Problema iptables

[byte00]

De preferat ar fi prin iptables, ar fi bun si un exemplu.

[Adrian Joian]

ma simt deosebit ca sunt eu interfata ta catre google. desi nu cred ca ym! e problema ta, dar na am ales sa iti raspund :
http://tips4linux.com/block-yahoo-messenger-aol-msn-and-icq-using-iptables/

http://www.google.ro/#hl=ro&source=hp&q=how+to+block+yahoo+messenger+iptables&btnG=C%C4%83utare+Google&meta=&aq=1&oq=how+to+block+yahoo+messenger+iptables&fp=d8aa50b8967cd42f

http://www.wains.be/index.php/2006/05/16/block-msn-and-other-messengers-on-your-network/

[cr_alin]

De preferat ar fi prin iptables, ar fi bun si un exemplu.

vezi ca am mai dat azi inca o data link-urile la rusty's how-to

exemplu:  drop la tot ce intra sau trece prin firewall si accept doar la traficul care vrei sa-l lasi.

[byte00]

@ CR_alin - Din ce stiu eu, Yahoo messenger foloseste si portul 80, la asta nu pot sa ii dau DROP.

@ Adrian Joian, multumesc de ajutor.

[Adrian Joian]

da comuta pe 80 cand nu mai merge 5050 daia am dat si linkul 3

[nick_brad]

iti lipseste destinatia unde sa forwardeze portul ?
ar trebui sa ai ceva de genul:

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 80 -j DNAT --to-destination 10.0.0.198:80


Inca un lucru, care se observa de obicei la incepatori, politica de firewall ar trebui sa o faci cam asa:
1 - default action: Deny
2 - accept ce vrei sa accepti si de la cine
3 - optional log all care nu le-ai acceptat pina la pasul asta.

Am pus si portul si tot nu merge. Acum in tabela nat am
Chain PREROUTING (policy ACCEPT 23994 packets, 2067K bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        3   180 DNAT       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 to:10.0.0.198:80

Chain POSTROUTING (policy ACCEPT 546 packets, 33357 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1       87  5477 MASQUERADE  all  --  *      eth0    10.0.0.0/24          0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 229 packets, 16167 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

iar in filter
Chain INPUT (policy DROP 7494 packets, 1683K bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1      103  6196 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 255
2     1374 1226K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
3        1    60 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
4     1168  172K ACCEPT     all  --  eth1   *       0.0.0.0/0            0.0.0.0/0           
5        0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80

Chain FORWARD (policy DROP 961 packets, 58619 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1      463 67526 ACCEPT     all  --  eth1   *       0.0.0.0/0            0.0.0.0/0           
2    17589 1051K ACCEPT     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 2024 packets, 213K bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1       19  1224 ACCEPT     all  --  *      eth1    0.0.0.0/0            0.0.0.0/0       

[cr_alin]

iti ajung pachetele pina pe eth0 ? pune o regula care sa logheze ce pachete si unde iti ajung ca sa vezi dava ajung pina la firewall.

ce output ai la comanda asta:

Cod:

cat /proc/sys/net/ipv4/ip_forward

[nick_brad]

iti ajung pachetele pina pe eth0 ? pune o regula care sa logheze ce pachete si unde iti ajung ca sa vezi dava ajung pina la firewall.

poti sa-mi dai si mie comanda cu care fac log-ul?

ce output ai la comanda asta:

Cod:

cat /proc/sys/net/ipv4/ip_forward

1

[cr_alin]

pui prima regula:

iptables -A INPUT -i eth0 -j LOG

si ar trebui sa-ti prinda tot ce intra la tine prin eth0.

fara "-i eth0" iti face logging la tot ce intra la tine prin oricare interfata.

[nick_brad]

pui prima regula:

iptables -A INPUT -i eth0 -j LOG

si ar trebui sa-ti prinda tot ce intra la tine prin eth0.

Si in ce fisier pune rezultatul?

[cr_alin]

pui prima regula:

iptables -A INPUT -i eth0 -j LOG

si ar trebui sa-ti prinda tot ce intra la tine prin eth0.

Si in ce fisier pune rezultatul?

/var/log/messages ?

[nick_brad]

Am accesat IP-ul extern (eth0) de pe IP 92.80.23.6 pe port 80 si nu gasesc IP ul mentionat in log. Asta inseamna ca PREROUTING-ul si-a facut treaba, si pachetul nu a mai ajuns la INPUT?

[nick_brad]

Rezolvat problema, reteaua interna are doua gateway-uri. Eu puneam reguli pe 10.0.0.122 si pe serverul 10.0.0.200 unde trimiteam cerererile era gateway 10.0.0.138.
Multumesc pentru ajutor.