
Публикувано от: bobibiturboto в Apr 07, 2008, 16:01
@VladSun упътването съм го прочел дори load balancinga го подкарах и работи за сега Добре де ако виждаш някаква грешка или съвет как да станат нещата помогни, аз ако знаех нямаше да питам във форума. Аз си мисля понеже съм дал masquerade и POSTROUTING на цялата мрежа за това не ми действат правилата, понеже като дам iptables -A INPUT -i eth1 -s 0/0 -d 0/0 -p tcp --dport 25 -j DROP нищо не се получава понеже като дам за тестване на клиентски компютър
получавам отговор от там
@KPETEH благодаря за инфото ще го приложа, а идеята ми е че разни вируси през 25 порт пращат спам и от SPAMHAUS всеки ден ми блокират ip-to и правят майл сервера ми неизползваем. На маил сервера имам инсталирам spamassassin,clamav,qtrap прегледах му логовете до него пращат спам и той го спира и нямам някой acount който изпраща спам събота и неделя докато никои няма в службата (на служебните компютри изобщо не се ползват маил клиенти само изпращат писма през web така че 25 спокойно мога да го отрежа а 110 той е за получаване и не ми пречи) изобщо не ме слагат в black list Като стане понеделник още в 8 часа съм добавен от които съм убеден, че това става от клиенстките машини и трябва да измисля начин да ги спра. Иначе инсталирам им анти вирусни и адваре но не мога постоянно да ги следя все пак за 50 pc става въпрос, а факте е че самите потребители умишлено ровят из порно сайтовете и от там идват моите беди. Пък хората за разлика от машините много трудно се преинсталират
| Примерен код |
| telnet mail едикойси.com 25 |
@KPETEH благодаря за инфото ще го приложа, а идеята ми е че разни вируси през 25 порт пращат спам и от SPAMHAUS всеки ден ми блокират ip-to и правят майл сервера ми неизползваем. На маил сервера имам инсталирам spamassassin,clamav,qtrap прегледах му логовете до него пращат спам и той го спира и нямам някой acount който изпраща спам събота и неделя докато никои няма в службата (на служебните компютри изобщо не се ползват маил клиенти само изпращат писма през web така че 25 спокойно мога да го отрежа а 110 той е за получаване и не ми пречи) изобщо не ме слагат в black list Като стане понеделник още в 8 часа съм добавен от които съм убеден, че това става от клиенстките машини и трябва да измисля начин да ги спра. Иначе инсталирам им анти вирусни и адваре но не мога постоянно да ги следя все пак за 50 pc става въпрос, а факте е че самите потребители умишлено ровят из порно сайтовете и от там идват моите беди. Пък хората за разлика от машините много трудно се преинсталират
Титла: Iptables правила
Публикувано от: KPETEH в Apr 07, 2008, 16:35
ахахахахаха за порнИЧ ли идвало реч бре,
а бе има оправия с порното махни им администраторските права на клиентските машини да си ползват потребителски акаунти и после ако ползват ИЕ им пусни parental control и да ходят да се упражняват в ръкоблудство в тоалетната мислено
Ако ли не някакво прокси инсталираш на някоя отделна машина което да филтрира порно сайтовете но да не е прозрачно.
Това е доста елегантно решение така ще минават през проксито което няма да ги допуска до порнича.
Е ясно де значи клиентските машини са проблема фактически са заразени я с троянци я кой знае с каква измет още.
То и вътрешната ти мрежа сигурно не работи както трябва.
Просто преинсталация на всичко клиентско и потребителски акаунти за всички порно маниаци
а бе има оправия с порното махни им администраторските права на клиентските машини да си ползват потребителски акаунти и после ако ползват ИЕ им пусни parental control и да ходят да се упражняват в ръкоблудство в тоалетната мислено
Ако ли не някакво прокси инсталираш на някоя отделна машина което да филтрира порно сайтовете но да не е прозрачно.
Това е доста елегантно решение така ще минават през проксито което няма да ги допуска до порнича.
Е ясно де значи клиентските машини са проблема фактически са заразени я с троянци я кой знае с каква измет още.
То и вътрешната ти мрежа сигурно не работи както трябва.
Просто преинсталация на всичко клиентско и потребителски акаунти за всички порно маниаци
Титла: Iptables правила
Публикувано от: VladSun в Apr 07, 2008, 17:04
| Цитат (bobibiturboto @ Април 07 2008,16:01) | ||
@VladSun упътването съм го прочел дори load balancinga го подкарах и работи за сега Добре де ако виждаш някаква грешка или съвет как да станат нещата помогни, аз ако знаех нямаше да питам във форума. Аз си мисля понеже съм дал masquerade и POSTROUTING на цялата мрежа за това не ми действат правилата, понеже като дам iptables -A INPUT -i eth1 -s 0/0 -d 0/0 -p tcp --dport 25 -j DROP нищо не се получава понеже като дам за тестване на клиентски компютър
|
E ... през INPUT веригата, кои пакети минават
И разни правила от сорта на:
| Примерен код |
| :FORWARD ACCEPT [5736092:2348301396] .... -A FORWARD -s 192.168.7.0/255.255.255.0 -j ACCEPT |
са малко безсмислени
Титла: Iptables правила
Публикувано от: bobibiturboto в Apr 07, 2008, 17:54
| Цитат |
| E ... през INPUT веригата, кои пакети минават азни правила от сорта на: |
Ти как предлагаш да се направи ( с какви правила) ? До сега така ми вършеше работа но ясно че не е много удачен. Значи имам две мрежи едната е 192.168.7.0/24 и една 192.168.18.0/24 която ми е за виртуалните IP на VPN servera чрез който влизам от вкъщи.
Титла: Iptables правила
Публикувано от: VladSun в Apr 07, 2008, 19:31
| Цитат (VladSun @ Април 07 2008,17:04) |
| E ... през INPUT веригата, кои пакети минават |
Дай ми просто copy-paste отговора от страницата на гореспоменатия линк... предполагам, че сам ще си отговориш тогава
а, и това ми е идеята, де Титла: Iptables правила
Публикувано от: ivanatora в Apr 07, 2008, 20:09
| Цитат (VladSun @ Април 07 2008,17:04) | ||
И разни правила от сорта на:
са малко безсмислени |
Може да иска да си брои трафика от тази мрежа
Титла: Iptables правила
Публикувано от: bobibiturboto в Apr 07, 2008, 20:39
Целта ми е да рутирам само мрежите, които искам понеже освен eth0 които ми е входа от адсл и eth1 който е мрежата към клиенските компютри 192.168.7.0/24 имам и eth2 към които е свързана локалната мрежа на другия доставчик 10.0.0.0/8 през която ми пускат vlan с реалното им ip и там се крие трудноста която изпитвам
незнам дали ще ми работи лоадбалансинга( дали ще се получи номера ако дам второ правило с изход eth2 където е втория ми доставчик) а и имам мрежа и на виртулани ip понеже имам и pptpd сървар.
@VladSun ти този Линк ли имаше в предвид ?
| Примерен код |
iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE iptables --append FORWARD --in-interface eth1 -j ACCEPT |
незнам дали ще ми работи лоадбалансинга( дали ще се получи номера ако дам второ правило с изход eth2 където е втория ми доставчик) а и имам мрежа и на виртулани ip понеже имам и pptpd сървар.
@VladSun ти този Линк ли имаше в предвид ?
Титла: Iptables правила
Публикувано от: KPETEH в Apr 07, 2008, 21:05
Човече това все едно да питаш :
Ако и го начукаш на твоята мацка и и се изпразниш вътре
дали ще забременее .... баси
Пък пробвай и после питай защо не е :-)
Но не е лошо да прочетеш защо няма да забременее нали все пак общата култура си е нещо което си е важно.
П.С. То нещо като с порното май се получава ма мейл сървъра - дрън дрън блябля па после ама искам да ми е екстра ма що ти се сбъгяса мейла е па аз ли да съм безотговорен администратор ?
Ако и го начукаш на твоята мацка и и се изпразниш вътре
дали ще забременее .... баси
Пък пробвай и после питай защо не е :-)
Но не е лошо да прочетеш защо няма да забременее нали все пак общата култура си е нещо което си е важно.
П.С. То нещо като с порното май се получава ма мейл сървъра - дрън дрън блябля па после ама искам да ми е екстра ма що ти се сбъгяса мейла е па аз ли да съм безотговорен администратор ?
Титла: Iptables правила
Публикувано от: VladSun в Apr 07, 2008, 21:28
| Цитат (bobibiturboto @ Април 07 2008,20:39) | ||
Целта ми е да рутирам само мрежите, които искам понеже освен eth0 които ми е входа от адсл и eth1 който е мрежата към клиенските компютри 192.168.7.0/24 имам и eth2 към които е свързана локалната мрежа на другия доставчик 10.0.0.0/8 през която ми пускат vlan с реалното им ip и там се крие трудноста която изпитвам
незнам дали ще ми работи лоадбалансинга( дали ще се получи номера ако дам второ правило с изход eth2 където е втория ми доставчик) а и имам мрежа и на виртулани ip понеже имам и pptpd сървар. @VladSun ти този Линк ли имаше в предвид ? |
1) Посочих, че са безсмислени, защото политиката по подразбиране на FORWARD си я сложил ACCEPT, а след това експлицитно даваш ACCEPT на някакви други пакети и никъде не използваш DROp във FORWARD...
2) Да, този линк имах предвид и по-специално:
http://iptables-tutorial.frozentux.net/iptable....FTABLES