Tytuł: iptables problem z www i ssh
Wiadomość wysłana przez: pablow w 2014-03-16, 15:24:16
Witam, Poniżej przedstawiłem moją konfigurację iptables i mam dwa następujące problemy: 1) Niestety na serwerze na którym mam iptables nie mogę otwierać co niektórych stron www (np. twojlimit.pl, poczta o2, chomikuj.pl ) a inne strony się otwierają, choć niepełnie. Komputery, które łączą się z tym serwerem otwierają te strony poprawnie. 2) Często przerywa my szybko sesję SSH i stąd moje pytanie czy iptables może być powodem?
Łączę się z netem za pomocą interfejsu ppp0 i komputery łączą się do serwera z sieci 10.0.0.0/24 Druga sieć po kablu to 192.168.1.0/24
Dodam, że Pinguję bez problemu wszystkie adresy internetu z serwera
# Module to track the state of connections modprobe ip_conntrack
# Load the iptables active FTP module, requires ip_conntrack i definiujemy dwa $ #modprobe ip_conntrack_ftp ports=21 2121
# Load iptables NAT module when required modprobe iptable_nat
# Module required for active an FTP server using NAT modprobe ip_nat_ftp
echo 1 > /proc/sys/net/ipv4/ip_forward
case "$1" in start) mojeIP=`ifconfig ppp0 | grep "inet addr\\:" | awk '{ print (substr($2,6)) }'` wan="ppp0" lan="eth0" wifi="wlan0"
########################################################## GŁÓWNA CZĘŚĆ #####################################################################################
# Jeżeli nasz komputer ma udostępniać Internet w sieci wewnętrznej to dodajemyregółkę uruchamiającą przekazywanie pakietów i tzw. maskaradę, czyli maskowanie$
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT
#################################################### Reguły początkowe ####################################################################################
# Ustawiamy domyślną politykę dla poszczególnych łańcuchów na odrzucającą
iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #################################################### Ochrona przed atakami ################################################################################# # Ochrona przed atakiem typu Smurf
############################################## Pingowanie i flagi ###########################################################################################$
#iptables -A INPUT --protocol tcp --tcp-flags ALL SYN,ACK -j DROP # wyłącza dostęp do serwisów iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
################################ Sieć lokalna ################################################################################################
################################ Odblokowanie dostępu do serwerów DNS na portach 53 #######################################3
# Odblokowujemy dostęp do DNS dla komputerów w sieci (dla przykładu DNS TEPSY i Netii) #dla karty eth0 iptables -A FORWARD -p icmp -s 192.168.1.0/24 -d 194.204.159.1 -j ACCEPT iptables -A FORWARD -p icmp -s 194.204.159.1 -d 192.168.1.0/24 -j ACCEPT
Tytuł: iptables problem z www i ssh
Wiadomość wysłana przez: roobal w 2014-03-18, 23:20:53
Wywal ten skrypt, bo masz w nim błąd już na samym początku, ustwiasz regułę dla loopback i maskaradę, a potem czyścisz reguły i ustawiasz politykę. Najpierw czyścisz reguły, potem ustawiasz politykę i dopiero potem ustawiasz reguły.
Nie wspomnę już, że większość z tych rzeczy, które masz w skrypcie zalatwisz w sysctl.
Tytuł: iptables problem z www i ssh
Wiadomość wysłana przez: pablow w 2014-03-19, 20:51:42
Hej, Niestety to nic nie dało :( Problem taki sam nadal istnieje. Podkreślam jeszcze raz, że komputery łączące się z serwerem otwierają wszystkie strony. Serwer wszystko pinguje, ale nie otwiera niektórych stron :/ Czy wiecie co może być przyczyną?
Tytuł: iptables problem z www i ssh
Wiadomość wysłana przez: roobal w 2014-03-20, 00:07:22
Przy tej polityce przede wszystkim brakuje Ci reguły inicjującej połączenie wychodzące i utrzymanie połączenia (jedna reguła).