Wilcard w regule iptables
Witam Do całkiem sprawnie dzialającego firewalla muszę dodać regułę opartą na wilcardzie. Próbuje: iptables -I OUT_APACHE -d *.fbcdn.com -j ACCEPT iptables v1.3.3: host/network `*.fbcdn.com' not found iptables -I OUT_APACHE -d '*.fbcdn.com' -j ACCEPT iptables v1.3.3: host/network `*fbcdn.com' not found iptables -I OUT_APACHE -d *.fbcdn.com -j ACCEPT iptables v1.3.3: host/network *.fbcdn.com not found ale niestety żaden sposób nie jest poprawny. Bez wildcarda wpis jest poprawny takze DNS jest wpuszczany. Pozdrawiam! -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e23f90f.7040...@gmail.com
Re: Wilcard w regule iptables
Dnia Poniedziałek, 18-07-2011 o 11:12 tower napisał: Witam Do całkiem sprawnie dzialającego firewalla muszę dodać regułę opartą na wilcardzie. Próbuje: iptables -I OUT_APACHE -d *.fbcdn.com -j ACCEPT iptables v1.3.3: host/network `*.fbcdn.com' not found iptables -I OUT_APACHE -d '*.fbcdn.com' -j ACCEPT iptables v1.3.3: host/network `*fbcdn.com' not found iptables -I OUT_APACHE -d *.fbcdn.com -j ACCEPT iptables v1.3.3: host/network *.fbcdn.com not found ale niestety żaden sposób nie jest poprawny. Bez wildcarda wpis jest poprawny takze DNS jest wpuszczany. Takie wpisy są rozwiązywane na etapie dodawania regułki, więc nie łudź się, że ogarniesz tak wszystkie możliwe subdomeny. Już lepiej wycinaj klasy adresowe należące do FB. pozdr, fEnIo -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1310981964.4e23ff4ceb...@poczta.hurtig.pl
Re: Wilcard w regule iptables
On 07/18/2011 11:12 AM, tower wrote: Witam Do całkiem sprawnie dzialającego firewalla muszę dodać regułę opartą na wilcardzie. Próbuje: iptables -I OUT_APACHE -d *.fbcdn.com -j ACCEPT iptables v1.3.3: host/network `*.fbcdn.com' not found iptables -I OUT_APACHE -d '*.fbcdn.com' -j ACCEPT iptables v1.3.3: host/network `*fbcdn.com' not found iptables -I OUT_APACHE -d *.fbcdn.com -j ACCEPT iptables v1.3.3: host/network *.fbcdn.com not found ale niestety żaden sposób nie jest poprawny. Bez wildcarda wpis jest poprawny takze DNS jest wpuszczany. Pozdrawiam! Nie wiem co dokładnie chcesz osiągnąć, ale iptables nie obsługuje znaków wieloznacznych. Nawet moduł string tego nie obsługuje. Domena iptables są adresy IP i to może właśnie ich spróbuj użyć zamiast nazwy domen. -- Grzegorz Kuczyński -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e240645.3020...@gmail.com
iptables przekierowanie na squid z wykluczeniem
witam, trochę zawiesiłem się i nie bardzo mogę ruszyć z miejsca. firewall z przekierowaniem całego ruchu na porcie 80 na squida z jednym wyjątkiem. firewall posiada dwie k. sieciowe, eth0 - zewnętrzna, eth1 wewnętrzna na której jest parę aliasów net1, net2, net3... iptables -t nat -A PREROUTING -i eth1 -s $net1 -d ! $d_host1 -p tcp -m tcp --dport 80 -j DNAT --to xxx.xxx.xxx.xxx:3128 iptables -t nat -A PREROUTING -i eth1 -s $net2 -d ! $d_host1 -p tcp -m tcp --dport 80 -j DNAT --to xxx.xxx.xxx.xxx:3128 iptables -t nat -A PREROUTING -i eth1 -s $net3 -d ! $d_host1 -p tcp -m tcp --dport 80 -j DNAT --to xxx.xxx.xxx.xxx:3128 iptables -t nat -A PREROUTING -i eth1 -s $net4 -d ! $d_host1 -p tcp -m tcp --dport 80 -j DNAT --to xxx.xxx.xxx.xxx:3128 niestety potrzebuję zrobić więcej - ok. 20 wykluczeń np. d_host2; d_host3...d_host20 jak można to zrobić? pozdrawiam Waldek
Re: iptables przekierowanie na squid z wykluczeniem
On Wed, Apr 06, 2011 at 01:12:59PM +0200, Waldemar Kwiatkowski wrote: witam, trochę zawiesiłem się i nie bardzo mogę ruszyć z miejsca. firewall z przekierowaniem całego ruchu na porcie 80 na squida z jednym wyjątkiem. firewall posiada dwie k. sieciowe, eth0 - zewnętrzna, eth1 wewnętrzna na której jest parę aliasów net1, net2, net3... iptables -t nat -A PREROUTING -i eth1 -s $net1 -d ! $d_host1 -p tcp -m tcp --dport 80 -j DNAT --to xxx.xxx.xxx.xxx:3128 iptables -t nat -A PREROUTING -i eth1 -s $net2 -d ! $d_host1 -p tcp -m tcp --dport 80 -j DNAT --to xxx.xxx.xxx.xxx:3128 iptables -t nat -A PREROUTING -i eth1 -s $net3 -d ! $d_host1 -p tcp -m tcp --dport 80 -j DNAT --to xxx.xxx.xxx.xxx:3128 iptables -t nat -A PREROUTING -i eth1 -s $net4 -d ! $d_host1 -p tcp -m tcp --dport 80 -j DNAT --to xxx.xxx.xxx.xxx:3128 niestety potrzebuję zrobić więcej - ok. 20 wykluczeń np. d_host2; d_host3...d_host20 jak można to zrobić? Dodać nowy łańcuh, w którym odrzucić wyjątki na początku (jedna reguła na wyjątek), a maskowanie robić przy końcu? -- Marcin Owsiany porri...@debian.org http://marcin.owsiany.pl/ GnuPG: 1024D/60F41216 FE67 DA2D 0ACA FC5E 3F75 D6F6 3A0D 8AA0 60F4 1216 -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20110406122245.GT26613@beczulka
Re: iptables - zmiana portu docelowego
Witaj, W dniu 01.06.2010 07:26, Michał Łętowski pisze: Czy da się za pomocą iptables zmienić numer portu docelowego pakietów wychodzących z serwera? Coś jak DNAT, ale bez podawania adresu serwera. Może: iptables -t nat -A PREROUTING -i ethx -p tcp --dport 25 -j DNAT --to ip_docelowe:port_docelowy Szerzej, problem polega na tym, iż Dialog zablokował możliwość korzystania z portu 25 do wysyłania poczty. Do obsługi poczty wykorzystujemy serwer z Novell GroupWise działający w LAN-ie. Niestety, potrafi on wysyłać pocztę na zewnątrz tylko na port 25. Szukam więc sposobu magicznej zmiany portu docelowego wychodzących pakietów. Z tego wynika, że twój serwer samodzielnie wysyła pocztę. W związku z tym obawiam się jednak, że twój problem wymaga albo zmiany operatora albo planu taryfowego albo dogadania się z Dialogiem albo znalezienie innego serwera poza siecią Dialogu, który będzie wysyłał pocztę w twoim imieniu czyli tzw. smarthosta. Pozdrawiam, Waldek signature.asc Description: OpenPGP digital signature
iptables - zmiana portu docelowego
Czy da się za pomocą iptables zmienić numer portu docelowego pakietów wychodzących z serwera? Coś jak DNAT, ale bez podawania adresu serwera. Szerzej, problem polega na tym, iż Dialog zablokował możliwość korzystania z portu 25 do wysyłania poczty. Do obsługi poczty wykorzystujemy serwer z Novell GroupWise działający w LAN-ie. Niestety, potrafi on wysyłać pocztę na zewnątrz tylko na port 25. Szukam więc sposobu magicznej zmiany portu docelowego wychodzących pakietów. Debian Lenny, bez żadnych własnych modyfikacji kernela. Michał Łętowski -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/97092e3c9e634a2798e864a4057bf...@mci6400
Re: iptables i pptp
Mariusz Kruk wrote: On Tue, 2009-08-25 at 05:48 -0700, dr_zgon wrote: Dodałem te regułki, niestety bez rezultatu - nadal łączę się z VPN, lecz nic się nie pinguje po sieci lokalnej. A serwer VPN stoi na routerze. Zaprzyjaźnij się zatem z tcpdumpem albo innym wiresharkiem. I poczytaj dokumentację zamiast przeklejać na rympał. -- d'`'`'`'`'`'`'`'`'`'`'`'`'Yb Microsoft Office 2000: Stale do przodu `b k...@epsilon.eu.org d' d' http://epsilon.eu.org/ Yb `b,-,.,-,.,-,.,-,.,-,.,-,.d' -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Słusznie, tym bardziej że jako przyszły admin będę musiał opanować tego typu aplikacje wcześniej czy później. -- View this message in context: http://www.nabble.com/iptables-i-pptp-tp25114308p25150186.html Sent from the debian-user-polish mailing list archive at Nabble.com. -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: iptables i pptp
Dziękuję za udzielone odpowiedzi Mariusz Sielicki wrote: Widze ze protokol GRE natujesz, a co z pakietami na tcp/1723 ? Mariusz Sielicki -- Mógłbyś napisać jakby wyglądały gotowe reguły? Dopiero co zaczynam się uczyć iptables. -- View this message in context: http://www.nabble.com/iptables-i-pptp-tp25114308p25130853.html Sent from the debian-user-polish mailing list archive at Nabble.com. -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: iptables i pptp
Dziękuję za udzielone odpowiedzi Mariusz Sielicki wrote: Widze ze protokol GRE natujesz, a co z pakietami na tcp/1723 ? Mariusz Sielicki -- Mógłbyś napisać jakby wyglądały gotowe reguły? Dopiero co zaczynam się uczyć iptables. -- View this message in context: http://www.nabble.com/iptables-i-pptp-tp25114308p25130857.html Sent from the debian-user-polish mailing list archive at Nabble.com. -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: iptables i pptp
Widze ze protokol GRE natujesz, a co z pakietami na tcp/1723 ? Mógłbyś napisać jakby wyglądały gotowe reguły? Dopiero co zaczynam się uczyć iptables. Masz cos takiego iptables -t nat -A PREROUTING -d $EXTIP -p gre -j DNAT --to $10.0.0.1 to sugeruje, ze robisz jakiegos nata. Czy serwer VPN to jakas osobna maszynka, ktora stoi w sieci lokalnej? Jak tak to w skrypcie powinienes miec: iptables -t nat -A PREROUTING -d $EXTIP -p gre -j DNAT --to-destination $IP_SERV_VPN iptables -t nat -A PREROUTING -d $EXTIP -p tcp --dport 1723 -j DNAT --to-destination $IP_SERV_VPN pozd. Mariusz -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: iptables i pptp
Mariusz Sielicki wrote: Widze ze protokol GRE natujesz, a co z pakietami na tcp/1723 ? Mógłbyś napisać jakby wyglądały gotowe reguły? Dopiero co zaczynam się uczyć iptables. Masz cos takiego iptables -t nat -A PREROUTING -d $EXTIP -p gre -j DNAT --to $10.0.0.1 to sugeruje, ze robisz jakiegos nata. Czy serwer VPN to jakas osobna maszynka, ktora stoi w sieci lokalnej? Jak tak to w skrypcie powinienes miec: iptables -t nat -A PREROUTING -d $EXTIP -p gre -j DNAT --to-destination $IP_SERV_VPN iptables -t nat -A PREROUTING -d $EXTIP -p tcp --dport 1723 -j DNAT --to-destination $IP_SERV_VPN pozd. Mariusz -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Dodałem te regułki, niestety bez rezultatu - nadal łączę się z VPN, lecz nic się nie pinguje po sieci lokalnej. A serwer VPN stoi na routerze. -- View this message in context: http://www.nabble.com/iptables-i-pptp-tp25114308p25133522.html Sent from the debian-user-polish mailing list archive at Nabble.com. -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
iptables i pptp
Witam wszystkich jako nowy użytkowanik forum. Mam problem ze skonfigurowaniem firewalla na serwerze, żeby przepuszczał VPN (PPTP). Firewall bazuje na regułach iptables. Nie wiem, ile czasu spędziłem na googlowaniu i szukaniu odpowiednich reguł ale jestem bliski kapitulacji. Głównym założeniem VPN-a ma być możliwość łączenia się z odległej lokalizacji z modemu po GSM (iPlus). Problem polega na tym, że komputer łączy się siecią prywatną, dostaje IP, ale nie ma łączności ani z serwerem, ani żadnycm innym urządzeniem w sieci. (pingi nie wracają). Dopiero po ustawieniu default policy na ACCEPT wszystko śmiga, stąd wniosek że brakuje jakichś kluczowych reguł. W skrypcie do firewalla mam niezły burdel, wpakowałem tam masę reguł, które miały mi w jakikolwiek sposób puścić pakiety po VPN, jednak bez rezultatu. Oto kod: == #!/bin/sh echo -e \n\nSETTING UP IPTABLES FIREWALL... UNIVERSE=0.0.0.0/0 LOIF=lo LOIP=127.0.0.1 INTIF=eth0 EXTIF=eth1 INTNET=10.0.0.0/24 INTIP=10.0.0.1/24 EXTIP=xxx.xxx.xxx.xxx EXT_BROADCAST=xxx.xxx.xxx.xxx echo Loading required stateful/NAT kernel modules... /sbin/depmod -a /sbin/modprobe ip_tables /sbin/modprobe ip_conntrack /sbin/modprobe iptable_filter /sbin/modprobe iptable_mangle /sbin/modprobe iptable_nat /sbin/modprobe ipt_LOG /sbin/modprobe ipt_limit /sbin/modprobe ipt_state # /sbin/modprobe ipt_owner /sbin/modprobe ipt_REJECT /sbin/modprobe ipt_MASQUERADE /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_conntrack_irc /sbin/modprobe ip_nat_ftp /sbin/modprobe ip_nat_irc echo Enabling IP forwarding... echo 1 /proc/sys/net/ipv4/ip_forward echo External interface: $EXTIF echoExternal interface IP address is: $EXTIP echo Loading firewall server rules... iptables -P INPUT DROP iptables -F INPUT #iptables -A INPUT -m mac --mac-source 00:19:D2:80:39:8B -j ACCEPT iptables -P OUTPUT DROP iptables -F OUTPUT iptables -P FORWARD DROP iptables -F FORWARD iptables -t nat -F ### # allow vpn client iptables -I INPUT -p udp --dport 500 -j ACCEPT iptables -I OUTPUT -p udp --sport 500 -m state --state ESTABLISHED -j ACCEPT iptables -I INPUT -p udp --dport 1 -j ACCEPT iptables -I OUTPUT -p udp --sport 1 -m state --state ESTABLISHED -j ACCEPT #ESP/AH Stuff iptables -A INPUT -p 50 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -p 50 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -p 50 -mstate --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -p 50 -mstate --state ESTABLISHED -j ACCEPT iptables -A INPUT -p 51 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -p 51 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -p 51 -mstate --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -p 51 -mstate --state ESTABLISHED -j ACCEPT ### #delete previous user chains iptables -X #reset counters iptables -Z #crate user chains iptables -N bad_tcp_packets iptables -N allowed iptables -N tcp_packets iptables -N udp_packets iptables -N icmp_packets # #bad_tcp_packets chain rules # iptables -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK \ -m state --state NEW -j REJECT --reject-with tcp-reset iptables -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \ --log-prefix New not syn: iptables -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP # # allowed chain # iptables -A allowed -p TCP --syn -j ACCEPT iptables -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A allowed -p TCP -j DROP # # TCP rules # iptables -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed #FTP iptables -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed #SSH iptables -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed #HTTP iptables -A tcp_packets -p TCP -s 0/0 --dport 113 -j allowed #IDENTD iptables -A tcp_packets -p TCP -s 0/0 --dport 9050 -j allowed #Radio Horyzont iptables -A tcp_packets -p TCP -s 0/0 --dport 3350 -j allowed #RDP iptables -A tcp_packets -p TCP -s 0/0 --dport 1723 -j allowed #VPN # ### iptables -A INPUT -p TCP -s 0/0 --dport 1723 -j allowed iptables -A FORWARD -p TCP -s 0/0 --dport 1723 -j allowed iptables -A OUTPUT -p TCP -s 0/0 --dport 1723 -j allowed iptables -A INPUT -i eth0 -p tcp --dport 1723 -j ACCEPT iptables -A INPUT -i eth0 -p gre -j ACCEPT # iptables -A INPUT -i eth1 -p tcp --dport 1723 -j ACCEPT iptables -A INPUT -i eth1 -p gre -j ACCEPT # iptables -A FORWARD -p 47 -m state --state NEW -i eth0 -o eth1 -j ACCEPT iptables -A FORWARD -p tcp -m state --state NEW --dport 1723 -i eth0 -o eth1 -j ACCEPT # iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW -p gre -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -m state --state NEW -p gre -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # iptables -t nat -A PREROUTING -d $EXTIP -p gre -j DNAT --to $10.0.0.1
Re: iptables i pptp
On Mon, 2009-08-24 at 04:22 -0700, dr_zgon wrote: Witam wszystkich jako nowy użytkowanik forum. Mam problem ze skonfigurowaniem firewalla na serwerze, żeby przepuszczał VPN (PPTP). Firewall bazuje na regułach iptables. Nie wiem, ile czasu spędziłem na googlowaniu i szukaniu odpowiednich reguł ale jestem bliski kapitulacji. Głównym założeniem VPN-a ma być możliwość łączenia się z odległej lokalizacji z modemu po GSM (iPlus). Problem polega na tym, że komputer łączy się siecią prywatną, dostaje IP, ale nie ma łączności ani z serwerem, ani żadnycm innym urządzeniem w sieci. (pingi nie wracają). Dopiero po ustawieniu default policy na ACCEPT wszystko śmiga, stąd wniosek że brakuje jakichś kluczowych reguł. W skrypcie do firewalla mam niezły burdel, wpakowałem tam masę reguł, które miały mi w jakikolwiek sposób puścić pakiety po VPN, jednak bez rezultatu. Oto kod: 1. http://en.wikipedia.org/wiki/Point-to-point_tunneling_protocol#PPTP_security_concerns 2. Pośledź pakiety na interfejsach. Zobacz gdzie faktycznie giną. Potem się zabierz za robienie bałaganu. -- \.\.\.\.\.\.\.\.\.\.\.\.\.\ Borg virus detected. (A)assimilate? (Y/y) .\.k...@epsilon.eu.org.\.\. \.http://epsilon.eu.org/\.\ .\.\.\.\.\.\.\.\.\.\.\.\.\. -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: iptables i pptp
Dnia 2009-08-24, pon o godzinie 04:22 -0700, dr_zgon pisze: Witam wszystkich jako nowy użytkowanik forum. Mam problem ze skonfigurowaniem firewalla na serwerze, żeby przepuszczał VPN (PPTP). Firewall bazuje na regułach iptables. Nie wiem, ile czasu spędziłem na googlowaniu i szukaniu odpowiednich reguł ale jestem bliski kapitulacji. Głównym założeniem VPN-a ma być możliwość łączenia się z odległej lokalizacji z modemu po GSM (iPlus). Problem polega na tym, że komputer łączy się siecią prywatną, dostaje IP, ale nie ma łączności ani z serwerem, ani żadnycm innym urządzeniem w sieci. (pingi nie wracają). Dopiero po ustawieniu default policy na ACCEPT wszystko śmiga, stąd wniosek że brakuje jakichś kluczowych reguł. W skrypcie do firewalla mam niezły burdel, wpakowałem tam masę reguł, które miały mi w jakikolwiek sposób puścić pakiety po VPN, jednak bez rezultatu. Oto kod: Witam Rozumiem ze masz PPTP'a za natem, czyli modprobe ip_nat_pptp modprobe ip_conntrack_pptp bo bez tego ani rusz. Do tego przy PPTP uzyj protokołu -p gre. To tak na szybko bez czytania reguł, moze cos pomoze. -- z poważaniem, Wojciech Borowski Limes s.c., Pohulanka 2, Gdańsk, Polska, telefon / fax +4858 3023253 NIP 585-13-25-727, REGON 191486773, UKE 1588, RIPEORG-Ls19-RIPE ___ Ten mail oraz jego załączniki są poufne i przeznaczone dla konkretnego odbiorcy, a także mogą stanowić tajemnice przedsiębiorstwa. Jeżeli nie jesteście Państwo odbiorca tej wiadomości, uprzejmie prosimy o niezwłoczne zawiadomienie nadawcy, a także o nieujawnianie jej zawartości komukolwiek, niewykorzystywanie jej w jakimkolwiek celu, nieprzechowywanie jej oraz niedokonywanie jej kopii na jakimkolwiek nośniku. Uprzejmie prosimy o zawiadomienie nas w przypadku, jeżeli jakakolwiek część tej transmisji została nieprawidłowo przesłana. This e-mail (and any attachments) is confidential to the intended recipient and may also be privileged. If you are not the intended recipient please notify us immediately and do not disclose the contents of the message to any person, use it for any purpose, or store or copy it in any medium. Please contact us immediately if any part of this transmission is incorrectly received. -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: iptables i pptp
On Mon, 2009-08-24 at 13:46 +0200, Wojciech Borowski wrote: Rozumiem ze masz PPTP'a za natem, czyli modprobe ip_nat_pptp modprobe ip_conntrack_pptp bo bez tego ani rusz. E, bez tego po prostu byłby problem z więcej niż jednym połaczeniem równocześnie. -- [] NON-FLAMMABLE, IS NOT A CHALLENGE(Bart Simp- [ k...@epsilon.eu.org ] son on chalkboard in episode BABF13) [ http://epsilon.eu.org/ ] [] -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: iptables i pptp
W dniu 24 sierpnia 2009 14:21 użytkownik Mariusz Kruk k...@epsilon.eu.org napisał: On Mon, 2009-08-24 at 13:46 +0200, Wojciech Borowski wrote: Rozumiem ze masz PPTP'a za natem, czyli modprobe ip_nat_pptp modprobe ip_conntrack_pptp bo bez tego ani rusz. E, bez tego po prostu byłby problem z więcej niż jednym połaczeniem równocześnie. Widze ze protokol GRE natujesz, a co z pakietami na tcp/1723 ? Mariusz Sielicki -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Kernel 2.6.26 + iptables-1.4.1 + IMQ
Witam czy ktoś próbował ożenić ze sobą to co w temacie ? Wszystko się łądnie kompiluje moduł imq dla jądra ładuje się i tworzy urządzenia jednak regułka: iptables -t mangle -A POSTROUTING -o ppp+ -j IMQ --todev 0 wywala błąd -- Oblej swoich znajomych... wirtualnie! ;) http://link.interia.pl/f2119 -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Kernel 2.6.26 + iptables-1.4.1 + IMQ
W dniu 11 kwietnia 2009 14:56 użytkownik Maciej Chromik maciek...@interia.pl napisał: Witam czy ktoś próbował ożenić ze sobą to co w temacie ? Wszystko się łądnie kompiluje moduł imq dla jądra ładuje się i tworzy urządzenia jednak regułka: iptables -t mangle -A POSTROUTING -o ppp+ -j IMQ --todev 0 wywala błąd milo by bylo wiedziec co to za blad. nie wrozymy z fusow. -- Wojciech Ziniewicz http://rfc.sunsite.dk/rfc/rfc2324.html -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Kernel 2.6.26 + iptables-1.4.1 + IMQ
No tak przepraszam Wywala po prostu iptables: No chain/target/match by that name On Sat, 11 Apr 2009 15:26:25 +0200 Wojciech Ziniewicz wojciech.ziniew...@gmail.com wrote: W dniu 11 kwietnia 2009 14:56 użytkownik Maciej Chromik maciek...@interia.pl napisał: Witam czy ktoś próbował ożenić ze sobą to co w temacie ? Wszystko się łądnie kompiluje moduł imq dla jądra ładuje się i tworzy urządzenia jednak regułka: iptables -t mangle -A POSTROUTING -o ppp+ -j IMQ --todev 0 wywala błąd milo by bylo wiedziec co to za blad. nie wrozymy z fusow. -- Wojciech Ziniewicz http://rfc.sunsite.dk/rfc/rfc2324.html -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org -- Wyslij znajomym wideo na Smigus Dyngus! ;) http://link.interia.pl/f211b -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: problem z iptables + pasywny ftp
Maciej Kóska wrote: # Opcja 2 - pasywny FTP # # Pasywny serwer FTP na innej maszynie w sieci # $IPTABLES -t nat -A PREROUTING -p tcp -i $EXT_IF --dport 7500:7525 -j DNAT --to-destination 10.0.0.4 $IPTABLES -A FORWARD -i $EXT_IF -o $INT_IF -p tcp --dport 7500:7525 --sport 7500:7525 -j ACCEPT W trybie pasywnym porty sa losowe, tak zrodlowe, jak i docelowe. powinno to raczej miec postac 1024: Pozdrawiam, Witaj, na ftp-ie mam ustawiony zakres portów na którym czuwa usługa i tylko te uwzględniłem na firewallu. Pozdrawiam Maciej -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: problem z iptables + pasywny ftp
Maciej Kóska wrote: Wiem że problem jest znany i uwierzcie walczę już z tym długo ale już mi się siwe włosy pokazały i nie mogę zajarzyć gdzie jest błąd. echo Ładowanie modułów...; for module in ip_tables ip_conntrack ip_conntrack_ftp do modprobe $module done Witam, Idac po najmniejszej linii oporu sprobuj zaladowac jeszcze modul ip_nat_ftp. pzdr Bohdan Sydor Zrobiłem tak jak radziłeś po linii...najmniejszego oporu :) i zadziałało dziękuję bardzo, czy ma ktoś może rozpiskę co dokładnie robi ten moduł ?? Serdecznie dziękuję i pozdrawiam Maciej Kóska -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: problem z iptables + pasywny ftp
Mariusz Sielicki pisze: W dniu 20 marca 2009 12:11 użytkownik Maciej Kóska g...@o2.pl napisał: Maciej Kóska wrote: Wiem że problem jest znany i uwierzcie walczę już z tym długo ale już mi się siwe włosy pokazały i nie mogę zajarzyć gdzie jest błąd. echo Ładowanie modułów...; for module in ip_tables ip_conntrack ip_conntrack_ftp do modprobe $module done Witam, Idac po najmniejszej linii oporu sprobuj zaladowac jeszcze modul ip_nat_ftp. pzdr Bohdan Sydor Zrobiłem tak jak radziłeś po linii...najmniejszego oporu :) i zadziałało dziękuję bardzo, czy ma ktoś może rozpiskę co dokładnie robi ten moduł ?? Serdecznie dziękuję i pozdrawiam Maciej Kóska Modul ten zapewnia sledzenie polaczen ftp przechodzacych przez NAT'a. dzieki niemu router wie czy polaczenie data_ftp na jakis wysoki porty pochodzi od juz nawiazanego polaczenie ftp na port 21. Dlatego wg mnie dla odpalenia pasywnego ftp w twoim przypadku zupelnie wystarczyloby: $IPTABLES -t nat -A PREROUTING -p tcp -i $EXT_IF --dport 21 -j DNAT --to-destination 10.0.0.4:21 http://10.0.0.4:21/ $IPTABLES -A FORWARD -i $EXT_IF -o $INT_IF -p tcp --dport 21 -j ACCEPT Pozdrawiam Mariusz Sielicki Tzn, wystarczyłoby samo doładowanie modułu o którym wspomniałeś oraz samo przekierowanie portu 21 bez reszty reguł ?? Czy o to ci chodziło ?? Raz jeszcze dziękuję za pomoc Pozdrawiam Maciej Kóska -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: problem z iptables + pasywny ftp
Maciej Kóska wrote: Zrobiłem tak jak radziłeś po linii...najmniejszego oporu :) i zadziałało dziękuję bardzo, czy ma ktoś może rozpiskę co dokładnie robi ten moduł ?? W dalszym ciagu podchodzac minimalistycznie :-) istnieje kilka modulow, ktore sledza polaczenia dla wybranych protokolow. ip_conntrack_ftp sledzi polaczenia FTP i automatycznie otwiera potrzebne wysokie porty. Z kolei ip_nat_ftp zajmuje sie modyfikacja pakietow FTP dla maszyn za natem. Najlepiej ladowac parami moduly ip_(conntrack|nat)_PROTOKOL. pzdr Bohdan Sydor -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: problem z iptables + pasywny ftp
Bohdan Sydor wrote: ip_conntrack_ftp sledzi polaczenia FTP i automatycznie otwiera potrzebne wysokie porty. Z kolei ip_nat_ftp zajmuje sie modyfikacja pakietow FTP dla maszyn za natem. Wystarczy zaladowac ip_nat_ftp, modprobe zajmie sie zaleznosciami (ip_nat, ip_conntrack, ip_conntrack_ftp). P.S. W nowszych kernelach prefix ip_ zastapiony zostal przez nf_ ip_* wciaz dziala (jest aliasem). -- Rafal http://www.catb.org/~esr/faqs/smart-questions.html -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: problem z iptables + pasywny ftp
Mariusz Sielicki pisze: W dniu 20 marca 2009 12:42 użytkownik Maciej Kóska g...@o2.pl napisał: Mariusz Sielicki pisze: W dniu 20 marca 2009 12:11 użytkownik Maciej Kóska g...@o2.pl napisał: Maciej Kóska wrote: Wiem że problem jest znany i uwierzcie walczę już z tym długo ale już mi się siwe włosy pokazały i nie mogę zajarzyć gdzie jest błąd. echo Ładowanie modułów...; for module in ip_tables ip_conntrack ip_conntrack_ftp do modprobe $module done Witam, Idac po najmniejszej linii oporu sprobuj zaladowac jeszcze modul c. pzdr Bohdan Sydor Zrobiłem tak jak radziłeś po linii...najmniejszego oporu :) i zadziałało dziękuję bardzo, czy ma ktoś może rozpiskę co dokładnie robi ten moduł ?? Serdecznie dziękuję i pozdrawiam Maciej Kóska Modul ten zapewnia sledzenie polaczen ftp przechodzacych przez NAT'a. dzieki niemu router wie czy polaczenie data_ftp na jakis wysoki porty pochodzi od juz nawiazanego polaczenie ftp na port 21. Dlatego wg mnie dla odpalenia pasywnego ftp w twoim przypadku zupelnie wystarczyloby: $IPTABLES -t nat -A PREROUTING -p tcp -i $EXT_IF --dport 21 -j DNAT --to-destination 10.0.0.4:21 http://10.0.0.4:21 http://10.0.0.4:21/ $IPTABLES -A FORWARD -i $EXT_IF -o $INT_IF -p tcp --dport 21 -j ACCEPT Pozdrawiam Mariusz Sielicki Tzn, wystarczyłoby samo doładowanie modułu o którym wspomniałeś oraz samo przekierowanie portu 21 bez reszty reguł ?? Czy o to ci chodziło ?? Reasumujac: 1. zaladowanie modulow: ip_tables ip_conntrack ip_conntrack_ftp ip_nat_ftp 2. Przekierowanie odpowiedniego portu: $IPTABLES -t nat -A PREROUTING -p tcp -i $EXT_IF --dport 21 -j DNAT --to-destination 10.0.0.4:21 http://10.0.0.4:21/ 3. zezwolenie na forward odpowiednich pakietow: $IPTABLES -A FORWARD -i $EXT_IF -o $INT_IF -p tcp --dport 21 -j ACCEPT (chyba ze mialbys $IPTABLES -P FORWARD ACCEPT :)) Czyli tak jak myślałem, dziękuję za wytłumaczenie. Pozdawiam Maciej -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: problem z iptables + pasywny ftp
Maciej Kóska wrote: Wiem że problem jest znany i uwierzcie walczę już z tym długo ale już mi się siwe włosy pokazały i nie mogę zajarzyć gdzie jest błąd. echo Ładowanie modułów...; for module in ip_tables ip_conntrack ip_conntrack_ftp do modprobe $module done Witam, Idac po najmniejszej linii oporu sprobuj zaladowac jeszcze modul ip_nat_ftp. pzdr Bohdan Sydor -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
problem z iptables + pasywny ftp
Witam wszystkich, Wiem że problem jest znany i uwierzcie walczę już z tym długo ale już mi się siwe włosy pokazały i nie mogę zajarzyć gdzie jest błąd. Sytuacja wygląda tak, jest router na debianie, ma dwa interfejsy EXT_IF i INT_IF, za routerem jest inna maszyna z której chcę wystawić w trybie passive, ftp na zewnątrz (na IIS). Autentykacja z zewnątrz, przebiega ok ale przy próbie listowania katalogu otrzymuję albo can't open data port..albo connection closed transfer aborted w zależności jak zmieniam firewalla..przesyłam cały skrypt iptables ...być może gdzieś wcześniej robię głupi błąd którego nie widzę, będę bardzo wdzięczny za pomoc. Pozdrawiam serdecznie Maciej Kóska # Konfiguracja zmiennych # IPTABLES=iptables EXT_IF=pvc0 EXT_IP=1.2.3.4 INT_IF=eth0 INT_IP=10.0.0.1 # Ładowanie modułów i konfiguracja # echo Ładowanie modułów...; for module in ip_tables ip_conntrack ip_conntrack_ftp do modprobe $module done # FORWARD IP między interfejsami # echo 1 /proc/sys/net/ipv4/ip_forward # Ochorna przed SPOOFED adresami IP # echo 1 /proc/sys/net/ipv4/conf/all/rp_filter # Blokowanie ICMP ECHO do routera i ICMP ECHO broadcastów # echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts # Wył±czenie routingu Ľródłowego pakietu # echo 0 /proc/sys/net/ipv4/conf/all/accept_source_route # Logowanie pakietów Ľródłowych bez znanego routingu tych pakietów echo 1 /proc/sys/net/ipv4/conf/all/log_martians # Czyszczenie wszystkich łańcuchów # $IPTABLES -F $IPTABLES -F -t nat $IPTABLES -X -t nat $IPTABLES -F -t filter $IPTABLES -X -t filter $IPTABLES -F -t mangle $IPTABLES -X -t mangle # Ustawienie domy¶lne dla INPUT, FORWARD i DROP # $IPTABLES -P FORWARD DROP $IPTABLES -A FORWARD -i $INT_IF -o $EXT_IF -d 0/0 -j ACCEPT $IPTABLES -A FORWARD -i $EXT_IF -o $INT_IF -m state --state RELATED,ESTABLISHED -j ACCEPT $IPTABLES -P INPUT DROP $IPTABLES -A INPUT -i $INT_IF -j ACCEPT $IPTABLES -A INPUT -i lo -j ACCEPT $IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT $IPTABLES -P OUTPUT ACCEPT # Internet dla sieci wewnętrznej # ## NATOWANIE adresów wewnętrznych # # Opcja 1 - przy stałym publicznym IP # $IPTABLES -t nat -A POSTROUTING -o $EXT_IF -j SNAT --to-source $EXT_IP ## Opcja 2 - przy dynamicznym publicznym IP # # $IPTABLES -t nat -A POSTROUTING -o $EXT_IF -d 0/0 -j MASQUERADE # Transparentny proxy # #$IPTABLES -t nat -A PREROUTING -i $INT_IF -p tcp --dport 80 -j DNAT --to-destination 192.168.1.4:8080 # Wystawianie zasobów na zewn±trz # # (SSH, WWW, FTP, RDP) # ## Zmieniony port SSH na # $IPTABLES -A INPUT -i $EXT_IF -p tcp --dport -j ACCEPT #$IPTABLES -A INPUT -i $EXT_IF -p tcp --dport 22 -j ACCEPT # Usługi terminalowe (3389) # # Firma x # $IPTABLES -t nat -A PREROUTING -p tcp -s blah1 --dport 3389 -j DNAT --to-destination 10.0.0.5:3389 $IPTABLES -t nat -A PREROUTING -p tcp -s blah2 --dport 3389 -j DNAT --to-destination 10.0.0.5:3389 $IPTABLES -t nat -A PREROUTING -p tcp -s blah3 --dport 3389 -j DNAT --to-destination 10.0.0.5:3389 $IPTABLES -A FORWARD -i $EXT_IF -o $INT_IF -p tcp --dport 3389 -j ACCEPT # Serwer WWW (80) # $IPTABLES -t nat -A PREROUTING -p tcp -i $EXT_IF --dport 80 -j DNAT --to-destination 10.0.0.4:80 $IPTABLES -A FORWARD -i $EXT_IF -p tcp --dport 80 -j ACCEPT # Serwer FTP na innej maszynie w sieci # # Port kontrolny 21 wykorzystywany zarówno przy aktywnym jak i pasywnym trybie pracy ## $IPTABLES -t nat -A PREROUTING -p tcp -i $EXT_IF --dport 21 -j DNAT --to-destination 10.0.0.4:21 $IPTABLES -A FORWARD -i $EXT_IF -o $INT_IF -p tcp --dport 21 -j ACCEPT # Opcja 1 - aktywny FTP # # Aktywny serwer FTP na innej maszynie w sieci # $IPTABLES -t nat -A PREROUTING -p tcp -i $EXT_IF --dport 20 -j DNAT --to-destination 10.0.0.4:20 $IPTABLES -A FORWARD -i $EXT_IF -o $INT_IF -p tcp --dport 20 -j ACCEPT # Opcja 2 - pasywny FTP # # Pasywny serwer FTP na innej maszynie w sieci # $IPTABLES -t nat -A PREROUTING -p tcp -i $EXT_IF --dport 7500:7525 -j DNAT
Re: problem z iptables + pasywny ftp
Maciej Kóska wrote: # Opcja 2 - pasywny FTP # # Pasywny serwer FTP na innej maszynie w sieci # $IPTABLES -t nat -A PREROUTING -p tcp -i $EXT_IF --dport 7500:7525 -j DNAT --to-destination 10.0.0.4 $IPTABLES -A FORWARD -i $EXT_IF -o $INT_IF -p tcp --dport 7500:7525 --sport 7500:7525 -j ACCEPT W trybie pasywnym porty sa losowe, tak zrodlowe, jak i docelowe. powinno to raczej miec postac 1024: Pozdrawiam, -- Rafal http://www.catb.org/~esr/faqs/smart-questions.html -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: problem z iptables + pasywny ftp
Bohdan Sydor pisze: Idac po najmniejszej linii oporu linii najmniejszego oporu -- Paweł Bogaczewicz http://www.auditmypc.com/freescan/antispam.html http://desdecuba.com/generaciony_pl/?p=583 -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Problem z iptables
tower pisze: Od dłuższej chwili bezskutecznie dlubie nad pewną kwestią. Jest sobie zwrotny tunel ssh wywołany z maszyny 10.0.0.2 połozonej za firewallem do maszyny o adresie domenowym serwer.domowy.pl poprawka: o zmiennym ip 5.6.7.8 na port 23000. 1.2.3.4 to pierwszy ruter :) Tunel odnawiany periodycznie z crona spełna w 100% swoje zadanie. Jest jednak potrzeba przedostania się do 10.0.0.2 z maszyny 192.168.0.2 polozonej za 5.6.7.8. Tunel jest nawiązany z localhostem na wspomnianym 23000. Jak przerutować iptablesem połączenie z 192.168.0.2 na interfejs lo na 10.0.0.2? I jeszcze mały schamacik dla rozjaśnienia: 10.0.0.2: --- 1.2.3.4: === 5.6.7.8(127.0.0.1:23000) -- ?? -- 192.168.0.2 Pozdrawiam lub ssh -p 23000 1.2.3.4 -R port_do_którego_tunelujesz:10.0.0.2:port_który_chcesz_tunelować mogły mi się kierunki popierfanzolić :) ogólnie rzecz biorąc -L pobiera port zdalny -R popycha port na zdalną maszynę Pozdrawiam PK -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Problem z iptables
tower pisze: Od dłuższej chwili bezskutecznie dlubie nad pewną kwestią. Jest sobie zwrotny tunel ssh wywołany z maszyny 10.0.0.2 połozonej za firewallem do maszyny o adresie domenowym serwer.domowy.pl poprawka: o zmiennym ip 5.6.7.8 na port 23000. 1.2.3.4 to pierwszy ruter :) Tunel odnawiany periodycznie z crona spełna w 100% swoje zadanie. Jest jednak potrzeba przedostania się do 10.0.0.2 z maszyny 192.168.0.2 polozonej za 5.6.7.8. Tunel jest nawiązany z localhostem na wspomnianym 23000. Jak przerutować iptablesem połączenie z 192.168.0.2 na interfejs lo na 10.0.0.2? I jeszcze mały schamacik dla rozjaśnienia: 10.0.0.2: --- 1.2.3.4: === 5.6.7.8(127.0.0.1:23000) -- ?? -- 192.168.0.2 Pozdrawiam z maszyny 192.168.0.2 wypuszczasz ssh nestępująco: ssh -p 23000 1.2.3.4 -L port_do_którego_tunelujesz:10.0.0.2:port_który_chcesz_tunelować a dla wygody lepiej połączyć 1.2.3.4 z 5.6.7.8 na openvpenie naprzykład - wtedy miałbyś kontrolę nad routingiem na iptablesach Pozdrawiam PK -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Problem z iptables
Od dłuższej chwili bezskutecznie dlubie nad pewną kwestią. Jest sobie zwrotny tunel ssh wywołany z maszyny 10.0.0.2 połozonej za firewallem do maszyny o adresie domenowym serwer.domowy.pl o zmiennym ip 1.2.3.4 na port 23000. Tunel odnawiany periodycznie z crona spełna w 100% swoje zadanie. Jest jednak potrzeba przedostania się do 10.0.0.2 z maszyny 192.168.0.2 polozonej za 5.6.7.8. Tunel jest nawiązany z localhostem na wspomnianym 23000. Jak przerutować iptablesem połączenie z 192.168.0.2 na interfejs lo na 10.0.0.2? I jeszcze mały schamacik dla rozjaśnienia: 10.0.0.2: --- 1.2.3.4: === 5.6.7.8(127.0.0.1:23000) -- ?? -- 192.168.0.2 Pozdrawiam -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Problem z iptables
Od dłuższej chwili bezskutecznie dlubie nad pewną kwestią. Jest sobie zwrotny tunel ssh wywołany z maszyny 10.0.0.2 połozonej za firewallem do maszyny o adresie domenowym serwer.domowy.pl poprawka: o zmiennym ip 5.6.7.8 na port 23000. 1.2.3.4 to pierwszy ruter :) Tunel odnawiany periodycznie z crona spełna w 100% swoje zadanie. Jest jednak potrzeba przedostania się do 10.0.0.2 z maszyny 192.168.0.2 polozonej za 5.6.7.8. Tunel jest nawiązany z localhostem na wspomnianym 23000. Jak przerutować iptablesem połączenie z 192.168.0.2 na interfejs lo na 10.0.0.2? I jeszcze mały schamacik dla rozjaśnienia: 10.0.0.2: --- 1.2.3.4: === 5.6.7.8(127.0.0.1:23000) -- ?? -- 192.168.0.2 Pozdrawiam -- To UNSUBSCRIBE, email to debian-user-polish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
pytanie o przekierowanie z uzyciem iptables
Witam wszystkich serdecznie, Mam takie zagadnienie. Z zewnetrznej firmy z trzech roznych publicznych ip (xx.xx.xx.xx; yy.yy.yy.yy i zz.zz.zz.zz) potrzebna jest mozliwosc podlaczenia sie do nas na trzy dane ip wewnetrzne (10.0.0.253; 10.0.0.222; 10.0.0.223) do kazdego z tych ip na port 80. Poniewaz nie chce wpuszczac zewnetrznej firmy do calej naszej sieci chcialbym aby niezaleznie z ktorego zewnetrzengo ip beda sie podlaczac na danym porcie np 6001 6002 i 6003 od razu przekierowywalo ich tam gdzie trzeba czyli na dane wew ip i port 80 Mama do grupowiczow duza prosbe sprawdzcie prosze czy ponizsze regulki zalatwia sprawe (dopiero zaczynam z iptables :) ew. czy istnieje bardziej optymlany sposob obsluzenia w/w zagadnienia Z gory dziekuje i pozdrawiam serdecznie Maciej iptables -t nat -A PREROUTING -s xx.xx.xx.xx -p tcp --sport 6001 -j DNAT --to 10.0.0.253:80 iptables -t nat -A PREROUTING -s xx.xx.xx.xx -p tcp --sport 6002 -j DNAT --to 10.0.0.222:80 iptables -t nat -A PREROUTING -s xx.xx.xx.xx -p tcp --sport 6003 -j DNAT --to 10.0.0.223:80 iptables -t nat -A PREROUTING -s yy.yy.yy.yy -p tcp --sport 6001 -j DNAT --to 10.0.0.253:80 iptables -t nat -A PREROUTING -s yy.yy.yy.yy -p tcp --sport 6002 -j DNAT --to 10.0.0.222:80 iptables -t nat -A PREROUTING -s yy.yy.yy.yy -p tcp --sport 6003 -j DNAT --to 10.0.0.223:80 iptables -t nat -A PREROUTING -s zz.zz.zz.zz -p tcp --sport 6001 -j DNAT --to 10.0.0.253:80 iptables -t nat -A PREROUTING -s zz.zz.zz.zz -p tcp --sport 6002 -j DNAT --to 10.0.0.222:80 iptables -t nat -A PREROUTING -s zz.zz.zz.zz -p tcp --sport 6003 -j DNAT --to 10.0.0.223:80 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: pytanie o przekierowanie z uzyciem iptables
Dnia 26-02-2007, pon o godzinie 11:08 +0100, Maciej Kóska napisał(a): Mama do grupowiczow duza prosbe sprawdzcie prosze czy ponizsze regulki zalatwia sprawe (dopiero zaczynam z iptables :) ew. czy istnieje bardziej optymlany sposob obsluzenia w/w zagadnienia Z gory dziekuje i pozdrawiam serdecznie Maciej iptables -t nat -A PREROUTING -s xx.xx.xx.xx -p tcp --sport 6001 -j DNAT --to 10.0.0.253:80 iptables -t nat -A PREROUTING -s xx.xx.xx.xx -p tcp --sport 6002 -j DNAT --to 10.0.0.222:80 iptables -t nat -A PREROUTING -s xx.xx.xx.xx -p tcp --sport 6003 -j DNAT --to 10.0.0.223:80 iptables -t nat -A PREROUTING -s yy.yy.yy.yy -p tcp --sport 6001 -j DNAT --to 10.0.0.253:80 iptables -t nat -A PREROUTING -s yy.yy.yy.yy -p tcp --sport 6002 -j DNAT --to 10.0.0.222:80 iptables -t nat -A PREROUTING -s yy.yy.yy.yy -p tcp --sport 6003 -j DNAT --to 10.0.0.223:80 iptables -t nat -A PREROUTING -s zz.zz.zz.zz -p tcp --sport 6001 -j DNAT --to 10.0.0.253:80 iptables -t nat -A PREROUTING -s zz.zz.zz.zz -p tcp --sport 6002 -j DNAT --to 10.0.0.222:80 iptables -t nat -A PREROUTING -s zz.zz.zz.zz -p tcp --sport 6003 -j DNAT --to 10.0.0.223:80 To jest tylko NATowanie. Jeszcze musisz przepuścić ruch w łańcuchu FORWARD, na przykład tak: iptables -A FORWARD -d 10.0.0.253 -p tcp --dport 80 -s zz.zz.zz.zz -j ACCEPT Pozdrawiam, Krzysiek Kiełczewski -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: pytanie o przekierowanie z uzyciem iptables
Witam, 1. Dziękuję bardzo, rozumiem co daje FORWARD i co robi regułka która podałeś, nie rozumiem czemu musi być i FORWARD i nat. Myślałem że NAT rozwiąże wszystko... 2. Wierze ze jest tak jak mówisz z forwardem... w takim razie czy nie dało by się tam od razu wcisnąć NATowania np, czy to zadziała??? iptables -A FORWARD -d 10.0.0.253 -p tcp --dport 80 -s zz.zz.zz.zz --sport 6001 -j ACCEPT czy już coś zupełnie mieszamchyba ze wlasnie nie da sie polaczyc i nat-a i forward-a w jednym i temu potrzebne sa dwa osobne lancuchy??? Dzięki za wyrozumiałość Maciej Krzysiek Kiełczewski napisał(a): Dnia 26-02-2007, pon o godzinie 11:08 +0100, Maciej Kóska napisał(a): Mama do grupowiczow duza prosbe sprawdzcie prosze czy ponizsze regulki zalatwia sprawe (dopiero zaczynam z iptables :) ew. czy istnieje bardziej optymlany sposob obsluzenia w/w zagadnienia Z gory dziekuje i pozdrawiam serdecznie Maciej iptables -t nat -A PREROUTING -s xx.xx.xx.xx -p tcp --sport 6001 -j DNAT --to 10.0.0.253:80 iptables -t nat -A PREROUTING -s xx.xx.xx.xx -p tcp --sport 6002 -j DNAT --to 10.0.0.222:80 iptables -t nat -A PREROUTING -s xx.xx.xx.xx -p tcp --sport 6003 -j DNAT --to 10.0.0.223:80 iptables -t nat -A PREROUTING -s yy.yy.yy.yy -p tcp --sport 6001 -j DNAT --to 10.0.0.253:80 iptables -t nat -A PREROUTING -s yy.yy.yy.yy -p tcp --sport 6002 -j DNAT --to 10.0.0.222:80 iptables -t nat -A PREROUTING -s yy.yy.yy.yy -p tcp --sport 6003 -j DNAT --to 10.0.0.223:80 iptables -t nat -A PREROUTING -s zz.zz.zz.zz -p tcp --sport 6001 -j DNAT --to 10.0.0.253:80 iptables -t nat -A PREROUTING -s zz.zz.zz.zz -p tcp --sport 6002 -j DNAT --to 10.0.0.222:80 iptables -t nat -A PREROUTING -s zz.zz.zz.zz -p tcp --sport 6003 -j DNAT --to 10.0.0.223:80 To jest tylko NATowanie. Jeszcze musisz przepuścić ruch w łańcuchu FORWARD, na przykład tak: iptables -A FORWARD -d 10.0.0.253 -p tcp --dport 80 -s zz.zz.zz.zz -j ACCEPT Pozdrawiam, Krzysiek Kiełczewski -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: pytanie o przekierowanie z uzyciem iptables
Dnia 26-02-2007, pon o godzinie 13:11 +0100, Maciej Kóska napisał(a): Witam, 1. Dziękuję bardzo, rozumiem co daje FORWARD i co robi regułka która podałeś, nie rozumiem czemu musi być i FORWARD i nat. Myślałem że NAT rozwiąże wszystko... 2. Wierze ze jest tak jak mówisz z forwardem... w takim razie czy nie dało by się tam od razu wcisnąć NATowania np, czy to zadziała??? iptables -A FORWARD -d 10.0.0.253 -p tcp --dport 80 -s zz.zz.zz.zz --sport 6001 -j ACCEPT czy już coś zupełnie mieszamchyba ze wlasnie nie da sie polaczyc i nat-a i forward-a w jednym i temu potrzebne sa dwa osobne lancuchy??? Mieszasz :-) W największym skrócie: są trzy tablice nat, mangle i filter (domyślna). W nat są łańcuchy w których konfigurujesz translacje adresów (źródłowych, docelowych - jak sobie życzysz), w mangle zmieniasz same pakiety (na przykład TTL celem oszukania providera), a samo filtrowanie ruchu *tylko* i wyłącznie w filter. No i oczywiście polecam przeczytanie dokumentacji na netfilter.org. Tak w mailu to się nie da tego wszystkiego wytłumaczyć. Pozdrawiam, Krzysiek Kiełczewski -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: pytanie o przekierowanie z uzyciem iptables
Tak przypuszczałem, ale jak się nie wyjdzie na głupa to się nic nie nauczy :) How-to do iptables będę sobie czytał do poduszki... :) Miłego dnia i raz jeszcze dzięki za pomoc Maciej Krzysiek Kiełczewski napisał(a): Dnia 26-02-2007, pon o godzinie 13:11 +0100, Maciej Kóska napisał(a): Witam, 1. Dziękuję bardzo, rozumiem co daje FORWARD i co robi regułka która podałeś, nie rozumiem czemu musi być i FORWARD i nat. Myślałem że NAT rozwiąże wszystko... 2. Wierze ze jest tak jak mówisz z forwardem... w takim razie czy nie dało by się tam od razu wcisnąć NATowania np, czy to zadziała??? iptables -A FORWARD -d 10.0.0.253 -p tcp --dport 80 -s zz.zz.zz.zz --sport 6001 -j ACCEPT czy już coś zupełnie mieszamchyba ze wlasnie nie da sie polaczyc i nat-a i forward-a w jednym i temu potrzebne sa dwa osobne lancuchy??? Mieszasz :-) W największym skrócie: są trzy tablice nat, mangle i filter (domyślna). W nat są łańcuchy w których konfigurujesz translacje adresów (źródłowych, docelowych - jak sobie życzysz), w mangle zmieniasz same pakiety (na przykład TTL celem oszukania providera), a samo filtrowanie ruchu *tylko* i wyłącznie w filter. No i oczywiście polecam przeczytanie dokumentacji na netfilter.org. Tak w mailu to się nie da tego wszystkiego wytłumaczyć. Pozdrawiam, Krzysiek Kiełczewski -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: pytanie o przekierowanie z uzyciem iptables
Maciej Kóska napisał(a): Witam wszystkich serdecznie, Mam takie zagadnienie. Z zewnetrznej firmy z trzech roznych publicznych ip (xx.xx.xx.xx; yy.yy.yy.yy i zz.zz.zz.zz) potrzebna jest mozliwosc podlaczenia sie do nas na trzy dane ip wewnetrzne (10.0.0.253; 10.0.0.222; 10.0.0.223) do kazdego z tych ip na port 80. Poniewaz nie chce wpuszczac zewnetrznej firmy do calej naszej sieci chcialbym aby niezaleznie z ktorego zewnetrzengo ip beda sie podlaczac na danym porcie np 6001 6002 i 6003 od razu przekierowywalo ich tam gdzie trzeba czyli na dane wew ip i port 80 NAT w twoim przypadku, odpowiada za przekierowanie z jakiegoś portu (6001,6002,6003) na jakieś wewnętrzne IP - i nic więcej. Aby zadziałało musisz zezwolić na ruch w łańcuch FORWARD na wewnętrzne hosty. Warto założyć nowe łańcuchy i przekierowywać do nich zewnętrzne firmy. pozdrawia Marek Wyrzykowski -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: pytanie o przekierowanie z uzyciem iptables
Maciej Kóska napisał(a): Witam, 1. Dziękuję bardzo, rozumiem co daje FORWARD i co robi regułka która podałeś, nie rozumiem czemu musi być i FORWARD i nat. Myślałem że NAT rozwiąże wszystko... http://www.docum.org/docum.org/kptd/ Tam masz drogę, którą przebywa pakiet. W nat jest tylko NAT-owany, a w filter jest filtrowany. To są dwie różne rzeczy. PS: Nie toppostuj. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Iptables
Tomek napisał(a): Witam. Czy ktoś może wie, w jakim pliku wpisywać reguły iptables żeby były zapamiętane po restarcie systemu, a może jest plik w którym są wszystkie reguły? hello, Jak chcesz to zrobić na sposób debianowy, to wykorzystaj do tego celu napisany przez siebie skrypt. Zgodnie z filozofią filtrów, powinien być on uruchomiony przed podniesieniem karty sieciowej, dlatego musi być umieszczony w /etc/network/if-pre-up.d/. Najprostszy skrypt to np /etc/network/if-pre-up.d/iptables: #!/bin/bash /sbin/iptables-restore /etc/iptables/active zmień mu prawa na 700 tak aby mógł się wykonywać W etc stwórz katalog /etc/iptables (chmod 700 dla tego katalogu) i ręcznie (z basha) wprowadź interesujące Cię iptablesy, a następnie zapisz je używając /sbin/iptables-save /etc/iptables/active Od tego momentu po restarcie systemu zawsze przed uruchomieniem karty sieciowej będziesz miał aktywny filtr pakietowy. Oczywiście można dalej to rozwijać, ale to rozwiązanie powinno Tobie na początek wystarczyć. pozdrawia Marek Wyrzykowski -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
RE: Iptables
Czy ktoś może wie, w jakim pliku wpisywać reguły iptables żeby były zapamiętane po restarcie systemu, a może jest plik w którym są wszystkie reguły? Najprościej, gotowy skrypt z firewallem kopiujesz tutaj: /etc/network/if-up.d/skrypt_z_firewallem.sh lub robisz w tym folderze dowiązanie do skryptu i sprawa załatwiona :) -- Pozdrawiam
Iptables
Witam. Czy ktoś może wie, w jakim pliku wpisywać reguły iptables żeby były zapamiętane po restarcie systemu, a może jest plik w którym są wszystkie reguły? Pozdrawiam Tomek
Re: Iptables
ja sam plik tworzyłem i trzymałem w /sbin ze wszystkimi regułami a uruchamianie dałem na koncu pliku /etc/init.d/rc nie wiem czy to najlepszy sposób. Inny sposób to umieszczenie pliku w /etc/init.d/xxx a potem dodanie wpisów dla wszystkich runleveli poprzez uruchomienie np update-rc.d xxx defaults 99-start (tu składnie sobie sprawdź) Pozdrawiam Maciej Tomek napisał(a): Witam. Czy ktoś może wie, w jakim pliku wpisywać reguły iptables żeby były zapamiętane po restarcie systemu, a może jest plik w którym są wszystkie reguły? Pozdrawiam Tomek -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
RE: Iptables
Dzięki Już to sprawdzam:) Pozdrawiam Tomek -Original Message- From: Maciej Kóska [mailto:[EMAIL PROTECTED] Sent: Thursday, February 22, 2007 5:25 PM To: Tomek Cc: debian-user-polish@lists.debian.org Subject: Re: Iptables ja sam plik tworzyłem i trzymałem w /sbin ze wszystkimi regułami a uruchamianie dałem na koncu pliku /etc/init.d/rc nie wiem czy to najlepszy sposób. Inny sposób to umieszczenie pliku w /etc/init.d/xxx a potem dodanie wpisów dla wszystkich runleveli poprzez uruchomienie np update-rc.d xxx defaults 99-start (tu składnie sobie sprawdź) Pozdrawiam Maciej Tomek napisał(a): Witam. Czy ktoś może wie, w jakim pliku wpisywać reguły iptables żeby były zapamiętane po restarcie systemu, a może jest plik w którym są wszystkie reguły? Pozdrawiam Tomek
Re: Iptables
Dnia czwartek, 22 lutego 2007 16:54, Tomek napisał: Witam. Czy ktoś może wie, w jakim pliku wpisywać reguły iptables żeby były zapamiętane po restarcie systemu, a może jest plik w którym są wszystkie reguły? Pozdrawiam Tomek Jeśli chcesz przechowywać reguły iptables pomiędzy restartami systemu możesz zobaczyć opis iptables -save oraz iptables-restore ale nie jest to raczej najszczęśliwsze rozwiązanie. Reguły można też wpisać do dowolnego skryptu startującego razem z systemem w \etc\init.d plik ten powinien mieć podobny format : #!/bin/sh if [ $1 = stop ] then # reguły czyszczące #np. echo Czyszczenie firewalla rozpoczete iptables -F iptables -P FORWARD ACCEPT iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT exit fi #wszystko co poniżej wykona się podczas startu skryptu echo Konfiguracja firewalla rozpoczeta # twoje reguły iptables ustawiane podczas startu zobacz także man init man update-rc.d Przykładowy firewall do zastosowania w domowej maszynie masz np. tu http://www.linuxstorm.org/modules/news/article.php?storyid=310 Powodzenia :D -- Sebastian Domanski Klucz PGP można wyszukać i pobrać z http://stinkfoot.org:11371/ pgppmzHIHnDUB.pgp Description: PGP signature
Re: iptables + openvpn
Witam, Przepraszam ale pisałem tu pierwszy raz - postaram się poprawić :) Pozdrawiam Maciej Jaroslaw Bylina napisał(a): = Dnia: piątek, 19 stycznia 2007 21:54, Maciej Kóska pisze: !DOCTYPE html PUBLIC -//W3C//DTD HTML 4.01 Transitional//EN html head meta content=text/html;charset=ISO-8859-2 http-equiv=Content-Type title/title /head body bgcolor=#ff text=#00 [ciach] /body /html Czemu wysyłasz listy w HTML-u? pzdr, jmb -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables + openvpn
