Re: iptables, ftp itd.

To: debian-user-polish@lists.debian.org
Cc: debian-user-polish@lists.debian.org
Subject: Re: iptables, ftp itd.
From: Mirek Grochowski <mgroch@wspinaczka.net>
Date: Wed, 11 Jun 2003 08:12:54 +0200 (CEST)
Message-id: <[🔎] Pine.LNX.4.44.0306110743190.29245-100000@wspinaczka.net>
In-reply-to: <[🔎] 001001c32f29$f5820790$011e000a@zeben>

On Tue, 10 Jun 2003, zeben wrote:

> witam!
>
> mam pytanko do fachowcow, mianowcie z wiadomosci na internecie zrobilem sobie firewalla na iptables. jednak cos jest chyba zle bo nie da sie polaczyc z sieci wew na ftp w internecie. mam dwie karty sieciowe eth0 to internet, oto moje ustawienia:
>
> /sbin/depmod -a
> /sbin/modprobe iptable_nat
> /sbin/modprobe iptable_filter
> /sbin/modprobe ip_tables
> /sbin/modprobe ip_nat_ftp
> /sbin/modprobe ip_conntrack
> /sbin/modprobe ip_conntrack_ftp
> /sbin/modprobe ipt_REJECT
> /sbin/modprobe ipt_REDIRECT
> /sbin/modprobe ipt_MASQUERADE
> /sbin/modprobe ipt_LOG
> iptables -F -t nat
> iptables -F
>
> iptables -I FORWARD -s 10.0.0.0 -j DROP
> iptables -I INPUT -s 10.0.0.0 -j DROP
> iptables -I OUTPUT -s 10.0.0.0 -j DROP
>
> iptables -I FORWARD -s 10.0.0.0 -j REJECT
> iptables -I INPUT -s 10.0.0.0 -j REJECT
> iptables -I OUTPUT -s 10.0.0.0 -j REJECT
>
Zdecyduj sie, REJECT czy DROP? Zreszta nie wiem co chcesz tu osiagnac.
Chcez userom wyciac polaczenie do internetu czy rowniez do serwera (INPUT,
OUTPUT)?

> iptables -I FORWARD -s 10.0.30.1 -j ACCEPT
> iptables -I INPUT -s 10.0.30.1 -j ACCEPT
> iptables -I OUTPUT -s 10.0.30.1 -j ACCEPT
>
> iptables -I FORWARD -s 10.0.30.2 -j ACCEPT
> iptables -I INPUT -s 10.0.30.2 -j ACCEPT
> iptables -I OUTPUT -s 10.0.30.2 -j ACCEPT
>
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
>
> iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 411 -j DROP
>
Co chodzi na tym porcie? Moze tez wypadaloby wyciac :)

> iptables -t nat -A POSTROUTING -s 10.0.30.1 -o eth0 -j MASQUERADE
> iptables -t nat -A POSTROUTING -s 10.0.30.2 -o eth0 -j MASQUERADE
>
> iptables -I FORWARD -p tcp --dport 1000:5000 -s 10.0.30.0/24 -j DROP
> iptables -I FORWARD -p udp --dport 1000:5000 -s 10.0.30.0/24 -j DROP
>
Po co?

> iptables -A PREROUTING -t nat -p tcp -s 10.0.0.0/24 --dport 1024:65535 -j DROP
> iptables -A PREROUTING -t nat -p udp -s 10.0.0.0/24 --dport 1024:65535 -j DROP
>
Po co i dlaczego tu a nie w lancuchu FORWARD tabeli filter?

> iptables -I FORWARD -p tcp --dport 1000:5000 -s 10.0.30.0/24 -j DROP
> iptables -I FORWARD -p udp --dport 1000:5000 -s 10.0.30.0/24 -j DROP
A po co powtarzac te linijki dwa razy?

> iptables -A OUTPUT -p tcp -s 10.0.0.0/24 -o eth1 --sport 1214:1215 -j DROP
>
A tu chcesz, zeby pakiety wygenerowane na serwerze nie wyszly z tych
portow do sieci lokalnej. chmmmm

> iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
To jest zezwolenie na wejscie na serwer ftp na serwerze. Tyle, ze do tego
lancucha nie dojdzie nic z sieci wewnetrznej a z zewnatrz to i tak nie ma
znaczenia bo nic nie blokujesz na zewnetrznym interejsie.


ftp nie dziala dlatego, ze dla nat wybiles wszystkie porty powyzej 1024.

> echo 1 > /proc/sys/net/ipv4/ip_forward
>
> aha mam jeszcze broplem ze squidem, ustawienie standardowe tylko zwiekszoen miejsce na dysku, i ram, tworza sie katalogi cachowe odpalam squida i nic. nie zapisuje sie nic na dasku...
>
Tu na pewno nic Ci nie pomoge.

Jesli gdzies sie pomylilem to ktos mnie pewnie poprawi.

Pozdrawiam
-- 
mirek

Reply to:

References:
- iptables, ftp itd.
  - From: "zeben" <zeben@interia.pl>

Prev by Date: Re: qmail
Next by Date: Re: CUPS
Previous by thread: Re: iptables, ftp itd.
Next by thread: shutdown i zwykly uzytkownik
Index(es):
- Date
- Thread