Изпечатай

[Twain]

защо не мога да блокирам порт 17668 ? Ето какво правя и не става.

логвам се като root

1. Монтирам си usb на /mnt/sda_part1/
2. Инсталирам optware в usb-то (това са допълнителни команди към linux dd-wrt)
3. После правя commit командата, защото с commit не става

Код:

ln -s /tmp/mnt/sda_part1/usr/sbin/iptables /mnt/sda_part1/bin/iptables-save

4. За всеки случей и това

Код:

export PATH=/bin:/usr/bin:/sbin:/usr/sbin:/mnt/sda_part1/sbin:/mnt/sda_part1/bin:/mnt/sda_part1/usr/sbin:/mnt/sda_part1/usr/bin:/jffs/sbin:/jffs/bin:/jffs/usr/sbin:/jffs/usr/bin:/mmc/sbin:/mmc/bin:/mmc/usr/sbin:/mmc/usr/bin:/opt/sbin:/opt/bin:/opt/usr/sbin:/opt/usr/bin

5. тук добавя правилата и рестартирам

Код:

iptables -A OUTPUT -p all --dport 17668 -s 0.0.0.0/0 -d 0.0.0.0/0 -j DENY
iptables -A INPUT -p all --dport 17668 -s 0.0.0.0/0 -d 0.0.0.0/0 -j DENY

/mnt/sda_part1/bin/iptables-save

iptables -L -n -v -x

reboot

пак си работи този порт и през него минава трафик и т.н.



root@B:~# /mnt/sda_part1/bin/iptables-save
# Generated by iptables-save v1.3.7 on Thu Jan  1 00:25:16 1970

[Neo2SHYAlien]

смени -j DENY с -j DROP
iptables targets

[petar258]

Правиш много неща които ме хвърлят в дълбок размисъл.  Първо в ддврт си има iptables. Второ iptables и iptables-save са две различни програми и линкването на една с друга е доста интересна идея. 
Трето таргета за спиране е DROP а не DENY. Би трябвало да ти излиза съобщение за грешка. Четвърто ако искаш да спреш този порт в двете посоки мисля че в OUTPUT трябва да е --sport . Пето за запзване на настройките трябва да укажеш къде да стане това, иначе само ще ти изкара на екран какво е настроено - iptables-save > file1
и iptables-restore < file1 за възстановяване на настройките.
И шесто за тази цел мисля че има прозорец за вкарване на команди в стартов скрипт.

[petar258]

в administration / commands в прозореца пишеш командите и кликаш на save firewall (за твоя случай)
iptables -A OUTPUT -p all --sport 17668 -j DROP
iptables -A INPUT -p all --dport 17668 -j DROP

[Twain]

Това с командите върши работа, но искам да правя промените през ssh. Даже мисля да спря apache
Освен това целта на цялото занятие, да се направи автоматичен инсталиращ скрипт, така че да се ползва и от други хора. После ще го постна във форума и на ddwrt.

До къде стигнах

1. Първо правя скрпита в usb-то

Код

GeSHi (Bash):
/mnt/sda_part1/bin/iptables-save > /mnt/sda_part1/etc/firewall.conf

2. Направих S02iptables стартиращ скрипт

Код

GeSHi (Bash):
vi /tmp/mnt/sda_part1/etc/init.d/vi S02iptables

add next two line in S02iptables

Код

GeSHi (Bash):
#!/bin/sh /etc/rc.common
iptables-restore < /mnt/sda_part1/etc/firewall.conf

Код

GeSHi (Bash):
chmod +x /tmp/mnt/sda_part1/etc/init.d/S02iptables

3. Сега трябва с cron да го стартирам да се изпълнява, след рестарт. Нещо обаче не се получава

[Twain]

смени -j DENY с -j DROP
iptables targets

Като добавя правилата не мога да рестартирам iptables. Незнам как.
Aко рестартирам операционата система се зарежда default правилата, които незнам къде са и не мога да ги променя освен през web интерфейса, който е доста ограничен спрямо възможностите на linux. Макар, че съпоставен с другите "firmwares" на рутери за по 50 лева има много повече настройки.

[Neo2SHYAlien]

Първо dd-wrt не ползва aapche Второ в gui-то има част за стартиращи скриптове както и за допълнителни правила в iptables, по добре там ги направи нещата вместо да мажеш с неща които не са ти съвсем ясни

[teleport]

Щом не искаш да "минава" използвай FORWARD. INPUT и OUTPUT са за самия dd-wrt, FORWARD е за клиентите след него.

[Twain]

Първо dd-wrt не ползва aapche Второ в gui-то има част за стартиращи скриптове както и за допълнителни правила в iptables, по добре там ги направи нещата вместо да мажеш с неща които не са ти съвсем ясни

допълнителни правила в iptables...  Може ли да бъдеш по-конкретен?

[Mitaka]

Да не отварям нова тема - как може това чудо dd-wrt да не подържа ipsec, а в същото време - в бъгавия comtrend на БТК да го има?!?! Има само pptp, защото било със стар kernel... информация от сайта на ddwrt... купих си Linksys E2000, с идеята да го флашна с ddwrt, но се отказах... всъщност, то си Е с ddwrt, но е доста осакатено.

[dejuren]

Да не отварям нова тема - как може това чудо dd-wrt да не подържа ipsec, а в същото време - в бъгавия comtrend на БТК да го има?!?! Има само pptp, защото било със стар kernel... информация от сайта на ddwrt... купих си Linksys E2000, с идеята да го флашна с ddwrt, но се отказах... всъщност, то си Е с ddwrt, но е доста осакатено.

Ами флашни го с OpenWRT или Tomato, което има ipsec.

[Twain]

Бихте ли ми помогнали за следния скрипт: Iptables и параноична настройка на firewall

В момента това са правилата, по-долу. Искам пак да има PREROUTING и да може да ползвам торент + web и само аз да влизам remote (port 22) в рутера, да не може отвън.

*raw
:PREROUTING ACCEPT [7407:2539485]
:OUTPUT ACCEPT [4582:1964890]
COMMIT
# Completed on Thu Jan  1 00:12:00 1970
# Generated by iptables-save v1.3.7 on Thu Jan  1 00:12:00 1970
*nat
:PREROUTING ACCEPT [753:121755]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [1:71]
-A PREROUTING -d 30.04.191.6 -p icmp -j DNAT --to-destination 194.168.1.1
-A PREROUTING -d 30.04.191.6 -j TRIGGER --trigger-proto --trigger-match 0-0 --trigger-relate 0-0
-A POSTROUTING -o eth1 -j SNAT --to-source 30.04.191.6
-A POSTROUTING -o br0 -m pkttype --pkt-type broadcast -j RETURN
-A POSTROUTING -s 194.168.1.0/255.255.255.0 -d 194.168.1.0/255.255.255.0 -o br0 -j MASQUERADE
COMMIT
# Completed on Thu Jan  1 00:12:00 1970
# Generated by iptables-save v1.3.7 on Thu Jan  1 00:12:00 1970
*mangle
:PREROUTING ACCEPT [7264:2517283]
:INPUT ACCEPT [4615:453915]
:FORWARD ACCEPT [2778:2083934]
:OUTPUT ACCEPT [4591:1965162]
:POSTROUTING ACCEPT [7375:4051048]
COMMIT
# Completed on Thu Jan  1 00:12:00 1970
# Generated by iptables-save v1.3.7 on Thu Jan  1 00:12:00 1970
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4600:1966230]
:advgrp_1 - [0:0]
:advgrp_10 - [0:0]
:advgrp_2 - [0:0]
:advgrp_3 - [0:0]
:advgrp_4 - [0:0]
:advgrp_5 - [0:0]
:advgrp_6 - [0:0]
:advgrp_7 - [0:0]
:advgrp_8 - [0:0]
:advgrp_9 - [0:0]
:grp_1 - [0:0]
:grp_10 - [0:0]
:grp_2 - [0:0]
:grp_3 - [0:0]
:grp_4 - [0:0]
:grp_5 - [0:0]
:grp_6 - [0:0]
:grp_7 - [0:0]
:grp_8 - [0:0]
:grp_9 - [0:0]
:lan2wan - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
:logreject - [0:0]
:trigger_out - [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 520 -j DROP
-A INPUT -i br0 -p udp -m udp --dport 520 -j DROP
-A INPUT -p udp -m udp --dport 520 -j ACCEPT
-A INPUT -p ipv6 -j ACCEPT
-A INPUT -i eth1 -p icmp -j DROP
-A INPUT -p igmp -j DROP
-A INPUT -i eth1 -p udp -m udp --dport 5060 -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j logaccept
-A INPUT -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i br0 -o eth1 -p tcp -m tcp -m webstr --webstr 8 -j REJECT --reject-with tcp-reset
-A FORWARD -j lan2wan
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o eth1 -p tcp -m tcp --dport 1723 -j DROP
-A FORWARD -o eth1 -p udp -m udp --dport 1701 -j DROP
-A FORWARD -o eth1 -p udp -m udp --dport 500 -j DROP
-A FORWARD -i eth1 -o br0 -j TRIGGER --trigger-proto --trigger-match 0-0 --trigger-relate 0-0
-A FORWARD -i br0 -j trigger_out
-A FORWARD -i br0 -m state --state NEW -j ACCEPT
-A FORWARD -j DROP
-A logaccept -j ACCEPT
-A logdrop -j DROP
-A logreject -p tcp -m tcp -j REJECT --reject-with tcp-reset
COMMIT
# Completed on Thu Jan  1 00:12:00 1970


Това, какво е?
-A POSTROUTING -o br0 -m pkttype --pkt-type broadcast -j RETURN
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 520 -j ACCEPT