Slackware iptables

Am si eu o problema destul de mare(ptr mine nu ptr voi:D).Am instalat Slackware si am bagat pe el verlihub-u si apache.Problema e k eu fol hostu cu iptables-u off.Euvreau sa setez iptables-u incat sa aiba o securitate macar acceptabila da sa aiba rule la verlihub si la apache.Am facut rost de ni9ste comenzi pe care le-am transformat in script numai k,pb apare abia acum.Dupa ce il rulez am tot traficul blocat.Daca putetzi sa ma ajutatzi si pe mine v-as fi foarte recunoscator.Scriptul cu pb este urmatoru:

#!/bin/sh

echo "Flushing firewall rulles..."
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
echo "Done"
echo "Loading firewall rulles..."
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 102400 > /proc/sys/net/ipv4/ip_conntrack_max
iptables -A INPUT -p udp -j DROP
iptables -A INPUT -s 82.78.144.117 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --dport 22 -j DROP
echo "Done"
echo "Flushing firewall rulles..."
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
echo "Done"
echo "Loading firewall rulles..."
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 102400 > /proc/sys/net/ipv4/ip_conntrack_max
iptables -A INPUT -s 82.78.144.117 -j ACCEPT
iptables -A INPUT -s 0/0 -p tcp --dport 22 -j DROP
iptables -A INPUT -p udp -j DROP
echo "Done"
echo "Setting kernel tcp parameters to reduct DoS effects" #Reduce DoS'ing ability by reducing timeouts
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time
echo 1 > /proc/sys/net/ipv4/tcp_window_scaling
echo 0 > /proc/sys/net/ipv4/tcp_sack
echo "Done"
iptables -I INPUT 1 -s any/0 -p tcp --dport 411 -j ACCEPT
iptables -I INPUT 1 -s any/0 -p tcp --dport 80 -j ACCEPT

P.S. 1.Mentzionez k,din pacate am rds si am ip dinamic.
2.Vroiam dupa aceea sa il fac sa ruleze la botare(asta daca mergea)numai k tre sa bag ip-u si nu stiu variabila de autoupdate ip!
3.Fol Slackware 10.2.

fara script:

iptables -I INPUT -p tcp --dport 411 -j ACCEPT    # asta in gandul ca rulezi verli-u' ca root, si merge pe 411
iptables -I INPUT -p tcp --dport 80 -j ACCEPT  # pt. apache.

ca sa ruleze automat la fiecare pornire, scrii astea 2 comenzi in rc.local din /etc/rc.d.

 nexpo3, on Jan 19 2007, 19:03, said:

din pacate ? . nik nou aici )
cu ip-u' dinamic rezolvi foarte usor. inreg. un dns (sa zicem de la no-ip). tot acolo (la ei pe site) gasesti un programel care face ip update la ei in baza de date, implicit la dns. comanda de pornire a scriptului respectiv o scrii , la fel ca si comenzile de iptables, in rc.local, ca sa porneasca odata cu sistemu'.
daca reusesti asa, mi'esti dator cu un cont 10 pe hub .

Edited by alabala, 19 January 2007 - 20:47.

 alabala, on Jan 19 2007, 20:46, said:

deci.....eu am dns la no-ip de 7 luni si o folda nu stiam ca pot sa o pun in script in loc de ip
da pb e traficu motr....de ce....und e greseala?

ps.....il pusesem sa buteze da trebuia sa il scot ca sa imi mearga netu ca daca il lasam cu setarile alea aveam trafic 0(ma refer la iptables)

Edited by mufă, 19 January 2007 - 21:28.
nu mai scrie cu k

Cinstit, mi-e greu să-ți înțeleg posturile, așa că nu cred c-am să revin pe topicul ăsta.

Cum te-ai prins că nu ai trafic?  Printre altele, cînd ai blocat complet UDP-ul ți-ai tăiat și DNS-ul; cum tăiasei și pingul, era relativ greu să te prinzi dacă poți face trafic sau nu.

De asemenea, nu ai setat nici policy DROP, nici vreo regulă catch-all; așa că degeaba pui reguli cu ACCEPT pe TCP, dacă nu le pui ai default tot ACCEPT.

mura-n gura:

#!/bin/sh

INET_IFACE="eth0"

DHCP="no"
DHCP_SERVER="192.168.1.1"

LO_IFACE="lo"
LO_IP="127.0.0.1"

IPTABLES="/usr/sbin/iptables"

/sbin/depmod -a

/sbin/modprobe ip_conntrack
/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_MASQUERADE

echo "1" > /proc/sys/net/ipv4/ip_forward

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

$IPTABLES -N bad_tcp_packets

$IPTABLES -N allowed
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets

$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK \
-m state --state NEW -j REJECT --reject-with tcp-reset
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \
--log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 411 -j allowed

#
# UDP ports
#

$IPTABLES -A udp_packets -p UDP -s 0/0 --source-port 53 -j ACCEPT
if [ $DHCP == "yes" ]; then
$IPTABLES -A udp_packets -p UDP -s $DHCP_SERVER --sport 67 \
  --dport 68 -j ACCEPT
  fi
  
  $IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
  $IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
  
  $IPTABLES -A INPUT -p tcp -j bad_tcp_packets
  
  $IPTABLES -A INPUT -p ALL -i $LO_IFACE -j ACCEPT
  
  $IPTABLES -A INPUT -p ALL -i $INET_IFACE -m state --state ESTABLISHED,RELATED \
  -j ACCEPT
  $IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
  $IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets
  $IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
  $IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
  --log-level DEBUG --log-prefix "IPT INPUT packet died: "
	
  $IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
  $IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
  $IPTABLES -A OUTPUT -p ALL -o $INET_IFACE -j ACCEPT
  $IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
  --log-level DEBUG --log-prefix "IPT OUTPUT packet died: "

 Strict, on Jan 19 2007, 21:44, said:

Precum am si zis mai sus.Nu le am cu iptables...vreau sa invat da momentan am nevoie de protectie pe host,k pana o sa invat eu si o sa si inteleg mai dureaza ceva.Soarta,impart si eu...k tot omu munka,faculta,prietena si calu....si dak mai e timp si ceva invatat...sorry dak te-ai simtit ofensat

Nu ofensat; e doar obositor să citesc un post mai lung de 3 rînduri scris cu "k tot omu munka,faculta,prietena si calu....si dak".  Calu' presupun că e calculatorul, nu un membru al hergheliei.

Pe de altă parte, dacă nu le ai cu iptables dar vrei să ai un Linux cu ceva servicii pornite, legat la Internet dar cu firewall activ şi porturi închise, Slackware nu e cea mai potrivită distribuţie.  Din cîte ştiu, există distribuţii mai prietenoase cu firewall gata configurat şi tooluri pentru chestii de-astea.

Edited by Strict, 24 January 2007 - 09:31.

Ai putea incerca sa instalezi/compilezi firestarter, ori il compilezi din surse, ori iti arunci ochii pe aici si vezi ce poti face in privinta asta. Daca vrei sa vezi cum arata, foloseste google sa gasesti site-ul softului.