Visa fullständig version : Fråga till iptables kunnig
Hej!
Jag vill öppna lite portar på servern för lite torrent trafik men får de inte att funka.
La till detta i mitt iptables:
$iptables -A INPUT -p tcp --dport 6881:6999 -j ACCEPT
$iptables -A OUTPUT -p tcp --sport 6881:6999 -j ACCEPT
Är det nåt mer man måste lägga till för att öppna en port på servern?? Har port forward funkar bra, men just på servern får ja de inte alls att funka. Mycket tacksam för hjälp :)
Hmmmm.
Har du startat om tjänsten efter ändringen ?
Yes. Men det är inte nåt mer man måste lägga till för att den ska öppna portar på servern ??
Kanske en dum fråga, men du har ingen router framför servern? Isf måste du öppna i den oxå :)
Som sagt, är det servern/firewallen som ska komma åt detta eller står servern/firewallen och agerar router?
Det står ingen router framför servern. Det är servern som ska komma åt det. Men har en router dlink dir-825 kopplad till eth1 för att dela ut trådlöst till resten av kåken där spelar det ingen roll om porten är stängd. Men är på servern som jag vill öppna upp portarna har testat allt men får banne mig inte till det :(
Hmmmm.
Ladda ner någon GUI till iptables då, en bra är ex. Firestarter. Suveränt lättanvänd, tom. frugan klarar att definera upp nya regler.
gjorde en med quicktables då blev det såhär.
#!/bin/sh
#
# generated by ./quicktables-2.3 on 2010.12.12.43
#
# set a few variables
echo ""
echo " setting global variables"
echo ""
export PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin
iptables="/usr/sbin/iptables"
# adjust /proc
echo " applying general security settings to /proc filesystem"
echo ""
if [ -e /proc/sys/net/ipv4/tcp_syncookies ]; then echo 1 > /proc/sys/net/ipv4/tcp_syncookies; fi
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]; then echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter; fi
if [ -e /proc/sys/net/ipv4/ip_forward ]; then echo 1 > /proc/sys/net/ipv4/ip_forward; fi
# load some modules
if [ -e /lib/modules/`uname -r`/kernel/net/ipv4/netfilter/ip_nat_irc.o ]; then modprobe ip_nat_irc; fi
if [ -e /lib/modules/`uname -r`/kernel/net/ipv4/netfilter/ip_conntrack_irc.o ]; then modprobe ip_conntrack_irc; fi
if [ -e /lib/modules/`uname -r`/kernel/net/ipv4/netfilter/ip_conntrack_ftp.o ]; then modprobe ip_conntrack_ftp; fi
if [ -e /lib/modules/`uname -r`/kernel/net/ipv4/netfilter/ip_nat_ftp.o ]; then modprobe ip_nat_ftp; fi
# flush any existing chains and set default policies
$iptables -F INPUT
$iptables -F OUTPUT
$iptables -P INPUT DROP
$iptables -P OUTPUT ACCEPT
# setup nat
echo " applying nat rules"
echo ""
$iptables -F FORWARD
$iptables -F -t nat
$iptables -P FORWARD DROP
$iptables -A FORWARD -i eth1 -j ACCEPT
$iptables -A INPUT -i eth1 -j ACCEPT
$iptables -A OUTPUT -o eth1 -j ACCEPT
$iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
# allow all packets on the loopback interface
$iptables -A INPUT -i lo -j ACCEPT
$iptables -A OUTPUT -o lo -j ACCEPT
# allow established and related packets back in
$iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# blocking reserved private networks incoming from the internet
echo " applying incoming internet blocking of reserved private networks"
echo ""
$iptables -I INPUT -i eth0 -s 10.0.0.0/8 -j DROP
$iptables -I INPUT -i eth0 -s 172.16.0.0/12 -j DROP
$iptables -I INPUT -i eth0 -s 192.168.0.0/16 -j DROP
$iptables -I INPUT -i eth0 -s 127.0.0.0/8 -j DROP
$iptables -I FORWARD -i eth0 -s 10.0.0.0/8 -j DROP
$iptables -I FORWARD -i eth0 -s 172.16.0.0/12 -j DROP
$iptables -I FORWARD -i eth0 -s 192.168.0.0/16 -j DROP
$iptables -I FORWARD -i eth0 -s 127.0.0.0/8 -j DROP
# blocked hosts
#echo " dropping all packets from blocked hosts"
#echo ""
$iptables -I INPUT -s 192.168.0.0/24 -j DROP
$iptables -I FORWARD -s 192.168.0.0/24 -j DROP
# icmp
echo " applying icmp rules"
echo ""
$iptables -A OUTPUT -p icmp -m state --state NEW -j ACCEPT
$iptables -A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
$iptables -A INPUT -p icmp --icmp-type echo-request -i eth0 -j DROP
# apply icmp type match blocking
echo " applying icmp type match blocking"
echo ""
$iptables -I INPUT -p icmp --icmp-type redirect -j DROP
$iptables -I INPUT -p icmp --icmp-type router-advertisement -j DROP
$iptables -I INPUT -p icmp --icmp-type router-solicitation -j DROP
$iptables -I INPUT -p icmp --icmp-type address-mask-request -j DROP
$iptables -I INPUT -p icmp --icmp-type address-mask-reply -j DROP
# open ports to the firewall
echo " applying the open port(s) to the firewall rules"
echo ""
$iptables -A INPUT -p tcp --dport 10000 -j ACCEPT
$iptables -A INPUT -p tcp --dport 21 -j ACCEPT
$iptables -A INPUT -p tcp --dport 22 -j ACCEPT
$iptables -A INPUT -p udp --dport 53 -j ACCEPT
$iptables -A INPUT -p tcp --dport 53 -j ACCEPT
$iptables -A INPUT -p tcp --dport 55882 -j ACCEPT
$iptables -A INPUT -p tcp --dport 6881:6999 -j ACCEPT
$iptables -A OUTPUT -p tcp --sport 6881:6999 -j ACCEPT
$iptables -A INPUT -p tcp --dport 12899 -j ACCEPT
$iptables -A OUTPUT -p tcp --sport 12899 -j ACCEPT
# open and forward ports to the internal machine(s)
echo " applying port forwarding rules"
echo ""
$iptables -A FORWARD -i eth0 -p tcp --dport 12899 -j ACCEPT
$iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.1.147 --dport 12899 -j DNAT --to-destination 192.168.1.147:12899
# drop all other packets
echo " applying default drop policies"
echo ""
$iptables -A INPUT -i eth0 -p tcp --dport 0:65535 -j DROP
$iptables -A INPUT -i eth0 -p udp --dport 0:65535 -j DROP
echo "### quicktables is loaded ###"
echo ""
Hmmmm.
Det brukar bli lite fler rader när man använder GUI.
hehe ja sådär blev det för mig iaf :)
Testa arno-iptables-firewall. Konfigureras via terminalen
Funkar de andra INPUT- och OUTPUT-reglerna?
Annars kan du testa med att lägga in ett "-i eth0" <- antar detta är ditt interface mot internet.
Och även state NEW-flaggan
$iptables -A INPUT -p tcp --dport 6881:6999 -j ACCEPT
$iptables -A OUTPUT -p tcp --sport 6881:6999 -j ACCEPT
istället
$iptables -A INPUT -i eth0 -p tcp --dport 6881:6999 -j ACCEPT -m state --state NEW
$iptables -A OUTPUT -o eth0 -p tcp --sport 6881:6999 -j ACCEPT -m state --state NEW
Så här ser två input-regler jag har. För SSH samt en BNC-server
#-----From Internet
$IPTABLES -A INPUT -j ACCEPT -i $EXT_IF -p tcp -s $INTERNET -d $EXT_IP --dport 22 -m state
--state NEW
$IPTABLES -A INPUT -j ACCEPT -i $EXT_IF -p tcp -s $INTERNET -d $EXT_IP --dport 31337 -m state --state NEW
nice nu funkar det :D tackar så mycket för hjälpen. Men jag får en del dropped packets som jag skulle vilja logga fick iordning nån halvdan loggning men den loggade på tok för mycket. Så vad är det för kod om man endast vill logga dropped packets ?
Powered by vBulletin™ Version 4.2.5 Copyright © 2024 vBulletin Solutions, Inc. All rights reserved.