Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://www.debian.pl/

Iptables problem z udost

https://www.debian.pl/viewtopic.php?t=32676

Strona 1 z 1

Iptables problem z udostępnieniem internetu przy polityce DROP dla INPUT I FORWARD

: 25 czerwca 2015, 00:36
autor: lewozmywakk
O to schemat mojej sieci
schemat.jpg
kod moje zapory

Kod: Zaznacz cały

echo "1" > /proc/sys/net/ipv4/ip_forward ##forward pakietów miedzy interfejsami routera

iptables -F #wyczyszczenie wpisow tablicy filter
iptables -F -t nat #wyczysznie wpisow w tablicy nat 
iptables -X         #usuniecie lancuchow w tabeli filter zdefiniowych przez uzytkownika
iptables -X -t nat #usuniecie lancuchow w tabeli nat zdefiniowych przez uzytkownika
iptables -F -t mangle #wyczyszczenie wpisow w tablicy mangle

###polityki domyslne
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

########udostepnianie internetu
iptables -t nat -A POSTROUTING -s 192.168.254.0/24 -o eth0 -j SNAT --to 192.168.1.102
iptables -t nat -A POSTROUTING -s 192.168.200.0/24 -o eth0 -j SNAT --to 192.168.1.102

########bez tej reguly nie było dzialajacego dns w podsieci 192.168.200.0/24
iptables -t nat -A POSTROUTING -s 192.168.200.0/24 -d 192.168.254.254 -p udp --dport 53 -j SNAT --to 192.168.254.253

##########      HTTP/HTTPS      ##########


iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --sport 80 -j ACCEPT


iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT


iptables -A INPUT -p tcp --sport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT

## Forward HTTP dla podsieci 192.168.254.0/24##
iptables -A FORWARD -p tcp -s 192.168.254.0/24 --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.254.0/24--sport 80 -j ACCEPT

##########      DNS     ##########


## Forward DNS dla podsieci 192.168.254.0/24 ##
iptables -A FORWARD -p tcp -s 192.168.254.0/24 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s 192.168.254.0/24 --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.254.0/24 --sport 53 -j ACCEPT
iptables -A FORWARD -p udp -d 192.168.254.0/24 --sport 53 -j ACCEPT

i nie ma internetu na podsieci 192.168.254.0/24... oprócz serwera mam też tam podpięty komputer który przez przeglądarke sprawdzam...

oczywiście jak tylko zmienię politykę domyślną INPUT I FORWARD na ACCEPT to jest internet(wtedy ten cały kod z http i dns forwardem mógłbym wyrzucić w kosmos), ssh, ftp wszytko pięknie jak tralala ale niestety o to mi nie chodzi... musze to jakoś zabezpieczyć a nie wiem co robię źle.

Za wszelkie wskazówki i pomoc gorąco i serdecznie dziękuje.

: 25 czerwca 2015, 08:50
autor: pawkrol
Dodaj regułę logowania pakietów -j LOG i zobacz które połączenie jest blokowane na firwallu. Poleceam także zastosowanie reguł z pamięcią stanu.
DNS jest na routerze ?
Reguły sport 80 dla ruchu http nie są potrzebne. Stacja łącząc się po protokole http używa wysokich portów.

: 25 czerwca 2015, 10:55
autor: lewozmywakk
Nie wiem czy dobrze zrobiłem, bo nie jestem góru linuxowym

przed linijką forwardu http
wrzuciłem:

iptables -A FORWARD -p tcp -s 192.168.254.0/24 --dport 80 -j LOG

następnie uruchomiłem skrypt, spróbowałem się połączyć przez przeglądarke na komputerze w tej podsieci z internetem
a kolejno zobaczyłem logi /var/log/syslog
Załącznik LOGI.jpg nie jest już dostępny
dns działa na routerze jak jest polityka accept, a te reguły sport 80 mogą zaszkodzić?

: 25 czerwca 2015, 11:08
autor: pawkrol
Reguła dla localhost jest? Bo jaj je nie widze

Kod: Zaznacz cały

iptables -A INPUT -i lo -j ACCEPT
te reguły sport 80 mogą zaszkodzić?

Dałeś dostęp całej sieci. od strony WAN jak i LAN, hostom które wychodzą z połączeniem z portu lokalnego 80.
Pewnie można bu jakiś atak za pomocą tego przeprowadzić.


Daj tak, i zobacz czy coś zaloguje łańcuch forward

Kod: Zaznacz cały

iptables -A FORWARD -s 192.168.254.0/24 -j LOG
Wyłącz moduł evbug bo jak widze zaśmieca ci logi, chyba że jest Ci potrzebny

Dodane:
########bez tej reguly nie było dzialajacego dns w podsieci 192.168.200.0/24 iptables -t nat -A POSTROUTING -s 192.168.200.0/24 -d 192.168.254.254 -p udp --dport 53 -j SNAT --to 192.168.254.253
Może problemem jest sam konfiguracja dns, który nie zezwala na zapytania z sieci 192.168.200.0/24.
Bo rozumiem dns jest na serwerze w sieci 192.168.254.0/24, a router tylko forwarduje zapytania.
Czy z sieci 19.168.200.0/24 jesteś w stanie się komunikować z serwerem 192.168.254.254 ?
Strefa czasowa UTC+02:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl