Názory k článku Linux jako internetová gateway (4)

Nevim, mozna jsem moc pohodlny, ale ja radeji pouzivam nejaky generator pravidel pro IPtables.
Konkretne shorewall, www.shorewall.net.

Tam se konfiguruji pozadovane akce o moc lip a jednoduseji, pro zacatecniky bych rozhodne doporucil prave toto.

Dalsim vybornym kandidatem je napriklad FireHOL (http://firehol.sf.net).

Pouzivam to i kvuli prehlednosti, konfiguracni soubor FireHOLu se mi cte porad lepe nez soustava pravidel v iptables.

ja sem s linuxem zacal vazne (na routeru) pred rokem a jako zacatecnik mi nejvic sednul ukazkovy firewall od Mirka Petricka http://www.petricek.cz/mpfw/. Zkousel sem i Shorewall, ale ten pro me byl absolutne nepruhledny. Webmin je super, ale zrovna na firewall se moc nehodi, aspon sem jeste nevidel propracovanej modul.

Ten prvni fw fungovat nebude jelikoz mu tam chybi pravidlo pro ESTABLISHED, ktere mylne pridavate s vysvetlenim kvuli FTP. Pro FTP je dulezite to druhe, RELATED.

Ignorujte prosim tento prispevek, neumim cist ;-)

v pohodě :)

Rekl bych ze autor zapomnel na jednu vlastnost a to vkladani na urcite misto.
Prikaz: iptables -I INPUT 5 xxxxx vlozi neco na pozici 5 v INPUTU.

dodatek ke generátoru pavidel:

Já mám na toto nejraději WebMin. Tam si můžu nastavit pravidla jaká chci způsobem, jakým chci.

Sice to je trochu jiné, než zadávat pravidla přímo na konzole přez telnet, ale jde to docela dobře.

Webmin taky pouzivam na mensi upravy, ale na firewall je to trochu zdlouhavy. Takze na firewall pouzivam vyhradne prikazovou radku, u ktere jsou zmeny aktivni ihned a nemusim porad restartovat iptables.

Většinou je zbytečné znovu vynalézat ruchadlo.
Na téhle adrese:

http://www.linuxguruz.com/iptables/

jsou scripty nastavující iptables fw pro většinu potřebných situací. Taky je tam pár tutoriálů a HOWTOs

Ačkoliv je vždycky lepší si to nakonec udělat sám (no, jak co ;) tak tyto scriptíky dají každému začínajícímu možnost se podívat kudy na to...

Zdravim, zprovoznil jsem routerFW(Athlon1000/256) na RedHatu 9 podle zdejsiho navodu, ale nekdy se mi stava, obzvlaste pri delsim hrani online her, ze server jakoby usne, ping vyleti nekam nad sekundu a server me odpoji, nebo me kicknou spoluhraci. Mel bych asi zduraznit ze ta hra(WolfET) jede na klientu s W2K a ne na tom servu :o)
V BIOSU jsem samozrejme vypnul HDD sleep a podobne featury. Muzete mi nekdo zkusit poradit co s tim? Nebo cim to muze byt?

ake pouzivas sietovky ? ja mam freeBSD router ale moje realtek sietovky asi 3x denne zaspia na par sekund... mozno mas obdobny problem..

jo mam v routu realkteka 8139, uz tam davam 3 com. diky za napad :)

Ja pouzivam tez Realteky 8029/8139 a nemam problema :) Ze bych mel nejakou unikatni a bezproblemovou serii? ;)

No 3Com by som tam zrovna nedaval.. Skus radsej vymenit tie realteky8139 za ine kusy.

Nektere realteky8139 se pripozavesuji, pokud jsou pripojene nekvalitnim nebo viklajicim se kabelem. Zkontrolujte si kabely a taky konektor na desce realteku (nektere konektory jsou uz z vyroby na h***o).

No u toho athlona bych se zkusil podivat prikazem top na proces ksoftirqd, ktery vobcas sezere veskery cas cpu. Je to proces ktery radi irq a na tom athlonu to nekdy nezvladne a sezere ten cas cpu.

Zdravim

Clanek je docela pekne napsanej, hodne mi to pripomina muj styl kdyz jsem psal o uplne tomtez asi pred 3/4 rokem, jen jsem to vzal vic rychlejc. Ale neodpustim si par poznamek, prijde mi ze autor rychle vyplivl do klavesnice to co se zrovna naucil a vic nad tim nepremejslel, coz je skoda, jiank bych tam totiz nasel zminku o ICMP paketech, ktere povolit a ktere ne. Ale jiank to je dobry.

