27 Listopada 2024 20:50:33
Nawigacja
· Strona Główna
· Forum

· Tomato by Shibby
· FreshTomato


Wątki na forum
Najnowsze dyskusje
· Nowe routery: UX, UC...
· [MOD] FreshTomato-MI...
· [MOD] FreshTomato-AR...
· DIR868l OFW asus vs ...
· [S] Asus RT-AC56U
· Szukam zaproszenia n...
· Asus RT-AC5300 ,prob...
· archer c6 v3.20
· [S] Nighthawk R7000P...
· [S]Asus RT-AC5300 - ...
· Tanie N100 na promce...
· net z telefonu wifi+...
· Tomato - bugi/proble...
· HUAWEI z światłowodem
· Asus TUF-AX3000_V2 p...
· rt-ax88upro częste ...
· [Howto] Xpenology na...
· Jaki router pod Open...
· Ruter z tomato
· Czy to jeszcze NAS?
Najpopularniejsze obecnie wątki
· [MOD] FreshTomato... [908]
· [MOD] FreshTomato... [414]
· DIR868l OFW asus ... [11]
· Nowe routery: UX,... [3]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
36% [151 głosów]

Broadcom ARM
Broadcom ARM
52% [219 głosów]

Atheros
Atheros
5% [22 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [3 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [5 głosów]

Żaden z powyższych
Żaden z powyższych
4% [15 głosów]

Ogółem głosów: 419
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38
Twoje IP
3.129.39.85
Zobacz wątek
OpenLinksys » :: OPROGRAMOWANIE :: » Tomato - firmware
 Drukuj wątek
Jak skutecznie zmienić wbudowaną konfiguracje firewall / iptables
ub7777
Witam,

mam zainstalowane Tomato wraz z OpenWRT. Zauważyłem, że druga reguła w łańcuchu INPUT do DROP wszystkiego co przychodzi na mój router z zewnątrz. Jest to zawsze DRUGA reguła - i nie widzę miejsca gdzie ona jest wpisana.

W /etc/iptables jest oczywiście konfiguracja i to właśnie nią chciałbym zmienić. Jak to zrobić skutecznie, bo nie wiem gdzie jest źródło tego pliku, z którego jest on tworzony.

Dla wyjaśnienia wpisywanie reguł poprzez www na stronce scripts - firewall, to nie jest rozwiązanie, które by mnie satysfakcjonowało Smile
 
hermes-80
Jest niemożliwością zainstalowanie Tomato wraz z OpenWRT na jednym routerze Wink.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
 
ub7777
Masz zupełną rację - OPTWARE miałem na myśli Smile - ale to raczej nie ma znaczenia. Znaczeniem jest czy są w Tomato wbudowane wstępnie reguły ipconfig (a na pewno są bo widać je w pliku, o którym za chwilę) i gdzie zmienić na stałe to co widać w /etc/iptables? Smile

W szczególności interesuje mnie łańcuch INPUT, który zawsze u mnie na drugim miejscu ma DROP, a ja chciałbym mieć jakąś default POLICY a od niej wyjątki np. wpuszczenie ruchu SMPT po porcie 25 na wewnętrzny serwer pocztowy. Tych wyjątków mam całkiem sporo Wink, więc DROP na drugiej pozycji burzy mi koncepcję Wink
 
hermes-80
Jako, że wszystkie pliki w Tomato leżą w pamięci Flash trzeba użyć polecenia: setfile2nvram
Zerknij na użycie tej komendy w tym tutku: http://openlinksys.info/forum/viewthr...post_89585
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
 
shibby
/etc to symlink do /tmp/etc a wiec nie lezy on we flashu a wszystkie pliki genetowane sa w locie na podstawie canych z nvram.

