Linux IPTABLES

Hvis nogen kan hjælpe mig, er jeg villigt til at lægge 200 piont, eller mere oveni

Hej lynx-dlk

Nedenstående er hvad virker hos mig - den kører ikke på ekstern ip men på ekstern interface (INET_IFACE=eth? eller ppp?)
srcport=ekstern port (27015)
host=intern adresse (192.168.100.?
destport=intern port på $host (formentlig 27015)

${IPTABLES} -t nat -A PREROUTING -p tcp -i ${INET_IFACE} --dport ${srcport} -j DNAT --to-destination ${host}:${destport}
${IPTABLES} -t filter -A FORWARD -p tcp -d ${host} --dport ${destport} -j ACCEPT

Lad høre om det ikke virker?

Firewall over (øverst) inneholder et lite problem. Den er deaktivisert som firewall slik at den i utgangspunktet ikke gir noen beskyttelse som helst:

iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P INPUT ACCEPT

Her står det at alle alle de tre main policies skal stå til åpen, det vil i praksis i dette tilfellet si at firewall står helt åpen. ette gjelder først og fremst i forhold til Linux maskinen selv. Innvendig LAN er allikevell beskyttet av NAT funsjon.

Når policies fra før av står til åpen så gir dette ikke noen mening (dvs å åpne for de samme ip pakkene 2 ganger):

/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Denne ser grei ut slik at "netto effekt" av "irewall" blir en delt intenettforbindelse pluss beskuttelse av LAN ved hjelp av NAT.

/sbin/iptables -t nat -A POSTROUTING -s $LAN_NET -d ! $LAN_NET -j SNAT --to $EXT_IP

Her finnes en "firewall script generator):

http://iptables.1go.dk/

#!/bin/sh

# iptables script generator: V0.1-2002
# Comes with no warranty!
# e-mail: michael@1go.dk

# Diable forwarding
echo 0 > /proc/sys/net/ipv4/ip_forward

LAN_IP_NET='192.168.100.0/24'
LAN_NIC='eth1'
WAN_IP='80.198.236.18'
WAN_NIC='eth0'
FORWARD_IP='192.168.100.99'

# load some modules (if needed)

# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# enable Masquerade and forwarding
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports on router for server/services

# STATE RELATED for router
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports to server on LAN
iptables -A FORWARD -j ACCEPT -p tcp --dport 80
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 27015 -j DNAT --to 192.168.100.99

# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

Ups der kom det en feil:
iptables -A FORWARD -j ACCEPT -p tcp --dport 80

Rettes til:

iptables -A FORWARD -j ACCEPT -p tcp --dport 27015

"Feil" i script over: Du skal kjøre web server på Linuxen ??
Du må i så fall åne for dette. Eksprimenter litt med firewall scripr generatoren så finner du ut av det.

Hvis du har problem med å finne ut hvilket kort som egentlig er eth0 og hvilket som er eth1 så kjører du bare kommando "ifconfig"

Langbein>> nu har jeg brugt den generator... men den vil ikke skrive den adresse jeg har skrevet i den, som skal stå som server....

jeg skal jo sådan set bare have åbnet for alt indefra og ud, men lukket for alt udefra og ind... med undtagen de porte jeg åbner jo selvfølgelig, og det er

port 27015 (til counter-strike) den skal sendes til 192.168.100.100
Port 80 (til webserveren) som også kører ftp ssh og mail - 192.168.100.1
dermed skal jeg så åbne nogle flere, så der kan hostes spil på blizzards battlenet, men kan så ikke huske adressen. men det er alle sammen til den samme adrese,  nemlig 192.168.100.100

det er det eneste der skal ske, og sys ikke jeg kan få den generator til at gøre det jeg vil ha

#!/bin/sh

# iptables script generator: V0.1-2002
# Comes with no warranty!
# e-mail: michael@1go.dk

# Diable forwarding
echo 0 > /proc/sys/net/ipv4/ip_forward

LAN_IP_NET='192.168.0.1/24'
LAN_NIC='eth1'
WAN_IP='80.198.236.18'
WAN_NIC='eth0'
FORWARD_IP='192.168.100.100'

