|
| iptables problem Fra : Hansen |
Dato : 19-03-02 11:41 |
|
hvordan kan jeg lave dette:
nogle af min bruger skal kun kunne surfe andre skal også kunne bruge ftp, og
nogle admin folk skal kunne bruge alle porte
jeg kan ikke få det til at virke har prøvede at ændre på min forward chain
min så kunne kan ikke surft.
er der ikke nogen der kan komme med et eksemble på hvordan man gør
| |
Rasmus Bøg Hansen (19-03-2002)
| Kommentar Fra : Rasmus Bøg Hansen |
Dato : 19-03-02 11:53 |
|
Hansen wrote:
> hvordan kan jeg lave dette:
>
> nogle af min bruger skal kun kunne surfe andre skal også kunne bruge ftp,
> og nogle admin folk skal kunne bruge alle porte
Hvis du f. eks. kører på et C-net (192.168.0.0/24), kan du f. eks. dele
folk på på /26 net (dvs. dele nettet i 4 dele) og med en DHCP-server
(eller statisk IP-adressetildeling) lave forskellige regler:
ADMINNET=192.168.0.0/26
FTPNET=192.168.0.64/26
WEBNET=192.168.0.128/26
NOACCESSNET=192.168.0.192/26
iptables -A FORWARD -s $NOACCESSNET -j DROP
iptables -A FORWARD -s $WEBNET -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s $WEBNET -j DROP
[...]
Og så fremdeles...
Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Of all the things I've lost I miss my mind the most.
- Ozzy Osbourne
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Hansen (20-03-2002)
| Kommentar Fra : Hansen |
Dato : 20-03-02 10:55 |
|
"Rasmus Bøg Hansen" <moffespam@amagerkollegiet.dk> skrev i en meddelelse
news:a775av$1km$1@carlsberg.amagerkollegiet.dk...
> Hansen wrote:
>
> > hvordan kan jeg lave dette:
> >
> > nogle af min bruger skal kun kunne surfe andre skal også kunne bruge
ftp,
> > og nogle admin folk skal kunne bruge alle porte
>
> Hvis du f. eks. kører på et C-net (192.168.0.0/24), kan du f. eks. dele
> folk på på /26 net (dvs. dele nettet i 4 dele) og med en DHCP-server
> (eller statisk IP-adressetildeling) lave forskellige regler:
>
> ADMINNET=192.168.0.0/26
> FTPNET=192.168.0.64/26
> WEBNET=192.168.0.128/26
> NOACCESSNET=192.168.0.192/26
>
> iptables -A FORWARD -s $NOACCESSNET -j DROP
hvis jeg bruger dette
> iptables -A FORWARD -s $WEBNET -p tcp --dport 80 -j ACCEPT
> iptables -A FORWARD -s $WEBNET -j DROP
kan den gruppe ikke surfe
> Rasmus
>
> --
> -- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
> Of all the things I've lost I miss my mind the most.
> - Ozzy Osbourne
> ----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Rasmus Bøg Hansen (20-03-2002)
| Kommentar Fra : Rasmus Bøg Hansen |
Dato : 20-03-02 11:02 |
|
Hansen wrote:
>> ADMINNET=192.168.0.0/26
>> FTPNET=192.168.0.64/26
>> WEBNET=192.168.0.128/26
>> NOACCESSNET=192.168.0.192/26
>>
>> iptables -A FORWARD -s $NOACCESSNET -j DROP
>
> hvis jeg bruger dette
>
>> iptables -A FORWARD -s $WEBNET -p tcp --dport 80 -j ACCEPT
>> iptables -A FORWARD -s $WEBNET -j DROP
>
> kan den gruppe ikke surfe
Du har husket at åbne for DNS-opslag?
Ovenstående er kun et eksempel på, hvordan du kan dele maskiner op i
klasser (eller hvad du nu vil kalde det) - du skal selv gøre det færdigt.
Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Programming is a race between programmers, who try and make more and
more idiot-proof software, and universe, which produces more and more
remarkable idiots.
Until now, universe leads the race.
