rupert12 Napisano Czerwiec 2, 2007 Zgłoszenie Share Napisano Czerwiec 2, 2007 mam wielki problem z iptables z którym nie umiem sobie poradzic, a naprawde szukalem juz chyba wszedzie i nic nie ma co by mi pomoglo, to co niby powinno dzialac nie dziala :lammer: chcialem zrobic forward portu tj: wywolanie zewnetrze (WAN) z zalozenia chcialem aby wygladalo nastepujaco xxx.xxx.xxx.xxx:8888 a polaczenie to zostanie przekierunkowane na komputer w moim lanie na adres 192.168.0.10:21 mam napisany skrypcik ale oczywiscie cos nie dzila i nie wiem co prosze o jakakolwiek pomoc bo jestem zdesperowany Kod: WAN=eth0 LAN=eth1 ZDALNY_WIN=21 SER_US_TER=21 NASZ_IP=xxx.xxx.xxx.xxx SERVER_winser=192.168.0.10 dostep_do_windowsa=8888 #uruchamianie przekazywania pakietów ip echo 1 > /proc/sys/net/ipv4/ip_forward #echo 1 > /etc/sysctl/conf/net/ipv4/ip_forward echo ---------------------------------------------------------- echo Rozpoczynam zabezpieczania komputera echo Czyscimy tablice #czyszczenie tablic ./iptables odpowiedzialne za nat i filtrowanie pakietów cd / cd /sbin ./iptables -F ./iptables -X ./iptables -t nat -X ./iptables -t nat -F echo Ustalam polityke dzielenia ./iptables -P INPUT DROP ./iptables -P FORWARD DROP ./iptables -P OUTPUT ACCEPT ./iptables -A INPUT -i lo -j ACCEPT ./iptables -A FORWARD -o lo -j ACCEPT #./iptables -A INPUT -s 0/0-d #polaczenie nawiazane ./iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED ./iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED ./iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED #UDOSTEPNIAM W LANIE ./iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE ./iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT # ZABEZPIECZEN CIAG DALSZY #./iptables -A INPUT -p all -i $WAN -j DROP ./iptables -A OUTPUT -p tcp --dport 23 -o $WAN -j LOG ./iptables -A INPUT -p TCP -s 0 --syn -i $WAN -j DROP ./iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH SYN -i $WAN -j DROP ./iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -i $WAN -j DROP ./iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -i $WAN -j DROP ./iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -i $WAN -j DROP #./iptables -A INPUT -m conntrack --ctstate INVALID -p tcp --tcp-flags ! SYN,RST,ACK,FIN,PSH,URG SYN,RST,ACK,FIN,PSH,URG -i $WAN -j DROP ./iptables -A INPUT -p icmp --icmp-type echo-request -i $WAN -j DROP #REJECT --reject-with icmp-host-unreachable #./iptables -A INPUT -p udp -i $LAN -j ACCEPT echo Blokuje rozsyanie SPAM #modprobe ipt_recent ip_list_tot=32 #./iptables -A FORWARD -m state --state RELATED, ESTABLISHED -j ACCEPT ./iptables -A FORWARD -p tcp --dport 25 -m recent --name SMTP --seconds 60 --update -i $WAN -j DROP ./iptables -A FORWARD -p tcp --dport 25 -m limit --limit 1/second --limit-burst 5 -j LOG --log-level info --log-prefix "smtp " ./iptables -A FORWARD -p tcp --dport 25 -m recent --name SMTP --set -j ACCEPT echo aby nam nie skanowali ftp ./iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT ./iptables -A INPUT -p tcp --dport 21 -m recent --name FTP --seconds 120 --update -i $WAN -j DROP ./iptables -A INPUT -p tcp --dport 21 -m limit --limit 5/second --limit-burst 15 -m recent --name FTP --set -i $WAN -j ACCEPT echo Skaner portól Furtive #./iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/m -i $WAN -j ACCEPT echo Ping of death ./iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/m -i $WAN -j ACCEPT ./iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j LOG --log-prefix " $LOG Skanowanie Xmas Tre" ./iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP ./iptables -A INPUT -m conntrack --ctstate INVALID -p tcp --tcp-flags ! SYN,RST,ACK,FIN,PSH,URG SYN,RST,ACK,FIN,PSH,URG -j LOG --log-prefix " $LOG Skanowanie Null" ./iptables -A INPUT -m conntrack --ctstate INVALID -p tcp --tcp-flags ! SYN,RST,ACK,FIN,PSH,URG SYN,RST,ACK,FIN,PSH,URG -j DROP ./iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j LOG --log-prefix " $LOG Skanowanie FIn" ./iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP ./iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j LOG --log-prefix " $LOG Skanowanie ACK" ./iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP ./iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH SYN -j LOG --log-prefix " $LOG Skanowanie SYN" ./iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH SYN -j DROP echo Blokujemy dostep do serwera www: #./iptables -A INPUT -p tcp --dport 80 -i $WAN -j DROP echo Blokujemy UDP dla $WAN #./iptables -A INPUT -p udp -i $WAN -j DROP echo “Ukrywamy” firewalla #to ukryles baranie #./iptables -A INPUT -p tcp -i $WAN -j REJECT --reject-with tcp-reset #./iptables -A INPUT -p udp -i $WAN -j REJECT --reject-with icmp-port-unreachable echo Odblokowanie protokolów dla sieci LAN ./iptables -A INPUT -p udp -i $LAN -j ACCEPT ./iptables -A INPUT -p tcp -i $LAN -j ACCEPT ./iptables -A OUTPUT -p udp -o $LAN -j ACCEPT ./iptables -A OUTPUT -p tcp -o $LAN -j ACCEPT ./iptables -A INPUT -p tcp --destination-port 21 -i $WAN -j ACCEPT ./iptables -A INPUT -p tcp --destination-port $ZDALNY_WIN -j ACCEPT ./iptables -A INPUT -p tcp --destination-port $dostep_do_windowsa -j ACCEPT #/iptables -A INPUT -p tcp --destination-port $SER_US_TER -i $WAN -j DROP #./iptables -t nat -A PREROUTING -p tcp --destination-port 20:23 -j DROP ./iptables -t nat -A PREROUTING -p tcp --destination-port 21 -j ACCEPT ./iptables -t nat -A PREROUTING -p tcp --destination-port $ZDALNY_WIN -j ACCEPT ./iptables -t nat -A PREROUTING -p tcp --destination-port $dostep_do_windowsa -j ACCEPT #./iptables -t nat -A PREROUTING -p tcp --destination-port $SER_US_TER -j DROP #./iptables -A FORWARD -p tcp --destination-port 20:23 -j DROP ./iptables -A FORWARD -p tcp --destination-port $ZDALNY_WIN -j ACCEPT ./iptables -A FORWARD -p tcp --destination-port $dostep_do_windowsa -j ACCEPT #./iptables -A FORWARD -p tcp --destination-port $SER_US_TER -j DROP echo Stosowanie zasad zaawansowanych ./iptables -I FORWARD -p all -m mac --mac-source $MAC_Rup -o $WAN -j ACCEPT #odblokowanie portu 20:23 dla MAC ./iptables -A INPUT -p tcp --destination-port 20:23 -m mac --mac-source $MAC_Rup -i $WAN -j ACCEPT ./iptables -t nat -A PREROUTING -p tcp --destination-port 20:23 -m mac --mac-source $MAC_Rup -j ACCEPT ./iptables -A FORWARD -p tcp --destination-port 20:23 -m mac --mac-source $MAC_Rup -j ACCEPT echo Urcuhamiam selektywny dostep zdalny #./iptables -A INPUT -p tcp --destination-port $SER_US_TER -m mac --mac-source $MAC_Rup -j ACCEPT #./iptables -t nat -A PREROUTING -p tcp --destination-port $SER_US_TER -m mac --mac-source $MAC_Rup -j ACCEPT #./iptables -A FORWARD -p tcp --destination-port $SER_US_TER -m mac --mac-source $MAC_Rup -j ACCEPT #./iptables -A INPUT -p tcp --dport 0:65535 -i $WAN -j DROP #./iptables -A INPUT -p udp --dport 0:65535 -i $WAN -j DROP ./iptables -A INPUT -p tcp --dport $dostep_do_windowsa -j ACCEPT ./iptables -A FORWARD -p tcp --dport $dostep_do_windowsa -j ACCEPT ./iptables -t nat -A PREROUTING -p tcp --destination-port $dostep_do_windowsa -j ACCEPT ./iptables -A INPUT -p tcp --sport $dostep_do_windowsa -j ACCEPT ./iptables -A FORWARD -p tcp --sport $dostep_do_windowsa -j ACCEPT ./iptables -t nat -A PREROUTING -p tcp --sport $dostep_do_windowsa -j ACCEPT #./iptables -A INPUT -p tcp --dport $dostep_do_windowsa -m mac --mac-source ! $MAC_Rup -i $WAN -j DROP #./iptables -A FORWARD -p tcp --dport $dostep_do_windowsa -m mac --mac-source ! $MAC_Rup -i $WAN -j DROP #./iptables -t nat -A PREROUTING -p tcp --destination-port $dostep_do_windowsa -m mac --mac-source ! $MAC_Rup -i $WAN -j DROP #./iptables -A OUTPUT -p tcp --dport $dostep_do_windowsa -o $WAN -j ACCEPT echo Ustawiem forward portu ./iptables -A INPUT -p tcp --dport $dostep_do_windowsa -m state --state NEW -j ACCEPT ./iptables -A INPUT -p tcp -m tcp --dport $dostep_do_windowsa --syn -j ACCEPT ./iptables -A INPUT -p tcp --dport $dostep_do_windowsa -m state --state NEW -j ACCEPT ./iptables -A INPUT -p tcp --sport $dostep_do_windowsa --dport $ZDALNY_WIN -m state --state NEW -j ACCEPT ./iptables -A OUTPUT -o $WAN -p udp --dport $dostep_do_windowsa -m state --state NEW -j ACCEPT ./iptables -A OUTPUT -o $WAN -p udp --dport $ZDALNY_WIN -m state --state NEW -j ACCEPT ./iptables -A OUTPUT -o $WAN -p tcp --dport $dostep_do_windowsa -m state --state NEW -j ACCEPT ./iptables -A OUTPUT -o $WAN -p tcp --dport $ZDALNY_WIN -m state --state NEW -j ACCEPT ./iptables -A INPUT -i $WAN -p udp --dport $dostep_do_windowsa -m state --state NEW -j ACCEPT ./iptables -A INPUT -i $WAN -p udp --dport $ZDALNY_WIN -m state --state NEW -j ACCEPT ./iptables -A INPUT -i $WAN -p tcp --dport $dostep_do_windowsa -m state --state NEW -j ACCEPT ./iptables -A INPUT -i $WAN -p tcp --dport $ZDALNY_WIN -m state --state NEW -j ACCEPT ./iptables -A FORWARD -p udp --dport $dostep_do_windowsa -m state --state NEW -j ACCEPT ./iptables -A FORWARD -p udp --dport $ZDALNY_WIN -m state --state NEW -j ACCEPT ./iptables -A FORWARD -p tcp --dport $dostep_do_windowsa -m state --state NEW -j ACCEPT ./iptables -A FORWARD -p tcp --dport $ZDALNY_WIN -m state --state NEW -j ACCEPT ./iptables -A OUTPUT -m state --state ! INVALID -j ACCEPT ./iptables -A INPUT -p tcp --destination-port $ZDALNY_WIN -m mac --mac-source $MAC_Rup -i $WAN -j ACCEPT ./iptables -t nat -A PREROUTING -p tcp --destination-port $ZDALNY_WIN -m mac --mac-source $MAC_Rup -i $WAN -j ACCEPT ./iptables -A FORWARD -p tcp --destination-port $ZDALNY_WIN -m mac --mac-source $MAC_Rup -i $WAN -j ACCEPT ./iptables -A INPUT -p icmp --icmp-type echo-request -m mac --mac-source $MAC_Rup -i $WAN -j ACCEPT ./iptables -A INPUT -p tcp --destination-port $dostep_do_windowsa -m mac --mac-source $MAC_Rup -i $WAN -j ACCEPT ./iptables -t nat -A PREROUTING -p tcp --destination-port $dostep_do_windowsa -m mac --mac-source $MAC_Rup -j ACCEPT ./iptables -A FORWARD -p tcp --destination-port $dostep_do_windowsa -m mac --mac-source $MAC_Rup -j ACCEPT ./iptables -A PREROUTING -t nat -i $WAN -p tcp -d $NASZ_IP --dport $dostep_do_windowsa -j DNAT --to-destination $SERVER_winser:$ZDALNY_WIN ./iptables -t nat -A PREROUTING -p tcp -i $WAN -d $NASZ_IP --dport $dostep_do_windowsa -j DNAT --to $SERVER_winser:$ZDALNY_WIN ./iptables -A FORWARD -p tcp -i $WAN -d $SERVER_winser --dport $ZDALNY_WIN -j ACCEPT Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się