Сообщения fallschirm

iptables CentOS AP

Приветствую! Есть сервер, с 2 сетевухами - WAN (eth0) и LAN (eth1). Есть iptables:

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth0 -s 192.168.1.0/24 ! -d 192.168.1.0/24  -j SNAT --to-source 1.2.3.4
COMMIT

*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:lan_ssh - [0:0]
:lan_rules - [0:0]
:icmp_allow - [0:0]
:wan_rules_out - [0:0]
:wan_rules_in - [0:0]
:fwd_rules_out - [0:0]
:fwd_rules_in - [0:0]
:rate_limit - [0:0]
:check-flags - [0:0]

#LAN
-A lan_rules -p tcp --dport 22 -j lan_ssh
-A lan_rules -m state --state NEW -j ACCEPT
-A lan_ssh -s 192.168.1.105 -j ACCEPT
-A lan_ssh -j DROP

#Scan
-A check-flags -p tcp --tcp-flags ALL FIN,URG,PSH -m limit --limit 5/minute -j LOG --log-level alert --log-prefix "NMAP-XMAS:"
-A check-flags -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
-A check-flags -p tcp --tcp-flags ALL ALL -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "XMAS:"
-A check-flags -p tcp --tcp-flags ALL ALL -j DROP
-A check-flags -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "XMAS-PSH:"
-A check-flags -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
-A check-flags -p tcp --tcp-flags ALL NONE -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "NULL_SCAN:"
-A check-flags -p tcp --tcp-flags ALL NONE -j DROP
-A check-flags -p tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 5/minute -j LOG --log-level 5 --log-prefix "SYN/RST:"
-A check-flags -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A check-flags -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 5/minute -j LOG --log-level 5 --log-prefix "SYN/FIN:"
-A check-flags -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

#ICMP traffic
-A icmp_allow -p icmp --icmp-type 4 -j ACCEPT
-A icmp_allow -p icmp --icmp-type 12 -j ACCEPT
-A icmp_allow -p icmp --icmp-type 3 -j ACCEPT
-A icmp_allow -p icmp --icmp-type 11 -j ACCEPT
-A icmp_allow -p icmp --icmp-type 8 -j ACCEPT
-A icmp_allow -p icmp --icmp-type 0 -j ACCEPT
-A icmp_allow -p icmp -j LOG --log-prefix "Bad ICMP traffic:"
-A icmp_allow -p icmp -j DROP

#fwd_rules_out
-A fwd_rules_out -p tcp -m tcp -m multiport --dports 21,53,80,443,465,993,995 -j ACCEPT
-A fwd_rules_out -p udp -m udp -m multiport --dports 53,123 -j ACCEPT
-A fwd_rules_out -j DROP

#fwd_rules_in
-A fwd_rules_in -j DROP

#FTP
-A rate_limit -p tcp --dport 2121 -m limit --limit 3/min --limit-burst 3 -j RETURN
-A rate_limit -j LOG --log-prefix "IN DROP: "
-A rate_limit -j DROP

#WAN
-A wan_rules_in -p tcp -m tcp --dport 2121 -m state --state NEW -j rate_limit
-A wan_rules_in -p tcp -m tcp --dport 2121 -m connlimit ! --connlimit-above 5 -j ACCEPT
-A wan_rules_in -j DROP

-A wan_rules_out -p tcp -m tcp -m multiport --dports 21,53,80,443 -j ACCEPT
-A wan_rules_out -p udp -m udp -m multiport --dports 53,123 -j ACCEPT
-A wan_rules_out -j DROP

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j check-flags
-A INPUT -j icmp_allow
-A INPUT -i eth1 -j lan_rules
-A INPUT -i eth0 -j wan_rules_in

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j check-flags
-A FORWARD -j icmp_allow
-A FORWARD -i eth1 -o eth0 -j fwd_rules_out
-A FORWARD -i eth0 -o eth1 -j fwd_rules_in


-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -j check-flags
-A OUTPUT -j icmp_allow
-A OUTPUT -o eth0 -j wan_rules_out
-A OUTPUT -o eth1 -j ACCEPT
COMMIT

Добавил WiFi-сетевую. Нужно сделать чтобы он работала в режиме АР. Какие нужо внести изменения в iptables? Сама WiFi-сетевая работает, девайсы к серваку коннектятся.

ap, centos, iptables

fallschirm
(04.04.14 22:25:51 MSK)

3 комментария

CentOS Не получается собрать VLC

Приветствую!