- R. Cooka
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Hansen (20-03-2002)
| Kommentar Fra : Hansen |
Dato : 20-03-02 11:19 |
|
"Rasmus Bøg Hansen" <moffespam@amagerkollegiet.dk> skrev i en meddelelse
news:a79mn7$bkr$1@carlsberg.amagerkollegiet.dk...
> Hansen wrote:
>
> >> ADMINNET=192.168.0.0/26
> >> FTPNET=192.168.0.64/26
> >> WEBNET=192.168.0.128/26
> >> NOACCESSNET=192.168.0.192/26
> >>
> >> iptables -A FORWARD -s $NOACCESSNET -j DROP
> >
> > hvis jeg bruger dette
> >
> >> iptables -A FORWARD -s $WEBNET -p tcp --dport 80 -j ACCEPT
> >> iptables -A FORWARD -s $WEBNET -j DROP
> >
> > kan den gruppe ikke surfe
>
> Du har husket at åbne for DNS-opslag?
jeg kan heller ikke ping någet hvis jeg bruger en ip og jeg har åbnet for på
53 både tcp og udp
men jeg ahr lavede en anden regl hvor jeg
iptables -A FORWARD -s $WEBNET -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s $WEBNET -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -s $WEBNET -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s $WEBNET -j --dport 21:10000 DROP
iptables -A FORWARD -s $WEBNET -j ACCEPT
og det virker men så har jeg også alle porte over 10000 åben og dem ville
jeg også gerne lukke
>
> Ovenstående er kun et eksempel på, hvordan du kan dele maskiner op i
> klasser (eller hvad du nu vil kalde det) - du skal selv gøre det færdigt.
det ved jeg jeg har lige skrevet resten af en regl der virker
>
> Rasmus
>
> --
> -- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
> Programming is a race between programmers, who try and make more and
> more idiot-proof software, and universe, which produces more and more
> remarkable idiots.
> Until now, universe leads the race.
> - R. Cooka
> ----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Rasmus Bøg Hansen (20-03-2002)
| Kommentar Fra : Rasmus Bøg Hansen |
Dato : 20-03-02 11:26 |
|
Hansen wrote:
> jeg kan heller ikke ping någet hvis jeg bruger en ip og jeg har åbnet for
> på 53 både tcp og udp
Nej, så skal du åbne for noget ICMP.
> men jeg ahr lavede en anden regl hvor jeg
>
> iptables -A FORWARD -s $WEBNET -p tcp --dport 53 -j ACCEPT
> iptables -A FORWARD -s $WEBNET -p udp --dport 53 -j ACCEPT
> iptables -A FORWARD -s $WEBNET -p tcp --dport 80 -j ACCEPT
> iptables -A FORWARD -s $WEBNET -j --dport 21:10000 DROP
> iptables -A FORWARD -s $WEBNET -j ACCEPT
>
> og det virker men så har jeg også alle porte over 10000 åben og dem ville
> jeg også gerne lukke
Øh, hvorfor så --dport 21:10000? Hvorfor ikke blokere for alt andet (skal
du virkelig brug alt under 21???)
Hvorfor ikke:
(reglerne med port 53 og 80 her)
iptables -A FORWARD -s $WEBNET -p icmp --icmp-type echo-request -j ACCEPT
iptables -A FORWARD -s $WEBNET -j DROP
Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
A computer without Windows, is like a fish without a bicycle.
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Hansen (20-03-2002)
| Kommentar Fra : Hansen |
Dato : 20-03-02 11:51 |
|
> (reglerne med port 53 og 80 her)
> iptables -A FORWARD -s $WEBNET -p icmp --icmp-type echo-request -j ACCEPT
> iptables -A FORWARD -s $WEBNET -j DROP
nu har jeg prøvede det nu kan jeg pinge dns navne og når jeg vil ing på en
www side f.eks. www.jubii.dk skriver browser ned i status felden åbner
websted og så ip'en på websider men der kommer ikke noget data fra
webserveren det er lige som om det der skal åbners for nogle flere porte men
jeg ved ikke hvilken
>
> Rasmus
>
> --
> -- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
> A computer without Windows, is like a fish without a bicycle.
> ----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Rasmus Bøg Hansen (20-03-2002)
| Kommentar Fra : Rasmus Bøg Hansen |
Dato : 20-03-02 12:00 |
|
Hansen wrote:
>> (reglerne med port 53 og 80 her)
>> iptables -A FORWARD -s $WEBNET -p icmp --icmp-type echo-request -j
>> ACCEPT iptables -A FORWARD -s $WEBNET -j DROP
>
> nu har jeg prøvede det nu kan jeg pinge dns navne og når jeg vil ing på en
> www side f.eks. www.jubii.dk skriver browser ned i status felden åbner
> websted og så ip'en på websider men der kommer ikke noget data fra
> webserveren det er lige som om det der skal åbners for nogle flere porte
> men jeg ved ikke hvilken
Har du åbnet for returtrafik? "-m state --state ESTABLISHED" er en måde -
ikke alle bryder sig om det...
Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
ATA100 is another testimony to the fact that pigs can be
made to fly given sufficient thrust (to borrow an RFC)
-Alan Cox
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Hansen (20-03-2002)
| Kommentar Fra : Hansen |
Dato : 20-03-02 12:11 |
|
"Rasmus Bøg Hansen" <moffespam@amagerkollegiet.dk> skrev i en meddelelse
news:a79q3s$ds6$1@carlsberg.amagerkollegiet.dk...
> Har du åbnet for returtrafik? "-m state --state ESTABLISHED" er en måde -
> ikke alle bryder sig om det...
nope havde en # før den linje, lige et andet spørsmål hvilken port skal der
åbnet for at jeg kan bruge dhcp server mine clienter kan ikke komme i
kontagt med min dhcp server jeg ved at dhcpd-iv6 bruger port 546 og 547 men
hvad bruger dhcp-iv4 håber at du kan hjælpe mig
>
> Rasmus
>
> --
> -- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
> ATA100 is another testimony to the fact that pigs can be
> made to fly given sufficient thrust (to borrow an RFC)
> -Alan Cox
> ----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Rasmus Bøg Hansen (20-03-2002)
| Kommentar Fra : Rasmus Bøg Hansen |
Dato : 20-03-02 14:32 |
|
Hansen wrote:
> nope havde en # før den linje, lige et andet spørsmål hvilken port skal
> der åbnet for at jeg kan bruge dhcp server mine clienter kan ikke komme i
> kontagt med min dhcp server jeg ved at dhcpd-iv6 bruger port 546 og 547
> men hvad bruger dhcp-iv4 håber at du kan hjælpe mig
Klienten bruger udp/68 og serveren udp/67
Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
I think the sum of intelligence on the internet is constant.
Only the number of users grows.
- Uwe Ohse in the monastery
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Hansen (20-03-2002)
| Kommentar Fra : Hansen |
Dato : 20-03-02 14:46 |
|
"Rasmus Bøg Hansen" <moffespam@amagerkollegiet.dk> skrev i en meddelelse
news:a7a30r$kpd$1@carlsberg.amagerkollegiet.dk...
> Hansen wrote:
>
> > nope havde en # før den linje, lige et andet spørsmål hvilken port skal
> > der åbnet for at jeg kan bruge dhcp server mine clienter kan ikke komme
i
> > kontagt med min dhcp server jeg ved at dhcpd-iv6 bruger port 546 og 547
> > men hvad bruger dhcp-iv4 håber at du kan hjælpe mig
>
> Klienten bruger udp/68 og serveren udp/67
mange tak
>
> Rasmus
>
> --
> -- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
> I think the sum of intelligence on the internet is constant.
> Only the number of users grows.
> - Uwe Ohse in the monastery
> ----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Jacob Bunk Nielsen (21-03-2002)
| Kommentar Fra : Jacob Bunk Nielsen |
Dato : 21-03-02 12:13 |
|
Rasmus Bøg Hansen <moffespam@amagerkollegiet.dk> writes:
> Ikke noget i mine øjne, jeg bruger den selv. Jeg har blot mødt en enkelt,
> der ikke kunne lide den. Han stolede ikke på connection tracking - jeg
> spørger stadig mig selv om hvorfor...
