[Linux-guvenlik] Re: iptables

Wed, 13 Jul 2011 08:20:24 -0700 

13-07-2011 16:42, yaşar tunçez yazmış:

Merhaba,
gateway/firewall olarak kullandığım bir linux makinede aşağıdaki iptables kurallarıyla;
Dış dünyadan (eth0'a) 10.10.10.10 ve bunun arkasında bulunan 192.168.2.2 makinesine gelen tüm paketlere izin verip, bunlardan dış dünyadaki 192.168.1.10 makinesine sadece 4000 ve 4096 portlarına erişim sağlanabilecek bir yapı oluşturmaya çalışıyorum. Ancak log'lardan baktığımda dış dünyadan 192.168.2.2 makinesine ping attığımda ya da 80 portuna erişmeye çalıştığımda geri dönen paketlerin drop'landığını görüyorum. Bu durumda "acilan baglantilarin geri donen cevaplari icin" başlığı altındaki kurallar çalışmıyor? iptables (2.6 kernel) statefull fw olmasına rağmen nerede hata yapıyorum. Firewall'u kapattığımda erişebiliyorum. 



eth0:dış
eth1:iç


 #FORWARD kurallari
$IPTABLES -A FORWARD -i eth1 -s 10.10.10.10 -o eth0 -d 192.168.1.10 -p tcp -m multiport --dport 4000,4096 -j ACCEPTLOG $IPTABLES -A FORWARD -i eth1 -s 192.168.2.2 -o eth0 -d 192.168.1.10 -p tcp -m multiport --dport 4000,4096 -j ACCEPTLOG 
   $IPTABLES -A FORWARD -i eth1 -s 10.10.10.10 -j DROPLOG
   $IPTABLES -A FORWARD -i eth1 -s 192.168.2.2 -j DROPLOG
$IPTABLES -A FORWARD -i eth1 -s 10.10.10.0/24 <http://10.10.10.0/24> -o eth0 -j ACCEPTLOG $IPTABLES -A FORWARD -i eth0 -o eth1 -d 10.10.10.0/24 <http://10.10.10.0/24> -j ACCEPTLOG 
   $IPTABLES -A FORWARD -i eth0 -o eth1 -d 192.168.2.2 -j ACCEPTLOG

   #Acilan baglantilarin geri donen cevaplari icin
   $IPTABLES -A FORWARD -i eth0 -m state --state ESTABLISHED -j ACCEPTLOG
   $IPTABLES -A FORWARD -i eth0 -m state --state RELATED -j ACCEPTLOG
   $IPTABLES -A FORWARD -i eth1 -m state --state ESTABLISHED -j ACCEPTLOG
   $IPTABLES -A FORWARD -i eth1 -m state --state RELATED -j ACCEPTLOG

   $IPTABLES -A FORWARD -j DROPLOG




Merhaba

iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
yazıp dener misiniz?

Çalışmazsa,
komple kural listesini gönderin:
iptables -nvL --line-number


saygılar

_______________________________________________
Linux-guvenlik mailing list
[email protected]
https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik
Liste kurallari: http://liste.linux.org.tr/kurallar.php

Cevap