Udost

goofy · Post autor: **goofy** » 26 marca 2009, 10:27

Pokaz tez co w tej chwili wypluje:

ifconfig

zet120 · Post autor: **zet120** » 26 marca 2009, 11:21

Aktualny plik /etc/init.d/firewall to ten pochodzący z tutka, który zaproponował fnmirk.
http://night.jogger.pl/2007/10/14/mala- ... tem-linux/

Kod: Zaznacz cały

#!/bin/sh
#linijka potrzebna do włączenia udostępniania internetu
echo 1 > /proc/sys/net/ipv4/ip_forward
#wyczyszczenie starych reguł z pamięci iptables
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
# ustawienie domyślnej polityki (o tym później)
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
# Najważniejsze - udostępnienie sieci dla wybranych podsieci
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

Polecenie ifconfig

Kod: Zaznacz cały

zet120@zet120-desktop:~$ ifconfig
eth0      Link encap:Ethernet  HWaddr 00:33:XX:91:a5:54  
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::222:15ff:fe91:a554/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1085550 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3051418 errors:0 dropped:0 overruns:0 carrier:2
          collisions:0 txqueuelen:1000 
          RX bytes:579825026 (579.8 MB)  TX bytes:4230999782 (4.2 GB)
          Interrupt:219 

eth1      Link encap:Ethernet  HWaddr 00:e0:6f:92:XX:f7  
          inet addr:87.206.222.7  Bcast:87.206.101.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:576  Metric:1
          RX packets:82431 errors:0 dropped:0 overruns:0 frame:0
          TX packets:18895 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:14039978 (14.0 MB)  TX bytes:5122908 (5.1 MB)
          Interrupt:17 Base address:0xe400 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:422077 errors:0 dropped:0 overruns:0 frame:0
          TX packets:422077 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:23932772 (23.9 MB)  TX bytes:23932772 (23.9 MB)

vmnet1    Link encap:Ethernet  HWaddr 00:50:56:c0:00:01  
          inet addr:192.168.251.1  Bcast:192.168.251.255  Mask:255.255.255.0
          inet6 addr: fe80::250:56ff:fec0:1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:115 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

vmnet8    Link encap:Ethernet  HWaddr 00:50:56:c0:00:08  
          inet addr:172.16.200.1  Bcast:172.16.200.255  Mask:255.255.255.0
          inet6 addr: fe80::250:56ff:fec0:8/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:114 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

Ister · Post autor: **Ister** » 26 marca 2009, 11:51

Obawiam się, że możemy nie dojść co było tak do końca przyczyną.
Rozumiem, że ten firewall przy starym układzie interfejsów nie działał (tzn problem występował)?

Zauważ - na razie masz, bardzo otwarty system. Praktycznie nazwanie tego firewallem to co najmniej nadużycie. To jest tylko ustawienie NAT.

Teraz warto by to pomału zacząć zamykać. Co Ty na to?

goofy · Post autor: **goofy** » 26 marca 2009, 12:25

Myslalem caly czas o wartosci mtu ale wyglada na to, ze jednak nie w tym problem. Chyba tez nie w ustawieniach iptables, bo w zasadzie wszystkie powyzsze przyklady umozliwiaja udostepnianie polaczenia. Jedyna roznica jaka widze, to ta linijka:

Kod: Zaznacz cały

iptables -A FORWARD -o lo -j ACCEPT

Zgadzam sie z Ister, ze w tej chwili jestes zbyt otwarty na swiat i dobrze by bylo pozamykac co nieco. Wydaje mi sie, ze iptables, ktore podalem jest dosc bezpieczne. Brakuje tylko wpisow dla portow 137, 138, 139, 445 do udostepniania samby. Podal je Yampress tutaj:

http://debian.linux.pl/viewtopic.php?t=13528

Jesli chcesz podrazyc problem, to mozesz sprobowac wrocic do starych ustawien i sprawdzic jak bedzie sie zachowywal jakis LiveCD na komputerze z XP. Mozesz tez podlaczyc jakas inna sieciowke zamiast Realteka. Interfejsy vmnet1 i vmnet8 sugeruja, ze dzialasz na maszynie wirtualnej. Byc moze tu sie cos gryzie.

zet120 · Post autor: **zet120** » 26 marca 2009, 21:37

Panowie raz jeszcze dziękuję za wszechstronną pomoc. Pewnie przy najbliższej okazji wrócę do tematu i spróbuję raz jeszcze odwrócić te interfejsy.
Tymczasem bardzo chętnie skorzystam z pomocy przy zabezpieczeniu komputera.

W tym względzie mam dosyć klarowne "wymagania". Zapewne należałoby utworzyć regułę całkowicie blokującą możliwość dostępu do mojego komputera z możliwością odblokowywania poszczególnych portów w zależności od aktualnych potrzeb.
W sieci lokalnej muszę mieć dostęp do komputera z Windows XP przez VNC oraz dostęp z Windows XP do Samby.
To chyba tyle :-)

P.S.
Oczywiście przestudiowałem posta który zaproponował goofy ale przyznam, że na moim obecnym etapie niewiele z tego rozumiem i nie wiem "co do czego i po co"

goofy · Post autor: **goofy** » 26 marca 2009, 22:53

To o czym pisze powyzej bazuje na tutorialu polecanym przez fnmirk i mysle, ze spelnia Twoje wymagania. Dostep do Twojego komputera jest zablokowany z wyjatkiem 4 portow dla Samby otworzonych tylko na siec lokalna. Dlatego wlasnie nie dostawales odpowiedzi na ping. Ty natomiast masz dostep do wszystkiego, a wiec VNC tez powinno dzialac, aczkolwiek tym sie nigdy nie bawilem, dlatego glowy za to nie daje.

zet120 · Post autor: **zet120** » 27 marca 2009, 14:09

Mój aktualny plik /etc/init.d/firewall wygląda tak:

Kod: Zaznacz cały

#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F

iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT

iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 137  -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p udp --dport 138  -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p tcp  --dport 139  -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p tcp  --dport 445 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p tcp  --dport 80  -j ACCEPT


iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 800 -j DNAT --to 192.168.1.2:5900


iptables -A INPUT -s 0/0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 22 -j ACCEPT

Mam nadzieję, że mój komputer jest lepiej zabezpieczony niż poprzednio i w zasadzie taka konfiguracja umożliwia mi wykonywanie wszystkich zamierzonych czynności z wyjątkiem jednej.

Otóż nie działa ta linijka:

Kod: Zaznacz cały

iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 800 -j DNAT --to 192.168.1.2:5900

Czyli dostęp z internetu przez VNC bezpośrednio do komputera z Windows XP.

Zatem co i gdzie zmienić aby uaktywnić sobie taką możliwość.

P.S.
Dodam, że na poprzedniej konfiguracji ta linijka działa i mogę dostać się z komputera w pracy prosto do komputera z Windows XP.

goofy · Post autor: **goofy** » 27 marca 2009, 15:05

Na poczatek kilka uwag. Ta linijka jest raczej zbedna:

Kod: Zaznacz cały

iptables -A FORWARD -o lo -j ACCEPT

Ta dotyczy serwera HTTP:

Kod: Zaznacz cały

iptables -A INPUT -s 192.168.1.0/24 -p tcp  --dport 80  -j ACCEPT

Jesli go nie masz, to nie jest Ci potrzebna. Ponizsze 2 linijki sa troche ryzykowne.

Kod: Zaznacz cały

iptables -A INPUT -s 0/0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -p udp --dport 22 -j ACCEPT

Umozliwiaja one dostep do Twojego komputera po ssh z dowolnego miejsca w sieci. Zostaw je tylko jesli masz taka potrzebe i poczytaj to:

http://jakilinux.org/aplikacje/sztuczki-z-ssh/
http://jakilinux.org/administracja/bezp ... ego-admina

Co do glownego pytania to, podejrzewam ze musisz dodatkowo otworzyc port 800:

Kod: Zaznacz cały

iptables -A INPUT -s 0/0 -p tcp  --dport 800  -j ACCEP

Nie mialem dotad potrzeby przekierowywania portow, wiec jesli sie myle, to prosze innych Kolegow o wypowiedz.

Ister · Post autor: **Ister** » 27 marca 2009, 15:18

Zgadza się. INPUT działa jako pierwszy, Jeśli tam nie wpuścisz, to PREROUTING nie ma nic do roboty (paczka tam nie dochodzi).
We wcześniejszej wersji (polityka ACCEPT) problem nie istniał, bo wchodziło wszystko.

Natomiast jeśli chodzi o ssh - no cóż, ja nie wyobrażam sobie serwera bez dostępu zdalnego. Ewentualnie (paranoid mode ;-) ) można uruchomić ssh na nietypowym porcie i tam się na niego łączyć. Więc tu się nie zgadzamy. Ale... Co kraj to obyczaj...

Oczywiście - jeśli masz w miarę stałą pulę adresów, z których się łączysz, to możesz dopracować skrypt i wpuszczać na 22 tylko z tych adresów. Ale wtedy odcinasz sobie możliwość szybkiego dostania do serwera z nietypowego miejsca. Natomiast sensu wpuszczania na port 22 po UDP nie widzę. Jak będziesz potrzebował, to zalogujesz się (TCP), otworzysz UDP na 22, zrobisz co potrzebujesz, zamkniesz UDP na 22 i do widzenia.

zet120 · Post autor: **zet120** » 27 marca 2009, 15:19

Dziękuję za kolejną podpowiedź.
Tak mam serwer www na własne potrzeby (vnstat, WebUI dla rTorrenta i takie tam).
Wszystkie operacje na moim komputerze robię teraz z pracy - właśnie przez ssh.

Niestety odblokowanie portu 800 nie pomaga.