Godt, for jeg bruger den da også selv gladeligt og er vældig tilfreds
med resultatet.
>> ... og hvad er alternativet ud over at åbne bredere for pakker, hvor
>> SYN ikke er sat?
>
> Øh, ikke-eksisterende?
Det var i hvert fald hvad jeg var nødt til at gøre da jeg brugte
ipchains, og det synes jeg til gengæld ikke er helt optimalt.
--
Jacob - www.bunk.cc
If it pours before seven, it has rained by eleven.
| |
Jacob Bunk Nielsen (21-03-2002)
| Kommentar Fra : Jacob Bunk Nielsen |
Dato : 21-03-02 01:27 |
|
Rasmus Bøg Hansen <moffespam@amagerkollegiet.dk> writes:
> Har du åbnet for returtrafik? "-m state --state ESTABLISHED" er en måde -
> ikke alle bryder sig om det...
Hvad er der 'ufint' ved den?
.... og hvad er alternativet ud over at åbne bredere for pakker, hvor
SYN ikke er sat?
--
Jacob - www.bunk.cc
You never learn anything by doing it right.
| |
Christian E. Lysel (21-03-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 21-03-02 02:27 |
|
Jacob Bunk Nielsen wrote:
>>Har du åbnet for returtrafik? "-m state --state ESTABLISHED" er en måde -
>>ikke alle bryder sig om det...
> Hvad er der 'ufint' ved den?
> ... og hvad er alternativet ud over at åbne bredere for pakker, hvor
> SYN ikke er sat?
Er iptables ikke stateful?
| |
Rasmus Bøg Hansen (21-03-2002)
| Kommentar Fra : Rasmus Bøg Hansen |
Dato : 21-03-02 02:50 |
|
Jacob Bunk Nielsen wrote:
> Rasmus Bøg Hansen <moffespam@amagerkollegiet.dk> writes:
>
>> Har du åbnet for returtrafik? "-m state --state ESTABLISHED" er en måde -
>> ikke alle bryder sig om det...
>
> Hvad er der 'ufint' ved den?
Ikke noget i mine øjne, jeg bruger den selv. Jeg har blot mødt en enkelt,
der ikke kunne lide den. Han stolede ikke på connection tracking - jeg
spørger stadig mig selv om hvorfor...
> ... og hvad er alternativet ud over at åbne bredere for pakker, hvor
> SYN ikke er sat?
Øh, ikke-eksisterende?
Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
There are two major products that come out of Berkeley: LSD and BSD.
We don't believe this to be a coincidence.
-- Jeremy S. Anderson
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Kent Friis (21-03-2002)
| Kommentar Fra : Kent Friis |
Dato : 21-03-02 17:10 |
|
Den Thu, 21 Mar 2002 01:26:55 +0100 skrev Jacob Bunk Nielsen:
>Rasmus Bøg Hansen <moffespam@amagerkollegiet.dk> writes:
>
>> Har du åbnet for returtrafik? "-m state --state ESTABLISHED" er en måde -
>> ikke alle bryder sig om det...
>
>Hvad er der 'ufint' ved den?
>
>... og hvad er alternativet ud over at åbne bredere for pakker, hvor
>SYN ikke er sat?
Transparent proxy, måske.
Mvh
Kent
--
Advarsel: ny e-mail adresse - med risiko for at mails går tabt.
Den gamle adresse virker stadig, men bliver primært checket i
arbejdstiden.
| |
Jacob Bunk Nielsen (21-03-2002)
| Kommentar Fra : Jacob Bunk Nielsen |
Dato : 21-03-02 12:11 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> writes:
>>> "-m state --state ESTABLISHED"
>> Hvad er der 'ufint' ved den?
>> ... og hvad er alternativet ud over at åbne bredere for pakker, hvor
>> SYN ikke er sat?
>
> Er iptables ikke stateful?
Jo, netop derfor undrer det mig at Rasmus skriver at der er nogle der
ikke ka' li' at bruge ovenstående.