# load some modules (if needed)
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# enable Masquerade and forwarding
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports on router for server/services
iptables -A INPUT -j ACCEPT -p tcp --dport 80
iptables -A INPUT -j ACCEPT -p tcp --dport 21
iptables -A INPUT -j ACCEPT -p tcp --dport 25
iptables -A INPUT -j ACCEPT -p tcp --dport 22

# STATE RELATED for router
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports to server on LAN
iptables -A FORWARD -j ACCEPT -p tcp --dport 27015
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 27015 -j DNAT --to 192.168.100.100:27015

# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

Udgangspunkt er, at firewall selv hoster 80, 21, 25 og 22, og 27015 skal sendes til inderside maskine 192.168.100.100:27015

Check (som langbein) med eth0/eth1

ja, men når den selv hoster de porte, behøver jeg så at tilføje det i scriptet... kan den så ikke bare bruge den udvendige ip?

og hvad nu hvis der skal hostes porte til 2 forskellige adresser på indersiden, så kan jeg da ikke skrive

FORWARD_IP='192.168.100.100'

hvis der er en mere der fx. hedder 150

Jo, men der skal være en accept af disse porte - se afsnittet "Open ports on router for server/services" - ellers vil firewall afvise dem - selvom services er startet.

Ja ok, men det skal vel skrives anderledes hvis det er til den udvendige ip... eller hvad.... jeg fatter ikke helt hvordan det her fungerer----

og hvad hvis jeg bare åbner port 27015 til hele det interne net, ville det ikke kunne lade sig gøre? kan jeg så lave en cs-server, eller skal det være til en specifik adresse.... er lidt tungnem lige nu..... :)

Scriptet er ikke bygget til flere hoste - så laver vi det lige selv. Udskift "FORWARD_IP" med "FORWARD_CS" alle steder - og herefter laver du en linie med "FORWARD_BLIZ=192.168.100.150" - og lav følgende ekstra linier "Open ports to server on LAN":

iptables -A FORWARD -j ACCEPT -p tcp --dport 27015
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 27015 -j DNAT --to $FORWARD_CS:27015
iptables -A FORWARD -j ACCEPT -p tcp --dport 27017
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 27015 -j DNAT --to $FORWARD_BLIZ:27017

Ok, vi starter lige et helt andet sted:

NAT:

Jep.... NAT----
hvis vi natter på den udvendige, er der lukket for alt... ikke?

Når der bruges NAT, så oversættes samtlige inderside adresser (hos dig: 192.168.100.?) til samme yderside adresse ved afsendelse af en tcp-pakke (forbindelse).

Hvis vi nu skal kunne komme indenfor, så skal du kunne fordele 1 ip-adresse til hele din inderside (192.168.100.?).

jep... så er jeg med :)

Vi skal derfor lave en mulighed for at kunne komme indenfor på en given kombination af ip/port - som sendes videre til en (anden inderside) given kombination af ip/port.

Det er ikke muligt at sende port 27015 til samtlige inderside maskiner på port 27015 - men alene 1 given ip-adresse (maskine)

Jeg håber det forklarer mine ovenstående linier i scriptet - jeg kan godt lige samle det sammen til et samlet script - men så giv mig lige de rigtige portnumre til Blizz - alternativt skal du bruge et helt andet script (som jeg selv bruger).

Det er super advanceret, men kan alt det du ønsker - og mere til - og alt sættes vha. variable i starten af scriptet.

ok.... er det muligt med 2 maskine skal have den samme port så?
eller er det kun en given maskine

Det kan kun være EN maskine

okay :)

#!/bin/sh

# iptables script generator: V0.1-2002
# Comes with no warranty!
# e-mail: michael@1go.dk

# Diable forwarding
echo 0 > /proc/sys/net/ipv4/ip_forward

LAN_IP_NET='192.168.0.1/24'
LAN_NIC='eth1'
WAN_IP='80.198.236.18'
WAN_NIC='eth0'
FORWARD_CS='192.168.100.100'
FORWARD_BLIZ='192.168.100.100'

# load some modules (if needed)
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# enable Masquerade and forwarding
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports on router for server/services
iptables -A INPUT -j ACCEPT -p tcp --dport 80
iptables -A INPUT -j ACCEPT -p tcp --dport 21
iptables -A INPUT -j ACCEPT -p tcp --dport 25
iptables -A INPUT -j ACCEPT -p tcp --dport 22
iptables -A INPUT -j ACCEPT -p tcp --dport 110

# STATE RELATED for router
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports to server on LAN
iptables -A FORWARD -j ACCEPT -p tcp --dport 27015
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 27015 -j DNAT --to $FORWARD_CS:27015
iptables -A FORWARD -j ACCEPT -p tcp --dport 27017
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 27015 -j DNAT --to $FORWARD_BLIZ:27015

# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

Ser det her helt skørt ud?
eller hvad.....

Meget fint - jeg har lige fundet de pågældende port til blizzard - derfor ser scriptet nu således ud:

#!/bin/sh

# iptables script generator: V0.1-2002
# Comes with no warranty!
# e-mail: michael@1go.dk

# Diable forwarding
echo 0 > /proc/sys/net/ipv4/ip_forward

LAN_IP_NET='192.168.0.1/24'
LAN_NIC='eth1'
WAN_IP='80.198.236.18'
WAN_NIC='eth0'
FORWARD_CS='192.168.100.100'
FORWARD_BLIZ='192.168.100.150'

# load some modules (if needed)
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# enable Masquerade and forwarding
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports on router for server/services
iptables -A INPUT -j ACCEPT -p tcp --dport 80
iptables -A INPUT -j ACCEPT -p tcp --dport 21
iptables -A INPUT -j ACCEPT -p tcp --dport 25
iptables -A INPUT -j ACCEPT -p tcp --dport 22

# STATE RELATED for router
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports to server on LAN (CS)
iptables -A FORWARD -j ACCEPT -p tcp --dport 27015
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 27015 -j DNAT --to $FORWARD_CS:27015

# Open ports to server on LAN (BLIZZARDS battlenet 4000,6112,6113,6114,6115,6116,6117)
for PORT in '4000,6112,6113,6114,6115,6116,6117'
do
  iptables -A FORWARD -j ACCEPT -p tcp --dport $PORT
  iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 4000 -j DNAT --to $FORWARD_BLIZ:$PORT
done
# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

Forresten er der en fejl - ingen komma (,) imellem portene - kun blanktegn.

fed nok :) men er der fejl i mit eget script?

for PORT in '4000 6112 6113 6114 6115 6116 6117'

Jeg vil lige teste det :)
prøver at lægge det på maskinen her i aften når der ikke er brugere :)
skriver igen snarrest :) Og igen mange mange tak for hjælpen :

Nej, dit ser helt korrekt ud! Du har dog åbnet for port 110 (pop3) - du skal være opmærksom på, at jo længere listen er over åbne porte - jo mere udsat er din firewall. Derfor skal du forsøge at lukke for disse services på anden vis - f.eks. tcp_wrapper.

ok, det er jo fordi jeg skal kunne hente mail udefra :)

Til slut laver du en grundig scanning af din maskine udefra - f.eks. kan du bruge nogle af de on-line services som findes.

Alle de tilgængelige services skal være helt opdateret - både 21/22/25/80 og 110 er kendte for flere fejl.

Så bør du overveje at implementere pop-before-smtp - således at der foregår en validering af brugeren inden jeg kan bruge dig som relæ.

Hvis du altid kommer fra samme ip-adresse udefra, så brug tcp_wrapper.

nu har jeg sat det i, men jeg kan ikke hente post på det interne net :(

Ja, men mit script har IKKE åbnet for port 110 - prøv lige det.

det har jeg gjort :(

send lige output af # iptables -L
Det bør virke - i hvert fald virker det udefra.

Chain INPUT (policy DROP)
target    prot opt source              destination
ACCEPT    tcp  --  anywhere            anywhere          tcp dpt:www
ACCEPT    tcp  --  anywhere            anywhere          tcp dpt:ftp
ACCEPT    tcp  --  anywhere            anywhere          tcp dpt:smtp
ACCEPT    tcp  --  anywhere            anywhere          tcp dpt:ssh
ACCEPT    tcp  --  anywhere            anywhere          tcp dpt:pop3
ACCEPT    all  --  anywhere            anywhere          state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target    prot opt source              destination
ACCEPT    all  --  192.168.100.0/24    anywhere
ACCEPT    all  --  anywhere            anywhere          state RELATED,ESTABLISHED
ACCEPT    tcp  --  anywhere            anywhere          tcp dpt:27015

Chain OUTPUT (policy ACCEPT)
target    prot opt source              destination

Virker det slet ikke, eller er der timeout?

Prøv lige fra en pc "telnet 192.168.100.1 110"

Har netop testet 21, 22, 25 og 110 - de virker alle udefra

Jeg kan ikke se 27015 udefra?

det virker slet ikke..... ehhh jeg kan godt komme på via telnet

Det var lidt mærkeligt - telnet gør det samme som outlook - prøv lige at lege outlook:

telnet 192.168.100.1 110
USER <dit brugernavn>
PASS <dit password>
LIST
QUIT

Hvis det virker, så er der opstået et helt andet problem - enten noget med DNS eller brugervalidering - integreret med f.eks.mysql eller lignende (som også kræver lytteporte)?

+OK Hello there.
+OK Password required.
-ERR Maildir: No such file or directory


Ingen forbindelse til værten.

C:\>

Er du sikker på, at et eller andet ikke er blevet slettet på din maskine - prøv lige at fjerne fw - og test igen.

Det ser ud til, at /var/spool/mail (eller lignende) er blevet slettet. Maildir er normalt ikke påvirket af firewall, men hvis opslag på hjemmekatalog foregår i f.eks. mysql database, så kan det være problemet.

Det er vist ikke min udgave af scriptet du bruger - så havde Blizzard porte været med i FORWARD.

det er noget bæ det her :(

jammen det er da ikke så anderledes som før... er det

jeg bruger din, men uden blizzard, har kun 27015 åben

Jo, nu er der blevet lukket - som Langbein skrev, så var der ikke meget firewall i firewall'en - alene NAT.

har lige fjernet forward

Både INPUT og FORWARD er default nu DROP

Hei, ser dere er godt i gang !!
Scriptet ser ut til å bli meget bra, men det skal ikke mer en en enkelt detalj, for eksempel et komma for at det ikke vil kjøre.
iptables -L gir ellers ikke en 100 % rett status. (Vet ikke hva det kommer av.)
Vil forsøke på en testkjøring når jeg kommer hjem senere i kveld !

Det lyder godt :) tarker langbein...
Jeg er glad for at i vil hjælpe mig :)

Jeg kan se, at det er en Debian - hvilken pop3 server bruges på en Debian?

er ikke med

Jeg kan se, at ved pop3 er der forsinkelse på, hvis jeg prøver at skrive et password - hæng på.....

jep jep :)

Vi kører med postfix og imapd

postfix har jeg set (25) - det er vel ikke således, at du bruger imap i stedet for pop3? - så skal der også lige åbnes for port 143 - prøv lige det?

Jeg kan ikke finde nogen forklaring på, hvorfor pop3 ikke virker længere - intet tyder på, at det har noget med firewall at gøre.

Selvfølgelig, det er mig der er dum, det havde jeg sq da glemt :)))

DET VIRKER :)

Husk at lukke for 110 nu hvor det ikke bruges :-)

Jammen hvis jeg lukker, hvad resulterer det så i,,... at port 110 ikke kan komme til serveren?

