Cześć.
Mam problem z iptables. Aby go rozwiązać kupiłem nawet książkę "Linux bezpieczeństwo receptury". Po przeczytaniu książki niewiele się wyjaśniło, wręcz przeciwnie, ale do rzeczy.
Brama (192.168.10.1) to Asus RTN16, soft 1.28EN. W sieci komputery PC i jeden szczególny- niech będzie, że to serwer(192.168.10.10). Serwer ma mieć zablokowany internet oprócz kilku hostów oraz usługi TeamViewer. Ale skupmy się na rzeczy najprostrzej. Czyli chcę zablokować wszystko oprócz strony openlinksys.info(185.5.98.140).
Tomato v1.28.0000 MIPSR2-123 K26 USB AIO
root@unknown:/tmp/home/root# iptables -n -v -L FORWARD
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- ppp+ * 0.0.0.0/0 0.0.0.0/0
1693 1477K all -- * * 0.0.0.0/0 0.0.0.0/0 account: network/netmask: 192.168.10.0/255.255.255.0 name: lan
0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
2 120 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
662 46977 restrict all -- * vlan2 0.0.0.0/0 0.0.0.0/0
662 46977 monitor all -- * vlan2 0.0.0.0/0 0.0.0.0/0
1692 1477K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 wanin all -- vlan2 * 0.0.0.0/0 0.0.0.0/0
1 60 wanout all -- * vlan2 0.0.0.0/0 0.0.0.0/0
1 60 logaccept all -- br0 * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- ppp+ * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * ppp+ 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 192.168.10.10 0.0.0.0/0
0 0 ACCEPT all -- * * 192.168.10.10 185.5.98.140
Moja regułka nie skutkuje, to znaczy działają wszystkie strony bez ograniczeń. Myślę, że ona kłóci się z regułką numer 2 lub 8.
Shibby pisał, że tomato w łańcuchu FORWARD ma standardowo DROP https://openlinksys.info/forum/viewthread.php?thread_id=7825
Chciałem zmienić domyślną politykę, ale nie udało mi się.
Jak sobie z tym poradzić?
PS. Na komputerze wszystkie moje regułki działają poprawnie, korzystam oczywiście z łańcucha OUTPUT
PS2. Czy regułki firewalla można przeładować inaczej niż restartując router?
Edytowany przez janpod dnia 28-11-2014 00:54
system firewall restart wcześniej dając iptables-save. Ale przy restartowaniu routera niestety wraca wszystko to domyślnych ustawień. Czekam na informację jak można permanentnie zmienić reguły.
Dzięki. Robię to jednak inaczej- loguję się po ssh, pisze skrypt w bashu i po zmianach odpalam go, i to działa.
Mój post nie wbudził zainteresowania, ale postanowiłem, że napiszę jak rozwiązałem problem, bo mi się udało. Może komuś przyda się w przyszłości.
1. Polityka dotycząca łańcucha FORWARD w Tomato ma wartość ACCEPT. Musimy to zmienić. Nasz skrypt czy to w bashu czy
Admin-Scripts-Firewall musi zresetować istniejące ustawienia na samym początku:
2. W iptables jeśli jest wiele reguł (a zwykle tak jest) to pakiet analizowany jest do pierwszej pasującej reguły (jeśli ta pierwsza pasująca reguła ma wartośc ACCEPT to pakiet przejdzie, mimo, że w kolejnej mamy DROP)
W moim przypadku zanim pakiet został zablokowany (DROP) był przepuszczony. Dlatego wydawało mi się, że moje polecenia nie działają. Składnia była właściwa, tylko kolejność już nie.
3. W tym przypadku- kiedy chcemy zablokować wszystko opróz dwóch hostów najpierw zezwalamy na określone połączenia w łańcuchu forward:
@cross
Jak już pisałem Tomato ma system plików read-only.
Twoje zmiany zapisują się w tempie i po resecie routera się kasują.
Wpisanie skryptu w Administration / Scripts / Firewall spowoduje że zostaną na stałe w pamięci routera.
· Łącznie użytkowników: 24,115 · Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.
Maniek91PL
06-11-2024 22:37
dzięki !
maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia
Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa
overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.
maxikaaz
04-10-2024 09:38
@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.
overflow2
30-09-2024 20:53
Jaki aktualnie najtańszy router do tomato do openvpn?
maxikaaz
27-07-2024 15:07
@servee - na początek router do rozebrania i obejrzenia, ciężko wróżyć tak tylko po objawach
maxikaaz
27-07-2024 14:55
@servee - cały kontroler nie pada tak sobie z powodu "zbiegu okoliczności", więc prawdopodobnie gdzieś przepięcie.
servee
25-07-2024 13:33
@maxikaaz: działało, aż pewnego pięknego dnia przestało działać. W tym dniu była też burza, ale to raczej zbieg okoliczności.
maxikaaz
25-07-2024 11:38
@servee - o ile problem jest w obrębie samych wyjść (dławiki, warystory), to naprawialne, ale jeśli w samym SoC - to nienaprawialne ze względu na koszta. A co było przyczyną?
' target='_blank'>Link