DROP to domyslna polityka lancucha INPUT i nie da sie jej zmienic bez modyfikacji zrodel tomato. Po co zreszta chcesz ja zmieniac? To jest poprawna zasada bezpieczenstwa: odrzuc wszystko a wpusc tylko wybrane pakiety. Zla polityka jest zezwalac na wszystko co sie rusza! Przemysl to jeszcze raz.
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
 
hermes-80

Cytat

/etc to symlink do /tmp/etc a wiec nie lezy on we flashu a wszystkie pliki genetowane sa w locie na podstawie canych z nvram.
Mój błąd.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
 
ub7777
Dzięki za wskazówki.

Nie chce jej usuwać - moje wątpliwości biorą się z tego że jest to druga instrukcja łańcucha INPUT, w pierwszej mam tzw. dynamic firewall na dodatkowo utworzonej tabeli. Z tego powodu wydaje mi się, że skoro już w drugiej linijce dropuję wszystko, to nie przechodzą przez firewall pakiety, które chciałbym przepuścić ...

Ale może się mylę, bo iptables napawa mnie pewnym obrzydzeniem Wink związanym z brakiem czasu na jego dogłębne zrozumienie ...

Teraz widzę, że mieliście rację - to nie był problem z tym DROP już w drugiej linii łańcucha INPUT - swoją drogą dlaczego ten wpis jest akurat w drugiej ...???

Problemem jest - wpuszczenie ruchu SMTP do serwera Postfix i tutaj albo nie mam jak sprawdzić (używam z zewnątrz komendy "telnet ipTomato 25", a na Tomato mam forwarding z 25 ipTomato na 25 Postfixa) albo to nie chce mi działać.

Z wewnątrz sieci "telnet ipPostfix 25" działa bez problemu.
Jak to ugryźć i gdzie robię błąd w rozumowaniu???
Edytowany przez ub7777 dnia 16-12-2011 17:54
 
shibby
Skoro postfix lezy na serwerze wewnatrz sieci to lancuch input cie nie interesuje, bo to lapie sie przeciez w lancuch forward. Stosujesz tylko port forwarding i nic wiecej dzialac z firewallem nie musisz.
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
 
ub7777
Od tego zacząłem, ale nie pomogło. Przepraszam za drugi wątek, ale sądziłem że ten zasadniczo dotyczy czegoś innego ...
Jak wykonuję test: telnet port 25 z routera na stację adresowaną adresem wewnętrznym to wszystko działa.

Natomiast telnet na port 25 z routera na stację adresowaną adresem zewnętrznym routera już nie przechodzi.

Niestety nie mam dostępu do shella bezpośrednio u ISP.
 
hermes-80
Pokaż zakładkę z forwardingu portów oraz polecenie z konsoli: iptables -L
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
 
ub7777

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
DROP       all  --  0.0.0.0/0            0.0.0.0/0           state INVALID
TCPMSS     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 TCPMSS clamp to PMTU
restrict   all  --  0.0.0.0/0            0.0.0.0/0
monitor    all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
wanin      all  --  0.0.0.0/0            0.0.0.0/0
wanout     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ub7777 załączono następujące plik:
Nie masz uprawnień, by zobaczyć załączniki w tym wątku.

Edytowany przez ub7777 dnia 17-12-2011 16:17
 
shibby
a pisałem ci przeciez

Cytat

ale pamiętaj!!!! port 25 w polsce jest zablokowany przez większość operatorów.


wystarczy zresztą wujka Google zapytać o "port 25" i sam podpowiada frazę "zablokowany"
http://www.benchmark.pl/aktualnosci/TP_S.A._blokuje_port_25._Wojna_spamerom_wypowiedziana.-24709.html

Telekomunikacja Polska udostępnia do tego celu dwa porty tj. 587 oraz 465, na których gwarantuje poprawne działanie poczty.

i tak jak już pisałem w drugim wątku

Cytat

Nowym, alternatywnym portem dla smtp jest 587. Natomiast port 465 to SSL dla smtp.

Edytowany przez shibby dnia 17-12-2011 16:20
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
 
ub7777
Przed chwila przebadałem swój adres przez nmap-online http://nmap-online.com/ i ten skaner twierdzi, że

Not shown: 4997 filtered ports
PORT STATE SERVICE
25/tcp open smtp
...

Więc teraz to mam tzw rozdwojenie jaźni ... Niby otwarty, ale gdy go potraktować telnetem na 25 to odbija na timeout ...
Edytowany przez ub7777 dnia 17-12-2011 16:21
 
hermes-80
To co ważne to: Chain wanin (1 references)
Poza tym jeśli port w sieci wewnętrznej = portowi widzianemu na routerze to nie wpisuje się nic w pole int port.
Otwarcie portu podczas działającej na nim usłudze zbadaj za pomocą: http://www.t1shopper.com/tools/port-s...port-scan/ poza tym upewnij się, ze firewall na PC ci nie blokuje portu.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
 
ub7777
Wanin mam taki:


Chain wanin (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  0.0.0.0/0            10.20.20.230        tcp dpt:25
....
....


Firewall nie blokuje, skoro z routera telnet na tenadreswenetrzny i port 25 przechodzi ...
Pakiety IMO gdzies giną na routerze.

Z tego podanego przez Ciebie skanera, tez wynika, że port jest otwarty na routerze:


Scanning ports on ......

............ is responding on port 25 (smtp).


Otwarty tylko nie przepuszcza dalej - takie mam szczelne iptables ;-)
Edytowany przez ub7777 dnia 17-12-2011 16:31
 
hermes-80
Nie rozumiem jak ty telnetem traktujesz ten port ?? Do serwer Postfix można wydawać komendy przez telnet??
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
 
ub7777
Na to wychodzi, że tak :-) Zresztą telnet można zapodać na porty http i wiele się dowiedzieć - próbowałeś ? ;-)

Nie wiem tylko jak to jest z telnetem przez takie Tomato ....

Ale dla przykładu telnet z zewnatrz na port http na tej samej stacji co Postfix, oczywiście działa bez zarzutu - tam jest Apache ze Squirrelem.

A na boku i poza tematem, to czy faktycznie np. w łańcuchu INPUT powiina na samej górze być coś takiego?:



Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  0.0.0.0/0            moj adres zewnetrzny     tcp dpt:moj port ftp
DROP       all  --  0.0.0.0/0            moj adres zewnetrzny
i tutaj następuje dopiero cała masa ACCEPT'ów



Nie wiem skąd się to bierze, ale w kilku łańcuchach poza "policy DROP" gdzieś blisko góry (pierwsza, druga, trzecia pozycja) to właśnie takie DROP jak w powyższym przykładzie ...
Edytowany przez ub7777 dnia 17-12-2011 16:43
 
hermes-80
Tak jak Shibby napisał - input odnosi się do samego routera a forward odnosi się do sieci wewnętrznej.

Nie znam tego serwera i tej metody, którą chcesz coś uzyskać więc nie wiem o co chodzi bo przekierowanie portów poprawnie działa na routerze skoro zgłasza się otwarty port.
===============================================================
Netgear WNR3500L v1
Podziękowania dla administracji Openlinksys.info!
 
ub7777
Otóż to :-) Każdy inny port mi się otwiera i jest dostępny, a 25 zachowuje się inaczej. Z lektury wynikałoby (ci, którzy piszą o systemach pocztowych za iptables na linuxach), że wymaga się badania stanu - ESTABLISHED itd. Jak będę miał pod ręką to dopiszę przykład.


Może to jest tak, że badanie stanu otwarty przechodzi i skaner stwierdza taki stan, ale już nawiązanie komunikacji na porcie 25 jest wycinane przez operatorów ...

Połączony z 17 grudzień 2011 18:26:25:
Shibby podziękowania - miałeś rację :)

Jest tak jak napisał Shibby - port 25 nie do użytku i tak jak napisałem we wcześniejszym poście "badanie stanu przez skaner stwierdza otwarty port, ale już nawiązanie komunikacji na porcie 25 jest wycinane przez operatorów ..."

Wystarczy przesyłać po innym porcie i bez problemu działa - powrót na 25 i timeout.


A teraz wracam do pytania, od którego zacząłem:

czy faktycznie np. w łańcuchu INPUT powinno na samej górze być coś takiego?:



Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  0.0.0.0/0            moj adres zewnetrzny     tcp dpt:moj port ftp
DROP       all  --  0.0.0.0/0            moj adres zewnetrzny
i tutaj następuje dopiero cała masa ACCEPT'ów



Nie wiem skąd się to bierze, ale w kilku łańcuchach poza wpisem "policy DROP" gdzieś blisko góry (pierwsza, druga, trzecia pozycja) to właśnie takie DROP jak w powyższym przykładzie ... Co więcej jak ACCEPT portu ftp wstawię poleceniem -A (append) czyli poniżej DROP to nie działa ftp (przechodzi autentykację i zawiesza się na listowaniu directory), a jak -I INPUT 1 czyli powyżej DROP to działa.

Mówiąc krótko - nie wiem skąd się bierze ten DROP? Czy to jest dokładnie efekt działania policy DROP?
Edytowany przez ub7777 dnia 17-12-2011 18:34
 
shibby
cos przedobrzyles. Nie ustawiales nigdzie regulki w stylu iptables -A INPUT 1 .....

To nakazuje ustawic regule na pierwszym miejscu w lancuchu. U mnie lancuch input wyglada nastepujaco:


Chain INPUT (policy DROP) 
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere            state INVALID 
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
shlimit    tcp  --  anywhere             anywhere            tcp dpt:ssh state NEW 
ftplimit   tcp  --  anywhere             anywhere            tcp dpt:ftp state NEW 
ACCEPT     all  --  anywhere             anywhere             
ACCEPT     all  --  anywhere             anywhere             
ACCEPT     icmp --  anywhere             anywhere            limit: avg 1/sec burst 5 
ACCEPT     udp  --  anywhere             anywhere            udp dpts:33434:33534 limit: avg 5/sec burst 5
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp 
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www 


i jak wydac wszystko jest poprawnie. Domyslna polityka jest na DROP.
Pozniej DROP uszkodzonych pakietow, akceptacja nawiazanych polaczen a pozniej to juz wpuszczanie www, ssh i ftp wraz z ograniczeniem ilosci blednych prob polaczen. Wszystko gra i buczy.

Cytat

Do serwer Postfix można wydawać komendy przez telnet??


przez telnet to i maila mozesz wyslac ;) Nie robiles nigdy tego? Taki niezabezpieczony serwer smtp moze stac sie latwo kolejnym spam-serwerem.
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
 
Przejdź do forum
Zaloguj
Wprowadź adres e-mail lub nazwę użytkownika

Hasło



Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?
Aktualnie online
· Gości online: 73

· Użytkowników online: 0

· Łącznie użytkowników: 24,115
· Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.

Maniek91PL
06-11-2024 22:37
dzięki !Grin

maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia

Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa

overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.

maxikaaz
04-10-2024 09:38
@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.

overflow2
30-09-2024 20:53
Jaki aktualnie najtańszy router do tomato do openvpn?

maxikaaz
27-07-2024 15:07
@servee - na początek router do rozebrania i obejrzenia, ciężko wróżyć tak tylko po objawach

maxikaaz
27-07-2024 14:55
@servee - cały kontroler nie pada tak sobie z powodu "zbiegu okoliczności",
więc prawdopodobnie gdzieś przepięcie.

servee
25-07-2024 13:33
@maxikaaz: działało, aż pewnego pięknego dnia przestało działać. W tym dniu była też burza, ale to raczej zbieg okoliczności.

maxikaaz
25-07-2024 11:38
@servee - o ile problem jest w obrębie samych wyjść (dławiki, warystory), to naprawialne, ale jeśli w samym SoC - to nienaprawialne ze względu na koszta. A co było przyczyną?

96,009,390 unikalnych wizyt