Kurcze ale fajnie bardzo dziękuję za pomoc a teraz odnośnie twoich sugestii Mam rozwiązanie - bardzo prosty router + firewall wraz z DHCP i openvpn. Chciałbym aby zdalanie poprzez vpn mogli się do sieci wewnętrznej firmy podłączać ludzie z zewnątrz a konkretnie chodzi mi o to żeby na dany wewnętrznym ip mogli podłączyć się terminalami. Musisz przepuscic przez lancuch FORWARD polaczenia wchodzace na tun/tap, wychodzace przez int_if i z powrotem. Mozesz to ograniczyc do okreslonych protokolow i portow. Bardzo dzięki ;) Wszelkie inne sugestie są będą bardzo mile widziane. poniżej konfig mojego firewalla iptables -F iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter iptables -P FORWARD DROP iptables -P INPUT DROP iptables -P OUTPUT ACCEPT echo 1 /proc/sys/net/ipv4/ip_forward iptables -A FORWARD -i eth0 -o eth1 -s 192.168.0.0/255.255.255.0 -d 0/0 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -s 0/0 -d 192.168.0.0/255.255.255.0 -j ACCEPT Zakladam, ze eth0 to int_if, a eth1 to ext_if Dwie powyzsze linie przepuszczaja Ci ruch z LAN do Inet i z powrotem bez kontroli stanu polaczenia, co nie jest najlepszym rozwiazaniem. Wyrzucilbym tu regule 2 w FORWARD. Tego nie rozumiem ??? regule 2 w FORWARD - przepraszam jeśli to trywialne pytanie.acha już rozumiem ...znaczy wywaliłbyś drugą regułę a połączenie przychodzące kontrolowałbyś za pomocą state ESTABILISHED i RELATED iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 0/0 -j MASQUERADE tu bym raczej nie maskowal pakietow do sieci vpn iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -d ! siec_vpn -j MASQUERADE A tak się zastanawiałem do czego praktycznie użyć tego ! teraz już wiem. To takie oczywiste ! działa jak inwersja czyli NOT. Czyli twoja sugestia wyłącza maskaradę dla sieci VPN (ale się głupi cieszę jak dziecko :) #--poczatek sekcji openvpn iptables -A INPUT -p udp --dport 1194 -m state --state NEW -j ACCEPT iptables -A INPUT -i tun+ -j ACCEPT co mobilni beda szukac na routerze? Zamysł był taki żebym mógł zdalnie po vpn-ie admnistrować samym routerem. Ale fakt faktem te regułki zerżnałem z openvpn FAQ :) Faktycznie bez konieczności podłączania się do samego routera chyba zasugerowany poniżej FORWARD wystarczyłby. Czy miałbyś jakieś inne sugestie co do zdalnej administracji bez potrzeby zestawiania VPN-a. Jestem otwarty na sugestieuczę się :) iptables -A FORWARD -i tun+ -j ACCEPT a teraz ruch w druga strone: iptables -A FORWARD -o tun+ -j ACCEPT lub uniwersalnie dla wszystkich ustanowionych polaczen w lancuchu FORWARD (zalatwi ruch powrotny zarowno dla pakietow powracajacych z Internetu, jak i z sieci vpn) iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT Pozdrawiam Bohdan Raz jeszcze bardzo dziękuję za pomoc Pozdrawiam i miłego dnia Maciej -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables + openvpn
= Dnia: piątek, 19 stycznia 2007 21:54, Maciej Kóska pisze: !DOCTYPE html PUBLIC -//W3C//DTD HTML 4.01 Transitional//EN html head meta content=text/html;charset=ISO-8859-2 http-equiv=Content-Type title/title /head body bgcolor=#ff text=#00 [ciach] /body /html Czemu wysyłasz listy w HTML-u? pzdr, jmb -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables + openvpn
Maciej Kóska wrote: Mam rozwiązanie - bardzo prosty router + firewall wraz z DHCP i openvpn. Chciałbym aby zdalanie poprzez vpn mogli się do sieci wewnętrznej firmy podłączać ludzie z zewnątrz a konkretnie chodzi mi o to żeby na dany wewnętrznym ip mogli podłączyć się terminalami. Musisz przepuscic przez lancuch FORWARD polaczenia wchodzace na tun/tap, wychodzace przez int_if i z powrotem. Mozesz to ograniczyc do okreslonych protokolow i portow. Wszelkie inne sugestie są będą bardzo mile widziane. poniżej konfig mojego firewalla iptables -F iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter iptables -P FORWARD DROP iptables -P INPUT DROP iptables -P OUTPUT ACCEPT echo 1 /proc/sys/net/ipv4/ip_forward iptables -A FORWARD -i eth0 -o eth1 -s 192.168.0.0/255.255.255.0 -d 0/0 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -s 0/0 -d 192.168.0.0/255.255.255.0 -j ACCEPT Zakladam, ze eth0 to int_if, a eth1 to ext_if Dwie powyzsze linie przepuszczaja Ci ruch z LAN do Inet i z powrotem bez kontroli stanu polaczenia, co nie jest najlepszym rozwiazaniem. Wyrzucilbym tu regule 2 w FORWARD. iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 0/0 -j MASQUERADE tu bym raczej nie maskowal pakietow do sieci vpn iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -d ! siec_vpn -j MASQUERADE #--poczatek sekcji openvpn iptables -A INPUT -p udp --dport 1194 -m state --state NEW -j ACCEPT iptables -A INPUT -i tun+ -j ACCEPT co mobilni beda szukac na routerze? iptables -A FORWARD -i tun+ -j ACCEPT a teraz ruch w druga strone: iptables -A FORWARD -o tun+ -j ACCEPT lub uniwersalnie dla wszystkich ustanowionych polaczen w lancuchu FORWARD (zalatwi ruch powrotny zarowno dla pakietow powracajacych z Internetu, jak i z sieci vpn) iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT Pozdrawiam Bohdan -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
iptables + openvpn
Witam wszystkich, Mam rozwiązanie - bardzo prosty router + firewall wraz z DHCP i openvpn. Chciałbym aby zdalanie poprzez vpn mogli się do sieci wewnętrznej firmy podłączać ludzie z zewnątrz a konkretnie chodzi mi o to żeby na dany wewnętrznym ip mogli podłączyć się terminalami. Z openvpn nie mam problemu. Klienci łączą się ok. Problem tkwi w tym że przy obecnej konfiguracji mojego firewalla podłączające się przez vpn komputery nie mogą zapingowac innych maszyn w sieci poza samym routerem i podłączyć się do niego przez SSH na porcie 22 - tyle wiem że zrobiłem :). Ponieważ dopiero zaczynam z iptables wiem że gdzieś w konfiguracji firewalla leży problem - tzn nie umiem sobie za bardzo zrobic przekierowania, zastanawia mnie tez fakt nie moznosci pingowania innych maszyn w sieci po podłączeniu sie VPNem Obecnie zeleżało by mi na tym żeby można było podłączyć się na port tcp 3389 z komputerów które łączą sie na intefejsie tun (wirtualny intefejs openvpn) do routera na ip wew 192.168.0.2 oraz żeby się dało pingowac inne kompy w sieci Wszelkie inne sugestie są będą bardzo mile widziane. Bardzo dziękuję za pomoc Pozrawiam Maciej poniżej konfig mojego firewalla iptables -F iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter iptables -P FORWARD DROP iptables -P INPUT DROP iptables -P OUTPUT ACCEPT echo "1" /proc/sys/net/ipv4/ip_forward iptables -A FORWARD -i eth0 -o eth1 -s 192.168.0.0/255.255.255.0 -d 0/0 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -s 0/0 -d 192.168.0.0/255.255.255.0 -j ACCEPT iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 0/0 -j MASQUERADE iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -i eth0 -p tcp -m state --state NEW -d 192.168.0.1 --dport 22 -j ACCEPT iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT #--poczatek sekcji openvpn iptables -A INPUT -p udp --dport 1194 -m state --state NEW -j ACCEPT iptables -A INPUT -i tun+ -j ACCEPT iptables -A FORWARD -i tun+ -j ACCEPT #koniec sekcji openvpn -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
iptables + openvpn
Witam wszystkich, Mam rozwiązanie - bardzo prosty router + firewall wraz z DHCP i openvpn. Chciałbym aby zdalanie poprzez vpn mogli się do sieci wewnętrznej firmy podłączać ludzie z zewnątrz a konkretnie chodzi mi o to żeby na dany wewnętrznym ip mogli podłączyć się terminalami. Z openvpn nie mam problemu. Klienci łączą się ok. Problem tkwi w tym że przy obecnej konfiguracji mojego firewalla podłączające się przez vpn komputery nie mogą zapingowac innych maszyn w sieci poza samym routerem i podłączyć się do niego przez SSH na porcie 22 - tyle wiem że zrobiłem :). Ponieważ dopiero zaczynam z iptables wiem że gdzieś w konfiguracji firewalla leży problem - tzn nie umiem sobie za bardzo zrobic przekierowania, zastanawia mnie tez fakt nie moznosci pingowania innych maszyn w sieci po podłączeniu sie VPNem Obecnie zeleżało by mi na tym żeby można było podłączyć się na port tcp 3389 z komputerów które łączą sie na intefejsie tun (wirtualny intefejs openvpn) do routera na ip wew 192.168.0.2 oraz żeby się dało pingowac inne kompy w sieci Wszelkie inne sugestie są będą bardzo mile widziane. Bardzo dziękuję za pomoc Pozrawiam Maciej poniżej konfig mojego firewalla iptables -F iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter iptables -P FORWARD DROP iptables -P INPUT DROP iptables -P OUTPUT ACCEPT echo "1" /proc/sys/net/ipv4/ip_forward iptables -A FORWARD -i eth0 -o eth1 -s 192.168.0.0/255.255.255.0 -d 0/0 -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -s 0/0 -d 192.168.0.0/255.255.255.0 -j ACCEPT iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 0/0 -j MASQUERADE iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -i eth0 -p tcp -m state --state NEW -d 192.168.0.1 --dport 22 -j ACCEPT iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT #--poczatek sekcji openvpn iptables -A INPUT -p udp --dport 1194 -m state --state NEW -j ACCEPT iptables -A INPUT -i tun+ -j ACCEPT iptables -A FORWARD -i tun+ -j ACCEPT #koniec sekcji openvpn -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Spec od IPTABLES potrzebny :)
On Sat, Sep 30, 2006 at 01:01:37AM +0200, Sub wrote: Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes) target prot opt in out source destination SNAT all -- anyeth0localnet/24 anywhere to:212.14.XXX.205 SNAT all -- anyeth0213.155.XXX.128/25 anywhere to:212.14.XXX.205 Wydawalo mi sie wiec, ze linijka kasujaca ta niepozadana regulke winna wygladac jak nizej: #: iptables -t nat -D POSTROUTING -o eth0 -s 213.155.XXX.128/25 -j SNAT --to 212.14.XXX.205 ale niestety nie dziala... :( #: iptables: No chain/target/match by that name Jeżeli to jest druga regułka w łańcuchu (co możesz sprawdzić za pomocą: iptables --line-number -nL POSTROUTING -t nat), to skasowanie jej można uskutecznić za pomocą: iptables -t nat -D POSTROUTING 2 ^^^ to jest numer reguły Czy ktos biegly w iptables moglby mi podpowiedziec jak powinna ona w takim razie wygladac? A w zasadzie czemu nie działa to twoje, to ja nie wiem :( Może iptables -nvxL POSTROUTING -t nat coś wyjaśni? Z gory dzieki za sugestie! -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Spec od IPTABLES potrzebny :)
06-09-30, Miroslaw Kwasniak [EMAIL PROTECTED] napisał(a): On Sat, Sep 30, 2006 at 01:01:37AM +0200, Sub wrote: Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes) target prot opt in out source destination SNAT all -- anyeth0localnet/24 anywhere to:212.14.XXX.205 SNAT all -- anyeth0213.155.XXX.128/25 anywhere to:212.14.XXX.205 wrzuć iptables-save na paste debiana (http://paste.debian.net/) -- Wojciech Ziniewicz| jid:[EMAIL PROTECTED] http://silenceproject.org | http://zetho.wordpress.com
Spec od IPTABLES potrzebny :)
Mam taki problem i nikuta nie moge sobie z nim dac rady
Debian 3.1, w nim dwa interfejsy - eth0 od strony wan i eth1 na ktorym
chodzi maskarada dla sieci lokalnej.
Maskarada jest zapuszczona ze standardowego debianowego ipmasq, wszystko
gra i buczy.
Paru klientow jednak zazyczylo sobie numery z klasy publicznej. Tak wiec
idac po najprostrzej linii oporu chcialem dorobic po prostu alias do eth1
ktory obslugiwalby owe publiczne numery.
eth1 Link encap:Ethernet HWaddr 00:30:4F:1B:5C:F7
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:10 Base address:0xe800
eth1:1Link encap:Ethernet HWaddr 00:30:4F:1B:5C:F7
inet addr:213.155.XXX.129 Bcast:213.155.XXX.255
Mask:255.255.255.128
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:10 Base address:0xe800
Problem polega jednak na tym, ze nie moge pogodzic maskarady i aliasu na
jednym interfejsie.
W momencie kiedy uruchamiaja sie skrypty z ipmasq, alias eth1:1 przestaje
odpowiadac na pingi z sieci. Tcpdump pokazuje, ze icmp requesty caly czas
dolatuja na alias. Jednak alias nie raczy juz na nie odpowiadac.
W momencie zatrzymania ipmasq - eth1:1 elegancko znow zaczyna dogadywac
sie ze swiatem.
Podejrzewam, ze najpraqwdopodobniej ktorys z fyfnastu skryptow ipmasq
blokuje wszystko co nie jest podstawowym adresem maskowanego interfejsu
lub cos w ten desen. Albo moze wrecz na sile probuje trzaskac SNATa
rowniez i na tym aliasie?
Jesli tak to czy ktos sie moze orientuje w ktorym skrypcie tego szukac?
Gdzie taka blokade mozna zdjac w skryptach ipmasq?
Wyglada na to, ze faktycznie, skrypty ipmasq SNATuja wszystko jak leci.
Rowiazanie wiec mojego problemu winno byc wiec banalnie proste. Wystarczy
prawdopodobnie usunac regule SNATu dla klasy numerowej aliasu eth1:1. Ale
tutaj pojawia sie problem bo nie moge tego dranstwa usunac...
Linijka w skrypcie ktora ustawia ten SNAT wyglada nastepujaco:
IPTABLES -t nat -A POSTROUTING -o ${j%%:*} -s $IPOFIF/$NMOFIF -j SNAT --to
212.14.XXX.205
W -t nat wyglada to potem tak:
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
target prot opt in out source destination
SNAT all -- anyeth0localnet/24 anywhere
to:212.14.XXX.205
SNAT all -- anyeth0213.155.XXX.128/25 anywhere
to:212.14.XXX.205
Wydawalo mi sie wiec, ze linijka kasujaca ta niepozadana regulke winna
wygladac jak nizej:
#: iptables -t nat -D POSTROUTING -o eth0 -s 213.155.XXX.128/25 -j SNAT --to
212.14.XXX.205
ale niestety nie dziala... :(
#: iptables: No chain/target/match by that name
Czy ktos biegly w iptables moglby mi podpowiedziec jak powinna ona w takim
razie wygladac?
Z gory dzieki za sugestie!
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables - przebudowa paczki
06-09-01, albert [EMAIL PROTECTED] napisał(a): [...] /usr/src/iptables-1.3.5.0debian1/iptables/debian/build/iptables_profectio cp: nie można wykonać stat na `iptables': Nie ma takiego pliku ani katalogu make: *** [/usr/src/iptables-1.3.5.0debian1/iptables/debian/build/stamp/prep] Błąd 1 debuild: fatal error at line 765: dpkg-buildpackage failed! Ktos ma jakis pomysl ? zassij oryginalne zrodla do iptables , spaczuj, zdebianizuj (debianusers.pl) i zbuduj paczke. tak bedzie imho najlepiej.
iptables - przebudowa paczki
Witam Sciagnalem paczke iptables z sida na sarge i chcialem ja przebudowac sobie wrzucajac patche , przy debuils -us -uc dostaje error debuild -us -uc dpkg-buildpackage: source package is iptables dpkg-buildpackage: source version is 1.3.5.0debian1-1 dpkg-buildpackage: source maintainer is Laurence J. Lane [EMAIL PROTECTED] dpkg-buildpackage: host architecture is i386 debian/rules clean dh_testdir rm -rf /usr/src/iptables-1.3.5.0debian1/iptables/debian/build dh_clean dpkg-source -b iptables dpkg-source: warning: source directory `./iptables' is not sourcepackage-upstreamversion `iptables-1.3.5.0debian1' dpkg-source: building iptables in iptables_1.3.5.0debian1-1.tar.gz dpkg-source: building iptables in iptables_1.3.5.0debian1-1.dsc debian/rules build install -d /usr/src/iptables-1.3.5.0debian1/iptables/debian/build/stamp cp -a iptables /usr/src/iptables-1.3.5.0debian1/iptables/debian/build/iptables_profectio cp: nie można wykonać stat na `iptables': Nie ma takiego pliku ani katalogu make: *** [/usr/src/iptables-1.3.5.0debian1/iptables/debian/build/stamp/prep] Błąd 1 debuild: fatal error at line 765: dpkg-buildpackage failed! Ktos ma jakis pomysl ? pozdrawiam Albert -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
iptables -j LOG Logowanie zdarzen do innego pliku
Majac wlasny Router wypada logowac kto, gdzie, kiedy i o ktorej sie laczy. W zwiazku z tym uzywajac petli: 'iptables -t nat -A POSTROUTING -s $i -m state --state NEW -j LOG --log-level info --log-prefix NewConn: ' loguje wszystkie nowe polaczenia. Jak zrobic, aby wszystkie te komunikaty nie logowaly sie do /var/log/syslog tylko do /var/log/users/$i ? Przydatne aby utrzymac pozadek w logach. Czy Wy jako Administratorzy sieci logujecie jeszcze jakiś ruch? Chcę być tu zgodny z prawem (w razie przestepstwa popelnionego z mojej sieci). --- Marek Net Admin -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables -j LOG Logowanie zdarzen do innego pliku
06-07-17, Marcin Owsiany [EMAIL PROTECTED] napisał(a): On Mon, Jul 17, 2006 at 11:38:58AM +0200, Marek Net Admin wrote: Majac wlasny Router wypada logowac kto, gdzie, kiedy i o ktorej sie laczy. W zwiazku z tym uzywajac petli: 'iptables -t nat -A POSTROUTING -s $i -m state --state NEW -j LOG --log-level info --log-prefix NewConn: ' loguje wszystkie nowe polaczenia. Jak zrobic, aby wszystkie te komunikaty nie logowaly sie do /var/log/syslog tylko do /var/log/users/$i ? Zapodać $i do log-prefix i sortować przy pomocy syslog-ng? albo zainteresowac sie demonem ulogd ;) btw. nie jestem administratorem sieci ;) -- Wojciech Ziniewicz| jid:[EMAIL PROTECTED] http://silenceproject.org | http://zetho.wordpress.com
Re: iptables i dziwny redirect
06-05-22, Wojciech Ziniewicz [EMAIL PROTECTED] napisał(a): Co zrobić żeby hosty LAN_IP1 i LAN_IP2 mogly podlaczac sie do LAN_IP3 za pomocą jego adresu publicznego ? A dokladniej jak skonfigurać NAT2 lub NAT1 zeby to działało? Pozdrawiam, Wojciech Ziniewicz| [EMAIL PROTECTED] Kiedys juz o oczyms podobnym czytalem (ze sie nie da): http://doc.m0n0.ch/handbook/faq-lannat.html Pozdrowienia Wojtek
Re: iptables i dziwny redirect
06-05-22, Wojciech Firlej [EMAIL PROTECTED] napisał(a): 06-05-22, Wojciech Ziniewicz [EMAIL PROTECTED] napisał(a): Co zrobić żeby hosty LAN_IP1 i LAN_IP2 mogly podlaczac sie do LAN_IP3 za pomocą jego adresu publicznego ? A dokladniej jak skonfigurać NAT2 lub NAT1 zeby to działało? Pozdrawiam, Wojciech Ziniewicz| [EMAIL PROTECTED] Kiedys juz o oczyms podobnym czytalem (ze sie nie da): http://doc.m0n0.ch/handbook/faq-lannat.html myślałem czy nie skonfigurować tak DNSa wewnętrznego żeby nie podawał w lanie wewnętrznych adresów IP dla serwerów , ale nie wszyscy uzywają dhcp ;( czy ktos ma jeszcze jakiś pomysł? może sie da to jakoś rozwiązać ? -- Pozdrawiam, Wojciech Ziniewicz| [EMAIL PROTECTED] Powered by google.com | [wanna gmail?] http://silenceproject.org | :E
Re: iptables i dziwny redirect
06-05-22, Wojciech Ziniewicz [EMAIL PROTECTED] napisał(a): myślałem czy nie skonfigurować tak DNSa wewnętrznego żeby nie podawał w lanie wewnętrznych adresów IP dla serwerów , ale nie wszyscy uzywają dhcp ;( czy ktos ma jeszcze jakiś pomysł? może sie da to jakoś rozwiązać ? -- Pozdrawiam, Wojciech Ziniewicz| [EMAIL PROTECTED] jesli Cie dobrze zrozumialem, to moze chodzi o cos analogicznego do DNS Doctoring? : http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a0080094aee.shtml Pozdrowienia Wojtek
RE: iptables i dziwny redirect
Rozumiem, że wygląda to tak (adresy przykładowe)
192.168.0.0/24 192.168.0.1 10.0.0.0/8 10.0.0.1
0.0.0.0/080.33.22.111
/10.0.0.254 /80.111.22.33
^^^
^^^
LAN1 === NAT1 === LAN2 === NAT2 ===
INTERNET === LAN3 (tu jakis router)
| |
|-192.168.0.2 |-10.0.0.2
|-192.168.0.3 |-10.0.0.3
... ...
Na każdym z NAT[1,2] załóż SNATa na adres zewnętrzny konkretnego NATa, co
umożliwi NATowi2 przerzucenie pakietów do 0.0.0.0/0, co przerzuci je do
LAN3.
---
Marek Net Admin
-Original Message-
From: Wojciech Ziniewicz [mailto:[EMAIL PROTECTED]
Sent: Monday, May 22, 2006 2:08 PM
To: Lista Debiana
Subject: iptables i dziwny redirect
Witam,
TRochę OT , ale mam nadzieje ze ktoś bedzie wiedział jak to rozwiązać ..
mam dosyć zagmatwaną sytuację .. Otóż :
LAN_IP1\
LAN_IP2- =(lan)NAT1(lan)=(lan)NAT2(pub) Internet LAN_IP3/
-LAN_IP1, LAN_IP2 to workstacje
-LAN_IP3 - ma przypisany adres publiczny (idący poprzez dwa DNATy : NAT1 i
NAT2)
Co zrobić żeby hosty LAN_IP1 i LAN_IP2 mogly podlaczac sie do LAN_IP3 za
pomocą jego adresu publicznego ? A dokladniej jak skonfigurać NAT2 lub NAT1
zeby to działało?
Przeroutowanie jakieś podsieci publicznych adresów IP z NAT2 na NAT1 nie
wchodzi w grę.
pozdrawiam i proszę o pomoc.
--
Pozdrawiam,
Wojciech Ziniewicz| [EMAIL PROTECTED]
Powered by google.com | [wanna gmail?]
http://silenceproject.org | :E
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables i dziwny redirect
06-05-22, Wojciech Ziniewicz [EMAIL PROTECTED] napisał(a):
06-05-22, Marek Net Admin [EMAIL PROTECTED] napisał(a):
Rozumiem, że wygląda to tak (adresy przykładowe)
192.168.0.0/24 192.168.0.1 10.0.0.0/8 10.0.0.1
0.0.0.0/080.33.22.111
/10.0.0.254 /80.111.22.33
^^^
^^^
LAN1 === NAT1 === LAN2 === NAT2 ===
INTERNET === LAN3 (tu jakis router)
| |
|-192.168.0.2 |-10.0.0.2
|-192.168.0.3 |-10.0.0.3
... ...
Na każdym z NAT[1,2] załóż SNATa na adres zewnętrzny konkretnego NATa, co
umożliwi NATowi2 przerzucenie pakietów do 0.0.0.0/0, co przerzuci je do
LAN3.
cholera za bardzo sie rozjechało zebym cokolwiek mógł z tego odczytać ;(
p.s. sry za prv.
--
Pozdrawiam,
Wojciech Ziniewicz| [EMAIL PROTECTED]
Powered by google.com | [wanna gmail?]
http://silenceproject.org | :E
Re: iptables i dziwny redirect
06-05-22, Marek Sirdak [EMAIL PROTECTED] napisał(a): Zalacznik :) problem w tym ze hosty i serwer znajduja sie z tym samym lanie i podlaczone są do tego samego routera cisco... -- Pozdrawiam, Wojciech Ziniewicz| [EMAIL PROTECTED] Powered by google.com | [wanna gmail?] http://silenceproject.org | :E
Re: iptables i dziwny redirect
06-05-22, Wojciech Firlej [EMAIL PROTECTED] napisał(a): 06-05-22, Wojciech Ziniewicz [EMAIL PROTECTED] napisał(a): myślałem czy nie skonfigurować tak DNSa wewnętrznego żeby nie podawał w lanie wewnętrznych adresów IP dla serwerów , ale nie wszyscy uzywają dhcp ;( czy ktos ma jeszcze jakiś pomysł? może sie da to jakoś rozwiązać ? -- Pozdrawiam, Wojciech Ziniewicz| [EMAIL PROTECTED] jesli Cie dobrze zrozumialem, to moze chodzi o cos analogicznego do DNS Doctoring? : myśle że DNS views w tym przypadku jest moim jedynym rozwiazaniem... dzieki wszystkim za pomoc.. rozwiaze to w troche dziwny sposób ale bedzie : -hosty z lanu widzą www.domena.com jako 10.100.0.3 -z intrernetu na tym samym serwerze dns www.domena.com widziana jako 217.x.x.x dzieki jeszcze raz jeszcze przyjże sie temu co proponuje Wojciech... dzieki i napisze jak to w koncu rozwiązałem. pozdrawiam. -- Pozdrawiam, Wojciech Ziniewicz| [EMAIL PROTECTED] Powered by google.com | [wanna gmail?] http://silenceproject.org | :E
Re: NAT + IPTABLES
Dnia wtorek, 14 marca 2006 22:08, FAKE napisał: Witam b.. ustawić routing c.. zrobić translację adresów Proszę o link step by step dla początkujacych lub może to jest w stanie ktoś szybko napisać. Może nie krok po kroku ale masz wszystko. http://inet.ll.pl/ -- Wiktor Bauer KW PSP w Opolu 45-202 Opole ul. Budowlanych 1 +48 77 4223401,
Re: NAT + IPTABLES
Dnia 14-03-2006, wto o godzinie 22:08 +0100, FAKE napisał(a): Witam. Czy może ktoś podesłać mi link do prostego opisu jak udostępnić DSLA. Sytuacja wygląda tak, że mam zainstalowanego debiana 3.1. W środku 2 karty sieciowe eth0 i eth1. Eth0 skonfigurowane komendą ifconfig i mam połączenie z netem - pingi idą. Wpisane adresy dns w resolv.conf. Ściągnięte iptables i skonfigurowany interfejs sieciowy eth1 na adres ip 192.168.1.1 i teraz wiem, że mam: * włączyić fowarding pakietów, * ustawić routing * zrobić translację adresów Pytanie moje brzmi jak to zrobić z wykorzystaniem iptables, żeby komputery podpięte pod switsch i dalej w interfejs eth1 miały net. Proszę o link step by step dla początkujacych lub może to jest w stanie ktoś szybko napisać. Odpal skrypt: #!/bin/sh echo 1 /proc/sys/net/ipv4/ip_forward iptables -F FORWARD iptables -P FORWARD DROP iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -o eth0 -j ACCEPT iptables -t nat -F POSTROUTING iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE A jak chcesz coś więcej to a) www.google.com b) www.google.com c) groups.google.com d) nie pisz w htmlu Krzysiek Kiełczewski -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
NAT + IPTABLES
Witam. Czy może ktoś podesłać mi link do prostego opisu jak udostępnić DSLA. Sytuacja wygląda tak, że mam zainstalowanego debiana 3.1. W środku 2 karty sieciowe eth0 i eth1. Eth0 skonfigurowane komendą ifconfig i mam połączenie z netem - pingi idą. Wpisane adresy dns w resolv.conf. Ściągnięte iptables i skonfigurowany interfejs sieciowy eth1 na adres ip 192.168.1.1 i teraz wiem, że mam: włączyić fowarding pakietów, ustawić routing zrobić translację adresów Pytanie moje brzmi jak to zrobić z wykorzystaniem iptables, żeby komputery podpięte pod switsch i dalej w interfejs eth1 miały net.Proszę o link step by step dla początkujacych lub może to jest w stanie ktoś szybko napisać.
patch-o-matic i iptables : libipt_string.c:340: error:
Witam ! Probuje zaladowac patch'a time i string - chce zablokowac kazze i pozostale p2p. Uzywam do tego : linux-2.4.32.tar.bz2 iptables-1.3.5.tar.bz2 patch-o-matic-ng-20050918.tar.bz2 Po wydaniu make dla iptables, dostaje blad : extensions/libipt_string.c:340: error: (near initialization for `string.userspacesize') make: *** [extensions/libipt_string_sh.o] Blad 1 co moze byc powodem ? Pozdrawiam, Best regards, Rafał Dąbrowa
Re: patch-o-matic i iptables : libipt_string.c:340: error:
Rafał Dąbrowa napisał(a): Witam ! Probuje zaladowac patch'a time i string - chce zablokowac kazze i pozostale p2p. zainteresuj sie snortem z nowymi funkcjonalnosciami, integruje sie z iptables i dziala znakomicie. A pozatym pieknie tnie malware powodzenia jr
Re: probelm z iptables
Witam! Akurat 19-12-2005 (pon) o godz. 10:50 Krzysztof Mazurczyk napisał(a): Że co? Co do maskarady, to zgoda - nie zrobisz. Z tym forwardem to żeś jednak kolego nieco przesadził. Skąd wziąłeś, że CONFIG_IP_NF_NAT jest niezbędny routowania pakietów? Dokładnie to miałem na myśli port forwarding. Pozdrawiam tym0n -- Tomasz Jakub Skrynnyk GnuPG: 85EB 93FC 72DC D4DD 6586 98ED AB36 F1AD BF77 D9BB -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: probelm z iptables
po ręcznym wyedytowaniu pliku .config i wpisaniu : [EMAIL PROTECTED]:/usr/src/linux# make menuconfig .config:375: *** missing separator. Stop. make: *** [scripts_basic] Błąd 2 jeśli natomiast jest tak # CONFIG_IP_NF_NAT is not set to nie wywala żadnych błędów,ale nie moge nic znaleźć związanego z NATem przy konfigurowaniu kernela przez menuconfig coś musze mieć powyłączane w innym miejscu :( zrobiłem tak,uruchomiłem menuconfig, włączyłem wszystkie opcje,ładując je jako moduły a jak sie nie dało to na stałe, okazuje się że nie mam możliwości zaznaczenia opcji NAT, sciągne zaraz najnowszego kernela i poszperam dzięki Wiadomość Oryginalna Od: Tomasz Jakub Skrynnyk [EMAIL PROTECTED] Do: debian-user-polish@lists.debian.org Data: Mon, 19 Dec 2005 03:21:29 +0100 Temat: Re: probelm z iptables Witam! Akurat 18-12-2005 (nie) o godz. 21:56 [EMAIL PROTECTED] napisał(a): iptables v1.3.3: can't initialize iptables table `nat': Table does not exist (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded. mam zainstalowany oczywiście pakiet iptables, a kernela 2.6.14 ,przypuszczam,że czegoś w kernelu nie zaznaczyłem I bardzo słusznie przypuszczasz. # IP: Virtual Server Configuration To Ci raczej całkiem niepotrzebne, no chyba, że faktycznie masz zamiar robić klastry. ;) # IP: Netfilter Configuration # # CONFIG_IP_NF_NAT is not set A tego Ci właśnie zabrakło. Dlatego nie zrobisz ani masquarady, ani forwardu... Polecam przy konfiguracji kernela czytanie helpa do poszczególnych modułów, tam masz m.in. informacje o zależnościach. Poza tym widzę, że nie zaznaczyłeś jeszcze kilku innych pozycji w sekcji Netfilter, a przydaje się czasem takie tunelowanie (CONFIG_NET_IPIP/IPGRE) czy parę innych rzeczy... :) Pozdrawiam tym0n -- Tomasz Jakub Skrynnyk GnuPG: 85EB 93FC 72DC D4DD 6586 98ED AB36 F1AD BF77 D9BB -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: probelm z iptables
Wszystko już gra w najnowszym kerneliku :) Wiadomość Oryginalna Od: [EMAIL PROTECTED] Do: Tomasz Jakub Skrynnyk [EMAIL PROTECTED] Kopia do: debian-user-polish@lists.debian.org Data: Mon, 19 Dec 2005 15:51:53 +0100 Temat: Re: probelm z iptables po ręcznym wyedytowaniu pliku .config i wpisaniu : [EMAIL PROTECTED]:/usr/src/linux# make menuconfig .config:375: *** missing separator. Stop. make: *** [scripts_basic] Błąd 2 jeśli natomiast jest tak # CONFIG_IP_NF_NAT is not set to nie wywala żadnych błędów,ale nie moge nic znaleźć związanego z NATem przy konfigurowaniu kernela przez menuconfig coś musze mieć powyłączane w innym miejscu :( zrobiłem tak,uruchomiłem menuconfig, włączyłem wszystkie opcje,ładując je jako moduły a jak sie nie dało to na stałe, okazuje się że nie mam możliwości zaznaczenia opcji NAT, sciągne zaraz najnowszego kernela i poszperam dzięki Wiadomość Oryginalna Od: Tomasz Jakub Skrynnyk [EMAIL PROTECTED] Do: debian-user-polish@lists.debian.org Data: Mon, 19 Dec 2005 03:21:29 +0100 Temat: Re: probelm z iptables Witam! Akurat 18-12-2005 (nie) o godz. 21:56 [EMAIL PROTECTED] napisał(a): iptables v1.3.3: can't initialize iptables table `nat': Table does not exist (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded. mam zainstalowany oczywiście pakiet iptables, a kernela 2.6.14 ,przypuszczam,że czegoś w kernelu nie zaznaczyłem I bardzo słusznie przypuszczasz. # IP: Virtual Server Configuration To Ci raczej całkiem niepotrzebne, no chyba, że faktycznie masz zamiar robić klastry. ;) # IP: Netfilter Configuration # # CONFIG_IP_NF_NAT is not set A tego Ci właśnie zabrakło. Dlatego nie zrobisz ani masquarady, ani forwardu... Polecam przy konfiguracji kernela czytanie helpa do poszczególnych modułów, tam masz m.in. informacje o zależnościach. Poza tym widzę, że nie zaznaczyłeś jeszcze kilku innych pozycji w sekcji Netfilter, a przydaje się czasem takie tunelowanie (CONFIG_NET_IPIP/IPGRE) czy parę innych rzeczy... :) Pozdrawiam tym0n -- Tomasz Jakub Skrynnyk GnuPG: 85EB 93FC 72DC D4DD 6586 98ED AB36 F1AD BF77 D9BB -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
probelm z iptables
witam po wywołaniu takich poleceń ze skryptu : # udostepniaie internetu w sieci lokalnej iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT dostaję taki oto komunikat: iptables v1.3.3: can't initialize iptables table `nat': Table does not exist (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded. mam zainstalowany oczywiście pakiet iptables, a kernela 2.6.14 ,przypuszczam,że czegoś w kernelu nie zaznaczyłem dzięki z góry za pomoc fragment .configa # Networking # CONFIG_NET=y # # Networking options # CONFIG_PACKET=y # CONFIG_PACKET_MMAP is not set CONFIG_UNIX=y CONFIG_XFRM=y # CONFIG_XFRM_USER is not set # CONFIG_NET_KEY is not set CONFIG_INET=y # CONFIG_IP_MULTICAST is not set # CONFIG_IP_ADVANCED_ROUTER is not set CONFIG_IP_FIB_HASH=y # CONFIG_IP_PNP is not set # CONFIG_NET_IPIP is not set # CONFIG_NET_IPGRE is not set # CONFIG_ARPD is not set # CONFIG_SYN_COOKIES is not set # CONFIG_INET_AH is not set # CONFIG_INET_ESP is not set # CONFIG_INET_IPCOMP is not set CONFIG_INET_TUNNEL=y CONFIG_INET_DIAG=y CONFIG_INET_TCP_DIAG=y # CONFIG_TCP_CONG_ADVANCED is not set CONFIG_TCP_CONG_BIC=y # # IP: Virtual Server Configuration # # CONFIG_IP_VS is not set # CONFIG_IPV6 is not set CONFIG_NETFILTER=y # CONFIG_NETFILTER_DEBUG is not set # CONFIG_NETFILTER_NETLINK is not set # # IP: Netfilter Configuration # CONFIG_IP_NF_CONNTRACK=m # CONFIG_IP_NF_CT_ACCT is not set # CONFIG_IP_NF_CONNTRACK_MARK is not set # CONFIG_IP_NF_CONNTRACK_EVENTS is not set # CONFIG_IP_NF_CT_PROTO_SCTP is not set CONFIG_IP_NF_FTP=m CONFIG_IP_NF_IRC=m # CONFIG_IP_NF_NETBIOS_NS is not set CONFIG_IP_NF_TFTP=m CONFIG_IP_NF_AMANDA=m # CONFIG_IP_NF_PPTP is not set CONFIG_IP_NF_QUEUE=m CONFIG_IP_NF_IPTABLES=m CONFIG_IP_NF_MATCH_LIMIT=m CONFIG_IP_NF_MATCH_IPRANGE=m CONFIG_IP_NF_MATCH_MAC=m CONFIG_IP_NF_MATCH_PKTTYPE=m CONFIG_IP_NF_MATCH_MARK=m CONFIG_IP_NF_MATCH_MULTIPORT=m CONFIG_IP_NF_MATCH_TOS=m CONFIG_IP_NF_MATCH_RECENT=m CONFIG_IP_NF_MATCH_ECN=m CONFIG_IP_NF_MATCH_DSCP=m CONFIG_IP_NF_MATCH_AH_ESP=m CONFIG_IP_NF_MATCH_LENGTH=m CONFIG_IP_NF_MATCH_TTL=m CONFIG_IP_NF_MATCH_TCPMSS=m CONFIG_IP_NF_MATCH_HELPER=m CONFIG_IP_NF_MATCH_STATE=m CONFIG_IP_NF_MATCH_CONNTRACK=m CONFIG_IP_NF_MATCH_OWNER=m # CONFIG_IP_NF_MATCH_ADDRTYPE is not set # CONFIG_IP_NF_MATCH_REALM is not set # CONFIG_IP_NF_MATCH_SCTP is not set # CONFIG_IP_NF_MATCH_DCCP is not set # CONFIG_IP_NF_MATCH_COMMENT is not set # CONFIG_IP_NF_MATCH_HASHLIMIT is not set # CONFIG_IP_NF_MATCH_STRING is not set CONFIG_IP_NF_FILTER=m CONFIG_IP_NF_TARGET_REJECT=m CONFIG_IP_NF_TARGET_LOG=m CONFIG_IP_NF_TARGET_ULOG=m CONFIG_IP_NF_TARGET_TCPMSS=m # CONFIG_IP_NF_TARGET_NFQUEUE is not set # CONFIG_IP_NF_NAT is not set CONFIG_IP_NF_MANGLE=m CONFIG_IP_NF_TARGET_TOS=m CONFIG_IP_NF_TARGET_ECN=m CONFIG_IP_NF_TARGET_DSCP=m CONFIG_IP_NF_TARGET_MARK=m CONFIG_IP_NF_TARGET_CLASSIFY=m # CONFIG_IP_NF_TARGET_TTL is not set CONFIG_IP_NF_RAW=m CONFIG_IP_NF_TARGET_NOTRACK=m CONFIG_IP_NF_ARPTABLES=m CONFIG_IP_NF_ARPFILTER=m CONFIG_IP_NF_ARP_MANGLE=m # # DCCP Configuration (EXPERIMENTAL) # # CONFIG_IP_DCCP is not set # # SCTP Configuration (EXPERIMENTAL) # # CONFIG_IP_SCTP is not set # CONFIG_ATM is not set # CONFIG_BRIDGE is not set # CONFIG_VLAN_8021Q is not set # CONFIG_DECNET is not set # CONFIG_LLC2 is not set # CONFIG_IPX is not set # CONFIG_ATALK is not set # CONFIG_X25 is not set # CONFIG_LAPB is not set # CONFIG_NET_DIVERT is not set # CONFIG_ECONET is not set # CONFIG_WAN_ROUTER is not set # CONFIG_NET_SCHED is not set # CONFIG_NET_CLS_ROUTE is not set # # Network testing # # CONFIG_NET_PKTGEN is not set # CONFIG_HAMRADIO is not set CONFIG_IRDA=m -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: probelm z iptables
Witam! Akurat 18-12-2005 (nie) o godz. 21:56 [EMAIL PROTECTED] napisał(a): iptables v1.3.3: can't initialize iptables table `nat': Table does not exist (do you need to insmod?) Perhaps iptables or your kernel needs to be upgraded. mam zainstalowany oczywiście pakiet iptables, a kernela 2.6.14 ,przypuszczam,że czegoś w kernelu nie zaznaczyłem I bardzo słusznie przypuszczasz. # IP: Virtual Server Configuration To Ci raczej całkiem niepotrzebne, no chyba, że faktycznie masz zamiar robić klastry. ;) # IP: Netfilter Configuration # # CONFIG_IP_NF_NAT is not set A tego Ci właśnie zabrakło. Dlatego nie zrobisz ani masquarady, ani forwardu... Polecam przy konfiguracji kernela czytanie helpa do poszczególnych modułów, tam masz m.in. informacje o zależnościach. Poza tym widzę, że nie zaznaczyłeś jeszcze kilku innych pozycji w sekcji Netfilter, a przydaje się czasem takie tunelowanie (CONFIG_NET_IPIP/IPGRE) czy parę innych rzeczy... :) Pozdrawiam tym0n -- Tomasz Jakub Skrynnyk GnuPG: 85EB 93FC 72DC D4DD 6586 98ED AB36 F1AD BF77 D9BB -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables i komunikat o niepłaceniu
-Original Message- From: adam [mailto:[EMAIL PROTECTED] Sent: Monday, September 20, 2004 10:23 PM To: debian-user-polish@lists.debian.org Subject: iptables i komunikat o niepłaceniu Mam pytanie ponieważ na liście był artykuł o informowaniu ludzi o tym, Że nie płacą było to zrobione w ten sposób: /sbin/iptables -t nat -p tcp -A PREROUTING -s 192.168.3.7 --dport 80 -m state --state NEW -m limit --limit 1/hour --limit-burst 1 -j DNAT --to 192.168.1.1:82 --- Temat bumerang ale mam tylko jedno pytanie Czy kots moglby mi podpowiedziec jak taka linia powinna wygladac dla publicznych IP? Bez nat? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Interfejs, GUI do iptables.
Dnia 19-09-2005, pon o godzinie 17:43 +0200, Jerzy Patraszewski napisał(a): Witam, polecam firestartera, calkiem,calkiem udany projekt - przynajmniej do podstawowych systemow pozdrawam Nawet całkiem przyjemnie chodzi, taki w sam raz na koncowego klienta sieci. Tylko czy mozna oddzielic tcp i udp. Tak zeby przepuszczal 8000tcp i 8010udp, bo w przepuszczaniu jest chyba tylko numer portu. -- -Robert Pankowecki vel rupert- aktualnie pracuje nad: http://www.robert.c-f-h.com/ gg:1716969 || skype:kryptofiles || [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Interfejs, GUI do iptables.
Witam, Czy mozecie polecic jakis mily i przyjazny GUI badz webowy interfejs do iptables? Zeby mozna bylo zarowno zarzadzac regulami jak i obserwowac co sie dzieje, wyswietlic jakis status? Pozdrawiam, Pagi -- O kobietach, dla kobiet... http://link.interia.pl/f18b4
Re: Interfejs, GUI do iptables.
Pagi wrote: Witam, Czy mozecie polecic jakis mily i przyjazny GUI badz webowy interfejs do iptables? Zeby mozna bylo zarowno zarzadzac regulami jak i obserwowac co sie dzieje, wyswietlic jakis status? Pozdrawiam, Pagi moze guarddog dla poczatkujacych. co prawda co sie dzieje mozesz ogladac co najwyzej w logach, ale za to konfiguracja powinna byc wzglednie prosta i w szybki sposob pozwoli ci stworzyc twojego osobistego firewalla. Łukasz Pieczara -- jid: [EMAIL PROTECTED] gg: 3669560 pgp: 0x698F1CA2 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Interfejs, GUI do iptables.
Witam,
polecam firestartera, calkiem,calkiem udany projekt - przynajmniej do
podstawowych systemow
pozdrawam
--
Jerzy sm0q Patraszewski
patrasze{at}wszib{dot}edu{dot}pl
sm0q{at}rootshell{dot}be
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Caly czas wredne IPTABLES
05-08-21, Krzysztof Pawlikiewicz [EMAIL PROTECTED] napisał(a): Dnia 21-08-2005, nie o godzinie 11:20 +0200, Roland Czaczyk / FreeBird napisał(a): Installing /root/iptables_1.3.3-2_i386.deb (Odczytywanie bazy danych ... 21248 plików i katalogów obecnie zainstalowanych.) Przygotowanie do zast?pienia iptables 1.2.11-10 (wykorzystuj?c ../root/iptables_1.3.3-2_i386.deb) ... Rozpakowanie pakietu zastepuj?cego iptables ... dpkg: problemy z zale?no?ciami uniemo?liwiaj? skonfigurowanie iptables: iptables zale?y od libc6 (= 2.3.5-1); jednak?e: Wersja libc6 w systemie to 2.3.2.ds1-22. dpkg: b3?d przetwarzania iptables (--install): problemy z zale?no?ciami - pozostawiony nieskonfigurowany Wyst?pi3y b3edy podczas przetwarzania: iptables wyglada na to ze uzywasz stable a dla tej wersji nie ma oficjalnego iptables'a 1.3.x 1. Jak ewentulanie podinstalowac to cholne IPTABLES? np. sprobowac zainstalowac ze zrodel 1.3.x, lub zostawic wersje 1.2.x i dorzucic ipp2p jako modol, lub sprobowac apt-get z opcja --force-yes :) (nie polecam) 2. Czy mozna poblokowac porty p2p na IPTABLES 1.2.11?? oczywiscie ze mozna za pomoca ipp2p, u mnie na jednym z serwerow nawet na 1.2.9 dziala jeszcze. jesli chcesz pozwolić ssać z p2p userom ale nie odcinać imcałkowicie dostepu to lepszy bedzie limit polaczen (conn limit bodajże ) -- Pozdrawiam, Wojciech Ziniewicz | [EMAIL PROTECTED] Powered by google.com | [wanna gmail?]
Caly czas wredne IPTABLES
Witam Juz nie mam sil :( Chciałem w mojej sieci wew. poblokowac dostep do P2P no i skorzystalem z regulki IPTABLES: iptables -A FORWARD -p tcp -i eth1 -m ipp2p --ipp2p -j DROP iptables -A FORWARD -p tcp -i eth1 -m ipp2p --ipp2p-data -j DROP podczas uruchamiania wyskakuje blad: iptables v1.2.11: Couldn't load match `ipp2p':/lib/iptables/libipt_ipp2p.so: cannot open shared object file: No such file or directory wiec stwierdzilem ze nalezy dokonac modernizacji IPTABLES: sciagnalem: iptables_1.3.3-2_i386.deb uruchomilem instalacje i: Installing /root/iptables_1.3.3-2_i386.deb (Odczytywanie bazy danych ... 21248 plików i katalogów obecnie zainstalowanych.) Przygotowanie do zast?pienia iptables 1.2.11-10 (wykorzystuj?c .../root/iptables_1.3.3-2_i386.deb) ... Rozpakowanie pakietu zastepuj?cego iptables ... dpkg: problemy z zale?no?ciami uniemo?liwiaj? skonfigurowanie iptables: iptables zale?y od libc6 (= 2.3.5-1); jednak?e: Wersja libc6 w systemie to 2.3.2.ds1-22. dpkg: b3?d przetwarzania iptables (--install): problemy z zale?no?ciami - pozostawiony nieskonfigurowany Wyst?pi3y b3edy podczas przetwarzania: iptables wyniklo cos takiego. 1. Jak ewentulanie podinstalowac to cholne IPTABLES? 2. Czy mozna poblokowac porty p2p na IPTABLES 1.2.11?? Pozdrawiam Roland Czaczyk -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Caly czas wredne IPTABLES
Dnia 21-08-2005, nie o godzinie 11:20 +0200, Roland Czaczyk / FreeBird napisał(a): Installing /root/iptables_1.3.3-2_i386.deb (Odczytywanie bazy danych ... 21248 plików i katalogów obecnie zainstalowanych.) Przygotowanie do zast?pienia iptables 1.2.11-10 (wykorzystuj?c ../root/iptables_1.3.3-2_i386.deb) ... Rozpakowanie pakietu zastepuj?cego iptables ... dpkg: problemy z zale?no?ciami uniemo?liwiaj? skonfigurowanie iptables: iptables zale?y od libc6 (= 2.3.5-1); jednak?e: Wersja libc6 w systemie to 2.3.2.ds1-22. dpkg: b3?d przetwarzania iptables (--install): problemy z zale?no?ciami - pozostawiony nieskonfigurowany Wyst?pi3y b3edy podczas przetwarzania: iptables wyglada na to ze uzywasz stable a dla tej wersji nie ma oficjalnego iptables'a 1.3.x 1. Jak ewentulanie podinstalowac to cholne IPTABLES? np. sprobowac zainstalowac ze zrodel 1.3.x, lub zostawic wersje 1.2.x i dorzucic ipp2p jako modol, lub sprobowac apt-get z opcja --force-yes :) (nie polecam) 2. Czy mozna poblokowac porty p2p na IPTABLES 1.2.11?? oczywiscie ze mozna za pomoca ipp2p, u mnie na jednym z serwerow nawet na 1.2.9 dziala jeszcze. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables -t mangle -A OUTPUT -j TTL --ttl-set 126
Radosław Maliborski napisał(a): Poza tym moze przyda Ci sie raczej cos takiego: echo 126 /proc/sys/net/ipv4/ip_default_ttl Czy to co podałeś pozwoli zarówno wysyłąć pkiety o innej wartości ttl i w lan i w świat przy zalozeniu ze bedzie to router? Musze jadnak pociągnąc temat dalej. Sprawdzilem w configu mojego kernela iz mam dodany moduł TTL match support.Nijak niewiem jak sie do tego zabrać.Czy wina lezy po stronie jądra czy moze iptables(no ale iptables wrzyca tylko odpowiednie regułki wiec chyba nie) Czy moze ktos mi nakreslić temat jak sie ztym uporac? Pozdrawiam -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re[2]: iptables -t mangle -A OUTPUT -j TTL --ttl-set 126
== == == == == == == == == == == == == == == == == == == == == == Dnia 15-08-2005 o godzinie 15:50:06 napisano, co następuje: j Radosław Maliborski napisał(a): Poza tym moze przyda Ci sie raczej cos takiego: echo 126 /proc/sys/net/ipv4/ip_default_ttl j Czy to co podałeś pozwoli zarówno wysyłąć pkiety o innej wartości ttl i j w lan i w świat przy zalozeniu ze bedzie to router? to ustawienie zmienia wartosc czasu zycia w naglowku pakietow wychodzacych z twojego routera przez ktorykolwiek z interfejsow. j Musze jadnak pociągnąc temat dalej. j Sprawdzilem w configu mojego kernela iz mam dodany moduł TTL match j support.Nijak niewiem jak sie do tego zabrać.Czy wina lezy po stronie j jądra czy moze iptables(no ale iptables wrzyca tylko odpowiednie regułki j wiec chyba nie) j Czy moze ktos mi nakreslić temat jak sie ztym uporac? co do tego nie mam pewnosci, bo mam paczki do iptables i kernela wlasnej roboty. nie sa niestety najnowsze, a troche jest przy nich roboty, wiec nawet nie oferuje. wnioskuje jednak, ze skoro manual iptables sie na ten temat rozpisuje, to wszystko co potrzeba znajduje sie w podstawowych paczkach debiana. w kazdym razie u mnie sprawa wyglada tak: # iptables -t mangle -D OUTPUT -j TTL --ttl-set 126 iptables: Bad rule (does a matching rule exist in that chain?) # modprobe ipt_TTL # iptables -t mangle -A OUTPUT -j TTL --ttl-set 126 # wiec ten modul (ew. ta czesc kodu kernela) za to odpowiada. jedyne co przychodzi mi do glowy w zwiazku ta cala sytuacja, to to, ze moze brakuje ci jakiegos innego kawalka kernelowej ukladanki... -- R.M.M -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables -t mangle -A OUTPUT -j TTL --ttl-set 126
Radosław Maliborski napisał(a): # iptables -t mangle -D OUTPUT -j TTL --ttl-set 126 iptables: Bad rule (does a matching rule exist in that chain?) # modprobe ipt_TTL # iptables -t mangle -A OUTPUT -j TTL --ttl-set 126 # wiec ten modul (ew. ta czesc kodu kernela) za to odpowiada. jedyne co przychodzi mi do glowy w zwiazku ta cala sytuacja, to to, ze moze brakuje ci jakiegos innego kawalka kernelowej ukladanki... No tak by z tego wynikało bo u mnie: #modpprobe ipt_TTL konczy sie: #FATAL: Module ipt_TTL not found. Wiec nie mam tego modułu, ale z tego co powiediełeś to sprawe moge załatwić tym i wyjdzie na to samo: echo 126 /proc/sys/net/ipv4/ip_default_ttl Potwierdz jeszce prosze bo u mnie z zakumaniem najprostszych spraw jest problem:) Dzieki i pozdrawiam. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re[2]: iptables -t mangle -A OUTPUT -j TTL --ttl-set 126
== == == == == == == == == == == == == == == == == == == == == == Dnia 15-08-2005 o godzinie 19:06:37 napisano, co następuje: ciach j No tak by z tego wynikało bo u mnie: j #modpprobe ipt_TTL konczy sie: j #FATAL: Module ipt_TTL not found. j Wiec nie mam tego modułu, ale z tego co powiediełeś to sprawe moge j załatwić tym i wyjdzie na to samo: echo 126 /proc/sys/net/ipv4/ip_default_ttl j Potwierdz jeszce prosze bo u mnie z zakumaniem najprostszych spraw jest j problem:) j Dzieki i pozdrawiam. hehe, no dobra. wiec jesli chcesz zmienic ttl kazdego wychodzacego pakietu, to oba sposoby dadza ci ten sam efekt. Co do modulu, to dziwne, ze ani w pakietach z kernelem 2.4.x jak i 2.6.x go nie ma... w kazdym razie wystarczy sobie tylko kernel przekompilowac i bedzie;) -- R.M.M -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re[3]: iptables -t mangle -A OUTPUT -j TTL --ttl-set 126
Witaj Radosław, hehe, no dobra. wiec jesli chcesz zmienic ttl kazdego wychodzacego pakietu, to oba sposoby dadza ci ten sam efekt. Co do modulu, to dziwne, ze ani w pakietach z kernelem 2.4.x jak i 2.6.x go nie ma... w kazdym razie wystarczy sobie tylko kernel przekompilowac i bedzie;) Z tego co mi wiadomo to modul ttl znajduje sie w patch-o-matic http://www.netfilter.org/patch-o-matic/pom-base.html -- [ haxmen ] [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
iptables -t mangle -A OUTPUT -j TTL --ttl-set 126
Trzeba źródła kernela załatac łatą patch-o-matic, skonfigurować właczając ttl-set w konfigu jądra, przekompilować i juz iptables bedzie mógł poprawnie zinterpretowac iptables -t mangle -A OUTPUT -j TTL --ttl-set 126 signature.asc Description: This is a digitally signed message part
Re[4]: iptables -t mangle -A OUTPUT -j TTL --ttl-set 126
== == == == == == == == == == == == == == == == == == == == == == Dnia 15-08-2005 o godzinie 20:25:40 napisano, co następuje: h Witaj Radosław, hehe, no dobra. wiec jesli chcesz zmienic ttl kazdego wychodzacego pakietu, to oba sposoby dadza ci ten sam efekt. Co do modulu, to dziwne, ze ani w pakietach z kernelem 2.4.x jak i 2.6.x go nie ma... w kazdym razie wystarczy sobie tylko kernel przekompilowac i bedzie;) h Z tego co mi wiadomo to modul ttl znajduje sie w patch-o-matic h http://www.netfilter.org/patch-o-matic/pom-base.html no to mamy winnego:) w zwiazku z tym kernel sobie trzeba nie tylko skompilowac, ale jeszcze wczesniej polatac:) Mysle, ze czas na EOT: -- R.M.M -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables -t mangle -A OUTPUT -j TTL --ttl-set 126
Mysle, ze czas na EOT: Jeszce nie zamykajmy;) Pobralem cos takiego bo innego na stronie nie znalazlem patch-o-matic-ng bo innego nie znalazlem i faktycznie dodalo ze 4 moduły do configu jaajka ale nic z ttl. Jeszce cos takiego co do: echo 126 /proc/sys/net/ipv4/ip_default_ttl W tym wypadku mam w jedn ai druga strone ta sma wartość ttl a np jezeli chcialbym poslac ttl=1 w lan to rowniez w swiat by mi poszlo ttl=1 a wtedy niebylo byz za fajnie :)Chyba ze jest i na to sposób z metoda echo? Pozdrawiam -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables -t mangle -A OUTPUT -j TTL --ttl-set 126
Pomyłka wszytsko gra dzieki:) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re[2]: iptables -t mangle -A OUTPUT -j TTL --ttl-set 126
== == == == == == == == == == == == == == == == == == == == == == Dnia 13-08-2005 o godzinie 22:53:31 napisano, co następuje: j Radosław Maliborski napisał(a): . Poza tym jakos nie jestem przekonany, ze ta modyfikacja powinna byc robiona w tablicy mangle, no ale moge sie mylic. j Chyba masz racje bo moduł załadowałem lecz efekt taki sam. sprobuj jeszcze z modulem ipt_ttl. nie wyglada, zeby mial cos z tym wspolnego, ale nie zaszkodzi sprobowac. R.M.M -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables -t mangle -A OUTPUT -j TTL --ttl-set 126
Radosław Maliborski napisał(a): sprobuj jeszcze z modulem ipt_ttl. nie wyglada, zeby mial cos z tym wspolnego, ale nie zaszkodzi sprobowac. Heh no wlasnie z tym modułem próbowalem bo myslalem ze sie pomyliles(a jednak nie) takiego ipt_TTL niestety u mnie nie ma i pewnie w ty mjest problem. Pozdrawiam -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables -t mangle -A OUTPUT -j TTL --ttl-set 126
Mam jeszce takie pytanie bo natknalem sie w internecie n adwa sposoby robienia maskarady(zalozenia eth0 polaczenie w świat a eth1 lan) 1)| iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE| 2)*iptables -t nat -A POSTROUTING -i eth1 -s 192.168.7.0/24 -d ! 192.168.7.0/24 -j SNAT --to-source 1.2.3.4 * W pierwszym przypadkujest podany interfejs wyjsciowy na swiat a w drugi interfejst wejsciowy z lanu czy w obec tego moglbym zrobic cos takiego: |iptables -t nat -A POSTROUTING -i eth1 -j MASQUERADE Pozdrawiam | -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re[2]: iptables -t mangle -A OUTPUT -j TTL --ttl-set 126
== == == == == == == == == == == == == == == == == == == == == == Dnia 14-08-2005 o godzinie 13:07:59 napisano, co następuje: j Mam jeszce takie pytanie bo natknalem sie w internecie n adwa sposoby j robienia maskarady(zalozenia eth0 polaczenie w świat a eth1 lan) j 1)| iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE| j 2)*iptables -t nat -A POSTROUTING -i eth1 -s 192.168.7.0/24 -d ! j 192.168.7.0/24 -j SNAT --to-source 1.2.3.4 * j W pierwszym przypadkujest podany interfejs wyjsciowy na swiat a w drugi j interfejst wejsciowy z lanu czy w obec tego moglbym zrobic cos takiego: j |iptables -t nat -A POSTROUTING -i eth1 -j MASQUERADE nie, dlatego, ze interfejs wejsciowy mozna podac jednynie dla lancuchow: INPUT, FORWARD i PREROUTING (jak twierdzi man iptables:). -- R.M.M -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: iptables -t mangle -A OUTPUT -j TTL --ttl-set 126
Radosław Maliborski napisał(a): nie, dlatego, ze interfejs wejsciowy mozna podac jednynie dla lancuchow: INPUT, FORWARD i PREROUTING (jak twierdzi man iptables:). Czyli ta reguła z netu jest nie poprawna?:(bo jest interfejs wejsciowy) iptables -t nat -A POSTROUTING -i eth1 -s 192.168.7.0/24 -d ! 192.168.7.0/24 -j SNAT --to-source 1.2.3.4 ? Pozdrawiam. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re[2]: iptables -t mangle -A OUTPUT -j TTL --ttl-set 126
== == == == == == == == == == == == == == == == == == == == == == Dnia 14-08-2005 o godzinie 13:50:51 napisano, co następuje: j Radosław Maliborski napisał(a): nie, dlatego, ze interfejs wejsciowy mozna podac jednynie dla lancuchow: INPUT, FORWARD i PREROUTING (jak twierdzi man iptables:). j Czyli ta reguła z netu jest nie poprawna?:(bo jest interfejs wejsciowy) j iptables -t nat -A POSTROUTING -i eth1 -s 192.168.7.0/24 -d ! j 192.168.7.0/24 -j SNAT --to-source 1.2.3.4 j ? za manualem do iptables: -i, --in-interface [!] name Name of an interface via which a packet is going to be received (only for packets entering the INPUT, FORWARD and PREROUTING chains). When the ! argument is used before the interface name, the sense is inverted. If the interface name ends in a +, then any interface which begins with this name will match. If this option is omitted, any interface name will match. Poza tym nie bardzo rozumiem po co teraz uparles sie na wyspecyfikowanie interfejsu wejsciowego dla pakietow wychodzacych. Chciales miec iptables pod router bez zadnych zabezpieczen, a tutaj probujesz wlasnie jakies wprowadzac... Jesli koniecznie zalezy ci na tym, zeby pakiety wchodzace na eth1 spelnialy takie kryteria odnosnie adresow IP to dodaj wczesniej odpowiednia regule dla lancucha FORWARD, przy czym wtedy bedziesz musial zmienic jego domyslna polityke na DROP. Ew. mozna pokombinowac jeszcze z lancuchem PREROUTING, gdzie dziala -i, a nie dziala -o :) -- Milej zabawy, R.M.M -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
