Forum Mjukvara Linux och övriga operativsystem Tråd Inlägg

Problem med att öppna portar i iptables

1
Skriv svar
Permalänk
Medlem

Problem med att öppna portar i iptables

Hej!
Har problem med att öppna lite portar till p2p program. Har detta i min iptables config just nu:
$iptables -A INPUT -p tcp --dport 49152:65535 -j ACCEPT -m state --state NEW
$iptables -A OUTPUT -p tcp --sport 49152:65535 -j ACCEPT -m state --state NEW

Är det något mer man måste lägga till för jag får då banne mig de inte att fungera.
Tacksamm för hjälp.

Redigera
Citera flera Citera
Permalänk
Medlem

Behöver du inte slänga dit ESTABLISHED oxo? Lite surt att bara tillåta nya anslutningar

Visa signatur

Arbetsstation: Macbook Pro Retina 15", Core i7 2,6 GHz, 16 GB RAM, 512 GB SSD
NAS: Synology 1812+ har numera ersatt min filserver
Blog: http://www.nickebo.net/
Twitter: @linuxprofessor
Övrigt: Linux/UNIX/OpenVMS, ZFS, lagring och systemövervakning

Redigera
Citera flera Citera
Permalänk
Medlem

Ja det blev ju dessvärre inge bättre

Redigera
Citera flera Citera
Permalänk
Medlem

Posta vad kommandot iptables-save ger. Det är avgörande i vilken ordning reglerna är. Så utan att veta vilka regler är så är det omöjligt att säga vad som är fel. Menar du att öppna portarna eller att portforwarda dem?

Visa signatur

Fagerja

Redigera
Citera flera Citera
Permalänk
Medlem

# Generated by iptables-save v1.4.7 on Tue Feb 22 22:49:03 2011
*nat
:PREROUTING ACCEPT [1676:134205]
:POSTROUTING ACCEPT [4429:342199]
:OUTPUT ACCEPT [4429:342199]
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Tue Feb 22 22:49:03 2011
# Generated by iptables-save v1.4.7 on Tue Feb 22 22:49:03 2011
*filter
:INPUT DROP [3:370]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [4555:349758]
-A INPUT -p icmp -m icmp --icmp-type 18 -j DROP
-A INPUT -p icmp -m icmp --icmp-type 17 -j DROP
-A INPUT -p icmp -m icmp --icmp-type 10 -j DROP
-A INPUT -p icmp -m icmp --icmp-type 9 -j DROP
-A INPUT -p icmp -m icmp --icmp-type 5 -j DROP
-A INPUT -s 192.168.0.0/24 -j DROP
-A INPUT -s 127.0.0.0/8 -i eth0 -j DROP
-A INPUT -s 192.168.0.0/16 -i eth0 -j DROP
-A INPUT -s 172.16.0.0/12 -i eth0 -j DROP
-A INPUT -s 10.0.0.0/8 -i eth0 -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j DROP
-A INPUT -p tcp -m tcp --dport 8112 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10001 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 49152:65535 -m state --state NEW -m state --state ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 49152:65535 -m state --state NEW -m state --state ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp -j DROP
-A INPUT -i eth0 -p udp -m udp -j DROP
-A FORWARD -s 192.168.0.0/24 -j DROP
-A FORWARD -s 127.0.0.0/8 -i eth0 -j DROP
-A FORWARD -s 192.168.0.0/16 -i eth0 -j DROP
-A FORWARD -s 172.16.0.0/12 -i eth0 -j DROP
-A FORWARD -s 10.0.0.0/8 -i eth0 -j DROP
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -m state --state NEW -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 49152:65535 -m state --state NEW -m state --state ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 49152:65535 -m state --state NEW -m state --state ESTABLISHED -j ACCEPT
COMMIT
# Completed on Tue Feb 22 22:49:04 2011

Jag menar att öppna portarna ska inte forworda dom.

Redigera
Citera flera Citera
Permalänk
Medlem

Strunta i state övht, du behöver inte ha någon outputregel heller då din output policy är satt till accept

Visa signatur

Arbetsstation: Macbook Pro Retina 15", Core i7 2,6 GHz, 16 GB RAM, 512 GB SSD
NAS: Synology 1812+ har numera ersatt min filserver
Blog: http://www.nickebo.net/
Twitter: @linuxprofessor
Övrigt: Linux/UNIX/OpenVMS, ZFS, lagring och systemövervakning

Redigera
Citera flera Citera
Permalänk
Medlem

Tog bort output regeln och state, men det fungerar fortfarande inte

Redigera
Citera flera Citera
Permalänk
Medlem

-A INPUT -i eth0 -p tcp --dport 49152:65535 -j ACCEPT
-A INPUT -i eth0 -p udp --dport 49152:65535 -j ACCEPT

det där BORDE fungera, du får kolla så du inte har någon annan regler som motsäger den

Visa signatur

Arbetsstation: Macbook Pro Retina 15", Core i7 2,6 GHz, 16 GB RAM, 512 GB SSD
NAS: Synology 1812+ har numera ersatt min filserver
Blog: http://www.nickebo.net/
Twitter: @linuxprofessor
Övrigt: Linux/UNIX/OpenVMS, ZFS, lagring och systemövervakning

Redigera
Citera flera Citera
Permalänk
Medlem

Nu kör jag inte “rent” iptables utan använder ipmasq. Följande kod använder jag för att forwarda en port till ett internt ip (aningen modifieratr för att vara läsbart här):

$EXTERNAL = eth4
$INTERNAL = eth3

$proto = tcp/udp
$port = port
$box = intern ip

iptables -A FORWARD -i $EXTERNAL -o $INTERNAL -p $proto --dport $port -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A PREROUTING -t nat -p $proto -d $IPOFIF --dport $port -m state --state NEW,ESTABLISHED,RELATED -j DNAT --to $box:$port
Visa signatur

Efter att ni har läst det här har ni insett att det inte gav något.

Redigera
Citera flera Citera
Permalänk
Medlem

Det är fortfarande helt dött. Testa med att ta bort
$iptables -A INPUT -i eth0 -p tcp --dport 0:65535 -j DROP
$iptables -A INPUT -i eth0 -p udp --dport 0:65535 -j DROP

Men det blev ingen skillnad. Finns det något mer man kan prova ?

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av hoggan:

Det är fortfarande helt dött. Testa med att ta bort
$iptables -A INPUT -i eth0 -p tcp --dport 0:65535 -j DROP
$iptables -A INPUT -i eth0 -p udp --dport 0:65535 -j DROP

Men det blev ingen skillnad. Finns det något mer man kan prova ?

Gå till inlägget

Men vänta nu...
Du blev ju tillsagd att lägga tilll:

-A INPUT -i eth0 -p tcp --dport 49152:65535 -j ACCEPT
-A INPUT -i eth0 -p udp --dport 49152:65535 -j ACCEPT

ACCEPT - inte DROP!

Sen är min personliga uppfattning att dina brandväggsregler ser lite soppiga ut och skulle behövas städas upp. Exempelvis har du har regler som överlappar varandra:

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

och därefter

-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

Och som redan påpekats: Eftersom du har en ACCEPT-policy på OUTPUT-kedjan kan du ta bort varenda OUTPUT-regel eftersom alla paketen ändå kommer att släppas igenom efter massa onödiga kontroller.

Du har även regler som verkar allmänt konstiga:

-A INPUT -i eth0 -p tcp -m tcp --dport 49152:65535 -m state --state NEW -m state --state ESTABLISHED -j ACCEPT

Denna regel innebär att ett visst paket måste ha status NEW och ESTABLISHED samtidigt. Men det kan ju aldrig någonsin inträffa. Det borde nog se ut något liknande detta istället:

-A INPUT -i eth0 -p tcp -m tcp --dport 49152:65535 -m state --state NEW -j ACCEPT

Sedan låter du förbindelsen hållas öppen genom att ha följande regel tidigt i kedjan:

 -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

När jag försöker förstå flödet i dina regler ser jag ändå inte var det skulle ta stopp, men det beror på var bland reglerna du petade in de nya raderna. Du har ju regler som droppar all udp och tcp på eth0, och då funkar det ju naturligvis inte om du lägger till dina rader efter dem.

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara