|
| Iptables Forward problem Fra : Mike |
Dato : 06-09-02 01:42 |
|
Hey. Jeg er ved at sætte en Debian op som FW/GW - efter råd fra bl.a.
M.Dalum her i gruppen, har jeg konstateret, at man som minimum bør have:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
Men jeg kan simpelthen ikke få mine klienter til at virke medmindre jeg
ændrer FORWARD til accept - mit script ser i lettere forkortet udgave sådan
ud:
iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -j MASQUERADE
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT
iptables -A INPUT -j ACCEPT -i lo
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A INPUT -j ACCEPT -p tcp --dport 21
iptables -A INPUT -j ACCEPT -i eth1 -p tcp --dport 53
iptables -A INPUT -j ACCEPT -i eth1 -p tcp --dport 3128
iptables -A INPUT -j ACCEPT -p tcp --dport 110
iptables -A INPUT -j ACCEPT -p tcp --dport http
iptables -A FORWARD -j ACCEPT -p tcp --dport 80
iptables -A OUTPUT -j ACCEPT
iptables -A FORWARD -j ACCEPT -i eth1 -s 192.168.0.1/24
Er der nogen der kan se hvad jeg gør galt hvis jeg skal sætte FORWARD til
DROP og snat stadig skal virke?
Mvh
| |
Mike (06-09-2002)
| Kommentar Fra : Mike |
Dato : 06-09-02 01:49 |
|
"Mike" <nospam@nospam.com> wrote in message news:al8tku$sfh$1@sunsite.dk...
> Er der nogen der kan se hvad jeg gør galt hvis jeg skal sætte FORWARD til
> DROP og snat stadig skal virke?
Skulle måske lige tilføje at når jeg tester via: http://scan.sygate.com/
får jeg "BLOCKED" på alle porte og ikke "Closed" - hvilket vel burde betyde
at mine porte er rigtigt "gemte" eller har jeg misforstået noget?
Mvh
| |
Martin Dalum (06-09-2002)
| Kommentar Fra : Martin Dalum |
Dato : 06-09-02 07:04 |
|
"Mike" <nospam@nospam.com> writes:
> Hey. Jeg er ved at sætte en Debian op som FW/GW - efter råd fra bl.a.
> M.Dalum her i gruppen, har jeg konstateret, at man som minimum bør have:
>
> iptables -P INPUT DROP
> iptables -P OUTPUT DROP
> iptables -P FORWARD DROP
>
> Men jeg kan simpelthen ikke få mine klienter til at virke medmindre jeg
> ændrer FORWARD til accept - mit script ser i lettere forkortet udgave sådan
> ud:
>
> iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -j MASQUERADE
> iptables -P INPUT DROP
> iptables -P OUTPUT DROP
> iptables -P FORWARD ACCEPT
> iptables -A INPUT -j ACCEPT -i lo
> iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
> iptables -A INPUT -j ACCEPT -p tcp --dport 21
> iptables -A INPUT -j ACCEPT -i eth1 -p tcp --dport 53
> iptables -A INPUT -j ACCEPT -i eth1 -p tcp --dport 3128
> iptables -A INPUT -j ACCEPT -p tcp --dport 110
> iptables -A INPUT -j ACCEPT -p tcp --dport http
> iptables -A FORWARD -j ACCEPT -p tcp --dport 80
> iptables -A OUTPUT -j ACCEPT
> iptables -A FORWARD -j ACCEPT -i eth1 -s 192.168.0.1/24
>
> Er der nogen der kan se hvad jeg gør galt hvis jeg skal sætte FORWARD til
> DROP og snat stadig skal virke?
Du har så vidt jeg kan se ingen regel, som tillader returtrafik fra
indernettet til dit lokalnet via forward. Hvis du sætter forward til
drop, er FORWARD lukket den vej. Du kan f.eks. bruge flg. regel:
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
--
Venlig hilsen / Regards from,
Martin Dalum
| |
Mike (06-09-2002)
| Kommentar Fra : Mike |
Dato : 06-09-02 11:17 |
|
"Martin Dalum" <garfield@sunsite.dk> wrote in message
news:86ptvrd58r.fsf@webz.dk...
> Du har så vidt jeg kan se ingen regel, som tillader returtrafik fra
> indernettet til dit lokalnet via forward. Hvis du sætter forward til
> drop, er FORWARD lukket den vej. Du kan f.eks. bruge flg. regel:
>
> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
ok det har du ret i, nu ser det ud til at virke nu for mine klienter med
FORWARD DROP - til gengæld virker portforwarding ikke længere.. Tidligere
brugte jeg:
iptables -A INPUT -j ACCEPT -p tcp --dport 23
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 23 -j DNAT --to
192.168.0.102:22
Men det ser ikke ud til at fungere længere. Er denne metode helt hen i
vejret?
Mvh
| |
Martin Dalum (06-09-2002)
| Kommentar Fra : Martin Dalum |
Dato : 06-09-02 11:27 |
|
"Mike" <nospam@nospam.com> writes:
> "Martin Dalum" <garfield@sunsite.dk> wrote in message
> news:86ptvrd58r.fsf@webz.dk...
>
> > Du har så vidt jeg kan se ingen regel, som tillader returtrafik fra
> > indernettet til dit lokalnet via forward. Hvis du sætter forward til
> > drop, er FORWARD lukket den vej. Du kan f.eks. bruge flg. regel:
> >
> > iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>
> ok det har du ret i, nu ser det ud til at virke nu for mine klienter med
> FORWARD DROP - til gengæld virker portforwarding ikke længere.. Tidligere
> brugte jeg:
>
> iptables -A INPUT -j ACCEPT -p tcp --dport 23
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 23 -j DNAT --to
> 192.168.0.102:22
>
> Men det ser ikke ud til at fungere længere. Er denne metode helt hen i
> vejret?
Det er fordi du ikke har tilladt at der bliver oprettet nye
forbindelser udefra via FORWARD. Det kan du gøre med:
iptables -A FORWARD -i eth0 -p tcp --dport 23 -m state --state NEW -j ACCEPT
Og lignende kommandoer for andre porte du forwarder.
--
Venlig hilsen / Regards from,
Martin Dalum
| |
Michael Andreasen (06-09-2002)
| Kommentar Fra : Michael Andreasen |
Dato : 06-09-02 11:57 |
|
"Martin Dalum" <garfield@sunsite.dk> wrote in message
news:86lm6fct2c.fsf@webz.dk...
> Det er fordi du ikke har tilladt at der bliver oprettet nye
> forbindelser udefra via FORWARD. Det kan du gøre med:
>
> iptables -A FORWARD -i eth0 -p tcp --dport 23 -m state --state NEW -j
ACCEPT
Du har ret - igen :ø] Jeg havde fjernet disse FORWARD - det virker også
næsten nu - ellere rettere, det virker med de "alm" porte 80,8080,10000
o.s.v.. Dog virker min ssh forwarding ikke længere
Jeg havde port 23 > 192.168.0.1:22 hvilket virkede fint før.
Men jeg roder lidt med det så kan det være jeg kan få det til at spille..
Endnu engang.. Mange tak for hjælpen - det er rart at få et spark i den
rigtige retning når man er kørt helt fast :)
Mvh
| |
Jakob Goldbach (06-09-2002)
| Kommentar Fra : Jakob Goldbach |
Dato : 06-09-02 12:00 |
|
On Fri, 06 Sep 2002 12:57:13 +0200, Michael Andreasen wrote:
> Jeg havde port 23 > 192.168.0.1:22 hvilket virkede fint før.
>
Hvorfor bruger du port 23 til port 22. 23 er jo telnet porten.
Security-by-obscurity ?
Nå, men huske med din ssh klient at angive -p 23 hvis du forwarder
port 23.
| |
Michael Andreasen (06-09-2002)
| Kommentar Fra : Michael Andreasen |
Dato : 06-09-02 12:05 |
|
"Jakob Goldbach" <goldbach@imf.au.dk> wrote in message
news:0W%d9.59069$ww6.4060401@news010.worldonline.dk...
> Hvorfor bruger du port 23 til port 22. 23 er jo telnet porten.
> Security-by-obscurity ?
Det er fordi jeg har en sshd på min debian gateway port 22
Men jeg har også en sshd på serveren som jeg meget gerne skulle kunne bruge.
Derfor tænkte jeg at hvis jeg fra gateway forwardede port 23 > server:22 så
ville det være en fin løsning. Det virkede også fint med FORWARD ACCEPT når
jeg brugte
ssh -p 22 ip = gateway
ssh -p 23 ip = server
> Nå, men huske med din ssh klient at angive -p 23 hvis du forwarder port
23
Yup :) For engang skyld gjorde jeg noget rigtigt :ø]
Mvh.
| |
Michael Andreasen (06-09-2002)
| Kommentar Fra : Michael Andreasen |
Dato : 06-09-02 12:07 |
|
"Michael Andreasen" <maskinen2000@hotmail.com> wrote in message
news:ala24s$9rc$1@sunsite.dk...
> Derfor tænkte jeg at hvis jeg fra gateway forwardede port 23 > server:22
så
> ville det være en fin løsning. Det virkede også fint med FORWARD ACCEPT
når
> jeg brugte
>
> ssh -p 22 ip = gateway
> ssh -p 23 ip = server
pps hvis denne metode jeg har fundet på er åndsvag er jeg da lydhør for
alternativer :)
Mvh
| |
Jakob Goldbach (06-09-2002)
| Kommentar Fra : Jakob Goldbach |
Dato : 06-09-02 12:17 |
|
On Fri, 06 Sep 2002 13:04:58 +0200, Michael Andreasen wrote:
> "Jakob Goldbach" <goldbach@imf.au.dk> wrote in message
> news:0W%d9.59069$ww6.4060401@news010.worldonline.dk...
>> Hvorfor bruger du port 23 til port 22. 23 er jo telnet porten.
>> Security-by-obscurity ?
>
> Det er fordi jeg har en sshd på min debian gateway port 22
Ahh. (på mine gateways lytter jeg kun på ssh fra "indersiden")
> Yup :) For engang skyld gjorde jeg noget rigtigt :ø]
>
Kan vi ikke få dit nye script - jeg er ved at miste overblikket
over din opsætning med de ændringer. Husk også nat tabellen.
| |
Michael Andreasen (06-09-2002)
| Kommentar Fra : Michael Andreasen |
Dato : 06-09-02 12:28 |
|
"Jakob Goldbach" <goldbach@imf.au.dk> wrote in message
news:O90e9.59075$ww6.4061154@news010.worldonline.dk...
> On Fri, 06 Sep 2002 13:04:58 +0200, Michael Andreasen wrote:
> Ahh. (på mine gateways lytter jeg kun på ssh fra "indersiden")
Ja det ville vel også være det bedste. Men jeg er kun fysisk tilstede ved
serveren et par gange om måneden. Så jeg skal kunne komme ind udefra.
> Kan vi ikke få dit nye script - jeg er ved at miste overblikket
> over din opsætning med de ændringer. Husk også nat tabellen.
Selvf. Her er det.. Jeg har godt nok cuttet en del i det og fjernet en masse
af det som ikke er aktuelt ifb. med denne tråd:
---
iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -j MASQUERADE'
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -j ACCEPT -i lo
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A INPUT -j ACCEPT -p tcp --dport 21
iptables -A INPUT -j ACCEPT -p tcp --dport 22
iptables -A INPUT -j ACCEPT -p tcp --dport 23
iptables -A INPUT -j ACCEPT -i eth1 -p tcp --dport 53
iptables -A INPUT -j ACCEPT -i eth1 -p tcp --dport 3128
iptables -A INPUT -j ACCEPT -p tcp --dport http
iptables -A INPUT -j ACCEPT -p tcp --dport 8080
iptables -A FORWARD -j ACCEPT -p tcp --dport 80
iptables -A FORWARD -j ACCEPT -p tcp --dport 21
iptables -A FORWARD -j ACCEPT -p tcp --dport 23
iptables -A OUTPUT -j ACCEPT
iptables -A FORWARD -j ACCEPT -i eth1 -s 192.168.0.1/24
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to
192.168.0.102:80
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 23 -j DNAT --to
192.168.0.102:22
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 21 -j DNAT --to
192.168.0.102:21
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 10000 -j DNAT --to
192.168.0.102:10000
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
---
Det eneste som driller nu er
1: Port 23 > server:22
2: Samba access via LAN (eth1)
Jeg ved ikke om det er noget med rækkefølgen evt? Det kan jeg ikke lige helt
overskue.
på forhånd tak for hjælpen
Mvh
Michael
| |
Michael Andreasen (06-09-2002)
| Kommentar Fra : Michael Andreasen |
Dato : 06-09-02 12:54 |
|
"Michael Andreasen" <maskinen2000@hotmail.com> wrote in message
news:ala3fs$jbi$1@sunsite.dk...
> Det eneste som driller nu er
>
> 1: Port 23 > server:22
> 2: Samba access via LAN (eth1)
Det slog mig lige.. Er det overhovedet nødvendig at gøre det på denne måde..
Jeg burde vel kunne logge på mine klienter/servere ved at gøre sådan heg
ssh til gateway --> ssh -p 22 192.168.0.102
Det burde da virke ?
Så bliver jeg fri for at forwarde port 23 til port 22...
arrrg hvorfor har jeg ikke tænkt på det. - betragt dette problem som løst
tror jeg.
Mvh
Michael
| |
Jakob Goldbach (06-09-2002)
| Kommentar Fra : Jakob Goldbach |
Dato : 06-09-02 12:58 |
|
On Fri, 06 Sep 2002 13:53:58 +0200, Michael Andreasen wrote:
> ssh til gateway --> ssh -p 22 192.168.0.102
> Det burde da virke ?
>
jep.
> Så bliver jeg fri for at forwarde port 23 til port 22...
>
> arrrg hvorfor har jeg ikke tænkt på det. - betragt dette problem som
> løst tror jeg.
>
nej nej. Du bliver nød til at løse dit portforwarding problem -
ellers sover du ikke godt nok i nat
| |
Michael Andreasen (06-09-2002)
| Kommentar Fra : Michael Andreasen |
Dato : 06-09-02 13:08 |
|
"Jakob Goldbach" <goldbach@imf.au.dk> wrote in message
news:lM0e9.59088$ww6.4063825@news010.worldonline.dk...
> nej nej. Du bliver nød til at løse dit portforwarding problem -
> ellers sover du ikke godt nok i nat
Tjaeeee.. Ikke noget problem. Fordi efter jeg er begyndt at rode med linux
sover jeg slet ikke :) - spøg til side - kan være lidt tricky at konfiguere
nogen gange, men når det virker så virker det squ - og det bliver det
somregel ved med :)
Mvh
Michael
| |
|
|