Strona 2 z 2
: 22 sierpnia 2013, 22:51
autor: lun
Zrobiłem sobie wirtualne środowisko z twoją adresacją i wszystkie te reguły działają.
Zrób
i wklej cały plik tutaj.
Wydaje mi się że nie wyczyściłeś starych niepoprawnych reguł i pakiet jest wyłapywany przez wcześniejszą regułę, która robi z nim coś innego niż przekierowanie.
: 23 sierpnia 2013, 13:23
autor: ciscoknx90
Jutro rano wkleję.
Jakie reguły są według ciebie niepoprawne? Bo może faktycznie nie usunąłem czegoś.
Kod: Zaznacz cały
#!/bin/sh
### BEGIN INIT INFO
# Provides: scriptname
# Required-Start: $remote_fs $syslog
# Required-Stop: $remote_fs $syslog
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: Start daemon at boot time
# Description: Enable service provided by daemon.
### END INIT INFO
# wlaczenie w kernelu forwardowania
/bin/echo 1 > /proc/sys/net/ipv4/ip_forward
# Ochrona przed atakiem typu Smurf
/bin/echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Nie aktceptujemy pakietow "source route"
/bin/echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
# Nie przyjmujemy pakietow ICMP rediect, ktore moga zmienic tablice routingu
/bin/echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
# Wlaczamy ochrone przed blednymi komunikatami ICMP error
/bin/echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
# Wlaczenie mechanizmu wykrywania oczywistych falszerstw (pakiety znajdujace sie tylko tablicy routingu)
#######/bin/echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
/bin/echo 1 > /proc/sys/net/ipv4/tcp_timestamps
/bin/echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
/bin/echo 10 > /proc/sys/net/ipv4/ipfrag_time
#/bin/echo 65536 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max
/bin/echo 36024 > /proc/sys/net/ipv4/tcp_max_syn_backlog
# zwiekszenie rozmaru tablicy ARP
/bin/echo 1024 > /proc/sys/net/ipv4/neigh/default/gc_thresh1
/bin/echo 4096 > /proc/sys/net/ipv4/neigh/default/gc_thresh2
/bin/echo 8192 > /proc/sys/net/ipv4/neigh/default/gc_thresh3
/bin/echo 1 > /proc/sys/net/ipv4/tcp_rfc1337
/bin/echo 1 > /proc/sys/net/ipv4/ip_no_pmtu_disc
/bin/echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
#/bin/echo 60 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_close_wait
#/bin/echo 360 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
/bin/echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
/bin/echo 2400 > /proc/sys/net/ipv4/tcp_keepalive_time
/bin/echo 0 > /proc/sys/net/ipv4/tcp_window_scaling
/bin/echo 0 > /proc/sys/net/ipv4/tcp_sack
/bin/echo 20 > /proc/sys/net/ipv4/ipfrag_time
/bin/echo 1280 > /proc/sys/net/ipv4/tcp_max_syn_backlog
# Blokada przed atakami typu SYN FLOODING
/bin/echo 1 > /proc/sys/net/ipv4/tcp_syncookies
# WĹ‚aczenie proxy arp - dzieki temu serwer nie zdycha po kilku
#/bin/echo 1 > /proc/sys/net/ipv4/conf/all/arp_filter
# Zwiekszenie rozmiarutablic routingu
/bin/echo "18192" > /proc/sys/net/ipv4/route/max_size
################################
### czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -t mangle -F
iptables -t mangle -X
### koniec czyszczenia starych regul
################################
###############################
###
################################
### ustawienie domyslnej polityki
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A INPUT --protocol tcp --destination-port 22 -j ACCEPT
iptables -A INPUT --protocol tcp --destination-port 80 -j ACCEPT
iptables -A INPUT --protocol tcp --destination-port 88 -j ACCEPT
iptables -A INPUT --protocol tcp --destination-port 100 -j ACCEPT
iptables -A INPUT --protocol tcp --destination-port 7000 -j ACCEPT
iptables -A INPUT --protocol tcp --destination-port 11111 -j ACCEPT
#########################
### kamery
iptables -A FORWARD --protocol tcp --destination-port 37777 -j ACCEPT
iptables -A FORWARD --protocol udp --destination-port 37778 -j ACCEPT
iptables -A FORWARD --protocol tcp --source-port 37770 -j ACCEPT
iptables -A INPUT --protocol udp --source-port 53 -j ACCEPT
iptables -A INPUT --protocol udp --destination-port 53 -j ACCEPT
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP
### koniec ustawień domyślnej polityki
################################
################################
###### POĹÄ„CZENIA NAWIÄ„ZANE
##############
## utrzymywanie polaczen nawiazanych
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A INPUT -p icmp -j ACCEPT
#iptables -A OUTPUT -p icmp -j ACCEPT
## koniec podtrzymywania polaczen
##############
###### KONIEC POĹÄ„CZEĹ NAWIÄ„ZANYCH
################################
################################
###### PRZEKIEROWANIA PORTOW
#Kamery
#TESTOWE!!
#iptables -I FORWARD --protocol tcp -d 192.168.2.254 --dport 80 -j ACCEPT
#iptables -t nat -I PREROUTING --protocol tcp -d 0/0 --dport 11111 -j DNAT --to 192.168.2.254:80
# <============>
# KAMERY
# <============>
iptables -I FORWARD --protocol tcp -d ip_zew --dport 37770 -j ACCEPT
iptables -I FORWARD --protocol udp -d ip_zew --dport 37770 -j ACCEPT
iptables -I FORWARD --protocol tcp -d ip_zew --dport 37777 -j ACCEPT
iptables -I FORWARD --protocol udp -d ip_zew --dport 37777 -j ACCEPT
iptables -I FORWARD --protocol tcp -d ip_zew --dport 37778 -j ACCEPT
iptables -I FORWARD --protocol udp -d ip_zew --dport 37778 -j ACCEPT
iptables -I FORWARD --protocol tcp -d ip_zew --dport 11111 -j ACCEPT
iptables -I FORWARD --protocol udp -d ip_zew --dport 554 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i 10.5.5.2 --dport 37770 -j DNAT --to 192.168.2.254:37770
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 37770 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -I PREROUTING --protocol tcp -d ip_zew --dport 37770 -j DNAT --to 192.168.2.254:37770
iptables -t nat -I PREROUTING --protocol udp -d ip_zew --dport 554 -j DNAT --to 192.168.2.254:554
iptables -t nat -I PREROUTING --protocol tcp -d ip_zew --dport 37777 -j DNAT --to 192.168.2.254:37777
iptables -t nat -I PREROUTING --protocol udp -d ip_zew --dport 37778 -j DNAT --to 192.168.2.254:37778
###### KONIEC PRZEKIEROWANIA PORTOW
################################
################################
###### udostepniaie internetu w sieci lokalnej
iptables -t nat -A POSTROUTING -s 0/0 -d 0.0.0.0/0 -j SNAT --to 10.5.5.2
###### koniec udostepniania internetu w sieci lokalnej
################################
###############################
###### forwardowanie vpn
# iptables -A FORWARD -i tun+ -j ACCEPT
###### koniec forwardowania vpn
################################
Dalej nie działa.
Gdzie to mam zrobić? Powyższy wpis skopiowałem z pliku firewall.
: 23 sierpnia 2013, 14:42
autor: lun
No właśnie nie chcę skryptu, tylko aktualnie działające reguły.
Polecenie które Ci wkleiłem wykonaj w konsoli jako root. Powstanie plik wynikowy, którego zawartość wklej zamiast skryptu.
: 26 sierpnia 2013, 07:43
autor: ciscoknx90
Kod: Zaznacz cały
# Generated by iptables-save v1.4.8 on Mon Aug 26 07:59:02 2013
*mangle
:PREROUTING ACCEPT [1799907:1312435090]
:INPUT ACCEPT [210161:18667690]
:FORWARD ACCEPT [1588758:1293715855]
:OUTPUT ACCEPT [142471:353921185]
:POSTROUTING ACCEPT [1731181:1647629836]
COMMIT
# Completed on Mon Aug 26 07:59:02 2013
# Generated by iptables-save v1.4.8 on Mon Aug 26 07:59:02 2013
*nat
:PREROUTING ACCEPT [27750:2037476]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [6208:465008]
-A PREROUTING -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.2.252:1234
-A PREROUTING -p tcp -m tcp --dport 1115 -j DNAT --to-destination 192.168.2.252:3389
-A PREROUTING -d ip_zew/32 -p udp -m udp --dport 37778 -j DNAT --to-destination 192.168.2.25$
-A PREROUTING -d ip_zew/32 -p tcp -m tcp --dport 37777 -j DNAT --to-destination 192.168.2.25$
-A PREROUTING -d ip_zew/32 -p udp -m udp --dport 554 -j DNAT --to-destination 192.168.2.254:$
-A PREROUTING -d ip_zew/32 -p tcp -m tcp --dport 37770 -j DNAT --to-destination 192.168.2.25$
-A PREROUTING -i 10.5.5.2 -p tcp -m tcp --dport 37770 -j DNAT --to-destination 192.168.2.254:37770
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -j SNAT --to-source 10.5.5.2
COMMIT
O co chodzi z tymi znaczkami dolarów? Pierwszy raz coś takiego widzę.
: 28 sierpnia 2013, 23:19
autor: lun
Te znaczki na końcu również mnie ciekawią, natomiast to co jest istotne, to fakt że stan reguł które są "aktywne" w danej chwili nie bardzo zgadza się z tym co masz w skrypcie FW.
Nie widać żadnych wpisów dla tabeli filter (w tym także potrzebnych wpisów z łańcucha FORWARD).
Albo jest jakiś problem z iptables-save, albo "coś" sprawia że reguły odbiegają od tego co przedstawiłeś w pliku FW.
Jeśli nic nie zmieniałeś w regułach od czasu wygenerowania pliku poleceniem
To przedstaw jeszcze wynik polecenia
: 27 września 2013, 16:37
autor: ciscoknx90
Na biało zamalowałem swój zewnętrzny numer ip.
Pomoże ktoś?
: 23 października 2013, 17:50
autor: fnmirk
Jak ja uwielbiam administratorów, którzy bawią się w fotografów zamiast przekierować wynik polecenia z konsoli do pliku. I potem się taki dziwi, że coś nie działa lub nikt nie chce pomóc. Jak nie zna podstaw posługiwania się systemem.
Jak można pomóc, jak pan administrator nie zajrzy nawet do podręcznika systemowego:
SEE ALSO
iptables-save(8), iptables-restore(8), ip6tables(8), ip6tables-save(8),
ip6tables-restore(8), libipq(3)
A wyniki poleceń wkleja w postaci obrazka, zamiast:
threads/5676-Przeczytaj-zanim-cokolwiek-napiszesz
content/402-Iptables-dla-pocz%C4%85tkuj%C4%85cych-cz.-1
Podstawy:
threads/13294-Ale-co-ja-mam-zrobi%C4%87 ... #post84983
: 12 listopada 2013, 11:04
autor: ciscoknx90
Kod: Zaznacz cały
Chain INPUT (policy ACCEPT 154K packets, 14M bytes)
pkts bytes target prot opt in out source destination
66788 8065K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
289K 21M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:88
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:100
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:7000
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:11111
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:37777
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:37778
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:37770
7896 1678K ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:53
98 6409 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
62 17080 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW tcp flags:0x3F/0x10
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW tcp flags:0x3F/0x01
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 ctstate NEW tcp flags:0x3F/0x29
21956 7108K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2432 157K ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT 403K packets, 22M bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT udp -- * * 0.0.0.0/0 ip_zew udp dpt:554
0 0 ACCEPT tcp -- * * 0.0.0.0/0 ip_zew tcp dpt:11111
0 0 ACCEPT udp -- * * 0.0.0.0/0 ip_zew udp dpt:37778
0 0 ACCEPT tcp -- * * 0.0.0.0/0 ip_zew tcp dpt:37778
0 0 ACCEPT udp -- * * 0.0.0.0/0 ip_zew udp dpt:37777
0 0 ACCEPT tcp -- * * 0.0.0.0/0 ip_zew tcp dpt:37777
0 0 ACCEPT udp -- * * 0.0.0.0/0 ip_zew udp dpt:37770
0 0 ACCEPT tcp -- * * 0.0.0.0/0 ip_zew tcp dpt:37770
0 0 ACCEPT tcp -- * * 0.0.0.0/0 192.168.2.252 tcp dpt:3389
86994 12M ACCEPT tcp -- * * 0.0.0.0/0 192.168.2.252 tcp dpt:1234
58M 50G ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- eth0 eth1 0.0.0.0/0 0.0.0.0/0 tcp dpt:37770
0 0 ACCEPT tcp -- eth1 eth0 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
Chain OUTPUT (policy ACCEPT 7725 packets, 551K bytes)
pkts bytes target prot opt in out source destination
271K 581M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
