Oändliga problem med Iptables.

dinasty · Inlägg av **dinasty** » 14 sep 2007, 23:18

Har idag suttit och försökt att lära mig Iptables det har självklart inte gått så bra.. jag har försökt att göra regler för att kunna forwarda en port till en annan dator i mitt nätverk helt utan framgång, har även försökt att öppna portar på den burken som delar ut internet detta har inte heller gått speciellt bra. vet inte riktigt vad jag gör för fel eftersom att jag har kopierat rader från andra personer som enligt dom funkar alldeles klockrent. Jag trodde självklart inte att det skulle gå smärtfritt när jag började idag på förmiddagen men detta är ju något helt sinnesjukt!

när jag skriver iptables -t nat -L -n -v så stär det så här:

Chain PREROUTING (policy ACCEPT 51435 packets, 4146K bytes)
pkts bytes target prot opt in out source destination
6 360 DNAT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:54 to:192.168.0.126
4 240 DNAT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 to:192.168.0.126
0 0 DNAT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:54 to:192.168.0.126
0 0 DNAT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:54 to:192.168.0.126
0 0 DNAT udp -- eth1 * 0.0.0.0/0 0.0.0.0/0 udp dpt:54 to:192.168.0.126

Chain POSTROUTING (policy ACCEPT 3478 packets, 156K bytes)
pkts bytes target prot opt in out source destination
40038 3072K MASQUERADE 0 -- * eth1 192.168.0.0/24 0.0.0.0/0
14 1140 MASQUERADE 0 -- * eth1 0.0.0.0/0 0.0.0.0/0
0 0 MASQUERADE 0 -- * eth1 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 3492 packets, 157K bytes)
pkts bytes target prot opt in out source destination

snälla jag är evigt tacksam om någon skulle kunna hjälpa mig att få igång detta.

kan tilläga att det jag vill göra är att forwarda traffiken från eth1 som är mitt internet iface till 192.168.0.126 .
Vill även kunna öppna portar lokalt på den burken som delar ut internet.

Inlägg av **Mekaniserad Apelsin** » 15 sep 2007, 01:56

prova http://easyfwgen.morizot.net/gen/ den färdiga filen för att ställa in iptables är extremt väldokumenterad.

om du hqr gjort rätt beror på flera saker, har du fast ip från nätet? har din interna dator fast ip? vaarför upprepar du samma regel flera gånger?

Det hade varit mer användbart om du postat de iptables regler (dvs iptables -A ...) istället för din tabell som endast visar delar av dina regler.

dinasty · Inlägg av **dinasty** » 15 sep 2007, 12:37

tusen tack för det där

.. fick med lite krångel igång allt

maths57 · Inlägg av **maths57** » 15 sep 2007, 12:46

För mig tog det definitivt mer än en förmiddag för att jag skulle begripa något överhuvud taget! Kan inte säga att jag förstår så bra ännu. Fram för allt har jag inte brytt mig om forwarding.

Anledningen till att det är dubbletter av regler är troligen att dinasty har kört sitt skript två gånger utan att rensa reglerna mellan varje gång.

Kod: Markera allt

sudo iptables -F
sudo iptables -t nat -F

dinsty, för att vi ska få en bättre överblick, kör följande.

Kod: Markera allt

sudo iptables -vnL > regler.txt
sudo iptables -t nat -vnL >> regler.txt

Öppan filen och posta innehållet.

dinasty · Inlägg av **dinasty** » 15 sep 2007, 13:28

japp såhär ser det alltså ut nu då när jag skriver dom där kommandona.. kan tilläga att jag har fått igång det mesta.. förutom vissa portar som jag vill öppna lokalt på burken däribland den rangen som det står 16000:16100 på samt den forwarden med 52778.

Chain INPUT (policy DROP 1147 packets, 109K bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT 0 -- lo * 0.0.0.0/0 0.0.0.0/0
3824 566K bad_packets 0 -- * * 0.0.0.0/0 0.0.0.0/0
0 0 DROP 0 -- * * 0.0.0.0/0 224.0.0.1
2048 186K ACCEPT 0 -- eth0 * 192.168.0.0/24 0.0.0.0/0
0 0 ACCEPT 0 -- eth0 * 0.0.0.0/0 192.168.0.255
0 0 ACCEPT udp -- eth0 * 0.0.0.0/0 0.0.0.0/0 udp spt:68 dpt:67
166 31685 ACCEPT 0 -- eth1 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
492 24912 tcp_inbound tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0
854 151K udp_inbound udp -- eth1 * 0.0.0.0/0 0.0.0.0/0
2 122 icmp_packets icmp -- eth1 * 0.0.0.0/0 0.0.0.0/0
0 0 DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0 PKTTYPE = broadcast
96 8789 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 3 LOG flags 0 level 4 prefix `INPUT packet died: '

Chain FORWARD (policy DROP 136 packets, 136K bytes)
pkts bytes target prot opt in out source destination
3068K 2947M bad_packets 0 -- * * 0.0.0.0/0 0.0.0.0/0
1666K 1563M tcp_outbound tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0
2286 299K udp_outbound udp -- eth0 * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT 0 -- eth0 * 0.0.0.0/0 0.0.0.0/0
1400K 1384M ACCEPT 0 -- eth1 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 192.168.0.126 tcp dpt:54
30 1480 ACCEPT tcp -- eth1 * 0.0.0.0/0 192.168.0.126 tcp dpts:6112:6119
104 5104 ACCEPT tcp -- eth1 * 0.0.0.0/0 192.168.0.126 tcp dpt:36287
0 0 ACCEPT udp -- eth1 * 0.0.0.0/0 192.168.0.126 udp dpt:36287
0 0 ACCEPT udp -- eth1 * 0.0.0.0/0 192.168.0.1 udp dpt:7025
0 0 ACCEPT udp -- eth1 * 0.0.0.0/0 192.168.0.1 udp dpt:8000
0 0 ACCEPT udp -- eth1 * 0.0.0.0/0 192.168.0.1 udp dpt:1025
0 0 ACCEPT udp -- eth1 * 0.0.0.0/0 192.168.0.1 udp dpt:22
0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 192.168.0.1 tcp dpt:52778
0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 192.168.0.1 tcp dpts

16100
0 0 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 3 LOG flags 0 level 4 prefix `FORWARD packet died: '

Chain OUTPUT (policy DROP 6 packets, 1288 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
0 0 ACCEPT 0 -- * * 127.0.0.1 0.0.0.0/0
0 0 ACCEPT 0 -- * lo 0.0.0.0/0 0.0.0.0/0
3840 416K ACCEPT 0 -- * * 192.168.0.1 0.0.0.0/0
33 1320 ACCEPT 0 -- * eth0 0.0.0.0/0 0.0.0.0/0
240 19847 ACCEPT 0 -- * eth1 0.0.0.0/0 0.0.0.0/0
0 0 LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 3 LOG flags 0 level 4 prefix `OUTPUT packet died: '

Chain bad_packets (2 references)
pkts bytes target prot opt in out source destination
0 0 LOG 0 -- eth1 * 192.168.0.0/24 0.0.0.0/0 LOG flags 0 level 4 prefix `Illegal source: '
0 0 DROP 0 -- eth1 * 192.168.0.0/24 0.0.0.0/0
264 173K LOG 0 -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID LOG flags 0 level 4 prefix `Invalid packet: '
264 173K DROP 0 -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
3068K 2947M bad_tcp_packets tcp -- * * 0.0.0.0/0 0.0.0.0/0
3072K 2948M RETURN 0 -- * * 0.0.0.0/0 0.0.0.0/0

Chain bad_tcp_packets (1 references)
pkts bytes target prot opt in out source destination
1668K 1563M RETURN tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0
4 196 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW LOG flags 0 level 4 prefix `New not syn: '
4 196 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00 LOG flags 0 level 4 prefix `Stealth scan: '
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x3F LOG flags 0 level 4 prefix `Stealth scan: '
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x3F
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x29 LOG flags 0 level 4 prefix `Stealth scan: '
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x29
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x37 LOG flags 0 level 4 prefix `Stealth scan: '
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x37
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x06 LOG flags 0 level 4 prefix `Stealth scan: '
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x06
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x03/0x03 LOG flags 0 level 4 prefix `Stealth scan: '
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x03/0x03
1400K 1384M RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0

Chain icmp_packets (1 references)
pkts bytes target prot opt in out source destination
0 0 LOG icmp -f * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix `ICMP Fragment: '
0 0 DROP icmp -f * * 0.0.0.0/0 0.0.0.0/0
2 122 DROP icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 8
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 icmp type 11
0 0 RETURN icmp -- * * 0.0.0.0/0 0.0.0.0/0

Chain tcp_inbound (1 references)
pkts bytes target prot opt in out source destination
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113 reject-with icmp-port-unreachable
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:7025
492 24912 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0

Chain tcp_outbound (1 references)
pkts bytes target prot opt in out source destination
1666K 1563M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0

Chain udp_inbound (1 references)
pkts bytes target prot opt in out source destination
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:137
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:138
0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:113 reject-with icmp-port-unreachable
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:68 dpt:67
199 66722 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:67 dpt:68
655 84332 RETURN udp -- * * 0.0.0.0/0 0.0.0.0/0

Chain udp_outbound (1 references)
pkts bytes target prot opt in out source destination
2286 299K ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0
Chain PREROUTING (policy ACCEPT 5902 packets, 514K bytes)
pkts bytes target prot opt in out source destination
0 0 DNAT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:54 to:192.168.0.126
124 6088 DNAT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:36287 to:192.168.0.126
0 0 DNAT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:7025 to:192.168.0.1
0 0 DNAT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8000 to:192.168.0.1
0 0 DNAT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1025 to:192.168.0.1
0 0 DNAT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 to:192.168.0.1
0 0 DNAT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:52778 to:192.168.0.1
0 0 DNAT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpts

16100 to:192.168.0.1
31 1556 DNAT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpts:6112:6119 to:192.168.0.126

Chain POSTROUTING (policy ACCEPT 154 packets, 7568 bytes)
pkts bytes target prot opt in out source destination
4664 395K MASQUERADE 0 -- * eth1 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 12 packets, 738 bytes)
pkts bytes target prot opt in out source destination

som ni kanske ser så använde jag det där scriptet som Mekaniserad Apelsin tipsade om.. funkade väldigt bra efter lite konfiguration faktist

maths57 · Inlägg av **maths57** » 15 sep 2007, 17:11

Här känns det som om mina kunskaper är lite bristfälliga. Men i alla fall. Du vill öppna portarna 16000:16100 för det inre nätverket? Det kommunicerar på kortet eth0. Men i reglerna ser det ut som om de är öppnade på eth1. Kan det vara så? Samma sak med 52778. Eller?

dinasty · Inlägg av **dinasty** » 15 sep 2007, 17:16

jag vet inte riktigt faktist... men det jag vill göra är att när någon ska ansluta till 16000:16100 så ska dom komma till det lokala kortet med andra ord 192.168.0.1. så då borde det väll vara eth1 man ska öppna det på och sen skicka vidare dom till 192.168.0.1 eller?

maths57 · Inlägg av **maths57** » 15 sep 2007, 17:37

Jo, och det verkar det som om reglerna gör. Funkar alla de andra reglerna? Det är ju flera portar du dirigerar om.

dinasty · Inlägg av **dinasty** » 15 sep 2007, 18:59

japp dom andra funkar perfekt

har provat dom som jag har vidare befodrat till den interna datorn och det funkade alldeles utmärkt.. har dock inte provat dom andra som jag har öppnat lokalt mer än att kolla på med en port checker.. det står att dom är öppna så jag antar att det fungerar.. dock så funkar inte 16000:16100 när jag kollar den med port checkern.
Jag vet inte det kanske beror på att dom där portarna måste vara aktiva för att det ska funka att scanna dom.. kan ju bero på det med i och med att allt annat funkar utan problem så tror jag inte det beror på iptables

ni ska i alla fall ha ett väldans tack för all hjälp ni har gett mig

hade aldrig klarat det utan den

dinasty · Inlägg av **dinasty** » 16 sep 2007, 01:19

hehe kom på problemet med port rangen nu

jag hade glömt att ändra till det nya interna ip numret i min ftp conf

därför det inte funkade att forwarda rangen.

maths57 · Inlägg av **maths57** » 16 sep 2007, 12:33

Så du har fått det att funka? Vilken FTP-server kör du? Kan man i conf-filen där ange vilka datorer som får ansluta?

dinasty · Inlägg av **dinasty** » 16 sep 2007, 13:26

Japp allting funkar nu

. Jag kör GLFTPD.. japp det går att ange vilka datorer och ipnummer som får ansluta... det är rätt strikta regler för vem som får och inte får ansluta i glftpd

Emil.s · Inlägg av **Emil.s** » 16 sep 2007, 18:16

För er som vill pilla med brandväggar så rekommenderar jag "shorewall", vilket är ett högnivå konfigurationsverktyg för iptables. Riktigt bra faktiskt.

maths57 · Inlägg av **maths57** » 16 sep 2007, 18:26

Emil.s skrev: För er som vill pilla med brandväggar så rekommenderar jag "shorewall", vilket är ett högnivå konfigurationsverktyg för iptables. Riktigt bra faktiskt.

Har Shorewall ett vettigt gränssnitt? I Firestarter underlättar det definitivt om man vet en hel del om hur brandväggar funkar.

dinasty · Inlägg av **dinasty** » 16 sep 2007, 18:46

Emil.s skrev: För er som vill pilla med brandväggar så rekommenderar jag "shorewall", vilket är ett högnivå konfigurationsverktyg för iptables. Riktigt bra faktiskt.

provade det när jag började pilla med iptables.. det gjorde att min utdelning av internet dog samt att jag inte kom åt mitt shell så efter det så vågade jag mig inte på det igen

Emil.s · Inlägg av **Emil.s** » 16 sep 2007, 19:30

maths57 skrev:
Emil.s skrev: För er som vill pilla med brandväggar så rekommenderar jag "shorewall", vilket är ett högnivå konfigurationsverktyg för iptables. Riktigt bra faktiskt.
Har Shorewall ett vettigt gränssnitt? I Firestarter underlättar det definitivt om man vet en hel del om hur brandväggar funkar.

"vim"

Så egentligen, nej. Men jag anser att det är klart enklare om man ska konfigurera mycket. Enklaste konfigurationen är i princip:
1. Definera zonen "internet". (Allt som kommer utifrån)
2. Lägg till regeln: "internet till destination "var-som-hellst" = drop"
3. "Internet" --> datorX:port = Accept

Hur som hellst:
http://www.shorewall.net/Introduction.html

+ Riktigt bra manual.

Ubuntu Sverige

Oändliga problem med Iptables.

Oändliga problem med Iptables.

SV: Oändliga problem med Iptables.

SV: Oändliga problem med Iptables.

SV: Oändliga problem med Iptables.

SV: Oändliga problem med Iptables.

SV: Oändliga problem med Iptables.

SV: Oändliga problem med Iptables.

SV: Oändliga problem med Iptables.

SV: Oändliga problem med Iptables.

SV: Oändliga problem med Iptables.

SV: Oändliga problem med Iptables.

SV: Oändliga problem med Iptables.

SV: Oändliga problem med Iptables.

SV: Oändliga problem med Iptables.

SV: Oändliga problem med Iptables.

SV: Oändliga problem med Iptables.