|
|
 | iptables / webmin ?
Fra : Brian Ipsen |
Dato : 16-12-02 19:58 |
|
Hej!
Jeg forsøger at sætte noget pakke-filtrering op med iptables via
webmin.
På eth3 (har IP 192.168.1.178) vil jeg tillade udgående ftp, ssh,
smtp, http, https, Citrix og MySQL
Kan det ikke passe, at et regelsæt så bør se sådan her ud:
Input:
If protocol is TCP and source is 192.168.1.0/24 and destination is
192.168.1.178 and input interface is eth3 and destination port is
1024:65535 and state of connection is ESTABLISHED,RELATED and source
ports are 21,22,25,80,443,1604,3306
Output:
If protocol is TCP and source is 192.168.1.178 and destination is
192.168.1.0/24 and output interface is eth3 and state of connection is
NEW and destination ports are 21,22,25,80,443,1604,3306
Hvordan med UDP - så vidt jeg husker, så er den stateless, ikk' ?? Så
SNMP queries fra eth3 til andre hosts i samme subnet vil vel se sådan
her ud:
Input:
If protocol is UDP and destination is 192.168.1.178 and input
interface is eth3 and destination port is 1024:65535 and source port
is 161
Output:
If protocol is UDP and source is 192.168.1.178 and output interface is
eth3 and destination port is 161
Eller hvad ?
/Brian
| |
 Kenneth Dalbjerg (16-12-2002)
| Kommentar
Fra : Kenneth Dalbjerg |
Dato : 16-12-02 20:21 |
|
Hej
> Jeg forsøger at sætte noget pakke-filtrering op med iptables via
> webmin.
> På eth3 (har IP 192.168.1.178) vil jeg tillade udgående ftp, ssh,
> smtp, http, https, Citrix og MySQL
>
> Kan det ikke passe, at et regelsæt så bør se sådan her ud:
>
> Input:
> If protocol is TCP and source is 192.168.1.0/24 and destination is
> 192.168.1.178 and input interface is eth3 and destination port is
> 1024:65535 and state of connection is ESTABLISHED,RELATED and source
> ports are 21,22,25,80,443,1604,3306
>
> Output:
> If protocol is TCP and source is 192.168.1.178 and destination is
> 192.168.1.0/24 and output interface is eth3 and state of connection is
> NEW and destination ports are 21,22,25,80,443,1604,3306
>
> Hvordan med UDP - så vidt jeg husker, så er den stateless, ikk' ?? Så
> SNMP queries fra eth3 til andre hosts i samme subnet vil vel se sådan
> her ud:
>
> Input:
> If protocol is UDP and destination is 192.168.1.178 and input
> interface is eth3 and destination port is 1024:65535 and source port
> is 161
>
> Output:
> If protocol is UDP and source is 192.168.1.178 and output interface is
> eth3 and destination port is 161
>
> Eller hvad ?
tro vist det er noget webmin halløj, vist ikke normalt iptables... :P
Mvh Kenneth Dalbjerg
| |
Brian Ipsen (16-12-2002)
| Kommentar
Fra : Brian Ipsen |
Dato : 16-12-02 23:43 |
|
On Mon, 16 Dec 2002 20:20:44 +0100, "Kenneth Dalbjerg"
<kenneth@dalbjerg.nu> wrote:
>tro vist det er noget webmin halløj, vist ikke normalt iptables... :P
Jeg har lavet et dump af nogle linier fra iptables outputtet (har sat
default action til accept mens jeg tester)- eth3 er det interface, som
jeg forbidner til. 62.242.x.y er mit subnet (kan sikkert ses i
headeren på denne besked, men det er ikke relevant, da jeg laver
udgående forbindelser):
Chain INPUT (policy ACCEPT 7 packets, 588 bytes)
0 0 ACCEPT tcp -- eth3 * 62.242.x.y/29
192.168.1.178 tcp spts:513:65535 dpt:22 state NEW
0 0 ACCEPT tcp -- eth3 * 62.242.x.y/29
192.168.1.178 tcp spts:1024:65535 dpt:80 state NEW
0 0 ACCEPT tcp -- eth3 * 62.242.x.y/29
192.168.1.178 tcp spts:1024:65535 dpt:16000 state NEW
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
11 764 ACCEPT tcp -- * eth3 192.168.1.178
62.242.x.y/29 tcp state RELATED,ESTABLISHED
Nu spekulerer jeg så på hvorfor pokker jeg ikke kan få en SSH
forbindelse igennem, hvis jeg sætter default action til drop ... Noget
må være alvet forkert, for den tæller jo ikke op på counterne i INPUT
chain'en...- Er der et problem med de states, jeg har sat på i input
?? Skal ESTABLISHED også med på sammen med NEW ??
/Brian
| |
|
|