orrik Napisano Styczeń 25, 2007 Zgłoszenie Share Napisano Styczeń 25, 2007 Witam Pytanie pewnie dla ludzi siedzacych w temacie bedzie proste, ale ja niestety nie moge sobie z tematem poradzic. Sprawa rozbila mi sie o sambe a raczej o regulki iptables dla samby. Stad mam pytanie czy ktos móglby mi podpowiedziec jakie regulki iptables i w którym miejscu je dopisac w ponizszym skrypcie aby w sieci LAN dzialala samba ? Pozdrawiam Orrik IPT="/usr/local/sbin/iptables" INET_IFACE="eth0" INET_IP="xxx.yyy.zzz.ooo" INET_BROADCAST="xxx.yyy.zzz.iii" LAN_IFACE="eth1" LAN_IP_RANGE="192.168.0.0/24" LAN_IP="192.168.0.240" LO_IFACE="lo" LO_IP="127.0.0.1" $IPT -P INPUT DROP $IPT -P OUTPUT DROP $IPT -P FORWARD DROP $IPT -F $IPT -F -t nat $IPT -X -t nat $IPT -F -t filter $IPT -F -t filter $IPT -N bad_tcp_packets $IPT -N allowed $IPT -N tcp_packets $IPT -N udp_packets $IPT -N icmp_packets $IPT -N we_licznik $IPT -N wy_licznik $IPT -N proxy_we_licznik $IPT -N proxy_wy_licznik echo 1 > /proc/sys/net/ipv4/ip_forward # BAD_TCP_PACKETS $IPT -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset $IPT -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:" $IPT -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP # ALLOWED $IPT -A allowed -p tcp --syn -j ACCEPT $IPT -A allowed -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A allowed -p tcp -j DROP # TCP $IPT -A tcp_packets -p tcp -s 0/0 -m multiport --dports 21,22,25,53,80,106,110,113,143,433,783,953,993 -j allowed # UDP $IPT -A udp_packets -p udp -s 0/0 -m multiport --dports 53 -j ACCEPT $IPT -A udp_packets -p udp -i $LAN_IFACE --dport 67 --sport 68 -j ACCEPT # ICMP $IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT $IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT # INPUT $IPT -A INPUT -p tcp -j bad_tcp_packets $IPT -A INPUT -p all -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT $IPT -A INPUT -p all -i $LO_IFACE -s $LO_IP -j ACCEPT $IPT -A INPUT -p all -i $LO_IFACE -s $LAN_IP -j ACCEPT $IPT -A INPUT -p all -i $LO_IFACE -s $INET_IP -j ACCEPT $IPT -A INPUT -p all -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A INPUT -p tcp -i $INET_IFACE -j tcp_packets $IPT -A INPUT -p udp -i $INET_IFACE -j udp_packets $IPT -A INPUT -p icmp -i $INET_IFACE -j icmp_packets $IPT -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT INPUT packet died: " # FORWARD $IPT -A FORWARD -i $INET_IFACE -d ! $INET_IP -j we_licznik $IPT -A FORWARD -o $INET_IFACE -d ! $INET_IP -j wy_licznik $IPT -A FORWARD -i $LAN_IFACE -p tcp -d $LAN_IP --dport 8080 -j proxy_wy_licznik $IPT -A FORWARD -o $LAN_IFACE -p tcp -s $LAN_IP --sport 8080 -j proxy_we_licznik $IPT -A FORWARD -p tcp -j bad_tcp_packets $IPT -A FORWARD -i $LAN_IFACE -j ACCEPT $IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packet died: " # OUTPUT $IPT -A OUTPUT -p tcp -j bad_tcp_packets $IPT -A OUTPUT -p all -s $LO_IP -j ACCEPT $IPT -A OUTPUT -p all -s $LAN_IP -j ACCEPT $IPT -A OUTPUT -p all -s $INET_IP -j ACCEPT $IPT -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT OUTPUT packet died: " # SQUID $IPT -t nat -A PREROUTING -i $LAN_IP -p tcp --dport 80 -j REDIRECT --to-port 8080 # MASKOWANIE $IPT -t nat -A POSTROUTING -o $LAN_IFACE -j SNAT --to $INET_IP Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Styczeń 25, 2007 Zgłoszenie Share Napisano Styczeń 25, 2007 A nie brakuje tam portów 135 i 445 po TCP i UDP? No i nie wiem czy to kopiowałeś czy przepisywałeś ręcznie, ale jest $IPT -F -t filter $IPT -F -t filter a powinno być chyba $IPT -F -t filter $IPT -X -t filter Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
orrik Napisano Styczeń 25, 2007 Autor Zgłoszenie Share Napisano Styczeń 25, 2007 Witam Ma być tak jak jest $IPT -F $IPT -F -t nat $IPT -X -t nat $IPT -F -t filter $IPT -F -t filter Tylko nie wiem co ma do tego port 135 ???? # cat /etc/services ... epmap 135/tcp # DCE endpoint resolution epmap 135/udp # DCE endpoint resolution ... To co próbowałem (na ile rozumiem tego firewalla) to dodać w sekcjach poniższe regułki ale z mizernym skutkiem : #TCP ... $IPT -A tcp_packets -p tcp -i $LAN_IFACE -m multiport --dports 139,445 -j allowed #UDP ... $IPT -A udp_packets -p udp -i $LAN_IFACE -m multiport --dports 137:139 -j ACCEPT Pozdrawiam Orrik Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
@WalDo Napisano Styczeń 25, 2007 Zgłoszenie Share Napisano Styczeń 25, 2007 Ma byc tak jak jest Nie rozumiem co ma na celu dwukrotne flushowanie lancucha filter, ale skoro tak twierdzisz... A porty pisalem z glowy bo nie mam windy. O ile pamietam, to po 135 chodzi netbios. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się