' target='_blank'>Link
28 Listopada 2024 09:31:44
Nawigacja
· Strona Główna
· Forum
· Tomato by Shibby
· FreshTomato

Wątki na forum
Najnowsze dyskusje
· Nowe routery: UX, UC...
· [MOD] FreshTomato-MI...
· [MOD] FreshTomato-AR...
· DIR868l OFW asus vs ...
· [S] Asus RT-AC56U
· Szukam zaproszenia n...
· Asus RT-AC5300 ,prob...
· archer c6 v3.20
· [S] Nighthawk R7000P...
· [S]Asus RT-AC5300 - ...
· Tanie N100 na promce...
· net z telefonu wifi+...
· Tomato - bugi/proble...
· HUAWEI z światłowodem
· Asus TUF-AX3000_V2 p...
· rt-ax88upro częste ...
· [Howto] Xpenology na...
· Jaki router pod Open...
· Ruter z tomato
· Czy to jeszcze NAS?
Najpopularniejsze obecnie wątki
· [MOD] FreshTomato... [908]
· [MOD] FreshTomato... [414]
· DIR868l OFW asus ... [11]
· Nowe routery: UX,... [3]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
36% [151 głosów]

Broadcom ARM
Broadcom ARM
52% [219 głosów]

Atheros
Atheros
5% [22 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [3 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [5 głosów]

Żaden z powyższych
Żaden z powyższych
4% [15 głosów]

Ogółem głosów: 419
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38
Twoje IP
3.147.86.246
Zobacz wątek
OpenLinksys » :: OPROGRAMOWANIE :: » Tomato - firmware
 Drukuj wątek
Blokowanie Portów
lukaszpieter
Top  #1 Drukuj post
Dodano 17-02-2009 17:49
Czy może ktoś popatrzeć na te regułki i powiedzieć mi, czy to ma sens ??

Jak je wykonam zablokowany zostaje cały ruch nawet do putty

Cytat


iptables -A INPUT -p TCP --dport 1:65535 -j DROP
iptables -A INPUT -p TCP --sport 1:65535 -j DROP
iptables -A INPUT -p UDP --dport 1:65535 -j DROP
iptables -A INPUT -p UDP --sport 1:65535 -j DROP
iptables -A OUTPUT -p TCP --dport 1:65535 -j DROP
iptables -A OUTPUT -p TCP --sport 1:65535 -j DROP
iptables -A OUTPUT -p UDP --dport 1:65535 -j DROP
iptables -A OUTPUT -p UDP --sport 1:65535 -j DROP
iptables -A OUTPUT -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -p TCP --sport 80 -j ACCEPT
iptables -A OUTPUT -p UDP --dport 53 -j ACCEPT
iptables -A OUTPUT -p UDP --sport 53 -j ACCEPT
iptables -A OUTPUT -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -p TCP --dport 22 -j ACCEPT
iptables -A INPUT -p TCP --sport 22 -j ACCEPT


Chce zablokować wszystkie porty i pozostawić tylko te niezbędne jak 80, 53 i 22
 
obsy
Top  #2 Drukuj post
Dodano 17-02-2009 18:07
iptables -A OUTPUT -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -p TCP --sport 80 -j ACCEPT
iptables -A OUTPUT -p UDP --dport 53 -j ACCEPT
iptables -A OUTPUT -p UDP --sport 53 -j ACCEPT
iptables -A OUTPUT -p TCP --dport 22 -j ACCEPT
iptables -A OUTPUT -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -p TCP --dport 22 -j ACCEPT
iptables -A INPUT -p TCP --sport 22 -j ACCEPT

iptables -A INPUT -p TCP --dport 1:65535 -j DROP
iptables -A INPUT -p TCP --sport 1:65535 -j DROP
iptables -A INPUT -p UDP --dport 1:65535 -j DROP
iptables -A INPUT -p UDP --sport 1:65535 -j DROP
iptables -A OUTPUT -p TCP --dport 1:65535 -j DROP
iptables -A OUTPUT -p TCP --sport 1:65535 -j DROP
iptables -A OUTPUT -p UDP --dport 1:65535 -j DROP
iptables -A OUTPUT -p UDP --sport 1:65535 -j DROP


Co oczywiście jest bez sensu, bo:
1. Pewnie chodzi Ci o forward a nie INPUT/OUTPUT (te kolejki sa dla serwera)
2. Po co wszystko wypisywać jak wystarczy politykę domyślną na DROP ustawić a te żądane na ACCEPT
3. Po co ustawiać na drop skoro będzie wisiał i wylatywał na timeoutach. Reject powinno być.
Masz niepotrzebny ruter, uszkodzony czy nie - ch?tnie przygarn? go.
http://eko.one.pl - prawie wszystko o OpenWrt
http://openrouter.info
 
lukaszpieter
Top  #3 Drukuj post
Dodano 17-02-2009 22:34
To jak powinno wyglądać blokowanie portów wg. tego co opisujesz w pkt. 2 ??


