[Rasmus]

Tere!

On olemas host, millel jookseb teatud rakendus, mis vajab teatud portide suunamist. Iptables.conf faili tegin kirje, mis lubab porte sisse hostini. Seda saan kontrollida nii, et host-il jookseb veebiserver, millele ma ilusti ligi pääsen. Tegin selliseid kirjeid:

-A PREROUTING -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j DNAT --to-dest 192.168.0.248:80

jne iga soovitud pordi kohta.

Küsimus on selles, et pordid väljast host-ini liiguvad kenasti, aga välja ei ole lubatud. Kuna ise olen selles osas suht algaja, siis mismoodi ma peaksin seda tegema, et liiklus oleks mõlemapoolselt lubatud.

oma loogika järgi tegin kirje forward chain-i, kuid millegipärast seal asi ei tööta?

-A FORWARD -m state --state NEW -m tcp -p tcp --dport 80 - j accept

jne, iga pordi kohta eraldi rida.

Kus võiks olla minu viga?

[mihkelv]

Saan ma õigesti aru, et sinu hosti ehk veebiserveri ees on tulemüür (eraldi masin), kus sa iptablesit konfid?
Kuigi ilma tervet müüri skripti nägemata ma aidata vist ikkagi ei saa.

[Rasmus]

[mihkelv]

Kui sa tõesti ei taha seda skripti siia kopeerida, siis võid ta ju privasse visata. Mulle siiski meeldiks kui asju avalikult aetakse... ehk keegi targem saab ka sõna sekka öelda.
Veksleid ei luba, küll aga seda, et vaatan mõttega üle

[comcute]

[obundra]

Veebiserveri pordi suunamine
iptables -t nat -A PREROUTING -i $V2LISLIIDES -p tcp --dport 80 -j DNAT --to-destination 192.168.32.16:80
iptables -A FORWARD -p tcp -i $V2LISLIIDES -d 192.168.32.16 --dport 80 -j ACCEPT
ja seest väljapoole liikluse lubamine
iptables -A FORWARD -i $SISELIIDES -o $V2LISLIIDES -m state --state \! INVALID -j ACCEPT

[gynterk]

[mightythor]

kui siin juba portidega majandamisest juttu on, siis kuidas blokeerida kogu LAN'ist tulev SMTP liiklus? Tulemüüri/gateway masina LAN liides on eth1 ja WAN liides eth0. Kas see..

[marqs]

http://netfilter.org/documentation/HOWTO/packet-filtering-HOWTO-6.html ehk see, mis Forwardisse läheb, ei lähe nii ehk naa läbi Input/Output ahelate, selles suhtes on ahelad süsteemi-, mitte liidesepõhised. Aga kas poleks mitte kavalam blacklisti asemel whitelisti praktiseerida, kraanid kinni keerata ja jao kaupa lubada?

Ma olen seda kusagil teemas sulle juba ~2 aastat tagasi maininud, aga kui eesmärk on iptablesi hingeelu studeerimise asemel paketimajandus kiirelt toimima saada, on minu eelistus shorewall. Pealegi tundub konfi ja skripti lahus hoidmine kuidagi... ilusam. Aga see olen lihtsalt mina, eks ise tead, mida eesmärgiks ja mida vahendiks tembeldada.

Muidu milleks state määratud? Kui lüüs ise võib smtpd genereerida, siis viimane FORWARD võiks õige olla, aga nagu öeldud, ma ise iptabelit otse ei kasuta ja kõiki nüansse ei hooma.