firewall

[barlug]

mam pytanko co jest nie tak z tym firewallem . po odpaleniu nie moge pingowac po nazwie i 2 rzecz wpisalem w /etc/syslog.conf

*.* /dev/tty6

*.* /var/log/all

zeby mi tam logi wyswietlal ale nic tam nie mam

oto firewall:

#!/bin/sh

#laduje moduly

modprobe ip_tables

modprobe ip_conntrack

modprobe ip_conntrack_ftp

#ogolne

iptables -P INPUT DROP

iptables -P OUTOUT DROP

iptables -P FROWARD DROP

#wylaczam ping

/bin/echo "1" >/proc/sys/net/ipv4/icmp_echo_ignore_all

#smurf

/bin/echo "1" >/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

#source route

/bin/echo "0" >/proc/sys/net/ipv4/conf/all/accept_source_route

#icmp redirect

/bin/echo "0" >/pro/sys/net/ipv4/conf/all/accept_redirect

#bledny ping

/bin/echo "1" >/proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

#tablica routingu

/bin/echo "1" >/proc/sys/net/ipv4/conf/all/rp_filter

#lancuchy input

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

#nawiazane icmp

iptables -A INPUT -i eth0 -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT

#nowe icmp

iptables -A OUTPUT -o eth0 -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

#logowanie z blednymi flagami i usuwanie

iptables -A INPUT -i eth0 -p tcp ! --syn -m state --state NEW -j LOG --log-level debug --log-prefix "flaga ack bez sys"

iptables -A INPUT -i eth0 -p tcp ! --syn --state NEW -j DROP

#jolt fragmentowane

iptables -A INPUT -i eth0 -f -j LOG --log-level debug --log-prefix "jolt gragmentowane"

iptables -A INPUT -i eth0 -f -j DROP

#smieci z netbios

#iptables -A INPUT -i eth0 -p udp -d 192.168.2.255 --dport 137:138 -j DROP

#identd

iptables -A INPUT -i eth0 --sport 1024 --dport 113 -m state --state NEW -j REJECT --reject-with-icmp-unreachable

#pozostale przepuszcza

iptables -A INPUT -eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#logowanie przepuszczonych

iptables -A INPUT -i eth0 -j LOG --log-level debug --log-prefix "wchodzace ok"

#usuniecie nieakceptowanych

iptables -A INPUT -i eth0 -j DROP

#output

#wszystkie ok wychodza

iptables -A OUTPUT -i eth0 -m state --state ! INVALID -j ACCEPT

#logowanie ok pakietow

iptables -A OUTPUT -i eth0 -j LOG --log-level debug --log-prefix "wychodzace ok"

iptables -A OUTPUT -j DROP

#forward

#po sieci tcp

iptables -A FORWARD -i eth0 -p tcp -s 192.168.2.0/2 --sport 1024 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

#po sieci udp

iptables -A FORWARD -i eth0 -p udp -s 192.168.2.0/2 --sport 1024 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

#tcp

iptables -A FORWARD -i eth0 -p tcp -d 192.168.2.0/2 --dport 1024 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

#udp

iptables -A FORWARD -i eth0 -p udp -d 192.168.2.0/2 --dport 1024 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

#icmp po sieci bez probemu

iptables -A FROWARD -p icmp -m state --state ! INVALID -j ACCEPT

#logowanie bledow

iptables -A FORWARD -j LOG --log-level debug --log-prefix "forwardowane"

iptables -A FORWARD -j DROP

#koniec

dodam ze system to slack10

to tyle mozecie sie teraz na mnie wyzyc :oops:

[barlug]

hey ludziska moze ktos odpowiedziec

[_micha_]

jak normalnie pingi chodza to sprobuj uruchomic dnsa, nie wiem tez czy masz server dns czy uzywasz zewnetrznego, jak masz u siebie to powinienes tez stworzyc odpowiednia regule dla dnsa.

[barlug]

masm dns od tpsa komp jest za maskaradą ale chcialem sprawdzic firewall. poza tym dns sa dobrze wpisane jak wywale firewall to pinguje po nazwie. no i co z tymi logami.przejrzyjcie jeszcze raz tekst moze gdzeis cos wale

[barlug]

panie moderatorze pan pomoze : )~

pleaseeeeeee

[Kat_666]

Ale zes tam namieszal :P

Co do logow to moze killall -HUP syslogd :lol:

Pozdrowka

[barlug]

po tym poleceiniu wypisuje :

no process killed

 

i jeszcze 1 po paru zmianaech w firewall ktore sam dokonalem

:D okazalo sie ze pokazuje(bledy bely slownikowe)(:

iptables v1.2.10. unknown arg INPUT

i

NO chain/target/match by that name

 

znam angielski ale to sa bledy w stylu brak docelowego pliku/wpisu

to nadal nie wyjasnia ni pingowania po nazwie

ps. killall -HUP syslogd zrobiem na samym pocztaku korzystalem z how to ze strony nie wiem czy mozna www.slackware.com.pl

[Kat_666]

Mozesz sprobowac zapakowac to ... chociaz nie wiem po co Ci taki wymyslny firewall :P Nie lepej prosta masquerada? :D

 

#!/bin/sh

 

echo "1" > /proc/sys/net/ipv4/ip_forward

 

INTER="ppp0"

PRIVPORTS="0:1023"

UNPRIVPORTS="1024:65535"

 

iptables -F

iptables -X

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

iptables -P FORWARD DROP

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -i $INTER -p icmp -s 0/0 --icmp-type 0 -j ACCEPT

iptables -A INPUT -i $INTER -p icmp -s 0/0 --icmp-type 4 -j ACCEPT

iptables -A INPUT -i $INTER -p icmp -s 0/0 --icmp-type 12 -j ACCEPT

iptables -A INPUT -i $INTER -p icmp -s 0/0 --icmp-type 3 -j ACCEPT

#iptables -A INPUT -i $INTER -p tcp -s 62.87.0.0/16 --dport 22 -j ACCEPT

iptables -A INPUT -i $INTER -p tcp --dport $PRIVPORTS -j DROP

iptables -A INPUT -i $INTER -p udp --dport $PRIVPORTS -j DROP

iptables -A INPUT -i $INTER -p tcp -m multiport --sport 53,113,25,110,995,465,80,20,21,443 -j ACCEPT

iptables -A INPUT -i $INTER -p udp --sport 53 -j ACCEPT

iptables -A INPUT -i $INTER -p tcp --sport $UNPRIVPORTS -j ACCEPT

iptables -A INPUT -i $INTER -p udp --sport $UNPRIVPORTS -j ACCEPT

 

# udostępnianie połączenia

iptables -t filter -A FORWARD -s 192.168.0.0/16 -d 0/0 -j ACCEPT

iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.0/16 -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -d 0/0 -j MASQUERADE

 

echo "iptables firewall up"

 

exit 0

[barlug]

oki ale twoj jest dla kompa udosteniajacego a ja mam kompa ktory jest za masqarada tzn za udsotepnianiem windowswoskim i chce sie troche pouczyc o firewallu dlatego napisalem to cos co mi niestety nie dziala.no i co z tymi bledami

[barlug]

zauwazylem 1 blad jest on rzeczywiscie napisany na maszyne udstepnijaca:np zablokowanie broadcostow. ok no ale olewajac te poczatkowe regulki zaostawiajac tylko same inputy outupy i forwardy i tak ku...a nie przepuszcze pingow po nazwie