Er der nogen som gider hjælpe mig med at lave et firewall script til min linux server. Det ville være fint som der var nogen der kunne hjælpe mig med starten, hvorefter jeg så selv kunne tilføje flere porte der skulle åbnes for. derudover selvfølgelig at vide hvordan jeg starter scriptet og stopper det :) Min server kører med kun 1 interface.
er der nogen der kan hjælpe mig igang med det uden at det bare er henvisninger til andre sites ;)
### SLETNING AF GAMLE KONFIGURATIONER ### /sbin/iptables -F INPUT /sbin/iptables -F FORWARD /sbin/iptables -F $chainname /sbin/iptables -t nat -F POSTROUTING
### OPRETTELSE AF NY KÆDE ### /sbin/iptables -N $chainname #Opretter kæden "udefra" /sbin/iptables -A INPUT -i eth0 -j $chainname #Sender alt trafik videre til udefra kæden /sbin/iptables -I FORWARD -p tcp --dport 23 -j DROP #Lukker for alt telnet trafik /sbin/iptables -I $chainname -m state --state ESTABLISHED,RELATED -j ACCEPT #Tillader trafik indefra og ud /sbin/iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT #Tillader trafik indefra og ud
det er meget vigtigt at der først og fremmest er åbent for SSH for det er den eneste måde jeg har adgang til serveren. Også selvfølgelig at jeg kan starte og stoppe den som det passer mig :)
To forskjellige script. Det ene soerger for en riktig konfigurert firewall. Det annet for en helt aapen firewall. Er inne fra en Mepis Live Linux og mangle skandinaviske bokstaver :)
Laget ellers i sin tid en kopi av den danske firewall script generatoren, men la også inn en del endringer selve den delen som genererer scriptene, slik at scriptene ikke blir helt de samme. Fortsatt en del småfeil jeg ikke har fått rettet opp, men man har da et minste et "grunnskript" man kan redigere ut i fra:
nu får jeg denne her fejl... mangler jeg at installere noget på min server??
modprobe: Can't open dependencies file /lib/modules/2.4.20-021stab022.11.777-enterprise/modules.dep (No such file or directory) iptables v1.2.6a: can't initialize iptables table `nat': Table does not exist (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded. iptables: No chain/target/match by that name iptables: Table does not exist (do you need to insmod?) iptables: Table does not exist (do you need to insmod?) : command not found iptables: Bad policy name iptables: Bad policy name iptables: Bad policy name : command not found 'ptables v1.2.6a: Invalid target name `ACCEPT Try `iptables -h' or 'iptables --help' for more information. 'ptables v1.2.6a: Invalid target name `ACCEPT Try `iptables -h' or 'iptables --help' for more information. 'ptables v1.2.6a: Invalid target name `ACCEPT Try `iptables -h' or 'iptables --help' for more information. 'ptables v1.2.6a: Invalid target name `ACCEPT Try `iptables -h' or 'iptables --help' for more information. 'ptables v1.2.6a: Invalid target name `ACCEPT Try `iptables -h' or 'iptables --help' for more information. 'ptables v1.2.6a: Invalid target name `ACCEPT Try `iptables -h' or 'iptables --help' for more information. 'ptables v1.2.6a: Invalid target name `ACCEPT Try `iptables -h' or 'iptables --help' for more information. 'ptables v1.2.6a: Invalid target name `ACCEPT Try `iptables -h' or 'iptables --help' for more information. 'ptables v1.2.6a: Invalid target name `ACCEPT Try `iptables -h' or 'iptables --help' for more information. 'ptables v1.2.6a: Invalid target name `ACCEPT Try `iptables -h' or 'iptables --help' for more information. : command not found iptables: No chain/target/match by that name
det firewall script... starter det med at lukke alt ude også skal jeg så definere hvilke porte der er åbnet?? fordi jeg synes at når jeg fjerner den med port 80, så kan jeg stadig tilgå web udefra???
ahhhhh jeg får stadig samme fejl... det er iptables version 1.2.6a min kernel er version 2.4.20-021stab022.11.777-enterprise
men får stadig:
: command not found modprobe: Can't open dependencies file /lib/modules/2.4.20-021stab022.11.777-enterprise/modules.dep (No such file or directory) iptables v1.2.6a: can't initialize iptables table `nat': Table does not exist (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded. iptables: No chain/target/match by that name iptables: Table does not exist (do you need to insmod?) iptables: Table does not exist (do you need to insmod?) : command not found iptables: Bad policy name iptables: Bad policy name iptables: Bad policy name : command not found 'ptables v1.2.6a: Invalid target name `ACCEPT Try `iptables -h' or 'iptables --help' for more information. 'ptables v1.2.6a: Invalid target name `ACCEPT Try `iptables -h' or 'iptables --help' for more information. 'ptables v1.2.6a: Invalid target name `ACCEPT Try `iptables -h' or 'iptables --help' for more information. 'ptables v1.2.6a: Invalid target name `ACCEPT Try `iptables -h' or 'iptables --help' for more information. 'ptables v1.2.6a: Invalid target name `ACCEPT Try `iptables -h' or 'iptables --help' for more information. 'ptables v1.2.6a: Invalid target name `ACCEPT Try `iptables -h' or 'iptables --help' for more information. 'ptables v1.2.6a: Invalid target name `ACCEPT Try `iptables -h' or 'iptables --help' for more information. 'ptables v1.2.6a: Invalid target name `ACCEPT Try `iptables -h' or 'iptables --help' for more information. 'ptables v1.2.6a: Invalid target name `ACCEPT Try `iptables -h' or 'iptables --help' for more information. 'ptables v1.2.6a: Invalid target name `ACCEPT Try `iptables -h' or 'iptables --help' for more information. : command not found 'ptables v1.2.6a: Invalid target name `ACCEPT Try `iptables -h' or 'iptables --help' for more information.
: command not found iptables: No chain/target/match by that name iptables: Table does not exist (do you need to insmod?) iptables: Table does not exist (do you need to insmod?) : command not found iptables: Bad policy name iptables: Bad policy name iptables: Bad policy name : command not found
Stort sett de fleste distribusjoner, men ikke samtidig. Fedora + Slackware + sme server akkurat nå. Alle Linux distribusjoner av nyere type som jeg har prøvd kan kjøre denne:
nu har jeg fået reinstalleret min server med RedHat istedet og nu kørte jeg fwopen scriptet og det virkede... men da jeg kørte fwclosed, så tror jeg den kørte den : #!/bin/sh iptables -F iptables -X iptables -Z
og derefter blev jeg lukket ude da den den skrev at den chain var forkert. Men kan det være fordi at netkortet i serveren ikke hedder eth0, men venet0 ??
nu venter jeg lige på at han genstarter serveren så jeg kan komme ind i den igen :)
"venet0:00" Den har jeg ikke sett før ?? Alle kort skal komme opp når du taster kommando "ifconfig".
At man "låser seg ute" er en ganske "normal" hendelse så man skal tenke seg godt om før man taster enter hvis det dreier seg om en remoote server med problemer med reboot.
Har testet denne på Fedora Core 2 akkurat nå: iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Laget ellers også akkurat nå en copy past av dette:
Den sørger for at "stateful inspection prinsippet" blir ivaretatt for inngangen til serveren, dvs at den åpnet dynamisk for returtrafikk ved behov.
Dette behovet, mener jeg kun vil eksistere når du bruker serveren som klient, slik at den har behov for å åpne for returtrafikk i forbindelse med dette. Det kan være behof for dette, for eksempel ifb med dns opslag.
Det kan vel være at serverens kernel ikke er satt opp til å støtte statefull inspection ? Hvis man ikke har stateful inspection i kernel og man har behov for dynamisk åpning for returtrafikk som er satt opp fra innsiden, så er alternativet å åpne for alle porter over 1024, eventuelt kun udp hvis det dreier seg om dns oppslag. (I noen få tilfeller så behøver dns klienten tcp også, men vanligvis ikke.)
Den siste setningen eller regelen sørger altså for at firewall åpner dynamisk for trafikk satt opp fra innsiden.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
