Skocz do zawartości

Problem Z Iptables


rupert12

Rekomendowane odpowiedzi

mam wielki problem z iptables z którym nie umiem sobie poradzic, a naprawde szukalem juz chyba wszedzie i nic nie ma co by mi pomoglo, to co niby powinno dzialac nie dziala :lammer:

chcialem zrobic forward portu tj: wywolanie zewnetrze (WAN) z zalozenia chcialem aby wygladalo nastepujaco xxx.xxx.xxx.xxx:8888 a polaczenie to zostanie przekierunkowane na komputer w moim lanie na adres 192.168.0.10:21

mam napisany skrypcik ale oczywiscie cos nie dzila i nie wiem co prosze o jakakolwiek pomoc bo jestem zdesperowany

Kod:

WAN=eth0
LAN=eth1
ZDALNY_WIN=21
SER_US_TER=21
NASZ_IP=xxx.xxx.xxx.xxx
SERVER_winser=192.168.0.10
dostep_do_windowsa=8888
#uruchamianie przekazywania pakietów ip
echo 1 > /proc/sys/net/ipv4/ip_forward
#echo 1 > /etc/sysctl/conf/net/ipv4/ip_forward

echo ----------------------------------------------------------
echo Rozpoczynam zabezpieczania komputera
echo Czyscimy tablice
#czyszczenie tablic ./iptables odpowiedzialne za nat i filtrowanie pakietów
cd /
cd /sbin
./iptables -F
./iptables -X

./iptables -t nat -X
./iptables -t nat -F

echo Ustalam polityke dzielenia
./iptables -P INPUT DROP
./iptables -P FORWARD DROP
./iptables -P OUTPUT ACCEPT

./iptables -A INPUT -i lo -j ACCEPT
./iptables -A FORWARD -o lo -j ACCEPT

#./iptables -A INPUT -s 0/0-d

#polaczenie nawiazane
./iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
./iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
./iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED


#UDOSTEPNIAM W LANIE
./iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
./iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT

# ZABEZPIECZEN CIAG DALSZY

#./iptables -A INPUT -p all -i $WAN -j DROP

./iptables -A OUTPUT -p tcp --dport 23 -o $WAN -j LOG
./iptables -A INPUT -p TCP -s 0 --syn -i $WAN -j DROP
./iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH SYN -i $WAN -j DROP

./iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -i $WAN -j DROP

./iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -i $WAN -j DROP

./iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -i $WAN -j DROP

#./iptables -A INPUT -m conntrack --ctstate INVALID -p tcp --tcp-flags ! SYN,RST,ACK,FIN,PSH,URG SYN,RST,ACK,FIN,PSH,URG -i $WAN -j DROP

./iptables -A INPUT -p icmp --icmp-type echo-request -i $WAN -j DROP
#REJECT --reject-with icmp-host-unreachable

#./iptables -A INPUT -p udp -i $LAN -j ACCEPT

echo Blokuje rozsyanie SPAM
#modprobe ipt_recent ip_list_tot=32
#./iptables -A FORWARD -m state --state RELATED, ESTABLISHED -j ACCEPT
./iptables -A FORWARD -p tcp --dport 25 -m recent --name SMTP --seconds 60 --update -i $WAN -j DROP
./iptables -A FORWARD -p tcp --dport 25 -m limit --limit 1/second --limit-burst 5 -j LOG --log-level info --log-prefix "smtp "
./iptables -A FORWARD -p tcp --dport 25 -m recent --name SMTP --set -j ACCEPT

echo aby nam nie skanowali ftp
./iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
./iptables -A INPUT -p tcp --dport 21 -m recent --name FTP --seconds 120 --update -i $WAN -j DROP
./iptables -A INPUT -p tcp --dport 21 -m limit --limit 5/second --limit-burst 15 -m recent --name FTP --set -i $WAN -j ACCEPT


echo Skaner portól Furtive
#./iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/m -i $WAN -j ACCEPT

echo Ping of death
./iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/m -i $WAN -j ACCEPT


./iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j LOG --log-prefix " $LOG Skanowanie Xmas Tre"
./iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP
./iptables -A INPUT -m conntrack --ctstate INVALID -p tcp --tcp-flags ! SYN,RST,ACK,FIN,PSH,URG SYN,RST,ACK,FIN,PSH,URG -j LOG --log-prefix " $LOG Skanowanie Null"
./iptables -A INPUT -m conntrack --ctstate INVALID -p tcp --tcp-flags ! SYN,RST,ACK,FIN,PSH,URG SYN,RST,ACK,FIN,PSH,URG -j DROP
./iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j LOG --log-prefix " $LOG Skanowanie FIn"
./iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP
./iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j LOG --log-prefix " $LOG Skanowanie ACK"
./iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP
./iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH SYN -j LOG --log-prefix " $LOG Skanowanie SYN"
./iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH SYN -j DROP


echo Blokujemy dostep do serwera www:
#./iptables -A INPUT -p tcp --dport 80 -i $WAN -j DROP

echo Blokujemy UDP dla $WAN
#./iptables -A INPUT -p udp -i $WAN -j DROP


echo “Ukrywamy” firewalla
#to ukryles baranie
#./iptables -A INPUT -p tcp -i $WAN -j REJECT --reject-with tcp-reset
#./iptables -A INPUT -p udp -i $WAN -j REJECT --reject-with icmp-port-unreachable

echo Odblokowanie protokolów dla sieci LAN

./iptables -A INPUT -p udp -i $LAN -j ACCEPT
./iptables -A INPUT -p tcp -i $LAN -j ACCEPT
./iptables -A OUTPUT -p udp -o $LAN -j ACCEPT
./iptables -A OUTPUT -p tcp -o $LAN -j ACCEPT

./iptables -A INPUT -p tcp --destination-port 21 -i $WAN -j ACCEPT
./iptables -A INPUT -p tcp --destination-port $ZDALNY_WIN -j ACCEPT
./iptables -A INPUT -p tcp --destination-port $dostep_do_windowsa -j ACCEPT
#/iptables -A INPUT -p tcp --destination-port $SER_US_TER -i $WAN -j DROP
#./iptables -t nat -A PREROUTING -p tcp --destination-port 20:23 -j DROP
./iptables -t nat -A PREROUTING -p tcp --destination-port 21 -j ACCEPT
./iptables -t nat -A PREROUTING -p tcp --destination-port $ZDALNY_WIN -j ACCEPT
./iptables -t nat -A PREROUTING -p tcp --destination-port $dostep_do_windowsa -j ACCEPT
#./iptables -t nat -A PREROUTING -p tcp --destination-port $SER_US_TER -j DROP

#./iptables -A FORWARD  -p tcp --destination-port 20:23 -j DROP
./iptables -A FORWARD  -p tcp --destination-port $ZDALNY_WIN -j ACCEPT
./iptables -A FORWARD  -p tcp --destination-port $dostep_do_windowsa -j ACCEPT
#./iptables -A FORWARD  -p tcp --destination-port $SER_US_TER -j DROP

echo Stosowanie zasad zaawansowanych
./iptables -I FORWARD -p all -m mac --mac-source $MAC_Rup -o $WAN -j ACCEPT
#odblokowanie portu 20:23 dla MAC
./iptables -A INPUT -p tcp --destination-port 20:23 -m mac --mac-source $MAC_Rup -i $WAN -j ACCEPT
./iptables  -t nat -A PREROUTING -p tcp --destination-port 20:23 -m mac --mac-source $MAC_Rup -j ACCEPT
./iptables -A FORWARD  -p tcp --destination-port 20:23 -m mac --mac-source $MAC_Rup -j ACCEPT


echo Urcuhamiam selektywny dostep zdalny




#./iptables -A INPUT -p tcp --destination-port $SER_US_TER -m mac --mac-source $MAC_Rup -j ACCEPT
#./iptables  -t nat -A PREROUTING -p tcp --destination-port $SER_US_TER -m mac --mac-source $MAC_Rup -j ACCEPT
#./iptables -A FORWARD  -p tcp --destination-port $SER_US_TER -m mac --mac-source $MAC_Rup -j ACCEPT

#./iptables -A INPUT -p tcp --dport 0:65535 -i $WAN -j DROP
#./iptables -A INPUT -p udp --dport 0:65535 -i $WAN -j DROP
./iptables -A INPUT -p tcp --dport $dostep_do_windowsa -j ACCEPT
./iptables -A FORWARD -p tcp --dport $dostep_do_windowsa -j ACCEPT
./iptables  -t nat -A PREROUTING -p tcp --destination-port $dostep_do_windowsa -j ACCEPT

./iptables -A INPUT -p tcp --sport $dostep_do_windowsa -j ACCEPT
./iptables -A FORWARD -p tcp --sport $dostep_do_windowsa -j ACCEPT
./iptables  -t nat -A PREROUTING -p tcp --sport $dostep_do_windowsa -j ACCEPT

