[+]"firewall"

Masz problemy z siecią bądź internetem? Zapytaj tu
peredhil
Posty: 42
Rejestracja: 24 maja 2006, 14:12
Lokalizacja: Staszów

[+]"firewall"

Post autor: peredhil »

Witam.

Używam takiego "firewalla" i niestety blokuje ftp, tzn. nikt nie może sie połączyć, reszta usług działa dobrze.
Może ma ktoś jakiś pomysł, żeby odblokować możliwość łączenia się z moim ftp lub też, aby usprawnić działanie tego ustrojstwa.

Link do firewalla: http://pastebin.ca/162892

Z góry dzięki, pozdrawiam.

PS. Zmieniłem ssh na port 60 ;p
myuser
Posty: 2
Rejestracja: 05 września 2006, 19:36

Post autor: myuser »

tzn w tym firewallu wyglada wszystko poprawnie. pokaz lepiej wynik komendy:

Kod: Zaznacz cały

iptables -L -v
iptables -t nat -L -v
sprawdz tez czy lokalnie mozesz sie na tego ftp zalogowac - tzn siedzac na nim pod adres 127.0.0.1.
Witek Baryluk
Beginner
Posty: 207
Rejestracja: 26 czerwca 2006, 01:49
Lokalizacja: Kraków za firewallem

Post autor: Witek Baryluk »

Ja w linijce 50 bym dopisał:
modprobe ip_conntrack_ftp
iptables -A INPUT -m helper --helper ftp -j ACCEPT

pozdro
peredhil
Posty: 42
Rejestracja: 24 maja 2006, 14:12
Lokalizacja: Staszów

Post autor: peredhil »

myuser pisze:tzn w tym firewallu wyglada wszystko poprawnie. pokaz lepiej wynik komendy:

Kod: Zaznacz cały

iptables -L -v
iptables -t nat -L -v
sprawdz tez czy lokalnie mozesz sie na tego ftp zalogowac - tzn siedzac na nim pod adres 127.0.0.1.

iptables -L -v zwraca coś takiego:

root@smietnik:~# iptables -L -v
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
622 24626 ACCEPT all -- !eth0 any anywhere anywhere
32375 44M ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:ftp-data state NEW
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:60 state NEW
0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:www state NEW
0 0 REJECT tcp -- eth0 any anywhere anywhere reject-with tcp-reset
25 850 REJECT udp -- eth0 any anywhere anywhere reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 20362 packets, 1174K bytes)
pkts bytes target prot opt in out source destination



a iptables -t nat -L -v:

root@smietnik:~# iptables -t nat -L -v
Chain PREROUTING (policy ACCEPT 25 packets, 850 bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 575 packets, 33616 bytes)
pkts bytes target prot opt in out source destination
0 0 SNAT all -- any eth0 192.168.1.0/24 !192.168.1.0/24 to:10.10.48.33

Chain OUTPUT (policy ACCEPT 575 packets, 33616 bytes)
pkts bytes target prot opt in out source destination


lokalnie mogę się logować i przez 127.0.0.1 oraz przez 10.10.48.33 jednak reszta ludzików z mojej sieci niestety nie może
myuser
Posty: 2
Rejestracja: 05 września 2006, 19:36

Post autor: myuser »

A przez jaki interface wchodza pakiety z LANu. Pytam bo zastanawia mnie linijka:

Kod: Zaznacz cały

 622 24626 ACCEPT all -- !eth0 any anywhere anywhere
BTW: Uzywaj Code!
// Tak naprawde to nie siedze na Debianie, ale moze masz TCPWrappers etc. czyli - czy masz pliki /etc/hosts.deny i /etc/hosts.allow? Jesli masz to je pokaz.
Jak chcesz sprawdzic czy to na 100% wina firewalla to na koncu skryptu dodaj:

Kod: Zaznacz cały

IPTABLES -I INPUT -p tcp --dport 21 -j ACCEPT
no i wtedy patrz gdzie laduja pakiety.
Pozatym zaladuj ten modul - tak jak pisal poprzednik.
peredhil
Posty: 42
Rejestracja: 24 maja 2006, 14:12
Lokalizacja: Staszów

Post autor: peredhil »

myuser pisze:A przez jaki interface wchodza pakiety z LANu. Pytam bo zastanawia mnie linijka:

Kod: Zaznacz cały

 622 24626 ACCEPT all -- !eth0 any anywhere anywhere
BTW: Uzywaj Code!
// Tak naprawde to nie siedze na Debianie, ale moze masz TCPWrappers etc. czyli - czy masz pliki /etc/hosts.deny i /etc/hosts.allow? Jesli masz to je pokaz.
Jak chcesz sprawdzic czy to na 100% wina firewalla to na koncu skryptu dodaj:

Kod: Zaznacz cały

IPTABLES -I INPUT -p tcp --dport 21 -j ACCEPT
no i wtedy patrz gdzie laduja pakiety.
Pozatym zaladuj ten modul - tak jak pisal poprzednik.

Cały ruch odbywa się na eth0 (na eth1 zamierzam zrobić maskarade, jak tylko naprawię monitor do drugiego komputera).

Pliki /etc/hosts.deny oraz /etc/hosts.allow mam puste.

myuser dodałem regułkę, która mi podałeś i wszystko jest jak najbardziej ok.


Dziękuję za pomoc, pozdrawiam - peredhil.
Zablokowany