Chce zrobić tak, aby w sieci nie działały żadne usługi, gry online, torrenty, itd. Tylko sam dostęp do www
 
obsy
Top  #4 Drukuj post
Dodano 17-02-2009 23:02
iptables -P FORWARD REJECT
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
Masz niepotrzebny ruter, uszkodzony czy nie - ch?tnie przygarn? go.
http://eko.one.pl - prawie wszystko o OpenWrt
http://openrouter.info
 
lukaszpieter
Top  #5 Drukuj post
Dodano 17-02-2009 23:46
Po wydaniu polecenia

iptables -P FORWARD REJECT

dostałem odpowiedź

iptables: Bad policy name
 
obsy
Top  #6 Drukuj post
Dodano 18-02-2009 06:42
To ustaw na
iptables -P FORWARD DROP
Masz niepotrzebny ruter, uszkodzony czy nie - ch?tnie przygarn? go.
http://eko.one.pl - prawie wszystko o OpenWrt
http://openrouter.info
 
obsy
Top  #7 Drukuj post
Dodano 18-02-2009 06:45
Tyle że wyczyść wcześniej wszystko przez -X -F
Masz niepotrzebny ruter, uszkodzony czy nie - ch?tnie przygarn? go.
http://eko.one.pl - prawie wszystko o OpenWrt
http://openrouter.info
 
shibby
Top  #8 Drukuj post
Dodano 18-02-2009 09:56

Cytat

obsy napisał/a:
To ustaw na
iptables -P FORWARD DROP


hmm
a akcje gdzie zgubiliscie?

iptables -P FORWARD -j DROP #blokujemy caly ruch przekazywany
iptables -A FORWARD --dport 80 -j ACCEPT #zezwalamy na ruch http
iptables -A FORWARD --dport 8080 -j ACCEPT #zezwalanymy na ruch https

itd zmieniajac dport na jaki chcesz Smile
Edytowany przez shibby dnia 18-02-2009 10:00
 
obsy
Top  #9 Drukuj post
Dodano 18-02-2009 17:19
No proszę, To jest ustawienie polityki, tam nie ma -j. Serio.
Masz niepotrzebny ruter, uszkodzony czy nie - ch?tnie przygarn? go.
http://eko.one.pl - prawie wszystko o OpenWrt
http://openrouter.info
 
lukaszpieter
Top  #10 Drukuj post
Dodano 18-02-2009 20:49

Cytat

shibby napisał/a:

Cytat

obsy napisał/a:
To ustaw na
iptables -P FORWARD DROP


hmm
a akcje gdzie zgubiliscie?

iptables -P FORWARD -j DROP #blokujemy caly ruch przekazywany
iptables -A FORWARD --dport 80 -j ACCEPT #zezwalamy na ruch http
iptables -A FORWARD --dport 8080 -j ACCEPT #zezwalanymy na ruch https

itd zmieniajac dport na jaki chcesz Smile




Z tego co mi @obsy wytłumaczył:

zamiast

iptables -P FORWARD -j DROP

powinno być

iptables -P FORWARD DROP

i zamiast np.

iptables -A FORWARD --dport 80 -j ACCEPT

powinno być

iptables -A FORWARD -p TCP --dport 80 -j ACCEPT

lub iptables -A FORWARD -p UDP --dport 80 -j ACCEPT

Wszystko cacy. Tylko z tego co rozumiem, to po wydaniu polecenia

iptables -P FORWARD DROP

Wszystkie porty FORWARDOWANE z routera do lokalnych stacji, zostają zamknięte z powiadomieniem użytkownika. Po wydaniu polecenia wszelki dostęp do internetu powinien zostać wzbroniony, ale tak się nie dzieje.


Tak u mnie wygląda tablica iptables po wydaniu poleceń.

Cytat


Chain INPUT (policy DROP)
target prot opt source destination
DROP 0 -- anywhere 10.0.0.14
DROP 0 -- anywhere anywhere state INVALID
ACCEPT 0 -- anywhere anywhere state RELATED,ESTAB LISHED
ACCEPT 0 -- anywhere anywhere
ACCEPT 0 -- anywhere anywhere
ACCEPT tcp -- anywhere Asus tcp dpt:www
ACCEPT tcp -- anywhere Asus tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT 0 -- anywhere anywhere
DROP 0 -- anywhere anywhere state INVALID
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/S YN tcpmss match 1461:65535 TCPMSS set 1460
ACCEPT 0 -- anywhere anywhere state RELATED,ESTAB LISHED
wanin 0 -- anywhere anywhere
wanout 0 -- anywhere anywhere
ACCEPT 0 -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain wanin (1 references)
target prot opt source destination

Chain wanout (1 references)
target prot opt source destination
Edytowany przez lukaszpieter dnia 18-02-2009 20:59
 
shibby
Top  #11 Drukuj post
Dodano 19-02-2009 12:21

Cytat

obsy napisał/a:
No proszę, To jest ustawienie polityki, tam nie ma -j. Serio.


obsy zgadza sie, moje niedopatrzenie Smile
 
ptachu
Top  #12 Drukuj post
Dodano 30-12-2010 16:15
Witam!
Wybaczcie, że odkopałem tak stary temat, ale po części dotyczy on problemu, z którym się spotkałem.
Chciałem zablokować komunikację na zewnątrz z lokalnej sieci LAN.
Postanowiłem zablokować wszystkie połączenia wychodzące i odblokowywać porty, które mi będą potrzebne. Najpierw użyłem polecenia:
Kod Pobierz kod źródłowy  

iptables -F FORWARD


Później zablokowałem wychodzące połączenia:
Kod Pobierz kod źródłowy  

iptables -P FORWARD DROP


Jak dotąd wszystko idzie ok. Wszystko zablokowane. Teraz chciałem udostępnić port 80 wszystkim w LAN'ie. Zatem:
Kod Pobierz kod źródłowy  

iptables -A FORWARD -p TCP --dport 80 -j ACCEPT

iptables -A FORWARD -p UDP --dport 80 -j ACCEPT


I tutaj mam problem bo cały czas ruchu na zewnątrz po porcie 80 nie ma. Strony się nie wczytują. Proszę o podpowiedzi co mi umknęło bądź czego nie dopisałem.
Pozdrawiam!
 
nerio88
Top  #13 Drukuj post
Dodano 30-12-2010 19:58
Kod Pobierz kod źródłowy  

# Wyczyszczenie tablic iptables

iptables -F

iptables -Z

iptables -t nat -F

iptables -t nat -Z

iptables -t mangle -F



# Ustawienie domyslnych polityk bezpieczenstwa

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

iptables -P FORWARD DROP



# Dopuszczenie pakietow powrotnych dla polaczen nawiazanych

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


Wycinek z mojego skryptu firewalla. Ostatnie dwie linijki to jest dopuszczenie pakietów powrotnych, tego IMO Ci brakuje

Jakby nadal nie działało, to można jawnie dopuścić odpowiedź z serwera, z którym użytkownik się łączy (przykład dla HTTP):
Kod Pobierz kod źródłowy  

iptables -A FORWARD -p tcp -d adres_podsieci/maska_podsieci --sport 80 -j ACCEPT
Edytowany przez nerio88 dnia 30-12-2010 20:02
 
ptachu
Top  #14 Drukuj post
Dodano 04-01-2011 07:38
Witam!
Dzięki za podpowiedź. Blokowanie portów mi działa......przez chwilkę Wink. Wszystko jest ok przez kilka minut, a potem nie mogę korzystać z żadnych portów. Wszystko zablokowane chociaż reguły w niezmienionej formie w iptables tkwią.
 
ptachu
Top  #15 Drukuj post
Dodano 18-01-2011 09:50
Witajcie!
Wybaczcie post pod postem.
Mam problem z blokowaniem portów. Ustawiam iptables tak żeby ruch wychodzący był dozwolony tylko po portach, które sam wybiorę. I działa to przez chwilę. I po tej chwili ustawienia tabeli FORWARD wracają do ustawień domyślnych. Jak zrobić żeby router moje ustawienia pamiętał?
Pozdrawiam!
 
Przejdź do forum
Zaloguj
Wprowadź adres e-mail lub nazwę użytkownika

Hasło



Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?
Aktualnie online
· Gości online: 76

· Użytkowników online: 0

· Łącznie użytkowników: 24,115
· Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.

Maniek91PL
06-11-2024 22:37
dzięki !Grin

maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia

Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa

overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.

maxikaaz
04-10-2024 09:38
@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.

overflow2
30-09-2024 20:53
Jaki aktualnie najtańszy router do tomato do openvpn?

maxikaaz
27-07-2024 15:07
@servee - na początek router do rozebrania i obejrzenia, ciężko wróżyć tak tylko po objawach

maxikaaz
27-07-2024 14:55
@servee - cały kontroler nie pada tak sobie z powodu "zbiegu okoliczności",
więc prawdopodobnie gdzieś przepięcie.

servee
25-07-2024 13:33
@maxikaaz: działało, aż pewnego pięknego dnia przestało działać. W tym dniu była też burza, ale to raczej zbieg okoliczności.

maxikaaz
25-07-2024 11:38
@servee - o ile problem jest w obrębie samych wyjść (dławiki, warystory), to naprawialne, ale jeśli w samym SoC - to nienaprawialne ze względu na koszta. A co było przyczyną?
96,066,084 unikalnych wizyt
Copyright © OpenLinksys 2006-2021


Powered by PHPFusion Copyright © 2024 PHP Fusion Inc
Released as free software without warranties under GNU Affero GPL v3.