Ни как не получается собрать VLC. Делаю так: http://linuxsysconfig.com/2013/04/compile-latest-ffmpeg-and-vlc-on-centos-6/
Осталось совсем немного собрать собственно VLC. На ./configure --prefix=/opt/vlc получаю:

checking for GL... ./configure: line 53513: syntax error near unexpected token `else' ./configure: line 53513: `else'

Как зарешать проблему?

centos, vlc

fallschirm
(28.09.13 10:52:28 MSK)

6 комментариев

Debian 7. Mate. Flash player

Приветствую. Поставил Debian 7, вообще пустой, даже без стандартных утилит. Поставил Mate 1.6... В целом все благополучно, если бы не один косяк - не работает flash player в браузерах. Начинает проигрываться видео (секунды 4) с фризами, потом вылезает мессага «An error occurred, please try again later» Flash player ставил через apt-get install flashplugin-nonfree и просто копированием *.so в папку plugins. Чего не хватает для успеха? :)

debian, mate. flash player

fallschirm
(23.09.13 09:35:37 MSK)

3 комментария

Как изменить System time из скрипта?

Приветствую. Задача такая - нужно откатить System time на некоторое время назад, выполнить некоторые действия, после чего вернуть System time как было. Как все это сделать с правами обычного юзера? Ни как что-то не изменить время...

system time

fallschirm
(26.08.12 18:51:57 MSK)

5 комментариев

Debian Зависания компа при просмотре видео на youtube (и не только)

Приветствую. Комп достаточно часто виснет при просмотре видео на youtube и некоторых других сайтах. Виснет намертво. Выглядит это как баг железа. Т.е. смотришь видео, вдруг видео останавливается, комп виснет и начинается зацикленное воспроизведение звука (то что проигрывалось последние доли секунды перед тем как комп завис). Через секунд 15 комп сам перезагружается. И проблема эта есть только под Debian. Под Win все благополучно. Ядро сам собирал. Сейчас 3.3.6, debian 6.0.5 (но проблема была и до обновления до 6.0.5). Смотрю в Firefox 14.0.1 (опять же, проблема была и в других версиях). Adobe Flash Player 11.0.1.152 В чем может быть косяк?

debian, youtube

fallschirm
(23.07.12 21:40:20 MSK)

8 комментариев

Debian 6. Проблемы со шрифтом на некоторых сайтах.

Приветствую. На некоторый сайтах, например, membrana.ru или http://ru.wikipedia.org неправильно показывается шрифт. Вот пример: http://imageshack.us/photo/my-images/13/screenwij.png Что это за ботва? Где ковырять?

debian, шрифты

fallschirm
(18.05.12 00:25:13 MSK)

18 комментариев

Iptables. Как лучше всего протестить? Чего не хватает?

Приветствую. Есть роутер (CentOS), в нем FTP. Требуется: Пускать в роутер на 22 только с 192.168.1.105 Пускать в роутер из инета на vsftpd (порт нестандартный из-за провайдера). Локалку пускать в инет на TCP:21,53,80,443,465,993,995 UDP:53,123 и на локальные компы (без ограничений) По возможности все лишнее запретить нафиг.

Гляньте, пожалуйста, правила. Знаю, что вечно где-то косячу и что-то пропускаю по невнимательности, поэтому нужна помощь из вне. :) Пока есть что-то типа этого:

 
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth0 -s 192.168.1.0/24 ! -d 192.168.1.0/24  -j SNAT --to-source 11.22.33.44
COMMIT

*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:lan_ssh - [0:0]
:lan_rules - [0:0]
:icmp_allow - [0:0]
:wan_rules_out - [0:0]
:wan_rules_in - [0:0]
:fwd_rules_out - [0:0]
:fwd_rules_in - [0:0]
:rate_limit - [0:0]
:check-flags - [0:0]