--
Jacob - www.bunk.cc
You need more time; and you probably always will.
| |
Jacob Bunk Nielsen (21-03-2002)
| Kommentar Fra : Jacob Bunk Nielsen |
Dato : 21-03-02 19:23 |
|
leeloo@phreaker.net (Kent Friis) writes:
>>... og hvad er alternativet ud over at åbne bredere for pakker, hvor
>>SYN ikke er sat?
>
> Transparent proxy, måske.
Det ser jeg ikke så meget som et alternativ, snarere som en "politisk"
beslutning. Men det er selvfølgelig et definitionsspørgsmål.
Hvis man i øvrigt ikke har en god grund til det, men selv har mulighed
for at pille i konfigurationen på klienterne (relativt let) synes jeg
heller ikke der er nogen grund til at gøre proxyen transparent.
Men jeg bruger stadig gladeligt --state ESTABLISHED fremover
--
Jacob - www.bunk.cc
It is better to wear out than to rust out.
| |
Kent Friis (21-03-2002)
| Kommentar Fra : Kent Friis |
Dato : 21-03-02 21:58 |
|
Den Thu, 21 Mar 2002 19:22:41 +0100 skrev Jacob Bunk Nielsen:
>leeloo@phreaker.net (Kent Friis) writes:
>
>>>... og hvad er alternativet ud over at åbne bredere for pakker, hvor
>>>SYN ikke er sat?
>>
>> Transparent proxy, måske.
>
>Det ser jeg ikke så meget som et alternativ, snarere som en "politisk"
>beslutning. Men det er selvfølgelig et definitionsspørgsmål.
En transparent proxy er da stateful på et niveau højere.
ipchains / pakkefilter kender IP.
iptables / ip_conntrack kender TCP
en transparent proxy kender HTTP.
Det giver endnu nogle muligheder for at styre hvilken trafik der er
tilladt. ip_conntrack kan fx. ikke beskytte en webserver mod Code Red.
Det kan et transparent proxy.
>Hvis man i øvrigt ikke har en god grund til det, men selv har mulighed
>for at pille i konfigurationen på klienterne (relativt let) synes jeg
>heller ikke der er nogen grund til at gøre proxyen transparent.
Lige pludselig sidder man med et program der ikke understøtter proxy,
og så er det altså p*sse irriterende at det bare ikke vil virke.
En proxy kan vende begge veje, og du omkonfigurerer ikke bare
internettet til at alle requests til www.mydomain.dk skal gå via
proxy.mydomain.dk.
Mvh
Kent
--
Advarsel: ny e-mail adresse - med risiko for at mails går tabt.
Den gamle adresse virker stadig, men bliver primært checket i
arbejdstiden.
| |
Jacob Bunk Nielsen (21-03-2002)
| Kommentar Fra : Jacob Bunk Nielsen |
Dato : 21-03-02 23:12 |
|
leeloo@phreaker.net (Kent Friis) writes:
> En transparent proxy er da stateful på et niveau højere.
Ja.
> Det giver endnu nogle muligheder for at styre hvilken trafik der er
> tilladt. ip_conntrack kan fx. ikke beskytte en webserver mod Code Red.
> Det kan et transparent proxy.
Ja, klart. Jeg har da også brugt en proxy et sted, hvor jeg gerne
ville have muligheden for at filtrere på HTTP i stedet for i TCP. Men
derfor har jeg naturligvis stadig en stak iptables-regler kørende på
maskinen, så det er ikke så meget et alternativ, snarere en udvidelse,
og proxyen skal selvsagt stadig have lov at få returpakker tilbage.
I øvrigt har jeg ikke nogen webserver der er modtagelig overfor Code
Red
> Lige pludselig sidder man med et program der ikke understøtter proxy,
> og så er det altså p*sse irriterende at det bare ikke vil virke.
Ja, så kan jeg faktisk se fornuften i at lave en proxy
transparent.
--
Jacob - www.bunk.cc
Why do we have two eyes? To watch 3-D movies with.
| |
|
|