iptables / usenet

Du har gjort tingene på en litt "ustandard" måte, men stadig vekk på en "avansert" måte, synes jeg. Dette firewall scriptet ser i prinsipp ut til å gi 100 % åpning inn og ut og alle veier, slik at det i praksis ikke blir til noen firewall men bare en nat router.

Det er ikke satt opp noen policies altså default regel slik som man "normalt" pleier, i stedet er laget to script avsnitt som i prinsipp skulle ha samme effekt som å sette samtlige policies til ACCEPT.

Dersom man forlater "standardmåtene" å gjøre tingene på i iptables, ved for eksempel å lage "en bokstavtolkning" av man pagen, så kan iptables til tider oppføre seg nesten irrasjonelt, man er i alle fall avhengig av å teste en hel del.

Forslag:

1. Avsnittene "mrtg trafic in" og "mrtg trafic out" utfører ikke så vidt jeg kan se andre funksjoner enn å sette firewall helt åpen. Disse to avsnittene erstattes med følgende policy definisjon:

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

Konfigurerer man på denne måten med 100 % åpen firewall så forutsetter dette at man har en hardware firewall forran Linux maskinen. Finnes det ??

Policy setningene settes ellers inn rett etter flushe setningene.

2. Postrouting setningen er også "ustandard". Ta vekk "-d ! $LOCALNET"

3. Forsøk også midlertidig å krysse ut mangle setningene mens du feilsøker. Ta eventuelt vekk kryssene når det hele kjører slik at du har eleminert problemer med disse i løpet av feilsøkingen.

Legg også beskjed hvis det ikke er meningen å kjøre med 100 % åpen firewall. Framgangsmåten for å sette opp en firewall pleier normalt å være å sette alle 3 hovedpolicies til DROP og så åpne for porter og protokoller etter behov.

Feilen kan vel kanskje ligge andre steder (?) ettersom jo firewall i prinsipp skulle stå 100 % åpen hvis ikke "bugs" og "ikke standard løsninger" gjør at den ikke gjør det allikevell.

mrtg sektionerne er kun lavet, for at kunne bruge bytes-tællerne til at lave grafer over input og output

Det skal dog også lige siges, at alt virker fra selve serveren. Problemerne opstår på klienterne på indersiden af nettet. Ting der ikke virker, er fx usenet, visse websider (er dog løst med en squidløsning) og enkelte mailservere (hvor den fint logger ind, men ikke kan hente beskederne)

Da ligger feilen sansynligvis først og fremst her:

2. Postrouting setningen er også "ustandard". Ta vekk "-d ! $LOCALNET"

Det er jo i utgangspunktet 100% problemfritt å sette opp en "firewall" som er helt åpen og som kun innholder forwarding, dersom man tar utgangpunkt i de standardløsninger som finnes for dette. Ved å lage et standard firewall script først som man vet kjører feilfritt, og så eventuelt legge spesialiteter etterpå så kan man jo vite eksakt hvor feilen eller problemet ligger.

Hvis du eventuelt legger ut scriptet som text så kan du få tilbake et "standardscript" laget "på vanlig måte" som gjør det samme.

ok .. som du vil .. et ganske simpelt udgangspunkt:

---------
echo "Setting up internet routing"

IPTABLES="/sbin/iptables"
LOCALNET="192.168.1.0/24"

$IPTABLES -F
$IPTABLES -t nat -F

$IPTABLES -t nat -A POSTROUTING -j MASQUERADE

echo 1 > /proc/sys/net/ipv4/ip_forward
---------

samme resultat. Alt virker på serveren, men _enkelte_ ting virker ikke på klienterne"

Opgradering af Roaring PPPoE fra 3.3 til 3.5 så var der hul igennem til alt :)

#!/bin/bash

echo 1 > /proc/sys/net/ipv4/ip_forward

modprobe ip_conntrack
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

iptables -F
iptables -t nat -F
iptables -t mangle -F

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -t nat -A POSTROUTING -j MASQUERADE



Mulig eller faktisk sansylig at jeg har lagt på en eller to unødvendige kernelmoduler. Forsøk først med så uten (for alle tilfellers skyld.)

Har ikke noe nettverk her der trafikken kjører gjennom linux, så får ikke prøvd routingen, men dette bør da fungere ??!

OK så ikke den siste .. testet syntaks mens du skrev ..

At output og forward står til accept er jo ellers ikke så galt pga at nat funksjonen uansett gir beskyttelse inn mot lan.

input på linux maskinen bør under ingen omstendigheter stå til accept dersom den er koplet direkte opp mot internett. Policy bør settes til drop og så bør det åpnes for enkeltporter og protokoller etter behov.

Smid et svar så du kan få nogle point :)

Nå tak, det var da egentlig ikke stort ..

Her er en link til en iptables script laget av eksperten medlem dank.
Vet ikke om jeg er absolutt 110 % enig i alle detaljer i disse scriptene men det gir da et ganske bra utgangspunkt for å kustomize selv. Man har i utgangspunktet flesteparten av syntaks elementene på plass og da kjører det hele ofte litt enklere:

http://iptables.1go.dk/index1.php