Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
iptables hjälp eftersöks.... nätverskfelsöking också..
View unanswered posts
View posts from last 24 hours

 
Reply to topic    Gentoo Forums Forum Index Scandinavian
View previous topic :: View next topic  
Author Message
Sputnik
Tux's lil' helper
Tux's lil' helper


Joined: 29 Apr 2003
Posts: 84

PostPosted: Thu Jun 24, 2004 6:28 pm    Post subject: iptables hjälp eftersöks.... nätverskfelsöking också.. Reply with quote

Behöver ha upp port 5060 TCP/UDP 10000-10007 UDP sen om routrat internt till 192.168.0.3.. som är telefondosans ip... Även veta om de fungerar altså få bekräftat att de ska funka fram till dosan.

Vore även trevligt att få icq:s fil portar till andra datorn på 192.168.0.2.. vilket fungera med gammal firewall skriptet.. som jag nu bytt ut i hop om att få telefon dosan att fungera..

Sen tips på ett bra sniffer program för att se va som händer med paketen vore trevligt att få.. (finns de nått grafiskt vore de ju att föredra..)
Iptraf räcker inte riktigt till då man skulle vilja se paket inehållet också.. för att ev felsöka bättre.
De jag vet genom iptraf redan är att teldosan skickar en massa paket till DNS servrarna men verak inte få nått svar tilbax. Mer verkar inte hända från tel dosans sida.

Alla tips på lösningar vore kul att få reda på..

Kör med de här skriptet nu men vet inte va som kan vara fel på de..

Code:

#!/bin/bash

# Variabler
INET_IFACE="eth0"
DHCP="yes"
DHCP_SERVER="192.168.11.83"
ICQMSGPORT="5190" #Default port for ICQ messages
ICQFTPORTS="40000:40005" #ICQ filetransfer ports (remember to setup icq t$
HOST1="192.168.0.2"
HOST2="192.168.0.3"
TELP="5060" #
TELP2="10000:10007" #
FTPP="4700:4712"
VETEJ="6881:6999"

LAN_IP="192.168.0.1"
LAN_IP_RANGE="192.168.0.0/24"
LAN_IFACE="eth1"

LO_IFACE="lo"
LO_IP="127.0.0.1"

IPTABLES="/sbin/iptables"

# Flush all tables
iptables -F
iptables -t nat -F
iptables -X


# Ladda moduler
/sbin/depmod -a

# Aktivera vidarebefordran
echo 1 > /proc/sys/net/ipv4/ip_forward

# Kasta alla inkommande paket, paket som ska vidarebefordras och paket som skapas lokalt:
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP

# Skapa användardefinierade kedjor
$IPTABLES -N bad_tcp_packets
$IPTABLES -N allowed
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets

# Kedjan allowed
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP

# Kedjan bad_tcp_packets
$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

# Kedjan tcp_packets
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport $FTPP -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport $ICQMSGPORT -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport $ICQFTPORTS -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport $TELP -j allowed -d $HOST2

#Kedjan udp_packets
$IPTABLES -A udp_packets -p UDP -s 0/0 --source-port 53 -j ACCEPT
if [ $DHCP == "yes" ] ; then
 $IPTABLES -A udp_packets -p UDP -s $DHCP_SERVER --sport 67 --dport 68 -j ACCEPT
fi
# $IPTABLES -A udp_packets -p UDP -s 0/0 --source-port 4000 -j ACCEPT
$IPTABLES -A udp_packets -p UDP -i $INET_IFACE --destination-port 135:139 -j DROP
$IPTABLES -A udp_packets -p UDP -i $INET_IFACE -d 255.255.255.255 --destination-port 67:68 -j DROP
$IPTABLES -A udp_packets -p UDP -s 0/0 --dport $TELP2 -j allowed -d $HOST2
$IPTABLES -A udp_packets -p UDP -s 0/0 --dport $TELP -j allowed -d $HOST2

# Kedjan icmp_packets
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j DROP
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j DROP

# Kedjan INPUT
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -j ACCEPT
$IPTABLES -A INPUT -p UDP -i $LAN_IFACE --dport 67 --sport 68 -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $INET_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udp_packets
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets

# SSH
$IPTABLES -A INPUT -m state --state NEW -p tcp --syn --destination-port 22 -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -p tcp --destination-port 22 -j ACCEPT

# Logga resterande paket
$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT INPUT packet died: "

# Kedjan FORWARD
$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets
$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packet died: "

# Kedjan OUTPUT
$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -o $INET_IFACE -j ACCEPT
$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT OUTPUT packet died: "

# Kedjan POSTROUTING
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE
Back to top
View user's profile Send private message
birro
n00b
n00b


Joined: 06 Sep 2003
Posts: 13
Location: SE/STK

PostPosted: Mon Jul 05, 2004 10:42 am    Post subject: Reply with quote

emerge shorewall etheral

:D
Back to top
View user's profile Send private message
janneand
n00b
n00b


Joined: 13 Sep 2002
Posts: 48
Location: Stockholm, Sweden

PostPosted: Thu Jul 15, 2004 8:57 am    Post subject: Reply with quote

Ferm är annars ett bra program. Lite lägre nivå än shorewall men du får en mer precis kontroll och förståelse av din brandvägg. Har bara perl och några perl-paket som dependency om jag minns rätt.

Ethereal är det givna sniffer-valet.

-J
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Scandinavian All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum