Polskie Forum Użytkowników Debiana

AD3. Przecież mogę mieć fw, a może chciałem się nauczyć obsługi, a może czuję się przez to bezpieczniej.... Dlaczego mam nie skorzystać skoro jest?

dobra dobra tak tylko pytałem.

Pokaż dokładnie co wpisujesz (i w jakiej kolejności) żeby uruchomić to twoje cudeńko.

piroaa pisze:pokarz

poka¯

Kod: Zaznacz cały

#!/bin/bash
#
##################### CLEAN ##################
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter 

############ DEFAULT POLICY #################
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
# dla localhost
iptables -A INPUT -s 127.0.0.1 -j ACCEPT

################ PODSTAWOWE #################
# DNS-y
iptables -A INPUT -p udp --sport 53 -j ACCEPT
# www
iptables -A INPUT -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -p tcp --sport 8080 -j ACCEPT
# https
iptables -A INPUT -p tcp --sport 443 -j ACCEPT
# Kadu
iptables -A INPUT -p tcp --sport 8074 -j ACCEPT
# POP3
# iptables -A INPUT -p tcp --sport 110 -j ACCEPT 
# POP3 z TLS/SSL
iptables -A INPUT -p udp --sport 995 -j ACCEPT
iptables -A INPUT -p tcp --sport 995 -j ACCEPT
# SMTP
iptables -A INPUT -p tcp --sport 25 -j ACCEPT 
iptables -A INPUT -p udp --sport 25 -j ACCEPT
# SSMTP ( secure smtp )
iptables -A INPUT -p tcp --sport 465 -j ACCEPT
iptables -A INPUT -p udp --sport 465 -j ACCEPT

################# POZOSTA£E ##################
# torrent
iptables -A INPUT -p udp --dport 4444 -j ACCEPT
iptables -A INPUT -p udp --dport 6880:6999 -j ACCEPT
iptables -A INPUT -p tcp --dport 6880:6999 -j ACCEPT
# amule

iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

Kod: Zaznacz cały

#!/bin/bash
#
##################### CLEAN ##################
iptables -F
#iptables -X
iptables -F -t nat
#iptables -X -t nat
iptables -F -t filter
#iptables -X -t filter

############ DEFAULT POLICY #################
iptables -A INPUT -j DROP
iptables -A OUTPUT -j ACCEPT
iptables -A FORWARD -j DROP
# dla localhost
iptables -A INPUT -s 127.0.0.1 -j ACCEPT 
iptables -A INPUT -m --state ESTABLISHED,RELATED -j ACCEPT

spróbuj pozmieniać w ten deseń i zobacz co ci z tego wyjdzie ciekawego.

Kod: Zaznacz cały

iptables v1.3.6: Couldn't load match `--state':/lib/iptables/libipt_--state.so: cannot open shared object file: No such file or directory

o.O

W manie zamiast state, miałem ctstate, ale wyskakuje to samo...

Poza tym, czy tutaj -->

Kod: Zaznacz cały

iptables -A INPUT -j DROP
iptables -A OUTPUT -j ACCEPT
iptables -A FORWARD -j DROP

-A nie powinno być -P ?

Poza tym, czy tutaj -->
Kod:
iptables -A INPUT -j DROP
iptables -A OUTPUT -j ACCEPT
iptables -A FORWARD -j DROP

-A nie powinno być -P ?

-P ustala domyślną politykę dla łańcucha czyli jeżeli przejdzie przez wszystkie reguły i żadnej nie dopasuje to wykona to co jest w polityce domyślnej, a ja zwyczajnie dodaje regułę która pasuje do wszystkiego i mówi żeby odrzucać, zawsze tak robiłem działało więc tak podaje, ale w gruncie rzeczy wychodzi na to samo.

Co do tego błędu ze --state
chymmm żeby to działało potrzebny jest moduł ip_conntrack sprawdzałem u siebie na jajku 2.6.24-1-486 nie ma :shock:
kiedyś używałem tej regułki na ubuntu(nie pamiętam jakie jądro) i działało , więc byłem święcie przekonany że na debianie też będzie działać a tu klops.
W takiej sytuacji nie bardzo wiem co robić, chyba będzie trzeba poczekać na wypowiedź kogoś bardziej znającego temat.

Jeżeli chodzi o aMule to ja mam mniej więcej tak:

Kod: Zaznacz cały

modprobe ip_conntrack
modprobe ip_conntrack_ftp

iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat


iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP

...
# aMule
iptables -A INPUT  -i eth0 -p tcp  -s 0/0 -m multiport --dport 4661,4662,4665,4672 -j ACCEPT
iptables -A INPUT  -i eth0 -p udp  -s 0/0 -m multiport --dport 4661,4662,4665,4672 -j ACCEPT
iptables -A OUTPUT         -p tcp  -d 0/0 -m multiport --sport 4661,4662,4665,4672 -j ACCEPT
iptables -A OUTPUT         -p udp  -d 0/0 -m multiport --sport 4661,4662,4665,4672 -j ACCEPT
...
iptables -A INPUT   -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A INPUT -m state --state INVALID -j DROP

config kolegi Grześka zadziałał u mnie.
Normalnie cud.

Tylko mała prośba - czy mógłbym prosić o "łoptalogiczne" wytłumaczenie poniższych linijek?

grzesiek pisze:

Kod: Zaznacz cały

modprobe ip_conntrack
modprobe ip_conntrack_ftp

iptables -A INPUT  -i eth0 -p tcp  -s 0/0 -m multiport --dport 4661,4662,4665,4672 -j ACCEPT // tu, jak i poniżej rozumiem, iż na interfejsie eth0 lecimy po tcp, (potem udp) ale ten multimport? I skąd 4661?
iptables -A INPUT  -i eth0 -p udp  -s 0/0 -m multiport --dport 4661,4662,4665,4672 -j ACCEPT
iptables -A OUTPUT         -p tcp  -d 0/0 -m multiport --sport 4661,4662,4665,4672 -j ACCEPT
iptables -A OUTPUT         -p udp  -d 0/0 -m multiport --sport 4661,4662,4665,4672 -j ACCEPT

iptables -A INPUT   -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A INPUT -m state --state INVALID -j DROP

Podziękowania dla wszystkich, którzy próbowali pomóc