/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
Iptables Forward problem
Fra : Mike


Dato : 06-09-02 01:42

Hey. Jeg er ved at sætte en Debian op som FW/GW - efter råd fra bl.a.
M.Dalum her i gruppen, har jeg konstateret, at man som minimum bør have:

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Men jeg kan simpelthen ikke få mine klienter til at virke medmindre jeg
ændrer FORWARD til accept - mit script ser i lettere forkortet udgave sådan
ud:

iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -j MASQUERADE
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT
iptables -A INPUT -j ACCEPT -i lo
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A INPUT -j ACCEPT -p tcp --dport 21
iptables -A INPUT -j ACCEPT -i eth1 -p tcp --dport 53
iptables -A INPUT -j ACCEPT -i eth1 -p tcp --dport 3128
iptables -A INPUT -j ACCEPT -p tcp --dport 110
iptables -A INPUT -j ACCEPT -p tcp --dport http
iptables -A FORWARD -j ACCEPT -p tcp --dport 80
iptables -A OUTPUT -j ACCEPT
iptables -A FORWARD -j ACCEPT -i eth1 -s 192.168.0.1/24

Er der nogen der kan se hvad jeg gør galt hvis jeg skal sætte FORWARD til
DROP og snat stadig skal virke?

Mvh



 
 
Mike (06-09-2002)
Kommentar
Fra : Mike


Dato : 06-09-02 01:49

"Mike" <nospam@nospam.com> wrote in message news:al8tku$sfh$1@sunsite.dk...
> Er der nogen der kan se hvad jeg gør galt hvis jeg skal sætte FORWARD til
> DROP og snat stadig skal virke?

Skulle måske lige tilføje at når jeg tester via: http://scan.sygate.com/
får jeg "BLOCKED" på alle porte og ikke "Closed" - hvilket vel burde betyde
at mine porte er rigtigt "gemte" eller har jeg misforstået noget?

Mvh



Martin Dalum (06-09-2002)
Kommentar
Fra : Martin Dalum


Dato : 06-09-02 07:04

"Mike" <nospam@nospam.com> writes:

> Hey. Jeg er ved at sætte en Debian op som FW/GW - efter råd fra bl.a.
> M.Dalum her i gruppen, har jeg konstateret, at man som minimum bør have:
>
> iptables -P INPUT DROP
> iptables -P OUTPUT DROP
> iptables -P FORWARD DROP
>
> Men jeg kan simpelthen ikke få mine klienter til at virke medmindre jeg
> ændrer FORWARD til accept - mit script ser i lettere forkortet udgave sådan
> ud:
>
> iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -j MASQUERADE
> iptables -P INPUT DROP
> iptables -P OUTPUT DROP
> iptables -P FORWARD ACCEPT
> iptables -A INPUT -j ACCEPT -i lo
> iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
> iptables -A INPUT -j ACCEPT -p tcp --dport 21
> iptables -A INPUT -j ACCEPT -i eth1 -p tcp --dport 53
> iptables -A INPUT -j ACCEPT -i eth1 -p tcp --dport 3128
> iptables -A INPUT -j ACCEPT -p tcp --dport 110
> iptables -A INPUT -j ACCEPT -p tcp --dport http
> iptables -A FORWARD -j ACCEPT -p tcp --dport 80
> iptables -A OUTPUT -j ACCEPT
> iptables -A FORWARD -j ACCEPT -i eth1 -s 192.168.0.1/24
>
> Er der nogen der kan se hvad jeg gør galt hvis jeg skal sætte FORWARD til
> DROP og snat stadig skal virke?

Du har så vidt jeg kan se ingen regel, som tillader returtrafik fra
indernettet til dit lokalnet via forward. Hvis du sætter forward til
drop, er FORWARD lukket den vej. Du kan f.eks. bruge flg. regel:

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

--
Venlig hilsen / Regards from,
Martin Dalum

Mike (06-09-2002)
Kommentar
Fra : Mike


Dato : 06-09-02 11:17

"Martin Dalum" <garfield@sunsite.dk> wrote in message
news:86ptvrd58r.fsf@webz.dk...

> Du har så vidt jeg kan se ingen regel, som tillader returtrafik fra
> indernettet til dit lokalnet via forward. Hvis du sætter forward til
> drop, er FORWARD lukket den vej. Du kan f.eks. bruge flg. regel:
>
> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

ok det har du ret i, nu ser det ud til at virke nu for mine klienter med
FORWARD DROP - til gengæld virker portforwarding ikke længere.. Tidligere
brugte jeg:

iptables -A INPUT -j ACCEPT -p tcp --dport 23
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 23 -j DNAT --to
192.168.0.102:22

Men det ser ikke ud til at fungere længere. Er denne metode helt hen i
vejret?

Mvh




Martin Dalum (06-09-2002)
Kommentar
Fra : Martin Dalum


Dato : 06-09-02 11:27

"Mike" <nospam@nospam.com> writes:

> "Martin Dalum" <garfield@sunsite.dk> wrote in message
> news:86ptvrd58r.fsf@webz.dk...
>
> > Du har så vidt jeg kan se ingen regel, som tillader returtrafik fra
> > indernettet til dit lokalnet via forward. Hvis du sætter forward til
> > drop, er FORWARD lukket den vej. Du kan f.eks. bruge flg. regel:
> >
> > iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>
> ok det har du ret i, nu ser det ud til at virke nu for mine klienter med
> FORWARD DROP - til gengæld virker portforwarding ikke længere.. Tidligere
> brugte jeg:
>
> iptables -A INPUT -j ACCEPT -p tcp --dport 23
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 23 -j DNAT --to
> 192.168.0.102:22
>
> Men det ser ikke ud til at fungere længere. Er denne metode helt hen i
> vejret?

Det er fordi du ikke har tilladt at der bliver oprettet nye
forbindelser udefra via FORWARD. Det kan du gøre med:

iptables -A FORWARD -i eth0 -p tcp --dport 23 -m state --state NEW -j ACCEPT

Og lignende kommandoer for andre porte du forwarder.

--
Venlig hilsen / Regards from,
Martin Dalum

Michael Andreasen (06-09-2002)
Kommentar
Fra : Michael Andreasen


Dato : 06-09-02 11:57

"Martin Dalum" <garfield@sunsite.dk> wrote in message
news:86lm6fct2c.fsf@webz.dk...
> Det er fordi du ikke har tilladt at der bliver oprettet nye
> forbindelser udefra via FORWARD. Det kan du gøre med:
>
> iptables -A FORWARD -i eth0 -p tcp --dport 23 -m state --state NEW -j
ACCEPT

Du har ret - igen :ø] Jeg havde fjernet disse FORWARD - det virker også
næsten nu - ellere rettere, det virker med de "alm" porte 80,8080,10000
o.s.v.. Dog virker min ssh forwarding ikke længere

Jeg havde port 23 > 192.168.0.1:22 hvilket virkede fint før.

Men jeg roder lidt med det så kan det være jeg kan få det til at spille..

Endnu engang.. Mange tak for hjælpen - det er rart at få et spark i den
rigtige retning når man er kørt helt fast :)

Mvh



Jakob Goldbach (06-09-2002)
Kommentar
Fra : Jakob Goldbach


Dato : 06-09-02 12:00

On Fri, 06 Sep 2002 12:57:13 +0200, Michael Andreasen wrote:


> Jeg havde port 23 > 192.168.0.1:22 hvilket virkede fint før.
>

Hvorfor bruger du port 23 til port 22. 23 er jo telnet porten.
Security-by-obscurity ?

Nå, men huske med din ssh klient at angive -p 23 hvis du forwarder
port 23.

Michael Andreasen (06-09-2002)
Kommentar
Fra : Michael Andreasen


Dato : 06-09-02 12:05

"Jakob Goldbach" <goldbach@imf.au.dk> wrote in message
news:0W%d9.59069$ww6.4060401@news010.worldonline.dk...
> Hvorfor bruger du port 23 til port 22. 23 er jo telnet porten.
> Security-by-obscurity ?

Det er fordi jeg har en sshd på min debian gateway port 22
Men jeg har også en sshd på serveren som jeg meget gerne skulle kunne bruge.
Derfor tænkte jeg at hvis jeg fra gateway forwardede port 23 > server:22 så
ville det være en fin løsning. Det virkede også fint med FORWARD ACCEPT når
jeg brugte

ssh -p 22 ip = gateway
ssh -p 23 ip = server

> Nå, men huske med din ssh klient at angive -p 23 hvis du forwarder port
23

Yup :) For engang skyld gjorde jeg noget rigtigt :ø]

Mvh.



Michael Andreasen (06-09-2002)
Kommentar
Fra : Michael Andreasen


Dato : 06-09-02 12:07

"Michael Andreasen" <maskinen2000@hotmail.com> wrote in message
news:ala24s$9rc$1@sunsite.dk...
> Derfor tænkte jeg at hvis jeg fra gateway forwardede port 23 > server:22

> ville det være en fin løsning. Det virkede også fint med FORWARD ACCEPT
når
> jeg brugte
>
> ssh -p 22 ip = gateway
> ssh -p 23 ip = server

pps hvis denne metode jeg har fundet på er åndsvag er jeg da lydhør for
alternativer :)

Mvh



Jakob Goldbach (06-09-2002)
Kommentar
Fra : Jakob Goldbach


Dato : 06-09-02 12:17

On Fri, 06 Sep 2002 13:04:58 +0200, Michael Andreasen wrote:

> "Jakob Goldbach" <goldbach@imf.au.dk> wrote in message
> news:0W%d9.59069$ww6.4060401@news010.worldonline.dk...
>> Hvorfor bruger du port 23 til port 22. 23 er jo telnet porten.
>> Security-by-obscurity ?
>
> Det er fordi jeg har en sshd på min debian gateway port 22

Ahh. (på mine gateways lytter jeg kun på ssh fra "indersiden")


> Yup :) For engang skyld gjorde jeg noget rigtigt :ø]
>



Kan vi ikke få dit nye script - jeg er ved at miste overblikket
over din opsætning med de ændringer. Husk også nat tabellen.

