Autor Wątek: linux, proble z portami, które przepuszczają pocztę. (Przeczytany 2849 razy)

« **dnia:** 2008-02-21, 18:18:01 »

Mam problem, jeżeli mi pomożecie będę wdzięczny, przesyłam iptables z linuxa. Router nie chce mi przpuścić poczty w outlook'u.

Cytuj

# Uruchomienie przekazywania pakietow
echo "1" > /proc/sys/net/ipv4/ip_forward
modprobe ip_nat_ftp

#### *********** PARAMETRYZACJA *********** ####

echo "Ustawiam parametry dla IPTABLES"

# interfejsy
INTER="eth1"
SIEC10="eth0"
SIECPROXY="eth2"

# ip serwera od strony lanu bez ostatniej cyfry i kropki (prefix)
LAN=10.0.1

# ip serwera od strony lanu
LAN10="10.0.1.0/24"
LANPROXY="10.0.2.0/24"
IPZEWN="83.14.253.106"
IPLAN10="10.0.1.211"
IPLANPROXY="10.0.2.1"

# porty otwarte dla LAN10
TCP_OPEN_15="20,21,22,23,25,37,42,53,70,79,80,81,88,109,110"
TCP_OPEN_30="113,115,119,143,194,443,465,993,995,1550,6664,6665,6666,6667,6668"
TCP_OPEN_31="143,5579,27960,100,17001,27961,27962,17000"
TCP_OPEN_45="8074,64444,5579,5000,5020,5001,5002,5003,5004,5005,5006,5007,5008,5009,5010"
TCP_OPEN_60="5011,5012,5013,5014,5015,5016,5017,5018,5019,14000,14020,14001,14002,14003,14004"
TCP_OPEN_75="14005,14006,14007,14008,14009,14010,14011,14012,14013,14014,14015,14016,14017,14018,14019"
TCP_OPEN_90="17001,6601,27960,29960,412,411,1412,2240,2234,1719,1720"
UDP_OPEN_15="37,42,53,69,412,411,1412,16384,16385,23,443"
UDP_OPEN_30="123,5579,29960,27960,17001,27961,27962,17000"

#### ******** REGULY INICJUJACE ******* ####

echo "Ustawiam reguly dla IPTABLES"

## CZYSZCZENIE TABLICY

iptables -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
iptables -F -t nat
iptables -F -t mangle

## ZABLOKOWANIE WSZYSTKIEGO

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# wylaczenie odpowiedzi na pingi dla interfejsu internetowego
iptables -A INPUT -p icmp -i $INTER -j DROP
iptables -A OUTPUT -p icmp -o $INTER -j DROP

## TWORZENIE DODATKOWYCH LANCUCHOW
echo "Tworzenie lancuchow"
iptables -N bad_tcp_packets
iptables -N allowed
iptables -N lan_inet
iptables -N sciaganie

### >>>>>>>>> KONFIGURACJA DODATKOWYCH LANCUCGOW <<<<<<<<<<< ##
echo "Konfiguracja lancuchow"

iptables -A bad_tcp_packets -p TCP --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
iptables -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

#Lancuch allowed
iptables -A allowed -p tcp --tcp-flags ALL SYN -m state --state NEW -j ACCEPT
iptables -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A allowed -p TCP -j DROP

# Lancuch lan_inet

iptables -A lan_inet -p TCP -i $SIEC10 -m multiport --dport $TCP_OPEN_15 -j allowed
iptables -A lan_inet -p TCP -i $SIEC10 -m multiport --dport $TCP_OPEN_30 -j allowed
iptables -A lan_inet -p TCP -i $SIEC10 -m multiport --dport $TCP_OPEN_31 -j allowed
iptables -A lan_inet -p TCP -i $SIEC10 -m multiport --dport $TCP_OPEN_45 -j allowed
iptables -A lan_inet -p TCP -i $SIEC10 -m multiport --dport $TCP_OPEN_60 -j allowed
iptables -A lan_inet -p TCP -i $SIEC10 -m multiport --dport $TCP_OPEN_75 -j allowed
iptables -A lan_inet -p TCP -i $SIEC10 -m multiport --dport $TCP_OPEN_90 -j allowed
iptables -A lan_inet -p UDP -i $SIEC10 -m multiport --dport $UDP_OPEN_15 -j allowed
iptables -A lan_inet -p UDP -i $SIEC10 -m multiport --dport $UDP_OPEN_30 -j allowed

# Lancuch sciaganie

# iptables -A sciaganie -m ipp2p --kazaa -j DROP
iptables -A sciaganie -i $SIEC10 -o $INTER -j lan_inet
iptables -A sciaganie -p tcp -i $SIEC10 --dport 20:1023 -j allowed
iptables -A sciaganie -p tcp -i $SIEC10 --dport 1400:65535 -j allowed
# iptables -A sciaganie -p tcp -i $SIEC10 --dport 5000:6000 -j allowed
iptables -A sciaganie -p tcp -i $SIEC10 --dport 411:412 -j allowed
iptables -A sciaganie -p udp -i $SIEC10 --dport 411:412 -j allowed
iptables -A sciaganie -p udp -i $SIEC10 --dport 600:1023 -j allowed
iptables -A sciaganie -p udp -i $SIEC10 --dport 1400:65535 -j allowed