Det betyder, at du ikke kan kontakte din firewall på port 110 - hvorfra der alligevel ikke kan hentes post (se din egen fejlbeskrivelse for et par indlæg siden) - ellers har det ingen konsekvens.

Selvom pop3 serveren er kørende, så behøver firewall ikke acceptere forbindelse dertil (teoretisk kunne jeg [eller en anden] hacke din maskine på port 110, som du ikke bruger til noget).

Hmmm, men jeg kan ikke connecte til min CS server :(

Nu ved jeg intet om CS, men jeg har netop forsøgt at forbinde mig til 27015 på ydersiden af din firewall. Det går ikke godt - jeg bliver afvist

Jeg kan se, at det er en hel række porte som skal bruges:

7002 6003 27005 27010 27011 27015

Prøv at forwarde alle disse porte - se evt. på:

http://www.adamswann.com/library/2000/countersrikeserver.html

den accepterer ikke at port 27015 er åben :(

jammen jeg har gjort det på en windows maskine engang, hvor jeg bare åbnede port 27015, og så virkede det

Dit eget script havde en fejl hvor port 27015 forwardes 2 gange - det er ikke fejlen vel? (du brugte jo mit script?)

Hov - er det ikke 27015 UDP som skal forwardes??

hvordan skriver jeg det som den med Blizzard

jo det kan godt passe

#!/bin/sh

# iptables script generator: V0.1-2002
# Comes with no warranty!
# e-mail: michael@1go.dk

# Diable forwarding
echo 0 > /proc/sys/net/ipv4/ip_forward

LAN_IP_NET='192.168.0.1/24'
LAN_NIC='eth1'
WAN_IP='80.198.236.18'
WAN_NIC='eth0'
FORWARD_CS='192.168.100.100'
FORWARD_BLIZ='192.168.100.150'

# load some modules (if needed)
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# enable Masquerade and forwarding
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports on router for server/services
iptables -A INPUT -j ACCEPT -p tcp --dport 80
iptables -A INPUT -j ACCEPT -p tcp --dport 21
iptables -A INPUT -j ACCEPT -p tcp --dport 25
iptables -A INPUT -j ACCEPT -p tcp --dport 22

# STATE RELATED for router
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports to server on LAN (CS)
for PORT in '7002 6003 27005 27010 27011 27015'
do
  iptables -A FORWARD -j ACCEPT -p udp --dport $PORT
  iptables -t nat -A PREROUTING -i eth0 -p udp --dport $PORT -j DNAT --to $FORWARD_CS:$PORT
done

# Open ports to server on LAN (BLIZZARDS battlenet 4000,6112,6113,6114,6115,6116,6117)
for PORT in '4000,6112,6113,6114,6115,6116,6117'
do
  iptables -A FORWARD -j ACCEPT -p tcp --dport $PORT
  iptables -t nat -A PREROUTING -i eth0 -p tcp --dport $PORT -j DNAT --to $FORWARD_BLIZ:$PORT
done
# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

Vi prøver lige igen.. - måske er battlenet også udp?

#!/bin/sh

# iptables script generator: V0.1-2002
# Comes with no warranty!
# e-mail: michael@1go.dk
# modified by lap@eksperten.dk

# Diable forwarding
echo 0 > /proc/sys/net/ipv4/ip_forward

LAN_IP_NET='192.168.0.1/24'
LAN_NIC='eth1'
WAN_IP='80.198.236.18'
WAN_NIC='eth0'
FORWARD_CS='192.168.100.100'
FORWARD_BLIZ='192.168.100.150'

# load some modules (if needed)
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# enable Masquerade and forwarding
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports on router for server/services
iptables -A INPUT -j ACCEPT -p tcp --dport 80
iptables -A INPUT -j ACCEPT -p tcp --dport 21
iptables -A INPUT -j ACCEPT -p tcp --dport 25
iptables -A INPUT -j ACCEPT -p tcp --dport 22
iptables -A INPUT -j ACCEPT -p tcp --dport 143