Michael Andreasen (06-09-2002)
Kommentar
Fra : Michael Andreasen


Dato : 06-09-02 12:28

"Jakob Goldbach" <goldbach@imf.au.dk> wrote in message
news:O90e9.59075$ww6.4061154@news010.worldonline.dk...
> On Fri, 06 Sep 2002 13:04:58 +0200, Michael Andreasen wrote:
> Ahh. (på mine gateways lytter jeg kun på ssh fra "indersiden")

Ja det ville vel også være det bedste. Men jeg er kun fysisk tilstede ved
serveren et par gange om måneden. Så jeg skal kunne komme ind udefra.

> Kan vi ikke få dit nye script - jeg er ved at miste overblikket
> over din opsætning med de ændringer. Husk også nat tabellen.

Selvf. Her er det.. Jeg har godt nok cuttet en del i det og fjernet en masse
af det som ikke er aktuelt ifb. med denne tråd:

---

iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -j MASQUERADE'

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -j ACCEPT -i lo

iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A INPUT -j ACCEPT -p tcp --dport 21
iptables -A INPUT -j ACCEPT -p tcp --dport 22
iptables -A INPUT -j ACCEPT -p tcp --dport 23
iptables -A INPUT -j ACCEPT -i eth1 -p tcp --dport 53
iptables -A INPUT -j ACCEPT -i eth1 -p tcp --dport 3128

iptables -A INPUT -j ACCEPT -p tcp --dport http
iptables -A INPUT -j ACCEPT -p tcp --dport 8080

iptables -A FORWARD -j ACCEPT -p tcp --dport 80
iptables -A FORWARD -j ACCEPT -p tcp --dport 21
iptables -A FORWARD -j ACCEPT -p tcp --dport 23

iptables -A OUTPUT -j ACCEPT
iptables -A FORWARD -j ACCEPT -i eth1 -s 192.168.0.1/24

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to
192.168.0.102:80
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 23 -j DNAT --to
192.168.0.102:22
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 21 -j DNAT --to
192.168.0.102:21
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 10000 -j DNAT --to
192.168.0.102:10000

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

---

Det eneste som driller nu er

1: Port 23 > server:22
2: Samba access via LAN (eth1)

Jeg ved ikke om det er noget med rækkefølgen evt? Det kan jeg ikke lige helt
overskue.

på forhånd tak for hjælpen

Mvh
Michael



Michael Andreasen (06-09-2002)
Kommentar
Fra : Michael Andreasen


Dato : 06-09-02 12:54

"Michael Andreasen" <maskinen2000@hotmail.com> wrote in message
news:ala3fs$jbi$1@sunsite.dk...
> Det eneste som driller nu er
>
> 1: Port 23 > server:22
> 2: Samba access via LAN (eth1)

Det slog mig lige.. Er det overhovedet nødvendig at gøre det på denne måde..
Jeg burde vel kunne logge på mine klienter/servere ved at gøre sådan heg

ssh til gateway --> ssh -p 22 192.168.0.102

Det burde da virke ?

Så bliver jeg fri for at forwarde port 23 til port 22...

arrrg hvorfor har jeg ikke tænkt på det. - betragt dette problem som løst
tror jeg.

Mvh
Michael




Jakob Goldbach (06-09-2002)
Kommentar
Fra : Jakob Goldbach


Dato : 06-09-02 12:58

On Fri, 06 Sep 2002 13:53:58 +0200, Michael Andreasen wrote:


> ssh til gateway --> ssh -p 22 192.168.0.102
> Det burde da virke ?
>

jep.

> Så bliver jeg fri for at forwarde port 23 til port 22...
>
> arrrg hvorfor har jeg ikke tænkt på det. - betragt dette problem som
> løst tror jeg.
>

nej nej. Du bliver nød til at løse dit portforwarding problem -
ellers sover du ikke godt nok i nat

Michael Andreasen (06-09-2002)
Kommentar
Fra : Michael Andreasen


Dato : 06-09-02 13:08

"Jakob Goldbach" <goldbach@imf.au.dk> wrote in message
news:lM0e9.59088$ww6.4063825@news010.worldonline.dk...
> nej nej. Du bliver nød til at løse dit portforwarding problem -
> ellers sover du ikke godt nok i nat

Tjaeeee.. Ikke noget problem. Fordi efter jeg er begyndt at rode med linux
sover jeg slet ikke :) - spøg til side - kan være lidt tricky at konfiguere
nogen gange, men når det virker så virker det squ - og det bliver det
somregel ved med :)

Mvh
Michael



Søg
Reklame
Statistik
Spørgsmål : 177557
Tips : 31968
Nyheder : 719565
Indlæg : 6408868
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste