Avatar billede spm Nybegynder
04. september 2004 - 19:25 Der er 35 kommentarer og
1 løsning

Iptables firewall.. lidt hjælp

hej. Jeg har et par spørgsmål. Det drejer sig om iptables. Jeg har aldrig rigtigt fattet hvordan det virker. Lige nu ser min sådan ud på serveren:

# Firewall configuration written by lokkit
# Manual customization of this file is not recommended.
# Note: ifup-post will punch the current nameservers through the
#      firewall; such entries will *not* be listed here.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Lokkit-0-50-INPUT - [0:0]
-A INPUT -j RH-Lokkit-0-50-INPUT
-A FORWARD -j RH-Lokkit-0-50-INPUT
-A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 193.162.153.164 --sport 53 -d 0/0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -s 194.239.134.83 --sport 53 -d 0/0 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp -j REJECT
COMMIT
~

Er alle huller lukket?? Hvad skal der evt gøres?? som det er nu virker ssh, pop3, apache mysql mv fint. og jeg kan også komme ind på serveren fra client computerne med ip 192.168.0.x

Der næst. hvis nu jeg skal åbne for éen bestemt port f.eks. 93, hvad skal jeg så helt præcist gøre og skrive.

mvh Søren..

Der tildeles 60points da der garanteret er meget forklarings-halløj
Avatar billede bufferzone Praktikant
04. september 2004 - 20:03 #1
Her kan du hente et dokument, der bl.a. indeholder en tutorial der på bedste vis forklare IPTables opsætning of de forskellige entries

http://www.giac.org/practical/Peter_Vestergaard_GCFW.zip
Avatar billede spm Nybegynder
04. september 2004 - 20:30 #2
Desværre, men det giver mig ikke nogle svar på noget som helst..
Avatar billede benneharli Juniormester
04. september 2004 - 20:43 #3
Her er der et link til at lave en IPtables. Sådan en slags multible choice. Den virker i hverfald, og der er du sikker på hvad der er lukket og åbent. Så kan du jo sammenligne.

Server: http://www.lowth.com/LinWiz/1.09/ServerFirewall/fw.pl/iptables
Workstation: http://www.lowth.com/LinWiz/1.09/PersonalFirewall/fw.pl/iptables
Avatar billede benneharli Juniormester
04. september 2004 - 20:43 #4
Taget fra mrmox2 artikel om samba
Avatar billede strych9 Praktikant
05. september 2004 - 10:50 #5
Med iptables -L -n kan du se de aktive regler. Hvis du paster output her så skal jeg sige dig om huller er lukket eller ej.. Det du har givet er nemlig ikke scriptet i sin fulde længde. Eventuelt er andre dele af det gemt i andre filer.
Avatar billede spm Nybegynder
05. september 2004 - 11:09 #6
okay. SÅ finder jeg lige iptables -L -n frem...

kig på www.michaelsenonline.dk/upload/ipt.txt
Det er et meget stor fil:)

Men nu prøver jeg lige at lave en ny firewall med det overstående link...
Avatar billede spm Nybegynder
05. september 2004 - 11:33 #7
hmm.. da jeg smed dette ind og genstartede iptables gik netværket ud til mine client computer døde.. de kunne ikke bruge internettet:

sådan her ser den ud:# Created: Sun Sep  5 10:15:29 2004
# By    : LinWiz://ServerFirewall, 1.09
# URL    : http://www.lowth.com/LinWiz/1.09
#
# This file is provided under the terms of the GNU General Public
# License which governs your rights to use and redistribute it, and
# highlights the fact that it is provided with NO WARRANTY what so ever.
# The full text of the license can be viewed on line at ..
#    http://www.lowth.com/LinWiz/1.09/COPYING.txt
# Do not use this file if you disagree with these terms.
#
#
# This facility is available free of charge. If you have found it
# useful, please consider helping to keep it free by using the
# www.lowth.com website as your gateway to Amazon.com or Amazon.co.uk
# when you buy books, music, computers etc from them. This costs you
# nothing extra - but Amazon pays Lowth.com a small commission on any
# purchases you make via this route. This goes to help funding the
# continued development of LinWiz and related tools.
#
# Please use the following links to get to the Amazon site
#
http://www.lowth.com/LinWiz/us-shop (USA and Canadian purchases)
http://www.lowth.com/LinWiz/uk-shop (UK and European)
#
# If you live elsewhere - just choose the one nearest to you.
#                    Thank You

IPTABLES=/sbin/iptables

# Flush, Init and Zero the 'built-in' chains

$IPTABLES -F INPUT; $IPTABLES -P INPUT ACCEPT; $IPTABLES -Z INPUT
$IPTABLES -F FORWARD; $IPTABLES -P FORWARD ACCEPT; $IPTABLES -Z FORWARD
$IPTABLES -F OUTPUT; $IPTABLES -P OUTPUT ACCEPT; $IPTABLES -Z OUTPUT

# Setup user-defined chains

$IPTABLES -X
$IPTABLES -N ADDRESS-FILTER;
$IPTABLES -N LINWIZ-INPUT;
$IPTABLES -N REJECT-PKT;
$IPTABLES -N SYN-FLOOD;

$IPTABLES -A INPUT -j LINWIZ-INPUT

######################################################################
# Allow all loopback interface traffic

$IPTABLES -A LINWIZ-INPUT -i lo -j ACCEPT

# Block all attempts to spoof the loopback address

$IPTABLES -A LINWIZ-INPUT -s 127.0.0.0/8 -j DROP
$IPTABLES -A LINWIZ-INPUT -d 127.0.0.0/8 -j DROP

# Block all attempts to spoof the local IP address

$IPTABLES -A LINWIZ-INPUT -s 80.196.247.167 -j DROP

# Block Syn Flood attacks

$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --syn -j SYN-FLOOD

# Ensure that TCP connections start with syn packets

$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp ! --syn -m state --state NEW -j DROP

# Allow session continuation traffic

$IPTABLES -A LINWIZ-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Allow ICMP ping requests from all hosts

$IPTABLES -A LINWIZ-INPUT -p icmp -m icmp --icmp-type ping -j ACCEPT

# Call the IP and MAC address filtering chain

$IPTABLES -A LINWIZ-INPUT -j ADDRESS-FILTER

# Allow selected TCP/IP and/or UDP services

$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --dport 20:22 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --dport 25 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --dport 80 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --dport 110 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --dport 139 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --dport 161 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --dport 194 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --dport 389 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --dport 411 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --dport 443 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --dport 465 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --dport 515 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --dport 636 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --dport 994:995 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --dport 1512 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p tcp -m tcp --dport 6000:6002 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p udp -m udp --dport 53 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p udp -m udp --dport 123 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p udp -m udp --dport 137:138 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p udp -m udp --dport 161:162 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p udp -m udp --dport 177 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p udp -m udp --dport 411 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p udp -m udp --dport 1512 -j ACCEPT
$IPTABLES -A LINWIZ-INPUT -p udp -m udp --sport 137:138 -j ACCEPT

# Block all other TCP/IP and UDP traffic

$IPTABLES -A LINWIZ-INPUT -j REJECT-PKT

######################################################################
# Syn flood filtering chain

$IPTABLES -A SYN-FLOOD -m limit --limit 1/s --limit-burst 4 -j RETURN
$IPTABLES -A SYN-FLOOD -j DROP

######################################################################
# Chain used to reject all TCP/IP, UDP and ICMP/PING packets

$IPTABLES -A REJECT-PKT -p tcp -m tcp -j REJECT --reject-with tcp-reset
$IPTABLES -A REJECT-PKT -p udp -m udp -j REJECT --reject-with icmp-port-unreachable
$IPTABLES -A REJECT-PKT -p icmp -m icmp --icmp-type ping -j REJECT --reject-with icmp-host-unreachable

######################################################################
# IP and MAC address filtering chain

$IPTABLES -A ADDRESS-FILTER -s 192.168.0.1 -j RETURN
$IPTABLES -A ADDRESS-FILTER -s 192.168.0.2 -j RETURN
$IPTABLES -A ADDRESS-FILTER -s 192.168.0.3 -j RETURN
$IPTABLES -A ADDRESS-FILTER -s 192.168.0.4 -j RETURN
$IPTABLES -A ADDRESS-FILTER -s 192.168.0.5 -j RETURN
$IPTABLES -A ADDRESS-FILTER -s 192.168.0.6 -j RETURN
$IPTABLES -A ADDRESS-FILTER -s 192.168.0.7 -j RETURN
$IPTABLES -A ADDRESS-FILTER -s 192.168.0.8 -j RETURN
$IPTABLES -A ADDRESS-FILTER -s 192.168.0.9 -j RETURN
$IPTABLES -A ADDRESS-FILTER -j REJECT-PKT
Avatar billede strych9 Praktikant
05. september 2004 - 11:36 #8
Din nuværende firewall:

1) Tillader alle former for udgående traffik (ACCEPT    all  --  0.0.0.0/0            0.0.0.0/0)

2) Fungerer som router og tillader traffik mellem 192.168.*.* og det offentlige net(ACCEPT    all  --  192.168.0.0/24      0.0.0.0/0)

3) Tillader traffik fra alle steder til ip range 80.196.247.160 - 80.196.247.176 på portene 110 (pop3), 25 (smtp), 31337, 20, 21, 22, 80, 443, 143, 67-68.
ACCEPT    tcp  --  0.0.0.0/0            80.196.247.160/28  tcp dpt:110
ACCEPT    udp  --  0.0.0.0/0            80.196.247.160/28  udp dpt:110
ACCEPT    tcp  --  0.0.0.0/0            80.196.247.160/28  tcp dpt:25
ACCEPT    udp  --  0.0.0.0/0            80.196.247.160/28  udp dpt:25
.
.

4) Din firewall tillader FXP
ACCEPT    tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spt:22 dpts:513:65535 flags:!0x16
/0x02 state RELATED
ACCEPT    tcp  --  0.0.0.0/0            0.0.0.0/0          tcp spt:20 dpts:1023:65535 flags:!0x1
6/0x02 state RELATED

5) Din firewall lukker alle former for UDP pakker igennem til (næsten) alle porte.
ACCEPT    udp  --  0.0.0.0/0            80.196.247.160/28  udp dpts:1023:65535

Der kunne selvfølgelig godt strammes op. Feks på punkt 5. Du kan sammenholde det med outputtet af lsof -i (kræver at du installerer lsof pakken).

For at tillade traffik til en ny port, feks port 93 skal du tilføje følgende linje:
-A RH-Lokkit-0-50-INPUT --dport 93 -j ACCEPT
Ligemeget hvor, bare det står ovenfor ordet "COMMIT".
Avatar billede spm Nybegynder
05. september 2004 - 12:16 #9
okay.
Jeg tror jeg hopper tilbage til den firewall som du lige har givet info omkring, hvordan får jeg gjort sådan så den ikke acceptere alle jævnfør dit punkt 1, for det kan jo ikke være godt, vel?
Avatar billede strych9 Praktikant
05. september 2004 - 13:24 #10
Det er som man ser på det.

Hvis du ønsker at begrænse hvad klienterne på dit net kan og ikke kan så skal du sætte policies i output chain. Men det betyder simpelthen at du så skal huske at sætte ALT hvad klienterne må kunne manuelt. Alt fra MSN, ICQ, ftp, www, DNS opslag, p2p, smb osv. Det er ofte ikke praktisk, og husk på at dette ikke er zone alarm. - Den kommer ikke med flinke beskeder om at "dette program vil gerne have lov at bruge nettet, klik på dit og dat hvis du vil tillade dette". Den lukker simpelthen bare, og brugeren sidder og klør sig i nakken over det.  Du skal have et formål med at lukke for outgoing, ellers giver det ingen mening.

Men kommandoerne kan jeg da godt give dig:
iptables -P OUTPUT DROP
for at ændre default policy i output til at smide pakkerne væk. I dit script vil det betyder en ændring af :OUTPUT ACCEPT [0:0] til :OUTPUT DROP [0:0]

For at tilføje en port på en remote server som en klient på dit net kan tilgå:
-A OUTPUT --dport 8080 -j ACCEPT
for at åbne for udgående til port 8080..
Avatar billede spm Nybegynder
05. september 2004 - 18:52 #11
nu kan jeg ikke få gang i min iptables igen, selvom at jeg kopier den gamle iptables ind og så genstarten iptables. den vil ikke fører internette ud til clienter?? nogen bud`?
Avatar billede strych9 Praktikant
05. september 2004 - 21:17 #12
ja.. men det tager for lang tid at skrive. Bare prøv at genstarte maskinen.
Avatar billede langbein Nybegynder
07. september 2004 - 11:28 #13
Nei .. det store scriptet over mangler vel alle de tingene som skal til for å få til en routerfunksjon og en delt internettforbindelse. ??!! Ser ut til å være et "rent serverscript". Synes det er unødvendig kompisert laget slik at det blir veldig vanskelig å lese. Se ellers: http://iptables-script.dk/index1.php
Avatar billede spm Nybegynder
07. september 2004 - 12:21 #14
Jeg har været lidt inde at se på den side langbein. Men, jeg kan ikke huske hvilket netkort der er hvad....
(har ikke været hjemme i et halv år og har slet ikke brugt computer i et halv år... så glemmer man helt automatisk nogle komandoer...)
Avatar billede strych9 Praktikant
07. september 2004 - 12:46 #15
skriv "ifconfig"
så hjælper det vel på hukommelsen =)
Avatar billede spm Nybegynder
07. september 2004 - 12:58 #16
Nååååååååååå ja...
Nu ringer der klokker i hoved på mig:)
Avatar billede spm Nybegynder
07. september 2004 - 13:03 #17
firewallen inde fra  http://iptables-script.dk  skal jeg køre det som et script altså sådan  ./iptables-script  eller kan jeg bare smide det færdige produkt ind i iptables og så gemme og genstarte???
Avatar billede langbein Nybegynder
07. september 2004 - 13:17 #18
Du kan kjøre scriptet for eksempel slik:

"bash <scriptnavn>"

Sjekke tatus:

"iptables -L" og "iptables -t nat -L"

Når man kjører scriptet på denne måten så vil firewaall være resatt til det opprinnelige ved neste booting.

Man kan event også sette opp tingene slik at scriptet kjøres automatisk ved oppstart.
Avatar billede spm Nybegynder
07. september 2004 - 14:20 #19
okay..
det prøver jeg lige..
kender du evt noget til at lave en VPN server???
for min søster som bor laaaang væk skal nemlig gerne have adgang til mit privat net...
(der vanker ekstra points)
Avatar billede spm Nybegynder
07. september 2004 - 14:29 #20
hmm.. nå jeg skriver bash "script navn" kommer den med dette:
: command not found
: command not found
: Ingen sådan fil eller filkatalog4/ip_forward
: command not found
: command not found
modprobe: Can't locate module ip_nat_ftp
modprobe: Can't locate module ip_conntrack_ftp
: command not found
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
iptables: No chain/target/match by that name
: command not found
iptables: Bad policy name
iptables: Bad policy name
iptables: Bad policy name
: command not found
'ptables v1.2.7a: Invalid target name `MASQUERADE
Try `iptables -h' or 'iptables --help' for more information.
' (No aliases, :, ! or *).n interface `eth0
' specified.2.7a: invalid mask `24
Try `iptables -h' or 'iptables --help' for more information.
'ptables v1.2.7a: Invalid target name `ACCEPT
Try `iptables -h' or 'iptables --help' for more information.
: command not found
' specified.2.7a: invalid TCP port/service `80
Try `iptables -h' or 'iptables --help' for more information.
' specified.2.7a: invalid TCP port/service `21
Try `iptables -h' or 'iptables --help' for more information.
' specified.2.7a: invalid TCP port/service `110
Try `iptables -h' or 'iptables --help' for more information.
' specified.2.7a: invalid TCP port/service `25
Try `iptables -h' or 'iptables --help' for more information.
' specified.2.7a: invalid TCP port/service `22
Try `iptables -h' or 'iptables --help' for more information.
: command not found
'ptables v1.2.7a: Invalid target name `ACCEPT
Try `iptables -h' or 'iptables --help' for more information.
: command not found
: command not found
: Ingen sådan fil eller filkatalogv4/ip_forward

den kan da umuligt være godt
Avatar billede langbein Nybegynder
07. september 2004 - 14:42 #21
Fo å sjekke om iptables kjører, skriv "iptables -L" og se om det kommer en fornuftig listing.

Jeg ville ikke forsøkt å kjøre det store iptables scriptet over. Det er etter mitt syn for komplisert laget, dvs det har for mange feilkilder til at det er særlig praktisk å jobbe med.

Ville ha forsøkt et script fra iptables-script.dk Gir det også feilmeldinger ? Hva med "iptables -L" kommandoen ?
Avatar billede langbein Nybegynder
07. september 2004 - 14:43 #22
Bruker ellers "bash <scriptnavn>" på RedHat nesten hver dag, og det pleier da å fungere.
Avatar billede spm Nybegynder
07. september 2004 - 15:25 #23
kan du ikke skrive helt nøjagtigt hvad du ville have gjort. nu har jeg lave en fil der hedder firewall og den ser sådan ud:

#!/bin/sh

# iptables script generator: V0.1-2002
# Comes with no warranty!
# e-mail: michael@1go.dk

# Diable forwarding
echo 0 > /proc/sys/net/ipv4/ip_forward

LAN_IP_NET='192.168.0.1/24'
LAN_NIC='eth0'
WAN_IP='80.196.247.167'
WAN_NIC='eth1'

# load some modules (if needed)
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

# Flush
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# enable Masquerade and forwarding
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE
iptables -A FORWARD -j ACCEPT -i $LAN_NIC -s $LAN_IP_NET
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Open ports on router for server/services
iptables -A INPUT -j ACCEPT -p tcp --dport 80
iptables -A INPUT -j ACCEPT -p tcp --dport 21
iptables -A INPUT -j ACCEPT -p tcp --dport 110
iptables -A INPUT -j ACCEPT -p tcp --dport 25
iptables -A INPUT -j ACCEPT -p tcp --dport 22

# STATE RELATED for router
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


# Enable forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

Den er fra iptables-script
sidst der skrev jeg bash firewall og så skrev den alle de fejlmeldinger som skrevet oven over.
så omdøbte jeg firewall til iptables og skrev: bash iptables og så kom de samme fejl..
Den kører stadig med den "gamle" iptables som står aller øverst på siden.
kører jeg iptables -L får jeg en masse info. kan ses på www.michaelsenonline.dk/iptables-log.txt
Der fremgår det også at den sender internettet videre ud på det lokale net, men det gør den ikke..
Avatar billede langbein Nybegynder
07. september 2004 - 16:26 #24
Det er ingen som helst sammenheng mellom iptables log teksten og dette scriptet, slik at scriptet av en eller annen grunn ikke blir kjørt. Skulle tro at dette kanskje hadde noe med rettigheter å gjøre.

Når du forsøker å kjøre scriptet, er du da pålogget som "root" ?? (For det må man vel være..)
Avatar billede langbein Nybegynder
07. september 2004 - 16:29 #25
Scriptet ser jo ellers "riktig ut" sånn bedømt på "løst øyemål", dvs det har de funksjonene som behøves på en gateway server, hvis du nå bare fikk det til å kjøre ..
Avatar billede spm Nybegynder
07. september 2004 - 16:53 #26
Kan jeg tage det produkt som iptables-script giver mig og smide ind i iptables og så genstart serveren????

(ja, jeg logget på som root)
Avatar billede strych9 Praktikant
07. september 2004 - 19:45 #27
Det kommer ikke til at køre:
modprobe: Can't locate module ip_nat_ftp
modprobe: Can't locate module ip_conntrack_ftp

Du mangler kernel modulerne for NAT og connection tracking for ftp. Husk på at iptables bare er et userspace program til at styre den mekanisme i kernel der hedder Netfilter. Visse dele af Netfilter kan som så mange andre ting i kernel laves som et eksternt modul som skal loades inden man kan benytte funktionen.

Du bliver nødt til enten at sikre dig at du har de nødvendige moduler ved feks at omkompilere kernel, eller at holde dig til scripts som ikke benytter disse specielle ting.
Avatar billede strych9 Praktikant
07. september 2004 - 19:47 #28
og husk iøvrigt chmod 755 script.txt før du forsøger at køre scripts..
Avatar billede miloz Nybegynder
07. september 2004 - 21:36 #29
Hi smp

There is an answer on your VPN question (assume your sister uses Windows??)

1.
Setup PPtP server on using static addresses (e.g. your sister will always get a predefined IP address based on user name).

Platform: RH 8.0

The firewall needs to be opened at: (that is the above firewall script mention in all the above ansvers).

# PPTP access note! it is only an ex.

/sbin/iptables -A INTERNET-PRIVATENETWORK -p tcp -d $VARIABLE --dport 47 -j ACCEPT
/sbin/iptables -A INTERNET-PRIVATENETWORK -p tcp -d $VARIABLE --dport 1723 -j ACCEPT
/sbin/iptables -A INTERNET-PRIVATENETWORK -p 47  -d $VARIABLE-j ACCEPT

Install following Mandrake RPM packages:
tcp_wrappers-7.6-22mdk.i586.rpm
ppp-2.4.1-2mdk
pptpd-server-1.0.1-1mdk

like this.
rpm -ivh tcp_wrappers-7.6-22mdk.i586.rpm
rpm -ivh ppp-2.4.1-2mdk
rpm -ivh pptpd-server-1.0.1-1mdk

Edit the /etc/pptpd.conf file to include:
speed 115200
debug
localip [your firewall ipaddress]

Edit /etc/ppp/chap-secrets to include.

# Username        Server    password        IP
#--------------------------------------------------------------
initials1      *      password                192.168.X.Y
initials2      *      password                192.168.X.Y
initials3      *      password                192.168.X.Y

Followings to into to /etc/ppp/options file:
debug
name [firewall hostname]
auth
require-chap
proxyarp
ms-dns [your firewall ipaddress]

-- THAT'S IT. --

2.

Connect with a windows/2000/XP client:

Setup the client as below.

Use the netvork connection wizard and select "setup a VPN connection" . As this will be a connection through the internet via ex. LAN --> Internet --> Firewall--> LAN.

type the hostname of the firewal or it's ipaddress

-Save the connection with a name e.g. VPNCONNECTION .

now scale down the MS authentication scheme, VPNCONNECTION properties and de-select the "require data-encryption" (located at the security tab) which will allow the client to connect.
Then go to networking tab and choose type of VPN --> PPtP.
furthermore remember to specify that the connection SHOULD NOT use the VPN as default gateway-(networking tab ---> internet prococol -->properties --> advanced the deselect(or else she'll use your firewall as her Default gateway..)

Kind regards
Camilla
Avatar billede langbein Nybegynder
07. september 2004 - 23:36 #30
Fra innlegg over:

"Det kommer ikke til at køre:
modprobe: Can't locate module ip_nat_ftp
modprobe: Can't locate module ip_conntrack_ftp"

Kommentar: Samtlige av de distribusjonene fra RedHat som jeg har testet dette på har hatt kernel moduler for ftp connection tracking. Testet dette på en RedHat server akkurat nå, og modulene loader helt fint.

For å teste ut dette så kan man godt kjøre kommando "modprobe ip_nat_ftp" og "modprobe ip_conntrack_ftp" fra shell. Normalt så skal dette gå helt fint og det skal ikke komme noen feilmeding. Der etter så kan man sjekke hvilke slike kernelmoduler man har kjørende via kommando "modprobe -l".

Disse to kernelmodulene er helt nødvendig for å få Linux til å natte en ftp forbindelse. Samtlige Linux firewall/routere som har ftp nat funksjonalitet benytter disse kernelmodulene. Grunnen til at loading av disse modulene ikke inngår i en del firewall script det er at disse to kernelmodulene allerede er loadet som standard i ganske mange Linux distribusjoner. Det skjer imidlertid ingen skade ved eventuelt å laste dem en gang til. Man kan selvfølgelig kjøre uten disse to modulene dersom man for eksempel har en spesiell kernel som er kompilert uten støtte for ftp nat. Da krysser man eventuelt bare ut de to setningene i firewall scriptet.

"Du mangler kernel modulerne for NAT og connection tracking for ftp." Har som nevnt tilgode å teste ut en RedHat fra 7.1-7.2-7.3-8.0-9.0-Fedora C1 og Fedora C2 som ikke har disse modulene på plass. Testet ut Core 2 via remoote shell akkurat nå.

"Du bliver nødt til enten at sikre dig at du har de nødvendige moduler ved feks at omkompilere kernel, eller at holde dig til scripts som ikke benytter disse specielle ting."

Nei det er normalt ikke nødvendig å rekompilere kernel for å få de kernelmodulene som følger med som standard. Samtlige Linux firewall routere med kernel 2.4.x og 2.6.x benytter så vidt meg bekjendt disse kernel modulene for å ivareta ftp nat funksjonen. Grunnen til at enkelte script tar disse modulene med er som en ekstra sikkerhet i det tilfellet at modulene ikke lastes automatisk som standard. På den RedHat serveren jeg har kjørende her så lastes alle NAT kernelmodulene automatisk slik at det ikke spiller noen rolle fra eller til om man legger til en ekstra kommando for å sikre at de virkelig er loadet.

Som sagt man kan laste modulene "manuelt" fra shell for å sjekke at det går bra og man kan også se på status for hvilke moduler som kjører via kommando "modprobe -l".

Skulle det være noe feil i det som står over, så skulle jeg være meget interessert i en link eller noe liknende som bekrefter et slikt synspunkt. (For alle ting er jo i stadig utvikling når det gjelder Linux og det som en dag er det riktige vil en gang i tiden ikke lengere være det.)

MVH Langbein
Avatar billede langbein Nybegynder
07. september 2004 - 23:54 #31
Ellers så ser den iptables setningen som sørger for delt internetforbindelse ut omtrent slik ut:

iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE

alternativt:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

alternativt:

iptables -t nat -A POSTROUTING -o eth -j SNAT --to-source <ip_address>

Den sentrale kommando eller "ord" for å sette opp en delt internettforbindelse ut gjennom en Linux firewall/router er altså "POSTROUTING" . Uten at dette ordet forekommer så har man ingen delt internettforbindelse ut. Skal man tilsvarende addressere servere inne på LAN så bruker man ordet "PREROUTING".
Avatar billede langbein Nybegynder
08. september 2004 - 00:04 #32
Dersom man bare skal ha en delt internettforbindelse opp å kjøre så bør man i de fleste tilfeller kunne kjøre omtrent dette som root:

# Flushe
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

# Sette default policies
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

# Delt internettforbindelse:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


Man sjekker så status med "iptables -L" og "iptables -t nat -L"


Alternativt, ønsker man å åpne firewall inn til server, for eksempel fordi man har et adsl router/modem med firewall in front så kjører man omtrent slik:

# Flushe
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F

# Sette default policies
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

# Delt internettforbindelse:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

(Her står firewall inn til server helt åpen !)
Avatar billede langbein Nybegynder
08. september 2004 - 00:08 #33
Testkjørte akkurat nå ved hjelp av kommando "bash firewalltest" og det ser da ut til å fungere. "firewalltest" er selvfølgelig navnet på scriptet.
Avatar billede spm Nybegynder
08. september 2004 - 13:29 #34
Så har jeg endelig lang om længe fået det til at virke..

Hr. Langbein, smider du lige et svar?
Avatar billede langbein Nybegynder
08. september 2004 - 14:43 #35
Det er ikke så nøy med de poengene. Jeg har fått hjelp her på eksperten mange ganger tidligere når jeg har stått fast, og det er i grunnen det som er det viktige :)
Avatar billede spm Nybegynder
08. september 2004 - 20:47 #36
okay.. Men jeg vil altså gerne give dig nogen for den udførlige vejledning!!!!!!
man, TAK
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester