Firewalling (igen)

ehmm... er det på en linux spand du skal lukke porte på ??

(har du en firewall)

Ja, det er en linux spand, og jeg skulle da mene at iptables i sig selv er en firewall(?)

ja det er det...  men det skal jo sættes op.. ;)

http://iptables.1go.dk

Ved ik om det hjælper..

iptables ER sat op - jeg kan frit tilføje regler etc.
Har du en linie der blocker en port?

nej :(

men kig på http://debianguiden.dk/

mener der står how

http://debianguiden.dk/dists/stable/html/iptables.html#IPTABLES-BEGREBER

Der kan du nok finde ud af hvordan du skal

http://www.braindump.dk/dk/wiki/?wikipage=IpTables

iptables -A INPUT -p tcp -s 0/0 --dport 25 -j DROP
Her spærres for adgang til port 25

.

Jeg skriver:
iptables -A INPUT -p tcp -s 0/0 --dport 1 -j DROP
ved en nmap både lokal og ekstern viser den dog at port 1 ER åben
...?

ja... den smider pakken væk vis den mod tager noget det står DROP for...

men ellers ved jeg ikke.. jeg er ikke lige inde i det iptables så godt :(

iptables -A OUTPUT -p tcp -s 0/0 --dport 1 -j DROP


prøv det

elller

iptables -A OUTPUT -p tcp --dport 1 -j DROP

virker heller ikke.. Det er lidt underligt, for jeg har ingen services kørende på de porte, er der andre måder jeg kan lukke dem på, evt.?
Skal bare ha' dem lukket på en eller anden måde

hvad for en linux bruger du ?

iptables -A FORWARD -p tcp --dport 1 -j DROP
 
Så skulle der være lukket for det...

Jeg bruger debian

Okey... hmm...

og den sidste kommando du gav med FORWARD virker heller ikke..

Ville det ikke være lettere at snakke over IRC? :)

heh.. hmm...

prøv at rette det her til (det er fra http://www.braindump.dk/dk/wiki/?wikipage=IpTables)


Her kommer et hurtigt eksempel på et komplet script, der sætter en firewall op med Source NAT (bedre kendt som masquerading). Det interne net er 10.0.0.0/8 på eth1, det eksterne er 192.168.0.1 på eth0.



#!/bin/sh

INTIP=10.0.0.1
EXTIP=192.168.0.1

# tillad forwarding af pakker
echo "1" > /proc/sys/net/ipv4/ip_forward

# luk al indgående som standard
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# kæderne bliver lige tømt, så man kan køre scriptet igen uden problemer
iptables -F
iptables -t nat -F

# lav en ny kæde
iptables -N block

# tillad alt lokal trafik
iptables -A INPUT -i lo -j ACCEPT

# vi tillader trafik på forbindelser, der er blevet oprettet
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
# og vi tillader nye forbindelser, hvis de kommer indefra
iptables -A block -m state --state NEW -i eth1 -j ACCEPT

# aktiver source nat
iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -d "!" 10.0.0.0/8 -j SNAT --to $EXTIP

# tillad adgang til udvalgte services udefra
iptables -A INPUT -p tcp -d $EXTIP --dport ssh -j ACCEPT
iptables -A INPUT -p tcp -d $EXTIP --dport ircd -j ACCEPT

# spær for adgang til visse services
iptables -A INPUT -p tcp -d $INTIP --dport smtp -j DROP
iptables -A INPUT -p udp -d $INTIP --dport syslog -j DROP
iptables -A INPUT -p tcp -d $INTIP --dport swat -j DROP
iptables -A INPUT -p tcp -d $INTIP --dport printer -j DROP

# blockkæden kobles på INPUT og FORWARD kæderne
# Det betyder at der er adgang til alt indefra (på nær det, der blev
# droppet lige før, og til ALT udaf, men ingenting udefra
iptables -A INPUT -j block
iptables -A FORWARD -j block

# og derudover logger vi alt, der prøver at blive forwarded
# med max 1 pr sek og burst på 3
iptables -A FORWARD -m limit --limit 1/s --limit-burst 3 -j LOG \
--log-prefix "FORWARD: " --log-ip-options --log-tcp-options

# sæt Type Of Service til lav forsinkelse for telnet/ssh
iptables -t mangle -A PREROUTING -p tcp --dport telnet -j TOS --set-tos 0x10
iptables -t mangle -A PREROUTING -p tcp --dport ssh -j TOS --set-tos 0x10

# sæt Type Of Service til high throughput for FTP
iptables -t mangle -A PREROUTING -p tcp --dport ftp -j TOS --set-tos 0x08

# omdirriger al webtrafik til en transparent proxy på 10.0.0.2
iptables -t nat -A PREROUTING -p tcp --dport www -j DNAT \
--to-destination 10.0.0.2:3128




kunne være det hjalp...

Jeg kører faktisk næsten akurat det samme script - http://printf.dk/iptables2.sh

Tror jeg skal ha gang i en linux igen.. og lær det iptables...

jeg køre FreeBSD lige nu.. sååå... tror jeg vil ha liv i min gamle server igen med linux...

scan den lige igen.. og send det den skriver til admin@nein.dk

Kan du ikke komme på quakenet (irc.dk.quakenet.org) og querye mig? Mit nick er "spike"
Ellers kan jeg da godt lige sende en scanning..