# STATE RELATED for router
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports to server on LAN (CS)
for PORT in '7002 6003 27005 27010 27011 27015'
do
  iptables -A FORWARD -j ACCEPT -p udp --dport $PORT
  iptables -t nat -A PREROUTING -i eth0 -p udp --dport $PORT -j DNAT --to $FORWARD_CS:$PORT
done

# Open ports to server on LAN (BLIZZARDS battlenet 4000,6112,6113,6114,6115,6116,6117)
for PORT in '4000 6112 6113 6114 6115 6116 6117'
do
  iptables -A FORWARD -j ACCEPT -p tcp --dport $PORT
  iptables -t nat -A PREROUTING -i eth0 -p tcp --dport $PORT -j DNAT --to $FORWARD_BLIZ:$PORT
done
# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

hmmm, det vil jeg prøve, jeg vil lige sige, at jeg stadig ikke kan modtage mails på min server

Kan ikke modtage mails?

Gælder det imap2 eller smtp?

den vil ikek acceptere at de står med mellemrum

ikke forstået

for PORT in '7002 6003'
do
  echo $PORT
done

7002 6003

det virker fint hos mig - måske nogle uønskede linieskift?

det er tjaa.... det ser ud som om den sender godt nok, men modtager ikke

på både Imapd og pop3

fortsat ikke forstået.

Virker afsendelse via port 25?
Bliver mail sendt videre ud i verden?
Virker modtagelse via port 110? (her bør svaret være nej)
Virker modtagelse via port 143?

Hvis noget ikke virker - hvad er fejlmeddelelsen?

jeg bruger kun lige imap lige nu, og der kmodtager jeg ikke mails.... med kan godt sende

Men er der kommet mails til dig? jeg har ikke gode brugernavn/password, så jeg kan ikke teste.

Du sender ikke via imap!

nej, jeg sender via smtp.... teledanmarks egen, så min server kan ikke modtage mails udefra :(

menhar ikke modtaget post i 2 timer nu :(

jeg kan oprette dig som bruger hvis du vil, så kan du selv teste det :)

Så er der da stilhed.....

Jeg kan godt forbinde mig til din maskine på port 25, men det tager meget lang tid - og den timer ud under vejs - vent....

Maskinen kan ikke finde ud af localhost?

hvad er dit domænenavn - jeg tester lige i hånden - forresten - og et mail brugernavn som jeg kan sende til?

www.lynx-dlk.dk

dlk@lynx-dlk.dk

hvordan ser din /etc/resolv.conf ud?

nameserver 193.162.153.164
nameserver 194.239.134.83

Står der noget klogt i /var/log/messages?

nameserver er korrekt - og adgang til port 80 er også ok, så det er noget postfix konkret.

Er det en standard udgave af postfix - eller har du specielt compileret den med auth..

Muligvis mangler der adgang til en eller anden port?

jeg skal lige hente noget mad - og spise det - er tilbage snarest muligt - er on-line i endnu 5-10 minutter.

Fejlen opstår når RCPT TO: <dlh@lynx-dlk.dk> sendes - altså når modtageradressen skal kontrolleres - hvordan har du implementeret det?

Via mysql, virtusers ??

> Via mysql, virtusers ??
ja

iqzero er også Administrator på serveren :)

nu har vi disablet firewallen, så virker det igen, så det er et eller andet i firewallen der gør at vi ikke kan modtage mails

Prøv at starte firewall, men også at åbne for port 3306/tcp - det er måske mysqld

Fortsat problemer ved kontrol af bruger....

Ja.. det var det der skulle til kan jeg se :)

se den direkte mail - det tager for lang tid at finde brugeren - er der mange brugere oprettet?

Hvis ovenstående er korrekt, så tror jeg du har en "dum" konfiguration i virtusers - at der skal findes brugere i mysql - på ydersiden af din firewall - og det er ikke nødvendigt.

Få rettet konfigurationen således, at alle opslag går til 192.168.100.1 - altså indersiden. Så kan du godt lukke ydersiden igen.