Zdenek

Kvalita tohoto serialu se zvysuje. To ocenuju.

Ja jen dodam ty ICMP pakety at to vhodne doplnim.

Vytvorime si novy chain nazvany treba icmp
iptables -N icmp
a pridame povolene pakety do chainu icmp
iptables -A icmp -p icmp --icmp-type 0 -j ACCEPT
iptables -A icmp -p icmp --icmp-type 3 -j ACCEPT
iptables -A icmp -p icmp --icmp-type 8 -j ACCEPT
iptables -A icmp -p icmp --icmp-type 11 -j ACCEPT

nakonec dame pravidlo ktere nam icmp pakety pri vstupu do chainu INPUT presmeruje do chainu icmp.Dame ho na zacatek chainu INPUT(-I INPUT 1)
iptables -I INPUT 1 -p icmp -j icmp

pokud paket nevyhovi ani jednomu pravidlu vychozi pravidlo chainu INPUT je ze se nevyhovujici pakety zahodi

.

To je fakt, ale já zde popisuju své zkušennosti nasbírané za půl roku pokusů takový router nachodit, až se konečně podařilo.
Detaily ohledně icmp jsem se skutečně nezbýval, místo toho je zde odkaz na článek Mirka Petříčka o firewallu, ten to rozebral úplně. Já také nepředpokládám, že by se někdo pokoušel vaši domácí bránu upingat k smrti :-)

ja kdyz jsem poprve studoval iptables - kdyz jsem rozchozoval prvni svuj server jako branu na modemové připojení, tak mi moc pomohlo ze jsem si "v clanku nazvane takzvane retezce INPUT,OUTPUT,FORWARD" - predstavil jako tabulky =(ono taky to tak je ipTABLES :)

To mi pak moc pohomlo pri dalsim konfigurovani, a iptables jedine zadavam rucne - nebo pomoci svych skriptu..

A jeste par nepresnosti - pokud je akce LOG - tak se paket zaznamena v logu,ale pokracuje v prochazeni tabulky dal. (v clanku uvedeno ze vzdy na akci skonci) Jsou i dalsi pravidla pripadne se da jako akce uvest jmena jinye tabulky kam skocit (a pak RETURN - navrat do predchozi tabulky)

Jeste jsem v clanku nepostrehl vysvetleni rozdilu DROP a REJECT (DROP - neposle absolutne zadnou odezvu - tedy chova se jako cerna dira, REJECT - vrati icmp paket s tim ze port je nedostupny, pripadne se da specifikovat jina ICMP hlaska)

Ale to jsou spise uz veci pro pokrocile, pro zacatecniky to staci, to co popsal autor ;) Dobra prace..

A jeste jeden vytecny zdroj informaci

http://iptables-tutorial.frozentux.net/iptables-tutorial.html

Ad REJECT - presne tak, hlavne jako odpoved na ident (port 113), at pak sluzby, ktere to pouzivaji zbutecne necekaji.

Opravdu nejlepsi je psat pravidla rucne :o)

hehe, toto mi neda, stare spomienky, ked som zacinal a prekusaval sa cez ipfwadm (vtedy boli jadra 2.0.x :-) ), to bola ina sranda :-)

Na NAT u staleho pripojeni je v POSTROUTING target SNAT nikoli MASQUERADE (ten se pouzije kdyz ma router dynamicky pridelenou verejnou IP).

A v realu je take vice nez vhodne pro takovy FW doplnit ochranu proti spoofingu, nespravnym ip na ruznych interfacech, remote localhost routingu, syn flood apod...

chtel jste napsat snad pro pevnou IP adresu, ne? nevidim duvod, proc nepouzit MASQUERADE. usetri se tim spousta veci, napr. pouzi proxy serveru, kdyz na to prijde.

ono je este napriklad aj slusne na vonkajsom iface s verejnou adresou zablokovat odchadzanie privatov (vsetkych 3 - 10.0.0.0/8 172.16.0.0/12 a 192.168.0.0/16) - pri troska vacsej sieti sa takychto packetov putujucich von od klientov vo vnutri vyskytne dost vela... (teda da sa to riesit aj tym ze nemam default ale neaky router vonku mi oznamuje iba relevantne prefixy (v sucasnosti ich je priblizne 130500) ale pochybujem ze zaciatocnici sa budu hrat s niecim ako je dynamicky routing :-) )

Ja mam rad tohle udelatko. http://devzone.stealthp.org/iptables-control/
Jednodussi uz to snad ani byt nemuze.

Clanek se mi libil (timto autorovi dekuji za nakopnuti k psani vlastniho firewalu) nicmene nemohu nikde najit "teorii" jak na firewaly. Nejlepsim resenim je zda se zakazat vse a povolit jen to, co je potreba. Nicmene ja bych prave potreboval zakazat jen to co je nebezpecne a P2P a nechat zbytek povoleny (jedna se o internetovou gateway a uzivatele by me sezrali). Pokud by me nekdo mohl poslat link na nejakou teorii v cestine, byl bych bych mu neskonale vdecen.
Mimochodem existuje cesta jak blokovat provoz DC++?

Dobry den,
resim ted soje firewallovaci pravidla a jako vzor jsem pouzil jiz zde jednou zmineny http://www.petricek.cz/mpfw/ firewall Miroslava Petriceka, kteremu za nej velice dekuji. Problem je ze potrebuju pravidla pro output prepsat do na neco uplne ekvivalentniho bez pouziti $INET_IP. Konkretne se jedna o tyhle pravidla:
$IPTABLES -A OUTPUT -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -s $LAN1_IP -j ACCEPT
$IPTABLES -A OUTPUT -s $INET_IP -j ACCEPT

V http://iptables-tutorial.frozentux.net/iptables-tutorial.html#INCLUDE.RCDHCPFIREWALL tutorialu iptables ten posledni radek nahradi timhle:
$IPTABLES -A OUTPUT -p ALL -o $INET_IFACE -j ACCEPT

coz se mi ale nezda byt uplnym ekvivalentem, protoze to nepodchycuje pripad, kdy se z vnitrni site divam treba na stranky na te gw ap pouzivam k tomu domenu, ktera smeruje na publicip, misto adresy prirazene vnitrnimu interfacu.

Dobry den,

v clanku je mala chybicka: modprobe ip_MASQUERADE, spravne ma byt ipt_MASQUERADE.

BEG

Zdravim,
muzete mi prosim nekdo pomoct, potrebuju jedine, omezit rychlost pripojeni k internetu primo na svem PC a to tak aby se dala kdykoliv zapnout nebo vypnout. Nekde jsem se docetl ze pres iptables je to mozny, ale uz sem se nedocetl jak a zaroven jsem linuxovy lama a jeste k tomu neumim anglicky, takze man iptables mi nic nerekne.

Proste potrebuju omezit download na zarizeni eth0 na 64 kbps

Modul ip_tables mam zavedenej, vsechno funguje pravdepodobne jak ma, jen je problem mezi klavesnici a zidli.

Dik moc za pomoc :-)

No traffic shaping je dost slozita vec ja pouzivam shapery zalozene na HTB. Zkus si nekde na netu vysosat popis htb v cestine, coz tam nekde je. Iptables sice umi shaperovat, ale kdyz se preplni neco jako fifo tak pakety zacnou nekam mizet, coz se nelibi uzivatelum napr kvuli ftp prenosum.

iptables -A FORWARD -o eth0 -p tcp --dport 5190 -j ACCEPT
iptables -A FORWARD -o eth0 -p icmp -j ACCEPT
iptables -A FORWARD -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -o eth0 -j DROP

tu kvoli tomu aktivnemu ftp nema byt nahodou miesto -o eth0 -i eth0? lebo vlastne ak je eth0 na siet von tak potom by sa to vztahovalo na output co mi tam nejako nesedi uz len preto, ked to porovam s pravidlom vyssie kde je uvedene na RELATED a ESTABLISHED -i kedze to vlastne vchadza dovnutra.

potom dalsia otazka - ked chcem povolit pasivne ftp pri ktorom idem von cez v podstate absolutne nahodny port a zaroven nejako zakazat akekolvek p2p siete tak ako by sa to realizovalo tam? nepouziva sa prave vtedy ten riadok s -o eth0? tym by sa vlastne sice vybral port xxxxx ale bol by viazany s predchadzajucim spojenim na ftp server cize by to podla jednoduchej logiky mohlo ist. co hovorite na tento napad s pasivnym ftp?

iptables -A FORWARD -o eth0 -p tcp --dport 20:21 -j ACCEPT
iptables -A FORWARD -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -o eth0 -j DROP

Mozna je to o necem jinem ale chci si to jen zkusit a ted nemam doma stale pripojeni na net ... Jedno pc dam jako server dalsi jako kompl v int siti a jeden pichnu na druhou sitovku na serveru a chci zkusit pres iptables jak to pojede. Precetl jsem si IP-MASq howto a nejak jsem to nastavil ale nevim jestli je jedno jakeou ip adresu bude mit pc v ext siti ...Nebo nekdo poradi s nastavenim ? Moc diky.