|
Титла: iptables + ddwrt Публикувано от: Twain в Apr 22, 2012, 17:39 защо не мога да блокирам порт 17668 ? Ето какво правя и не става.
логвам се като root 1. Монтирам си usb на /mnt/sda_part1/ 2. Инсталирам optware в usb-то (това са допълнителни команди към linux dd-wrt) 3. После правя commit командата, защото с commit не става Код: ln -s /tmp/mnt/sda_part1/usr/sbin/iptables /mnt/sda_part1/bin/iptables-save 4. За всеки случей и това Код: export PATH=/bin:/usr/bin:/sbin:/usr/sbin:/mnt/sda_part1/sbin:/mnt/sda_part1/bin:/mnt/sda_part1/usr/sbin:/mnt/sda_part1/usr/bin:/jffs/sbin:/jffs/bin:/jffs/usr/sbin:/jffs/usr/bin:/mmc/sbin:/mmc/bin:/mmc/usr/sbin:/mmc/usr/bin:/opt/sbin:/opt/bin:/opt/usr/sbin:/opt/usr/bin 5. тук добавя правилата и рестартирам Код:
пак си работи този порт и през него минава трафик и т.н. root@B:~# /mnt/sda_part1/bin/iptables-save # Generated by iptables-save v1.3.7 on Thu Jan 1 00:25:16 1970 Титла: Re: iptables + ddwrt Публикувано от: Neo2SHYAlien в Apr 22, 2012, 19:58 смени -j DENY с -j DROP
iptables targets ($2) Титла: Re: iptables + ddwrt Публикувано от: petar258 в Apr 22, 2012, 20:03 Правиш много неща които ме хвърлят в дълбок размисъл. ;D Първо в ддврт си има iptables. Второ iptables и iptables-save са две различни програми и линкването на една с друга е доста интересна идея. ;D
Трето таргета за спиране е DROP а не DENY. Би трябвало да ти излиза съобщение за грешка. Четвърто ако искаш да спреш този порт в двете посоки мисля че в OUTPUT трябва да е --sport . Пето за запзване на настройките трябва да укажеш къде да стане това, иначе само ще ти изкара на екран какво е настроено - iptables-save > file1 и iptables-restore < file1 за възстановяване на настройките. И шесто за тази цел мисля че има прозорец за вкарване на команди в стартов скрипт. Титла: Re: iptables + ddwrt Публикувано от: petar258 в Apr 22, 2012, 20:36 в administration / commands в прозореца пишеш командите и кликаш на save firewall (за твоя случай)
iptables -A OUTPUT -p all --sport 17668 -j DROP iptables -A INPUT -p all --dport 17668 -j DROP Титла: Re: iptables + ddwrt Публикувано от: Twain в Apr 22, 2012, 22:47 Това с командите върши работа, но искам да правя промените през ssh. Даже мисля да спря apache ;)
Освен това целта на цялото занятие, да се направи автоматичен инсталиращ скрипт, така че да се ползва и от други хора. После ще го постна във форума и на ddwrt. До къде стигнах 1. Първо правя скрпита в usb-то Код
2. Направих S02iptables стартиращ скрипт Код
add next two line in S02iptables Код
Код
3. Сега трябва с cron да го стартирам да се изпълнява, след рестарт. Нещо обаче не се получава Титла: Re: iptables + ddwrt Публикувано от: Twain в Apr 22, 2012, 23:10 смени -j DENY с -j DROP Като добавя правилата не мога да рестартирам iptables. Незнам как. Aко рестартирам операционата система се зарежда default правилата, които незнам къде са и не мога да ги променя освен през web интерфейса, който е доста ограничен спрямо възможностите на linux. Макар, че съпоставен с другите "firmwares" на рутери за по 50 лева има много повече настройки. Титла: Re: iptables + ddwrt Публикувано от: Neo2SHYAlien в Apr 22, 2012, 23:19 Първо dd-wrt не ползва aapche ;) Второ в gui-то има част за стартиращи скриптове както и за допълнителни правила в iptables, по добре там ги направи нещата вместо да мажеш с неща които не са ти съвсем ясни
Титла: Re: iptables + ddwrt Публикувано от: teleport в Apr 23, 2012, 07:01 Щом не искаш да "минава" използвай FORWARD. INPUT и OUTPUT са за самия dd-wrt, FORWARD е за клиентите след него.
Титла: Re: iptables + ddwrt Публикувано от: Twain в Apr 23, 2012, 18:36 Първо dd-wrt не ползва aapche ;) Второ в gui-то има част за стартиращи скриптове както и за допълнителни правила в iptables, по добре там ги направи нещата вместо да мажеш с неща които не са ти съвсем ясни допълнителни правила в iptables... Може ли да бъдеш по-конкретен? Титла: Re: iptables + ddwrt Публикувано от: Mitaka в Apr 23, 2012, 21:01 Да не отварям нова тема - как може това чудо dd-wrt да не подържа ipsec, а в същото време - в бъгавия comtrend на БТК да го има?!?! Има само pptp, защото било със стар kernel... информация от сайта на ddwrt... купих си Linksys E2000, с идеята да го флашна с ddwrt, но се отказах... всъщност, то си Е с ddwrt, но е доста осакатено.
Титла: Re: iptables + ddwrt Публикувано от: dejuren в Apr 23, 2012, 21:18 Да не отварям нова тема - как може това чудо dd-wrt да не подържа ipsec, а в същото време - в бъгавия comtrend на БТК да го има?!?! Има само pptp, защото било със стар kernel... информация от сайта на ddwrt... купих си Linksys E2000, с идеята да го флашна с ddwrt, но се отказах... всъщност, то си Е с ddwrt, но е доста осакатено.Ами флашни го с OpenWRT или Tomato, което има ipsec. Титла: Re: iptables + ddwrt Публикувано от: Twain в May 17, 2012, 22:57 Бихте ли ми помогнали за следния скрипт: Iptables и параноична настройка на firewall
В момента това са правилата, по-долу. Искам пак да има PREROUTING и да може да ползвам торент + web и само аз да влизам remote (port 22) в рутера, да не може отвън. *raw :PREROUTING ACCEPT [7407:2539485] :OUTPUT ACCEPT [4582:1964890] COMMIT # Completed on Thu Jan 1 00:12:00 1970 # Generated by iptables-save v1.3.7 on Thu Jan 1 00:12:00 1970 *nat :PREROUTING ACCEPT [753:121755] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [1:71] -A PREROUTING -d 30.04.191.6 -p icmp -j DNAT --to-destination 194.168.1.1 -A PREROUTING -d 30.04.191.6 -j TRIGGER --trigger-proto --trigger-match 0-0 --trigger-relate 0-0 -A POSTROUTING -o eth1 -j SNAT --to-source 30.04.191.6 -A POSTROUTING -o br0 -m pkttype --pkt-type broadcast -j RETURN -A POSTROUTING -s 194.168.1.0/255.255.255.0 -d 194.168.1.0/255.255.255.0 -o br0 -j MASQUERADE COMMIT # Completed on Thu Jan 1 00:12:00 1970 # Generated by iptables-save v1.3.7 on Thu Jan 1 00:12:00 1970 *mangle :PREROUTING ACCEPT [7264:2517283] :INPUT ACCEPT [4615:453915] :FORWARD ACCEPT [2778:2083934] :OUTPUT ACCEPT [4591:1965162] :POSTROUTING ACCEPT [7375:4051048] COMMIT # Completed on Thu Jan 1 00:12:00 1970 # Generated by iptables-save v1.3.7 on Thu Jan 1 00:12:00 1970 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [4600:1966230] :advgrp_1 - [0:0] :advgrp_10 - [0:0] :advgrp_2 - [0:0] :advgrp_3 - [0:0] :advgrp_4 - [0:0] :advgrp_5 - [0:0] :advgrp_6 - [0:0] :advgrp_7 - [0:0] :advgrp_8 - [0:0] :advgrp_9 - [0:0] :grp_1 - [0:0] :grp_10 - [0:0] :grp_2 - [0:0] :grp_3 - [0:0] :grp_4 - [0:0] :grp_5 - [0:0] :grp_6 - [0:0] :grp_7 - [0:0] :grp_8 - [0:0] :grp_9 - [0:0] :lan2wan - [0:0] :logaccept - [0:0] :logdrop - [0:0] :logreject - [0:0] :trigger_out - [0:0] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i eth1 -p udp -m udp --dport 520 -j DROP -A INPUT -i br0 -p udp -m udp --dport 520 -j DROP -A INPUT -p udp -m udp --dport 520 -j ACCEPT -A INPUT -p ipv6 -j ACCEPT -A INPUT -i eth1 -p icmp -j DROP -A INPUT -p igmp -j DROP -A INPUT -i eth1 -p udp -m udp --dport 5060 -j ACCEPT -A INPUT -i lo -m state --state NEW -j ACCEPT -A INPUT -i br0 -m state --state NEW -j logaccept -A INPUT -j DROP -A FORWARD -i br0 -o br0 -j ACCEPT -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu -A FORWARD -i br0 -o eth1 -p tcp -m tcp -m webstr --webstr 8 -j REJECT --reject-with tcp-reset -A FORWARD -j lan2wan -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -o eth1 -p tcp -m tcp --dport 1723 -j DROP -A FORWARD -o eth1 -p udp -m udp --dport 1701 -j DROP -A FORWARD -o eth1 -p udp -m udp --dport 500 -j DROP -A FORWARD -i eth1 -o br0 -j TRIGGER --trigger-proto --trigger-match 0-0 --trigger-relate 0-0 -A FORWARD -i br0 -j trigger_out -A FORWARD -i br0 -m state --state NEW -j ACCEPT -A FORWARD -j DROP -A logaccept -j ACCEPT -A logdrop -j DROP -A logreject -p tcp -m tcp -j REJECT --reject-with tcp-reset COMMIT # Completed on Thu Jan 1 00:12:00 1970 Това, какво е? -A POSTROUTING -o br0 -m pkttype --pkt-type broadcast -j RETURN -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p udp -m udp --dport 520 -j ACCEPT |