|
Jak skutecznie zmienić wbudowaną konfiguracje firewall / iptables
|
| ub7777 |
Dodano 16-12-2011 10:23
|
User
Posty: 18
Dołączył: 03/08/2009 19:48
|
Witam,
mam zainstalowane Tomato wraz z OpenWRT. Zauważyłem, że druga reguła w łańcuchu INPUT do DROP wszystkiego co przychodzi na mój router z zewnątrz. Jest to zawsze DRUGA reguła - i nie widzę miejsca gdzie ona jest wpisana.
W /etc/iptables jest oczywiście konfiguracja i to właśnie nią chciałbym zmienić. Jak to zrobić skutecznie, bo nie wiem gdzie jest źródło tego pliku, z którego jest on tworzony.
Dla wyjaśnienia wpisywanie reguł poprzez www na stronce scripts - firewall, to nie jest rozwiązanie, które by mnie satysfakcjonowało  |
| |
|
|
| hermes-80 |
Dodano 16-12-2011 11:15
|
VIP
Posty: 3681
Dołączył: 21/04/2009 11:24
|
Jest niemożliwością zainstalowanie Tomato wraz z OpenWRT na jednym routerze  .
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| ub7777 |
Dodano 16-12-2011 11:42
|
User
Posty: 18
Dołączył: 03/08/2009 19:48
|
Masz zupełną rację - OPTWARE miałem na myśli - ale to raczej nie ma znaczenia. Znaczeniem jest czy są w Tomato wbudowane wstępnie reguły ipconfig (a na pewno są bo widać je w pliku, o którym za chwilę) i gdzie zmienić na stałe to co widać w /etc/iptables?
W szczególności interesuje mnie łańcuch INPUT, który zawsze u mnie na drugim miejscu ma DROP, a ja chciałbym mieć jakąś default POLICY a od niej wyjątki np. wpuszczenie ruchu SMPT po porcie 25 na wewnętrzny serwer pocztowy. Tych wyjątków mam całkiem sporo , więc DROP na drugiej pozycji burzy mi koncepcję |
| |
|
|
| hermes-80 |
Dodano 16-12-2011 12:06
|
VIP
Posty: 3681
Dołączył: 21/04/2009 11:24
|
Jako, że wszystkie pliki w Tomato leżą w pamięci Flash trzeba użyć polecenia: setfile2nvram
Zerknij na użycie tej komendy w tym tutku: http://openlinksys.info/forum/viewthr...post_89585
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| shibby |
Dodano 16-12-2011 13:28
|
SysOp
Posty: 17148
Dołączył: 15/01/2009 20:30
|
/etc to symlink do /tmp/etc a wiec nie lezy on we flashu a wszystkie pliki genetowane sa w locie na podstawie canych z nvram.
DROP to domyslna polityka lancucha INPUT i nie da sie jej zmienic bez modyfikacji zrodel tomato. Po co zreszta chcesz ja zmieniac? To jest poprawna zasada bezpieczenstwa: odrzuc wszystko a wpusc tylko wybrane pakiety. Zla polityka jest zezwalac na wszystko co sie rusza! Przemysl to jeszcze raz.
Router: Unifi Cloud Gateway Max
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| hermes-80 |
Dodano 16-12-2011 13:41
|
VIP
Posty: 3681
Dołączył: 21/04/2009 11:24
|
Cytat /etc to symlink do /tmp/etc a wiec nie lezy on we flashu a wszystkie pliki genetowane sa w locie na podstawie canych z nvram.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| ub7777 |
Dodano 16-12-2011 17:35
|
User
Posty: 18
Dołączył: 03/08/2009 19:48
|
Dzięki za wskazówki.
Nie chce jej usuwać - moje wątpliwości biorą się z tego że jest to druga instrukcja łańcucha INPUT, w pierwszej mam tzw. dynamic firewall na dodatkowo utworzonej tabeli. Z tego powodu wydaje mi się, że skoro już w drugiej linijce dropuję wszystko, to nie przechodzą przez firewall pakiety, które chciałbym przepuścić ...
Ale może się mylę, bo iptables napawa mnie pewnym obrzydzeniem związanym z brakiem czasu na jego dogłębne zrozumienie ...
Teraz widzę, że mieliście rację - to nie był problem z tym DROP już w drugiej linii łańcucha INPUT - swoją drogą dlaczego ten wpis jest akurat w drugiej ...???
Problemem jest - wpuszczenie ruchu SMTP do serwera Postfix i tutaj albo nie mam jak sprawdzić (używam z zewnątrz komendy "telnet ipTomato 25", a na Tomato mam forwarding z 25 ipTomato na 25 Postfixa) albo to nie chce mi działać.
Z wewnątrz sieci "telnet ipPostfix 25" działa bez problemu.
Jak to ugryźć i gdzie robię błąd w rozumowaniu???
Edytowany przez ub7777 dnia 16-12-2011 17:54
|
| |
|
|
| shibby |
Dodano 17-12-2011 11:26
|
SysOp
Posty: 17148
Dołączył: 15/01/2009 20:30
|
Skoro postfix lezy na serwerze wewnatrz sieci to lancuch input cie nie interesuje, bo to lapie sie przeciez w lancuch forward. Stosujesz tylko port forwarding i nic wiecej dzialac z firewallem nie musisz.
Router: Unifi Cloud Gateway Max
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| ub7777 |
Dodano 17-12-2011 15:26
|
User
Posty: 18
Dołączył: 03/08/2009 19:48
|
Od tego zacząłem, ale nie pomogło. Przepraszam za drugi wątek, ale sądziłem że ten zasadniczo dotyczy czegoś innego ...
Jak wykonuję test: telnet port 25 z routera na stację adresowaną adresem wewnętrznym to wszystko działa.
Natomiast telnet na port 25 z routera na stację adresowaną adresem zewnętrznym routera już nie przechodzi.
Niestety nie mam dostępu do shella bezpośrednio u ISP. |
| |
|
|
| hermes-80 |
Dodano 17-12-2011 15:39
|
VIP
Posty: 3681
Dołączył: 21/04/2009 11:24
|
Pokaż zakładkę z forwardingu portów oraz polecenie z konsoli: iptables -L
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| ub7777 |
Dodano 17-12-2011 16:10
|
User
Posty: 18
Dołączył: 03/08/2009 19:48
|
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
restrict all -- 0.0.0.0/0 0.0.0.0/0
monitor all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
wanin all -- 0.0.0.0/0 0.0.0.0/0
wanout all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ub7777 załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.
Edytowany przez ub7777 dnia 17-12-2011 16:17
|
| |
|
|
| shibby |
Dodano 17-12-2011 16:16
|
SysOp
Posty: 17148
Dołączył: 15/01/2009 20:30
|
a pisałem ci przeciez
Cytat ale pamiętaj!!!! port 25 w polsce jest zablokowany przez większość operatorów.
wystarczy zresztą wujka Google zapytać o "port 25" i sam podpowiada frazę "zablokowany"
http://www.benchmark.pl/aktualnosci/TP_S.A._blokuje_port_25._Wojna_spamerom_wypowiedziana.-24709.html
Telekomunikacja Polska udostępnia do tego celu dwa porty tj. 587 oraz 465, na których gwarantuje poprawne działanie poczty.
i tak jak już pisałem w drugim wątku
Cytat Nowym, alternatywnym portem dla smtp jest 587. Natomiast port 465 to SSL dla smtp.
Edytowany przez shibby dnia 17-12-2011 16:20
Router: Unifi Cloud Gateway Max
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| ub7777 |
Dodano 17-12-2011 16:19
|
User
Posty: 18
Dołączył: 03/08/2009 19:48
|
Przed chwila przebadałem swój adres przez nmap-online http://nmap-online.com/ i ten skaner twierdzi, że
Not shown: 4997 filtered ports
PORT STATE SERVICE
25/tcp open smtp
...
Więc teraz to mam tzw rozdwojenie jaźni ... Niby otwarty, ale gdy go potraktować telnetem na 25 to odbija na timeout ...
Edytowany przez ub7777 dnia 17-12-2011 16:21
|
| |
|
|
| hermes-80 |
Dodano 17-12-2011 16:20
|
VIP
Posty: 3681
Dołączył: 21/04/2009 11:24
|
To co ważne to: Chain wanin (1 references)
Poza tym jeśli port w sieci wewnętrznej = portowi widzianemu na routerze to nie wpisuje się nic w pole int port.
Otwarcie portu podczas działającej na nim usłudze zbadaj za pomocą: http://www.t1shopper.com/tools/port-s...port-scan/ poza tym upewnij się, ze firewall na PC ci nie blokuje portu.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| ub7777 |
Dodano 17-12-2011 16:24
|
User
Posty: 18
Dołączył: 03/08/2009 19:48
|
Wanin mam taki:
Chain wanin (1 references)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 10.20.20.230 tcp dpt:25
....
....
Firewall nie blokuje, skoro z routera telnet na tenadreswenetrzny i port 25 przechodzi ...
Pakiety IMO gdzies giną na routerze.
Z tego podanego przez Ciebie skanera, tez wynika, że port jest otwarty na routerze:
Scanning ports on ......
............ is responding on port 25 (smtp).
Otwarty tylko nie przepuszcza dalej - takie mam szczelne iptables ;-)
Edytowany przez ub7777 dnia 17-12-2011 16:31
|
| |
|
|
| hermes-80 |
Dodano 17-12-2011 16:30
|
VIP
Posty: 3681
Dołączył: 21/04/2009 11:24
|
Nie rozumiem jak ty telnetem traktujesz ten port ?? Do serwer Postfix można wydawać komendy przez telnet??
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| ub7777 |
Dodano 17-12-2011 16:33
|
User
Posty: 18
Dołączył: 03/08/2009 19:48
|
Na to wychodzi, że tak :-) Zresztą telnet można zapodać na porty http i wiele się dowiedzieć - próbowałeś ? ;-)
Nie wiem tylko jak to jest z telnetem przez takie Tomato ....
Ale dla przykładu telnet z zewnatrz na port http na tej samej stacji co Postfix, oczywiście działa bez zarzutu - tam jest Apache ze Squirrelem.
A na boku i poza tematem, to czy faktycznie np. w łańcuchu INPUT powiina na samej górze być coś takiego?:
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 moj adres zewnetrzny tcp dpt:moj port ftp
DROP all -- 0.0.0.0/0 moj adres zewnetrzny
i tutaj następuje dopiero cała masa ACCEPT'ów
Nie wiem skąd się to bierze, ale w kilku łańcuchach poza "policy DROP" gdzieś blisko góry (pierwsza, druga, trzecia pozycja) to właśnie takie DROP jak w powyższym przykładzie ...
Edytowany przez ub7777 dnia 17-12-2011 16:43
|
| |
|
|
| hermes-80 |
Dodano 17-12-2011 16:44
|
VIP
Posty: 3681
Dołączył: 21/04/2009 11:24
|
Tak jak Shibby napisał - input odnosi się do samego routera a forward odnosi się do sieci wewnętrznej.
Nie znam tego serwera i tej metody, którą chcesz coś uzyskać więc nie wiem o co chodzi bo przekierowanie portów poprawnie działa na routerze skoro zgłasza się otwarty port.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
|
| |
|
|
| ub7777 |
Dodano 17-12-2011 16:46
|
User
Posty: 18
Dołączył: 03/08/2009 19:48
|
Otóż to :-) Każdy inny port mi się otwiera i jest dostępny, a 25 zachowuje się inaczej. Z lektury wynikałoby (ci, którzy piszą o systemach pocztowych za iptables na linuxach), że wymaga się badania stanu - ESTABLISHED itd. Jak będę miał pod ręką to dopiszę przykład.
Może to jest tak, że badanie stanu otwarty przechodzi i skaner stwierdza taki stan, ale już nawiązanie komunikacji na porcie 25 jest wycinane przez operatorów ...
Połączony z 17 grudzień 2011 18:26:25:
Shibby podziękowania - miałeś rację :)
Jest tak jak napisał Shibby - port 25 nie do użytku i tak jak napisałem we wcześniejszym poście "badanie stanu przez skaner stwierdza otwarty port, ale już nawiązanie komunikacji na porcie 25 jest wycinane przez operatorów ..."
Wystarczy przesyłać po innym porcie i bez problemu działa - powrót na 25 i timeout.
A teraz wracam do pytania, od którego zacząłem:
czy faktycznie np. w łańcuchu INPUT powinno na samej górze być coś takiego?:
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 moj adres zewnetrzny tcp dpt:moj port ftp
DROP all -- 0.0.0.0/0 moj adres zewnetrzny
i tutaj następuje dopiero cała masa ACCEPT'ów
Nie wiem skąd się to bierze, ale w kilku łańcuchach poza wpisem "policy DROP" gdzieś blisko góry (pierwsza, druga, trzecia pozycja) to właśnie takie DROP jak w powyższym przykładzie ... Co więcej jak ACCEPT portu ftp wstawię poleceniem -A (append) czyli poniżej DROP to nie działa ftp (przechodzi autentykację i zawiesza się na listowaniu directory), a jak -I INPUT 1 czyli powyżej DROP to działa.
Mówiąc krótko - nie wiem skąd się bierze ten DROP? Czy to jest dokładnie efekt działania policy DROP?
Edytowany przez ub7777 dnia 17-12-2011 18:34
|
| |
|
|
| shibby |
Dodano 18-12-2011 12:08
|
SysOp
Posty: 17148
Dołączył: 15/01/2009 20:30
|
cos przedobrzyles. Nie ustawiales nigdzie regulki w stylu iptables -A INPUT 1 .....
To nakazuje ustawic regule na pierwszym miejscu w lancuchu. U mnie lancuch input wyglada nastepujaco:
Chain INPUT (policy DROP)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
shlimit tcp -- anywhere anywhere tcp dpt:ssh state NEW
ftplimit tcp -- anywhere anywhere tcp dpt:ftp state NEW
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere limit: avg 1/sec burst 5
ACCEPT udp -- anywhere anywhere udp dpts:33434:33534 limit: avg 5/sec burst 5
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:www
i jak wydac wszystko jest poprawnie. Domyslna polityka jest na DROP.
Pozniej DROP uszkodzonych pakietow, akceptacja nawiazanych polaczen a pozniej to juz wpuszczanie www, ssh i ftp wraz z ograniczeniem ilosci blednych prob polaczen. Wszystko gra i buczy.
Cytat Do serwer Postfix można wydawać komendy przez telnet??
przez telnet to i maila mozesz wyslac ;) Nie robiles nigdy tego? Taki niezabezpieczony serwer smtp moze stac sie latwo kolejnym spam-serwerem.
Router: Unifi Cloud Gateway Max
Switch: Unifi USW-Lite-16-PoE
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 4x 2TB SSD
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
' target='_blank'>Link
