View previous topic :: View next topic |
Author |
Message |
Sputnik Tux's lil' helper
Joined: 29 Apr 2003 Posts: 84
|
Posted: Thu Jun 24, 2004 6:28 pm Post subject: iptables hjälp eftersöks.... nätverskfelsöking också.. |
|
|
Behöver ha upp port 5060 TCP/UDP 10000-10007 UDP sen om routrat internt till 192.168.0.3.. som är telefondosans ip... Även veta om de fungerar altså få bekräftat att de ska funka fram till dosan.
Vore även trevligt att få icq:s fil portar till andra datorn på 192.168.0.2.. vilket fungera med gammal firewall skriptet.. som jag nu bytt ut i hop om att få telefon dosan att fungera..
Sen tips på ett bra sniffer program för att se va som händer med paketen vore trevligt att få.. (finns de nått grafiskt vore de ju att föredra..)
Iptraf räcker inte riktigt till då man skulle vilja se paket inehållet också.. för att ev felsöka bättre.
De jag vet genom iptraf redan är att teldosan skickar en massa paket till DNS servrarna men verak inte få nått svar tilbax. Mer verkar inte hända från tel dosans sida.
Alla tips på lösningar vore kul att få reda på..
Kör med de här skriptet nu men vet inte va som kan vara fel på de..
Code: |
#!/bin/bash
# Variabler
INET_IFACE="eth0"
DHCP="yes"
DHCP_SERVER="192.168.11.83"
ICQMSGPORT="5190" #Default port for ICQ messages
ICQFTPORTS="40000:40005" #ICQ filetransfer ports (remember to setup icq t$
HOST1="192.168.0.2"
HOST2="192.168.0.3"
TELP="5060" #
TELP2="10000:10007" #
FTPP="4700:4712"
VETEJ="6881:6999"
LAN_IP="192.168.0.1"
LAN_IP_RANGE="192.168.0.0/24"
LAN_IFACE="eth1"
LO_IFACE="lo"
LO_IP="127.0.0.1"
IPTABLES="/sbin/iptables"
# Flush all tables
iptables -F
iptables -t nat -F
iptables -X
# Ladda moduler
/sbin/depmod -a
# Aktivera vidarebefordran
echo 1 > /proc/sys/net/ipv4/ip_forward
# Kasta alla inkommande paket, paket som ska vidarebefordras och paket som skapas lokalt:
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP
# Skapa användardefinierade kedjor
$IPTABLES -N bad_tcp_packets
$IPTABLES -N allowed
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets
# Kedjan allowed
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP
# Kedjan bad_tcp_packets
$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
# Kedjan tcp_packets
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport $FTPP -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport $ICQMSGPORT -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport $ICQFTPORTS -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport $TELP -j allowed -d $HOST2
#Kedjan udp_packets
$IPTABLES -A udp_packets -p UDP -s 0/0 --source-port 53 -j ACCEPT
if [ $DHCP == "yes" ] ; then
$IPTABLES -A udp_packets -p UDP -s $DHCP_SERVER --sport 67 --dport 68 -j ACCEPT
fi
# $IPTABLES -A udp_packets -p UDP -s 0/0 --source-port 4000 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -i $INET_IFACE --destination-port 135:139 -j DROP
$IPTABLES -A udp_packets -p UDP -i $INET_IFACE -d 255.255.255.255 --destination-port 67:68 -j DROP
$IPTABLES -A udp_packets -p UDP -s 0/0 --dport $TELP2 -j allowed -d $HOST2
$IPTABLES -A udp_packets -p UDP -s 0/0 --dport $TELP -j allowed -d $HOST2
# Kedjan icmp_packets
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j DROP
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j DROP
# Kedjan INPUT
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -j ACCEPT
$IPTABLES -A INPUT -p UDP -i $LAN_IFACE --dport 67 --sport 68 -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $INET_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
# SSH
$IPTABLES -A INPUT -m state --state NEW -p tcp --syn --destination-port 22 -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -p tcp --destination-port 22 -j ACCEPT
# Logga resterande paket
$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT INPUT packet died: "
# Kedjan FORWARD
$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets
$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packet died: "
# Kedjan OUTPUT
$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -o $INET_IFACE -j ACCEPT
$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT OUTPUT packet died: "
# Kedjan POSTROUTING
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE
|
|
|
Back to top |
|
|
birro n00b
Joined: 06 Sep 2003 Posts: 13 Location: SE/STK
|
Posted: Mon Jul 05, 2004 10:42 am Post subject: |
|
|
emerge shorewall etheral
|
|
Back to top |
|
|
janneand n00b
Joined: 13 Sep 2002 Posts: 48 Location: Stockholm, Sweden
|
Posted: Thu Jul 15, 2004 8:57 am Post subject: |
|
|
Ferm är annars ett bra program. Lite lägre nivå än shorewall men du får en mer precis kontroll och förståelse av din brandvägg. Har bara perl och några perl-paket som dependency om jag minns rätt.
Ethereal är det givna sniffer-valet.
-J |
|
Back to top |
|
|
|