iptables - odblokowanie portów dla KDE Connect

Zagadnienia bezpieczeństwa w systemie
kudzu
Posty: 51
Rejestracja: 19 lipca 2012, 19:54
Lokalizacja: Kraków

iptables - odblokowanie portów dla KDE Connect

Post autor: kudzu »

Dla większości z Was to pewnie pestka, ale ja nie mogę sobie z tym poradzić: KDE Connect w PC i telefonie nie widzą się. Telefon podłączony jest do routera przez wlan0, a komputer przez eth1. Na KDE Community Wiki piszą:
If you are behind a firewall, make sure to open the port range 1714-1764 for both TCP and UDP. Otherwise, make sure your network is not blocking UDP broadcast packets.
Mój skrypt z poprzedniego wątku uzupełniłem o taki wpis:

Kod: Zaznacz cały

iptables -A INPUT -i wlan0 -p tcp --dport 1714:1764 -j ACCEPT
iptables -A INPUT -i wlan0 -p udp --dport 1714:1764 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 1714:1764 -j ACCEPT
iptables -A INPUT -i eth1 -p udp --dport 1714:1764 -j ACCEPT
Ale nic to nie zmieniło.

Zaznaczam, że na poprzednim routerze oba urządzenia widziały się.
Awatar użytkownika
dedito
Moderator
Posty: 3512
Rejestracja: 18 listopada 2013, 21:07
Lokalizacja: Gliwice

Re: iptables - odblokowanie portów dla KDE Connect

Post autor: dedito »

Pokaż pełny firewall (patrz poprzedni wątek).
Jaki to router?
Awatar użytkownika
pawkrol
Moderator
Posty: 939
Rejestracja: 03 kwietnia 2011, 10:25

Re: iptables - odblokowanie portów dla KDE Connect

Post autor: pawkrol »

Te reguły to gdzie wpisujesz? eth1 to jest co ? lan,wan? Zawsze podawaj jak najwięcej informacji.
kudzu
Posty: 51
Rejestracja: 19 lipca 2012, 19:54
Lokalizacja: Kraków

Re: iptables - odblokowanie portów dla KDE Connect

Post autor: kudzu »

pawkrol pisze:Te reguły to gdzie wpisujesz? eth1 to jest co ? lan,wan? Zawsze podawaj jak najwięcej informacji.
Staram się zawsze to robić, dlatego napisałem:
kudzu pisze:Telefon podłączony jest do routera przez wlan0, a komputer przez eth1.
czyli wlan0 to wifi i android, a eth1 to ethernet i PC z Debianem.

Oraz:
kudzu pisze: Mój skrypt (...) z poprzedniego wątku uzupełniłem o taki wpis:
czyli wpisuję do skryptu w /etc/init.d/

Router to OrangePi z Debianem.

Cały skrypt wkleję wieczorem.

I już:

Kod: Zaznacz cały

#!/bin/bash
 
### BEGIN INIT INFO
# Provides:          firewall.sh
# Required-Start:    $local_fs $remote_fs
# Required-Stop:     $local_fs $remote_fs
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Start daemon at boot time
# Description:       Enable service provided by daemon.
### END INIT INFO


# CZYSZCZENIE STARYCH REGUŁ
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter

# USTAWIENIE POLITYKI DZIAŁANIA
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j REJECT --reject-with icmp-host-unreachable

# ODBLOKOWANIE DNS
iptables -I INPUT -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -I INPUT -i wlan0 -p tcp --dport 53 -j ACCEPT
iptables -I INPUT -i eth1 -p udp --dport 53 -j ACCEPT
iptables -I INPUT -i wlan0 -p udp --dport 53 -j ACCEPT

# ODBLOKOWANIE DHCP
iptables -I INPUT -i eth1 -p udp --dport 67:68 --sport 67:68 -j ACCEPT
iptables -I INPUT -i wlan0 -p udp --dport 67:68 --sport 67:68 -j ACCEPT

# OCHRONA PRZED SKANOWANIEM ACK SCAN
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j LOG --log-prefix "ACK scan: "
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP # Metoda ACK (nmap -sA)

#OCHRONA PRZED SKANOWANIEM FIN SCAN
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j LOG --log-prefix "FIN scan: "
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP # Skanowanie FIN (nmap -sF)

#OCHRONA PRZED SKANOWANIEM XMAS TREE SCAN
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH PSH -j LOG --log-prefix "Xmas scan: "
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP # Metoda Xmas Tree (nmap -sX)

#OCHRONA PRZED SKANOWANIEM NULL SCAN
iptables -A INPUT -m conntrack --ctstate INVALID -p tcp ! --tcp-flags SYN,RST,ACK,FIN,PSH,URG SYN,RST,ACK,FIN,PSH,URG -j LOG --log-prefix "Null scan: "

#OCHRONA PRZED ATAKIEM Dos
iptables -A INPUT -m conntrack --ctstate INVALID -p tcp ! --tcp-flags SYN,RST,ACK,FIN,PSH,URG SYN,RST
iptables -N syn-flood
iptables -A INPUT -p tcp --syn -j syn-flood
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j LOG --log-prefix "SYN-flood: "
iptables -A syn-flood -j DROP

# OCHRONA PRZED ATAKIEM PING OF DEATH 
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j LOG --log-prefix "Ping: "
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT # Ping of death

# ZABLOKOWANIE PINGOWANIA Z WAN
iptables -A INPUT -i ppp0 -p icmp --icmp-type echo-request -j REJECT --reject-with icmp-host-unreachable

# BLOKOWANIE TELNETU Z WAN
iptables -A OUTPUT -p tcp --dport telnet -j REJECT
iptables -A INPUT -p tcp --dport telnet -j REJECT

# MASKARADA
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -A FORWARD -i ppp0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -o ppp0 -j ACCEPT
iptables -A FORWARD -i ppp0 -o wlan0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i wlan0 -o ppp0 -j ACCEPT

# ODBLOKOWANIE WWW Z WAN
#iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
#iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT

# PRZEKIEROWANIE PORTU SSH Z WAN
#iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 15997 -j REDIRECT --to-port 22

# ODBLOKOWANIE SSH Z LAN I WLAN
iptables -A OUTPUT -o eth1 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o wlan0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i wlan0 -p tcp --dport 22 -j ACCEPT

# ODBLOKOWANIE RPI MONITOR Z LAN I WLAN
iptables -A INPUT -i wlan0 -p tcp --dport 8888 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 8888 -j ACCEPT

# ODBLOKOWANIE KDE CONNECT Z LAN I WLAN
iptables -A INPUT -i wlan0 -p tcp --dport 1714:1764 -j ACCEPT
iptables -A INPUT -i wlan0 -p udp --dport 1714:1764 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 1714:1764 -j ACCEPT
iptables -A INPUT -i eth1 -p udp --dport 1714:1764 -j ACCEPT

#ZAPIS DO LOGA ODRZUCONYCH PAKIETÓW PRZYCHODZĄCYCH W KATALOGU var/log/messages
iptables -N LOGGING
iptables -A INPUT -j LOGGING
iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
iptables -A LOGGING -j DROP
ODPOWIEDZ