Personigt har jeg en masse services kørende på min maskine - men disse kan ikke tilgås på ydersiden. Til gengæld har jeg ssh kørende, således at jeg kan portforwarde mig til alle services fra den store verden - alene vha. en ssh-klient.

Det kunne også være måden at løse port 143/110 - og evt. port 21 problematikken - så de kan lukkes for resten af verden.

Jo flere åbninger - jo større risiko.

Jammen det virker nu :) det er fedt :)

jeg skal bare finde ud af hvordan jeg deler pointene ud.... for du har hjulpet mig mest

men langbein har jo også hjulpet..... så hvis i får 200 hver? er det unfair

Det er helt op til dig. Jeg kan evt. hjælpe dig med at kontrollere din sikkerhed - det kræver at du lader mig logge på maskinen som root.

Er du helt sikker på, at CS nu også virker? Vi sprang lidt da mail ikke virkede - lige inden var problemet CS.

Kontakt mig evt. på messenger

Jeps... CS virker :)
og mailen også :) men jeg er ikke så vild med at lade andre logge på som root.... Og min anden kammerat som også er administrator har også styr på det :)
Men håber jeg kan finde få mere hjælp herinde hvis det bliver...

hvis jeg nu opretter et spørgsmål hvor der står point til dig, så kan du lave et svar derinde :)

forresten også.... er det muligt at man kan lukke en maskines ip eller mac adresse ude fra alt... så den intet kan?

Der findes allerede et svar i denne tråd fra både mig og langbein, så det er ikke nødvendigt at oprette et nyt.

Det er ok med mig, at jeg ikke skal logge på - det er op til dig :-)

Ja, det er muligt at udelukke totalt. Opskriften er (vist nok):

iptables -t filter -A FORWARD -s ${ipadresse}
iptables -t filter -A INPUT -d ${ipadresse}

alternativt:
iptables -t filter -A FORWARD --mac-source XX:XX:XX:XX:XX:XX:XX:XX
iptables -t filter -A INPUT --mac-source XX:XX:XX:XX:XX:XX:XX:XX

Jeg er dog ikke sikker på ovenstående, da jeg ikke har prøvet det selv.

"forresten også.... er det muligt at man kan lukke en maskines ip eller mac adresse ude fra alt... så den intet kan?"

Her settes den i det dypeste mørket (også dypt nok til at man for eksempel mister remoote consol via telnet eller ssh):


#!/bin/sh

iptables -F
iptables -t nat F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP


Man kan også på tilsvarende måte sette alt åpent ved å sette alle policies til ACCEPT. (Da behøves også tillegsmodulene og eventuelt DNAT og MASQUERADE setninger.)

Virkemåte: Policy er den aller siste regel som trer i kraft når alle andre regeler er gjennomsøkt. Når ingen annen regel en policy finnes da blir det den eneste regel.

Man kan godt og med fordel lage flere firewall script slik at man har script til forskjellige situasjoner, for eksempel "open_all", "close_all", "normal", "remoote_controll", "high_security" osv.

Synes lap har gjort det meste og fortjener de fleste poengene denne gangen.

INPUT = trafikk til "invendige prosesser" i Linux maskinen, for eksempel httpd, ftpd, sshd osv.

FORWARD = Trafikk til og fra LAN

OUTPUT = Trafikk fra "invendige prosesser" og ut til internett.

http://www.linuxguruz.org/iptables/howto/packet-filtering-HOWTO-6.html

langbein> du misforstår vist ? - spørgsmålet går på, om man kan udelukke en anden maskine end firewall selv.

Hej,

Godt svaret, begge to. Problemet med MySQL er skumlere end som så. Det er naturligvis ikke meningen at der skal være åbent for MySQL udadtil. Alle opslag bliver lavet på 127.0.0.1, men af en eller anden grund kan postfix ikke connecte til MySQL på 127.0.0.1 når fw er til. Jeg vil helst ikke køre forbindelsen via sockets, da det giver flere problemer, end det gør godt.

Så nu må jeg se om jeg kan finde en løsning... :)

Jamen Langbein har skrevet svaret for et par få indlæg siden - der skal være adgang til 3306 på INPUT, men alene for -s 127.0.0.1.

Det må være noget med:
iptables -A INPUT -j ACCEPT -p tcp --dport 3306 --source 127.0.0.1

Det virker tilsyneladende. :) Godt gået.

Er det ikke på tide at få lukket et af de større indlæg - nemlig dette med ca. 115 indlæg :-)

Yderligere ? kræver vel næsten en ny tråd.

"forresten også.... er det muligt at man kan lukke en maskines ip eller mac adresse ude fra alt... så den intet kan?"

Siden jeg misforsto problemstillingen tidligere:

Skal man lukke uten en klient fra Linux serveren så kan dette gjøres på basis av klientens ip adresse eller MAC addresse ut fra modellen:

iptanbles -I INPUT <de kriteria som gjelder> -j DROP

alternativt:

iptables -A INPUT <de kriteria som gjelder> -j DROP

-I plasserer en nye regel først i rekkefølgen av regler.
-A plasserer en regel sist i kjeden av regler.

Dette kan ha litt å si for den logiske funsjonen.

Eksempel:

iptables -A INPUT -i eth1 -p tcp -s 192.168.0.99 -j DROP

Altså: Alle ip pakker som kommer inn via eth1 og som har protokoll tcp og opprinnelsesadresse 192.168.0.99 sendes til drop, dvs forbindelsen sperres.

Eksempel 2:

iptables -A INPUT -i eth1 -p tcp -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP

Håper dette er rett. Linux/iptables kan være litt tricky på detaljene i syntaksen av og til på en nærmest litt ulogisk måte, og da må man bare eksperimentere litt.

Overstående vil bare sperre for klientens tilgang til de prosessene som kjører inne i Linux maskinen. Ønsker man også å restikte for eksempel tilgangen til Internnett så må tilsvarende settes opp i FORWARD chain.

Er det ikke på tide at få lukket dette indlæg - med ca. 120 indlæg :-)

Yderligere ? kræver vel næsten en ny tråd.

Jo lap... men det er jo nytår, og jeg har ikke været ved en PC længe :)

heller ikke jeg - har ikke brugt en PC i 36 timer i træk :-)

Godt nytår

Langbein -  Læg et svar ind her :)

Og tak for hjælpen begge 2 :)

http://www.eksperten.dk/spm/299913

Lap  Tak i lige måde :)

Lap.... jeg må åbenbart ikke give mere end 200 point pr. spørgsmål :(
det er jeg lidt ked af, da jeg gernbe ville have givet jer begge point...

men kan vi ikke finde ud af noget, så langbein også får nogle af dem :(
Sorry.... me se det andet spørgsmål

Men har lige et lille spørgsmål mere :)

nu har scriptet åbnet for alt indefra og ud... men hvis jeg nu vil lukke, så man ikke kan bruge porten til kazaa... tror det er port 1080.
er træt af at mit net bliver sløvet af andres kazaa....

Hej lynx-dlk

Jeg så godt kommentaren - umiddelbart synes jeg, at opgaven har været så vanskelig (læs: tidskrævende), at det var mere end 200 point værd (totalt set), men sådan er reglerne.

Kan du tilbagekalde din accept og sende f.eks. 75-100 til langbein - jeg går ikke så højt op i det med point?

jeg sys også det er latterligt at jeg ikke må :(
men jeg kan ikke tilbagekalde dem,..... eller ved ikke hvordan jeg gør.... :(

Jeg tror ikke, at kazaa er så simpelt, da kazaa hopper porte, men måske kan langbein svare i et nyt passende spørgsmål med et passende antal point?

Jeg kikker lige, men jeg tror L er på banen lige nu

Okai :)
hvordan får jeg så ham til at svare på lige netop det?

lad os give ham et par minutter......

Langbein :) kig her

http://www.eksperten.dk/spm/299949