#LAN
-A lan_rules -p tcp --dport 22 -j lan_ssh
-A lan_rules -m state --state NEW -j ACCEPT
-A lan_ssh -s 192.168.1.105 -j ACCEPT
-A lan_ssh -j DROP

#Scan
-A check-flags -p tcp --tcp-flags ALL FIN,URG,PSH -m limit --limit 5/minute -j LOG --log-level alert --log-prefix "NMAP-XMAS:"
-A check-flags -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
-A check-flags -p tcp --tcp-flags ALL ALL -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "XMAS:"
-A check-flags -p tcp --tcp-flags ALL ALL -j DROP
-A check-flags -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "XMAS-PSH:"
-A check-flags -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
-A check-flags -p tcp --tcp-flags ALL NONE -m limit --limit 5/minute -j LOG --log-level 1 --log-prefix "NULL_SCAN:"
-A check-flags -p tcp --tcp-flags ALL NONE -j DROP
-A check-flags -p tcp --tcp-flags SYN,RST SYN,RST -m limit --limit 5/minute -j LOG --log-level 5 --log-prefix "SYN/RST:"
-A check-flags -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A check-flags -p tcp --tcp-flags SYN,FIN SYN,FIN -m limit --limit 5/minute -j LOG --log-level 5 --log-prefix "SYN/FIN:"
-A check-flags -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

#ICMP traffic
-A icmp_allow -p icmp --icmp-type 4 -j ACCEPT
-A icmp_allow -p icmp --icmp-type 12 -j ACCEPT
-A icmp_allow -p icmp --icmp-type 3 -j ACCEPT
-A icmp_allow -p icmp --icmp-type 11 -j ACCEPT
-A icmp_allow -p icmp --icmp-type 8 -j ACCEPT
-A icmp_allow -p icmp --icmp-type 0 -j ACCEPT
-A icmp_allow -p icmp -j LOG --log-prefix "Bad ICMP traffic:"
-A icmp_allow -p icmp -j DROP

#fwd_rules_out
-A fwd_rules_out -p tcp -m tcp -m multiport --dports 21,53,80,443,465,993,995 -j ACCEPT
-A fwd_rules_out -p udp -m udp -m multiport --dports 53,123 -j ACCEPT
-A fwd_rules_out -j DROP

#fwd_rules_in
-A fwd_rules_in -j RETURN

#FTP
-A rate_limit -p tcp --dport 2121 -m limit --limit 3/min --limit-burst 3 -j ACCEPT
-A rate_limit -j LOG --log-prefix "IN DROP: "
-A rate_limit -j DROP

#WAN
-A wan_rules_in -p tcp -m tcp --dport 2121 -m state --state NEW -j rate_limit
-A wan_rules_in -p tcp --dport 44000:44049 -m conntrack --ctstate ESTABLISHED,RELATED -m connlimit ! --connlimit-above 5 -j ACCEPT
-A wan_rules_in -j DROP

-A wan_rules_out -p tcp --dport 1024:65365 -j ACCEPT
-A wan_rules_out -p tcp -m tcp -m multiport --dports 21,53,80,443 -j ACCEPT
-A wan_rules_out -p udp -m udp -m multiport --dports 53,123 -j ACCEPT
-A wan_rules_out -j DROP

-A INPUT -j check-flags
-A INPUT -j icmp_allow
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -j lan_rules
-A INPUT -i eth0 -j wan_rules_in

-A FORWARD -j check-flags
-A FORWARD -j icmp_allow
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j fwd_rules_out
-A FORWARD -i eth0 -o eth1 -j fwd_rules_in

-A OUTPUT -j check-flags
-A OUTPUT -j icmp_allow
-A OUTPUT -o eth0 -j wan_rules_out
-A OUTPUT -o eth1 -j ACCEPT

COMMIT

eth0 - wan (11.22.33.44) eth1 - lan (192.168.1.0/24)

Как лучше всего протестировать то что получилось? Чую, не все перекрыто, или наоборот перестарался. Такую тему создавал, но она уже утонула. Но тогда вопрос был немного другой...

iptables

fallschirm
(16.05.12 11:41:35 MSK)

8 комментариев

Iptables, FTP, неадекватный провайдер, нестандартные порты.

Приветствую. Тут проблема небольшая возникла... У провайдера перекрыты многие стандартные порты на вход, в том числе и 20:25 Как при таком раскладе сделать нормальный доступ к FTP? То что будет ftp://IP:port не страшно. Пробовал Вместо 21 порта юзать левый, например 33, но что-то ничего не работает. Клиент логинется, но чего-то не хватает... на FTP не зайти. ip_conntrack_ftp работает при таком раскладе? FTP стоит в самом роутере (под CentOS). В Iptables сейчас:

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth0 -s 192.168.1.0/24 ! -d 192.168.1.0/24  -j SNAT --to-source 11.22.33.44
COMMIT

*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:localnet_ssh - [0:0]
:localnet_rules - [0:0]
:wan_icmp - [0:0]
:wan_rules - [0:0]
:fwd_rules_out - [0:0]
:fwd_rules_in - [0:0]
:rate_limit - [0:0]

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -j localnet_rules
-A INPUT -i eth0 -j wan_rules

-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -i eth1 -o eth0  -j fwd_rules_out
-A FORWARD -i eth0 -o eth1  -j fwd_rules_in

-A fwd_rules_out -p tcp -m tcp -m multiport --dports 21,53,80,443,465,993,995 -j ACCEPT
-A fwd_rules_out -p udp -m udp -m multiport --dports 53,123 -j ACCEPT
-A fwd_rules_out -j DROP

-A fwd_rules_in -j RETURN

-A localnet_rules -p tcp --dport 22 -j localnet_ssh
-A localnet_rules -m state --state NEW -j ACCEPT

-A localnet_ssh -s 192.168.1.105 -j ACCEPT
-A localnet_ssh -j DROP

-A wan_rules -p tcp -m tcp --dport 33 -m state --state NEW,ESTABLISHED -j rate_limit
-A wan_rules -p tcp -m tcp --dport 44000:44100 -m state --state ESTABLISHED -j ACCEPT
-A wan_rules -p icmp -j wan_icmp

-A rate_limit -p tcp --dport 33 -m limit --limit 3/min --limit-burst 3 -j ACCEPT
-A rate_limit -p icmp --icmp-type echo-request -m limit --limit 3/sec -j ACCEPT
-A rate_limit -j LOG --log-prefix "IN DROP: "
-A rate_limit -j DROP

-A wan_icmp -p icmp --icmp-type address-mask-request -j DROP
-A wan_icmp -p icmp --icmp-type timestamp-request -j DROP
-A wan_icmp -p icmp --icmp-type echo-request -j rate_limit
-A wan_icmp --fragment -j DROP
-A wan_icmp -j ACCEPT
COMMIT

eth0 - wan (11.22.33.44) eth1 - lan (192.168.1.0/24)

Что в такой ситуации делать?

ftp, iptables

fallschirm
(11.05.12 19:43:19 MSK)

26 комментариев

CentOS-router. iptables - нужна помощь.

Приветствую.

Помогите, пожалуйста, разобраться с iptables.

Дано:

router - eth0 (wan), eth1 (lan)

lan - 192.168.1.0/24

wan IP 11.22.33.44

В роутере vsftpd

Требуется: Пускать в роутер на 22 только с 192.168.1.105 Пускать в роутер из инета на vsftpd. Локалку пускать в инет на TCP:21,53,80,443,465,993 UDP:53,123 и на локальные компы (без ограничений) По возможности все лишнее запретить нафиг.

