Konfiguracja Iptables

[piotrino]

Witam. Postanowiłem "pobawić"się konfiguracją iptables. Jak wiecie mam seerver na fedorze vpn , sshd itp...cała moja siec to fedora i dwa windowsy...Z lini polecen wydałem komendy:

iptables -F
iptables -F INPUT
iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -s 10.0.0.251 -p udp --dport 137 -m state --state NEW -j ACCEPT
iptables -A INPUT -s 10.0.0.251-p udp --dport 138 -m state --state NEW -j ACCEPT
iptables -A INPUT -s 110.0.0.251-p tcp --dport 139 -m state --state NEW -j ACCEPT
iptables -A INPUT -s 10.0.0.251-p tcp --dport 445 -m state --state NEW -j ACCEPT

W tym wypadku chodzi mi o sambę, skonfigurowałem sambę zeby z komputera windowsa mial dostęp do samby(a nie mogę się połłączyć), wynika to z tego ze zresetowałem ustawnienia iptables i pingowanie z windowsa na server na fedorze daje wynik ze brak pingów...Co jeszcze muszę dopisać do iptables żebym miał pingowanie,?? i oczywiście analogicznie do tego też konfiguruję dostep do protokołów ftp, sshd itp.....?

 

P.S Na komputerach z windowsami mam adresy ustawione statycznie(10.0.0.251 i10.0.0.252)

Wiem że jak wyłączę iptables to wszystko mi działa bez problemu, ale chodzi mi o "zabawę" z regułami iptables...

W google znalazłem multum wskazówek jeśli chodzi o iptables, ale dopiero się zainteresowałem konfiguracją iptables, i prosiłbym na tym przykładzie o naprowadzenie mnie czy dobrze daję reguły w iptables...Pozdrawiam

[Gość]

Wpisz sobie:

iptables -A -j LOG

Po tym zabiegu spróbuj wykonać twoje magincze czynności jak np. wejście na sambe itp itd, a w /var/log/messages będziesz miał logi o odrzuconych pakietach przez twój FW. Na ich podstawie będziesz wiedział co odblokować.

 

Pozdrawiam

 

@EDIT:

tak, błędny kod podałem. Miało być:

iptables -A INPUT -j LOG

[piotrino]

Wpisz sobie:

iptables -A -j LOG

Po tym zabiegu spróbuj wykonać twoje magincze czynności jak np. wejście na sambe itp itd, a w /var/log/messages będziesz miał logi o odrzuconych pakietach przez twój FW. Na ich podstawie będziesz wiedział co odblokować.

 

Pozdrawiam

Nie działa:

[root@fedora piotrino]# iptables -A -j LOG
Bad argument `LOG'
Try `iptables -h' or 'iptables --help' for more information.
[root@fedora piotrino]#

sprawdzę jeszcze w mesages....Pozdrawiam

 

P.S Temat zamknięty, poradziłem sobie, skonfigurowałem iptables według własnych reguł....Dzięki za wskazówki

[@Sorror]

Forum jest dla wszystkich, zawsze więc wypada wrzucać swoje rozwiązania dla przyszłych przeszukujących, a nie 'zrobiłem, zamknąć wątek, papa'

 

A btw LOG powinien też zawierać level oraz prefix jeśli dobrze pamiętam.

[piotrino]

Forum jest dla wszystkich, zawsze więc wypada wrzucać swoje rozwiązania dla przyszłych przeszukujących, a nie 'zrobiłem, zamknąć wątek, papa'

 

A btw LOG powinien też zawierać level oraz prefix jeśli dobrze pamiętam.

 

Sorki za nie podanie rozwiązania....

Po prostu sprawdziłem jakie porty mam nieaktywne i je dodałem...Jeśli chodzi o pingowanie z kompa na server to musiałem dodać na serverze port 445 jak dobrze pamiętam....

iptables -A INPUT -s 10.0.0.251 -p tcp --dport 445 -m state --state NEW -j ACCEPT

analogicznie do tego wpisu co podalem po prostu danemu kompowi udęstępniałem porty sshd, samba itp..... i wszystko ładnie poszło,obyło się bez wpisu "iptables -A INPUT -j LOG"-(a propo czego dokładnie ten wpis dotyczy?)Pozdrawiam

 

 

P.S Mógłbym po prostu wyłaczyć iptables, zeby mi wszystko dzialalo, ale chciałem poznac zasady iptables , jeszcze będę kombinował z regułami iptables ale to pózniej....

[piotrino]

Witam ponownie skonigruowałem iptables według tych reguł:

[root@fedora /]# iptables -F
[root@fedora /]# iptables -P OUTPUT DROP
[root@fedora /]# iptables -P INPUT DROP
[root@fedora /]# iptables -P FORWARD DROP
[root@fedora /]# iptables -A INPUT -p tcp --sport 80 -j ACCEPT
[root@fedora /]# iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
[root@fedora /]# iptables -A INPUT -p udp --sport 53 -j ACCEPT
[root@fedora /]# iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
[root@fedora /]# iptables -A INPUT -i lo -j ACCEPT
[root@fedora /]# iptables -A OUTPUT -o lo -j ACCEPT

internet mam, pingowanie na adres zwrotny mam. I tu mam pytanie jak skonfigurować teraz dostęp do pingowania na inne komputery w sieci analogicznie do tego jak wyżej tylko zmieniam port na 445? czy jak to robię według tego wpisu:

iptables -A INPUT -s 10.0.0.251 -p tcp --dport 445 -m state --state NEW -j ACCEPT

-jak stosuję ten wpis to nie mogę pingować na inne komputery, tak samo jak ustawiam tu porty na sambę: 137,138,139.445, i też dostępu do samby nie na kompach nie mam.....Prosiłbym o wyjaśnienie jakie reguły bym musiał zastosować zebym miał dostęp do samby, ssh itd.....Na razie według tej reguły co stworzyłem mam dostęp do sieci, ale jaką mniej więcej regułę zastosowac w tym wypadku żebym miał dostęp do samby,ssh....Bo jak stosuję poniżej tej konfiguracji co u góry

iptables -A INPUT -s 10.0.0.251 -p tcp --dport 445 -m state --state NEW -j ACCEPT

z r óżnymi portami do samby, ssh to (_niedziała_ ? nie działa) ORT mi to....Bardzo prosiłbym o wskazówki mniej więcej co i ja....Wczesneij mi dzialalo, ale teraz ustawiłem konfigurację na na zwiększenia bezpieczenstwa według moich regul...

P.S Problem już rozwiązałem!!! Wielkie dzięki za odpowiedz....