Keresés

Sziasztok!

A DNS-t melyik porton kéne ki/be engedni?
UDP/TCP 53-at engedtem ki-be, de csak akkor ment ha a teljes udp forgalmat engedélyeztem.

Akkor bizony bele kell dolgoznod magad az iptables log-olásába... nem érek hozzá, de nem lehet annyira ördöngös dolog...

Semmi korlátot sem állítottam fel, egy teljesen alap debian fut rajta, a mellette lévő (rendesen működő) server is ugyanilyen beállításokkal rendelkezik.
És egyik napról a másikra történt a dolog.

Az egyetlen dolog, amit találtam, h nagymértékű visszaigazolatlan csomagkérés jön (vagy mifene :), amit a netstat mutat.

Ahogy leállítom a http servert, mindjárt fel tudom venni a kapcsolatot a géppel.

Akkor talán valami kapcsolat-számra vonatkozó korlátot állítottál fel?

Az egyetlen dolog, amit találtam, h nagymértékű visszaigazolatlan csomagkérés jön (vagy mifene :), amit a netstat mutat.

Ahogy leállítom a http servert, mindjárt fel tudom venni a kapcsolatot a géppel.

mindegyik a FORWARD-láncra vonatkozik, neked viszont az aktuális gép elérése nem megy
Ezer köszönet, 28 óra ébrenlét után már fel sem tűnik az ilyen :)

Keresgéltem valami használható conf után, eddig ez a legjobb: itt
Egy sima servernek kéne (http, smtp, ssh, ftp)

köszi

Néhány napja teljesen elérhetetlenné vált a szerverem
Na jó, de minek a hatására vált elérhetetlenné?

próbáltam a három-híres szabályt, ami terjeng a neten, de azok sem segítettek
Ezek tényleg nagyon híresek lehetnek, de ha jól látom, mindegyik a FORWARD-láncra vonatkozik, neked viszont az aktuális gép elérése nem megy (INPUT-lánc).

NAT-hoz az ipt_nat_ftp (vagy ilyesmi) is kell...

Sziasztok!

Néhány napja teljesen elérhetetlenné vált a szerverem, csak egy másik gépen keresztül tudom elérni, ami egy alhálózaton van a vele.

netstat eredmény:
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp------1----10136-*******:www-34-65-231-201.fib:42685--CLOSE_WAIT
tcp------0----11793-*******:www dialup84103-128.ip:1128--FIN_WAIT1
tcp------0----14600-*******:www 66-50-120-68.prtc.:2365---ESTABLISHED
tcp------0--------0---*******:ssh *******:35122-----------------ESTABLISHED
tcp------0--------0---*******:www *******:3307----------------FIN_WAIT2

próbáltam a három-híres szabályt, ami terjeng a neten, de azok sem segítettek
# iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
# iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

Valaki tudna nekem mondani egy olyan beállítást, amivel vissza tudnám hozzni a szerverem az élők közé, bár még abban sem vagyok biztos, hogy mi a tényleges baja

Probaltam ugy is ip_contrack_ftp ports=21,4000, de nem volt sikeres ....

Szerintem az ip_conntrak_ftp nem tudja, hogy neki a 4000-es port forgalmát kellene a 20-assal asszociálnia... nézd meg, hátha van neki paramétere...

Hello

Adot egy belso halozaton egy WIN XP (192.168.1.20)gepen ftp server ami a 4000-es portra halgat es internet oldarol elerhetove tenem .
A linuxos gepen az iptables beallitas:

IPTABLES=/sbin/iptables
MODPROBE=/sbin/modprobe

/sbin/depmod -a
$MODPROBE ip_tables
$MODPROBE ip_conntrack
$MODPROBE ip_conntrack_ftp
$MODPROBE ip_conntrack_irc
$MODPROBE iptable_nat
$MODPROBE ip_nat_ftp
$MODPROBE ip_nat_irc

$IPTABLES -P INPUT DROP
$IPTABLES -F INPUT
$IPTABLES -P OUTPUT DROP
$IPTABLES -F OUTPUT
$IPTABLES -P FORWARD DROP
$IPTABLES -F FORWARD
$IPTABLES -F -t nat

$IPTABLES -A FORWARD -i $EXT_IFACE -o $INT_IFACE -m state --state
ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $INT_IFACE -o $EXT_IFACE -j ACCEPT

$IPTABLES -A FORWARD -i $EXT_IFACE -o $INT_IFACE -d 192.168.1.20 -p tcp
--dport 4000 -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -o $EXT_IFACE -j SNAT --to $EXT_IPADDR
$IPTABLES -t nat -A PREROUTING -i $EXT_IFACE -d $EXT_IPADDR -p tcp
--dport 4000 -j DNAT --to 192.168.1.20

Ha a WIN kliens geprol akarok csatl akozni (aktiv vagy pasziv mod)username es a passwd elfogadja de utana "450 Unable to open data connection" , de ha Linux kliens gep(aktiv mod), akkor a csatlakozas, lekerdezes jo.

Ha a --dport ftp es a WIN XP gepen a servert beallitom a 21-es portra akkor minden OK. Semi hiba, minden jol muxik.
Neten kerestem iptables configokat de azok se segitettek.

Elore is koszonom a helpet

Ahá!
Köszönöm! Már értem.

172.21.28.0/24 jelentése: minden gép 172.21.28.0 és 172.21.28.255 között (igazából a két szélső értéket nem lehet / nem szokás felhasználni).
Ugyanez más jelöléssel: 172.21.28.0/255.255.255.0
Tehát azt mondjuk meg, hogy az első 24 bit a hálózatot jelenti, az utolsó 8 a gépet a hálózaton belül.

Már szerettem volna megkérdezni (biztos lamer de érdekel). Ebben a parancsban:

iptables -t nat -A POSTROUTING -s 172.21.28.0/24 -o ppp0 -j MASQUERADE

miért van a /24? Miért nem csak az IP cím?

Igen ez ilyen SuSE dolog, bár gondolom, az ilyen indítószkriptek között azért van átjárhatóság, bár pl. az Uhu kicsit másképpen csinálja. De a mondanivalóm lényege a Webmin :)

Ooo, tényleg :-). Teljesen leépültem :-(.
Köszi.

És az első paraméterben adod meg, hogy mit csináljon: start, stop, restart, reload meg ilyenek.

Köszi Samu, egyenlőre nem égett a körmömre, de kipróbalom.
Viszont a legtöbb script a

case "$1" in

sorral kezdődik. Miért kell ez? A $1 az az első paraméter nem?

Egyébként, ha nem akarsz egykarakter-melléütések miatt fél napokat hibakeresni, ajánlom a Webmint, azzal az iptables konfigurálás tényleg kézre áll.

Nem akarok butaságot belekotyogni, de hasonló problémám, SuSE alatt, neklem is volt, és én csináltam egy nagyon egyszerű szkriptet, hogy

case "$1" in
'start')
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables-restore < /etc/samu_iptables.conf
;;
'stop')
iptables-save > /etc/samu_iptables.conf
;;
*)
echo "Usage: $0 { start | stop }"
;;
esac
exit 0

és ez minden bekapcsnál lefutott.

Próbáltam a dpkg-reconfigure iptables -t: kis darálás után visszaadta a promptot, de változás nincs.
Próbáltam a apt-get remove iptables --purge -t, majd install, ugyanúgy semmi, aza minden maradt a régiben.
Ezt írja ki, ami normális is, nem használom itthon semmire.

arpipc:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Gondoltam még, hogy a kernelből felejtettem ki valamit, de a fentieket sem írná ki akkor nem?

dpkg-reconfigure vagy valami ilyesmivel lehet újra-konfiguráltatni

Próbáld forszírozottan installálni az iptables-t. Lehet, hogy file-onként szedted le, de a csomagok nyilvántartásában az szerepel, hogy installálva van.

Az a baj, hogy iptables-config sincs. Végigkerestettem az egész vinyót de semmi.

Bocs hogy belekotyogok, én elég gyenge vagyok a témában, de a sok keresgélés közben láttam hogy az iptables-config nevű fájl, az semmi másról nem szól mint különböző variácók hogy hogyan mentsen. Ott ilyen yes/no alapont be lehet állítgani a dolgokat.

Amelyeket használsz, és nem hálózat nélküli mód. A legfontosabbak talán: 3, 5. Ha a Debiánon is így van. Nincs olyan script, amibe a user írhatja a hülyeségeit? Fedorán /etc/rc.d/rc.local ez a file.

Alapjában semmi, csak mely futásszintre kell tenni?

És mi akadályoz meg abban, hogy egy, az induláskor futó script-be írj egy iptables-restore <ez_a_mentett_szabaly_file-t?

Aszondja már fenn van :-(. Ezt látszik alátámasztani, hogy az iptables-save működött és létrehozott egy file-t a beállításokkal.

Számos lehetőséged van, pl: apt-get install iptables