#### ********** DEFINICJE REGUL ********** ####

## >>>>>>> strategia lancucha INPUT <<<<<<<<<<< ##

# zezwolenie na wymiane pakietow miedzy dynamicznie przydzielonymi portami
echo "INPUT 1"
# iptables -A INPUT -p ALL -d $IPZEWN -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -A INPUT -p ALL -d $LAN10 -m state --state ESTABLISHED,RELATED -j ACCEPT

# zezwolenia na INPUT z SIEC10
echo "INPUT 2"
iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -i $SIEC10 -p icmp -s any/0 --icmp-type 0 -j ACCEPT
# iptables -A INPUT -i $SIEC10 -p icmp -s any/0 --icmp-type 4 -j ACCEPT
# iptables -A INPUT -i $SIEC10 -p icmp -s any/0 --icmp-type 12 -j ACCEPT
# iptables -A INPUT -i $SIEC10 -p icmp -s any/0 --icmp-type 3 -j ACCEPT
# iptables -A INPUT -i $SIEC10 -p tcp -m multiport --dport $TCP_OPEN -j ACCEPT
# iptables -A INPUT -i $SIEC10 -p udp -m multiport --dport $UDP_OPEN -j ACCEPT

# ruch na PROXY

echo "ustawiam PROXY"
iptables -A INPUT -s $LANPROXY -d 0/0 -j ACCEPT
iptables -A INPUT -s 0/0 -d $LANPROXY -j ACCEPT

# zezwolenie na ssh dla wybranych adresow
echo " ustawiam SSH"
iptables -A INPUT -p tcp -s 10.0.1.200 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 195.117.137.70 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 80.50.9.118 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 83.16.251.74 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -s 10.0.1.202 --dport 22 -j ACCEPT

echo "SCIAGANIE"
## >>>>>>>>>>> DOZWOLENIE NIEKTORYM NA SCIAGANIE <<<<<<<<<<<<<<<##
##################################################################

# iptables -t filter -A FORWARD -s 10.0.1.177 -d 0/0 -j sciaganie
# iptables -t filter -A FORWARD -d 10.0.1.177 -s 0/0 -j sciaganie
# iptables -t filter -A FORWARD -s 10.0.1.183 -d 0/0 -j sciaganie
# iptables -t filter -A FORWARD -d 10.0.1.183 -s 0/0 -j sciaganie
# iptables -t filter -A FORWARD -s 10.0.1.128 -d 0/0 -j sciaganie
# iptables -t filter -A FORWARD -d 10.0.1.128 -s 0/0 -j sciaganie
# iptables -t filter -A FORWARD -s 10.0.1.180 -d 0/0 -j sciaganie
# iptables -t filter -A FORWARD -d 10.0.1.180 -s 0/0 -j sciaganie
# iptables -t filter -A FORWARD -s 10.0.1.171 -d 0/0 -j sciaganie
# iptables -t filter -A FORWARD -d 10.0.1.171 -s 0/0 -j sciaganie
# iptables -t filter -A FORWARD -s 10.0.1.149 -d 0/0 -j sciaganie
# iptables -t filter -A FORWARD -d 10.0.1.149 -s 0/0 -j sciaganie
# iptables -t filter -A FORWARD -s 10.0.1.144 -d 0/0 -j sciaganie
# iptables -t filter -A FORWARD -d 10.0.1.144 -s 0/0 -j sciaganie
# iptables -t filter -A FORWARD -s 10.0.1.191 -d 0/0 -j sciaganie
iptables -t filter -A FORWARD -d 10.0.1.205 -s 0/0 -j sciaganie
iptables -t filter -A FORWARD -s 10.0.1.205 -d 0/0 -j sciaganie
# iptables -t filter -A FORWARD -d 10.0.1.180 -s 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 10.0.1.200 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -d 10.0.1.200 -s 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 10.0.1.119 -d 0/0 -j sciaganie
iptables -t filter -A FORWARD -d 10.0.1.119 -s 0/0 -j sciaganie
iptables -t filter -A FORWARD -s 10.0.1.141 -d 0/0 -j sciaganie
iptables -t filter -A FORWARD -d 10.0.1.141 -s 0/0 -j sciaganie
iptables -t filter -A FORWARD -s 10.0.1.201 -d 0/0 -j sciaganie
iptables -t filter -A FORWARD -d 10.0.1.201 -s 0/0 -j sciaganie
# iptables -t filter -A FORWARD -s 10.0.1.180 -d 0/0 -j ACCEPT

iptables -t filter -A FORWARD -s 0/0 -d 0/0 -j sciaganie
iptables -t filter -A FORWARD -d 0/0 -s 0/0 -j sciaganie

##################################################################

## >>>>>>>>>>> strategia lancucha FORWARD <<<<<<<<<<<<< ##

# udostepnianie polaczenia dla sieci
echo "FORWARD 1"
# iptables -t filter -A FORWARD -s $LAN10 -d 0/0 -j ACCEPT
# iptables -t filter -A FORWARD -s 0/0 -d $LAN10 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d $LANPROXY -j ACCEPT
iptables -t filter -A FORWARD -s $LANPROXY -d 0/0 -j ACCEPT

# otwarcie portow pocztowych
# iptables -t filter -A FORWARD -s $LAN10 -d 0/0 -p tcp --dport 25 -j ACCEPT
# iptables -t filter -A FORWARD -s 0/0 -d $LAN10 -p tcp --dport 110 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -t filter -A FORWARD -p udp --dport 25 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 110 -j ACCEPT
iptables -t filter -A FORWARD -p udp --dport 110 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 995 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 465 -j ACCEPT

# ubicie p2p
# iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP
# iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP
# iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP
# iptables -A FORWARD -m ipp2p --gnu --apple --soul -j DROP
# iptables -A FORWARD -m ipp2p --dc --winmx -j DROP

# akceptowanie portow dozwolonych
echo "FORWARD 2"
iptables -A FORWARD -i $SIEC10 -o $INTER -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $INTER -o $SIEC10 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $SIEC10 -o $INTER -j lan_inet

# zabronienie wymiany miedzy sieciami LAN
echo "FORWARD 3"
iptables -A FORWARD -s $LAN10 -d $LANPROXY -j DROP
iptables -A FORWARD -d $LAN10 -s $LANPROXY -j DROP

# zezwolenie na wymiane pakietow miedzy zaakceptowanymi polaczeniami
# iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

## >>>>>>>>>> strategia lancucha OUTPUT <<<<<<<<<< ##
echo "OUTPUT 3"
# zezwolenie na wymiane pakietow miedzy zaakceptowanymi polaczeniami
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p ALL -s $LAN10 -j ACCEPT
iptables -A OUTPUT -p ALL -s $LANPROXY -j ACCEPT
iptables -A OUTPUT -p ALL -s $IPZEWN -j ACCEPT

## ustawienie maskarady
iptables -t nat -F
iptables -t nat -A POSTROUTING -o $INTER -s $LAN10 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $INTER -s $LANPROXY -d 0/0 -j MASQUERADE

echo "Koniec ustawien firewalla"

########## ********** DEFINICJE LIMITOW ************** ###########

#ilosc polaczen na usera

ILOSC=80

echo " Limity polaczen dla $SIEC10 !!! "

#ilosc ip z sieci od ip nr 2 ( w tym przypadku do ip 199)
ILE=199

#for (( (i=$ILE,IP=2); (i=$i-1); (IP=$IP+1) )) ; do
#iptables -A PREROUTING -t mangle -p tcp -s ${LAN}.${IP} -m connlimit --connlimit-above $ILOSC -i $SIEC10 -j DROP
#done;

echo " Limity polaczen dla $SIEC195 !!! "

#ilosc ip z sieci od ip nr 70 ( w tym przypadku do ip 127)
ILE=127

#for (( (i=$ILE,IP=2); (i=$i-1); (IP=$IP+1) )) ; do
#iptables -A PREROUTING -t mangle -p tcp -s ${LAN2}.${IP} -m connlimit --connlimit-above $ILOSC -i $SIEC195 -j DROP
#done;

echo "Koniec ustawien limitow"

echo " Zakonczylem konfiguracje IPTABLES "

« **Odpowiedź #1 dnia:** 2008-02-21, 21:39:01 »

o kurde, upublicznić swoją konfigurację iptables to jak powiesić na drzwiach od swojego informację "klucz leży pod wycieraczką"... albo coś w tym stylu:P

micu · « **Odpowiedź #2 dnia:** 2008-02-22, 12:09:17 »

Hej,

Upublicznienie konfiguracji nie jest takie groźne, dopóki nie ma podanego IPZEWN . blazej2, jestem pewien, że nikt ze stałych bywalców tego forum nie ma złych zamiarów, ale na wszelki wypadek usuwaj IP przed publikacją. Poza tym konkretny adres nie jest potrzebny do analizy skryptu i możesz podać cokolwiek ;-)

Napisz coś więcej: Konto pocztowe obsługujesz poprzez POP3 ? Działają Ci inne protokoły, takie jak HTTP (bez proxy) ?

Pozdrawiam
Micu

« **Odpowiedź #3 dnia:** 2008-02-22, 15:38:36 »

HTTP bez proxy też nie działa, oczywiście ip, które podał w konfigu, czyli. 10.0.1.200 na tym działa. Czat nie działa oraz poczta w outlook'u.

Aktualności:

Linux.pl »

Nowe posty

Autor Wątek: linux, proble z portami, które przepuszczają pocztę. (Przeczytany 2849 razy)

linux, proble z portami, które przepuszczają pocztę.

linux, proble z portami, które przepuszczają pocztę.

micu

linux, proble z portami, które przepuszczają pocztę.

linux, proble z portami, które przepuszczają pocztę.