#./iptables -A INPUT -p tcp --dport $dostep_do_windowsa -m mac --mac-source ! $MAC_Rup -i $WAN -j DROP
#./iptables -A FORWARD -p tcp --dport $dostep_do_windowsa -m mac --mac-source ! $MAC_Rup -i $WAN -j DROP
#./iptables  -t nat -A PREROUTING -p tcp --destination-port $dostep_do_windowsa -m mac --mac-source ! $MAC_Rup -i $WAN -j DROP
#./iptables -A OUTPUT -p tcp --dport $dostep_do_windowsa -o $WAN -j ACCEPT


echo            Ustawiem forward portu

./iptables -A INPUT -p tcp --dport $dostep_do_windowsa -m state --state NEW -j ACCEPT
./iptables  -A INPUT -p tcp -m tcp --dport $dostep_do_windowsa --syn -j ACCEPT
./iptables -A INPUT -p tcp --dport $dostep_do_windowsa -m state --state NEW -j ACCEPT

./iptables -A INPUT -p tcp --sport $dostep_do_windowsa --dport $ZDALNY_WIN -m state --state NEW -j ACCEPT
./iptables -A OUTPUT -o $WAN -p udp --dport $dostep_do_windowsa -m state --state NEW -j ACCEPT
./iptables -A OUTPUT -o $WAN -p udp --dport $ZDALNY_WIN -m state --state NEW -j ACCEPT
./iptables -A OUTPUT -o $WAN -p tcp --dport $dostep_do_windowsa -m state --state NEW -j ACCEPT
./iptables -A OUTPUT -o $WAN -p tcp --dport $ZDALNY_WIN -m state --state NEW -j ACCEPT


./iptables -A INPUT -i $WAN -p udp --dport $dostep_do_windowsa -m state --state NEW -j ACCEPT
./iptables -A INPUT -i $WAN -p udp --dport $ZDALNY_WIN -m state --state NEW -j ACCEPT
./iptables -A INPUT -i $WAN -p tcp --dport $dostep_do_windowsa -m state --state NEW -j ACCEPT
./iptables -A INPUT -i $WAN -p tcp --dport $ZDALNY_WIN -m state --state NEW -j ACCEPT


./iptables -A FORWARD -p udp --dport $dostep_do_windowsa -m state --state NEW -j ACCEPT
./iptables -A FORWARD -p udp --dport $ZDALNY_WIN -m state --state NEW -j ACCEPT
./iptables -A FORWARD -p tcp --dport $dostep_do_windowsa -m state --state NEW -j ACCEPT
./iptables -A FORWARD -p tcp --dport $ZDALNY_WIN -m state --state NEW -j ACCEPT
./iptables -A OUTPUT -m state --state ! INVALID -j ACCEPT
./iptables -A INPUT -p tcp --destination-port $ZDALNY_WIN -m mac --mac-source $MAC_Rup -i $WAN -j ACCEPT
./iptables  -t nat -A PREROUTING -p tcp --destination-port $ZDALNY_WIN -m mac --mac-source $MAC_Rup -i $WAN -j ACCEPT
./iptables -A FORWARD  -p tcp --destination-port $ZDALNY_WIN -m mac --mac-source $MAC_Rup -i $WAN -j ACCEPT

./iptables -A INPUT -p icmp --icmp-type echo-request -m mac --mac-source $MAC_Rup -i $WAN -j ACCEPT

./iptables -A INPUT -p tcp --destination-port $dostep_do_windowsa -m mac --mac-source $MAC_Rup -i $WAN -j ACCEPT
./iptables  -t nat -A PREROUTING -p tcp --destination-port $dostep_do_windowsa -m mac --mac-source $MAC_Rup -j ACCEPT
./iptables -A FORWARD  -p tcp --destination-port $dostep_do_windowsa -m mac --mac-source $MAC_Rup -j ACCEPT
./iptables -A PREROUTING -t nat -i $WAN -p tcp -d $NASZ_IP --dport $dostep_do_windowsa -j DNAT --to-destination $SERVER_winser:$ZDALNY_WIN
./iptables -t nat -A PREROUTING -p tcp -i $WAN -d $NASZ_IP --dport $dostep_do_windowsa -j DNAT --to $SERVER_winser:$ZDALNY_WIN
./iptables -A FORWARD -p tcp -i $WAN -d $SERVER_winser --dport $ZDALNY_WIN -j ACCEPT

Odnośnik do komentarza
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
×
×
  • Dodaj nową pozycję...