Из разных источников надергал что-то вот такое:

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 192.168.1.0/24 -d ! 192.168.1.0/24 -j SNAT --to-source 11.22.33.44
COMMIT

*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:eth0-in - [0:0]
:eth0-out - [0:0]
:tcprules - [0:0]
-A INPUT -i eth0 -j eth0-in
-A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -d 192.168.1.254 -i eth1 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -d 11.22.33.44 -i eth1 -j ACCEPT
-A INPUT -d 11.22.33.44 -i eth0 -p tcp -m tcp -m multiport --dports 21,53,80,443,465,993 -j ACCEPT
-A INPUT -d 11.22.33.44 -i eth0 -p udp -m udp -m multiport --dports 53,123 -j ACCEPT
-A INPUT -s 192.168.1.105 -p tcp --dport 22 -j ACCEPT
-A INPUT -j tcprules
-A FORWARD -j tcprules

-A OUTPUT -o eth0 -j eth0-out
-A eth0-in -j RETURN
-A eth0-out -j RETURN

-A FORWARD -d 0.0.0.0/8 -j DROP
-A FORWARD -d 127.0.0.0/8 -j DROP
-A FORWARD -d 255.255.255.255 -j DROP
-A FORWARD -d 224.0.0.0/4 -j DROP
-A FORWARD -d 240.0.0.0/5 -j DROP
-A FORWARD -d 239.255.255.0/24 -j DROP
-A FORWARD -p tcp --tcp-flags ALL ALL -j DROP
-A FORWARD -p tcp --tcp-flags ALL NONE -j DROP
-A FORWARD -p icmp -m icmp --icmp-type address-mask-request -j DROP
-A FORWARD -p icmp -m icmp --icmp-type timestamp-request -j DROP
-A FORWARD -p icmp --fragment -j DROP

-A tcprules -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A tcprules -i ! eth0 -m state --state NEW -j ACCEPT
-A tcprules -i eth0 -m state --state INVALID,NEW -j DROP
-A tcprules -i eth0 -j REJECT --reject-with icmp-host-unreachable
COMMIT

Часть того что нужно, пока не делал. А то что сделал, работает не так как нужно. Например, не работает ограничение с 22 портом и 192.168.1.105 Что точно работает, так это выход из локалки в инет. Честно говоря, я уже плохо понимаю что в итоге вышло. Потому как то что я делал сам с нуля (так как мне казалось понятным) не работало. Можете подсказать по тому что получилось? Или может кто покажет удачный вариант того, что мне нужно. Задача вроде бы примитивная. Сначала хочу сделать рабочий минимум, а потом уже допилить. Почему везде дефолтная политика ACCEPT? По идее же надо все перекрыть, а потом то что нужно открыть...

Первый раз ковыряю iptables, так что... :)

centos, ftp, iptables, роутер

fallschirm
(08.05.12 11:05:50 MSK)

15 комментариев

CentOS. Win7 намертво виснет при попытке записи файла.

Приветствую. Изловил проблему - есть сервак (CentOS 5.8, Samba), все работает отлично, все (почти все) компы нормально заходят в расшареные директории, имеют полный контроль над валяющимся там барахлом. Только есть одна проблема... комп с Win7 не может ничего записать/сохранить на сервак, намертво виснет при попытке записи. Но это еще не все, комп с Mac OS X ничего тоже не может записать на сервак. Но он хоть не виснет. Куда смотреть? Что крутить?

centos, windows

fallschirm
(23.04.12 21:41:25 MSK)

31 комментарий

CentOS 5.8 Трудности в настройке samba.

Приветствую. Поставил CentOS 5.8, начал настраивать Samba и тут же словил грабли... Какие-то непонятные проблемы с расшареными директориями.

-->Если зайти на сервак с компа, на котором стоит винда, то все Ок - сервак виден в сетке, доступ к расшаренным директориям быстрый.

-->С компа, на котором стоит debian зайти можно, но с N-ой попытки. Т.е. тыкаюсь в наутилусе в Network, а там фиг. Тыкаюсь еще несколько раз, появляется Windows Network. Захожу в Windows Network, там моего сервака нет... Делаю еще несколько попыток, наконец вижу сервак. Потом такие же проблемы в заходом в расшареные папки на серваке. После того, как получаю доступ к расшареным директориям, все работает быстро, так же как и с компа под виндой.

-->С компа, на котором стоит Mac OS X захожу нормально, все работает быстро. Но почему-то неправильно определяется размер файлов. Все файлы показываются одного размера, вне зависимости от реального веса.

Что крутить? Кто-нибудь сталкивался с такими трудностями?

centos, macos, samba, сервер

fallschirm
(22.04.12 01:05:29 MSK)

4 комментария

RSS подписка на новые темы