MSN/IPTables: werken aan oplossing ***Gevonden!***

Het is gewoon een trieste stakker, die niets meer waard is dan een kakkerlak.

Verwijderd schreef op 09 oktober 2002 @ 23:45:
ehmzz....

Ik gebruik dus ook IPtables als firewall, en heb daar een wel een aardig
script voor gemaakt

En ja, je kan ook gewoon MSN'en en alles wat daar bij hoort, dus ook bestanden up en downloaden

Wil hem eventueel wel ergens online mikken voor de liefhebbers

oke oke, heren en dames

Hiero dan m'n lang verwachte IPtables script, hopende dat de tweakende gemeenschap alhier er wat aan kan hebben

Firewall Script

Have fun with it

Wie zegt dat er wat geclaimt wordt ?
Er wordt wel gezegd dat het script dat ik gebruik hier gepost wordt, meer niet

[geen smiley]
Val jij ff vies door de mand.
Wat ben jij een lul zeg.
[/geen smiley]

Busted
Bovendien heb je je naam boven het script gezet alsof je de auteur was.
Terwijl iedereen kan zien dat je zelfs de uitleg en naam v/h script klakkeloos hebt overgenomen van Bart.

Zoals ik al zei, een trieste idioot.

Verwijderd schreef op 11 oktober 2002 @ 20:34:
Nog een giller van http://www.nedlinux.nl/~bart/?page=3

"FTP werkt niet vanaf een gemasquerade host
Dat kan kloppen. FTP is een waardeloos protocol. Gebruik SCP in plaats van FTP. Als je toch FTP moet gebruiken kies dan voor passive mode"


Was mij ook al opgevallen in script dat ftp ondersteuning ontbrak.
Helaas is ftp wel wereldwijd ingeburgerd , dus gebruik maar SCP (echt nooit van gehoord) lijkt mij niet zo'n goede tip.

Voor full ftp support is overigens een extra module laden (of in kernel bakken) nodig , + 1 extra iptables regel......

Hier heeft Bart eigenlijk wel gelijk.. FTP is een zeer onveilig systeem. De enige nog redelijk veilige vorm is passive FTP.

SCP is een soort van file transfer over SSH. In een perfecte wereld zouden mensen dat inderdaad gebruiken, en geen FTP.. Helaas wordt FTP overal gebruikt (en is het geen perfecte wereld )

Beste Felix Bruin,

Het geeft mij een groot gevoel van voldoening dat andere mensen mijn werk publiceren en doen alsof ze het zelf geschreven hebben. Dat geeft iig aan dat mijn werk gewaardeerd wordt.

Jouw versie:

#!/bin/sh

# Masquerading firewall (relatief veilig)
# 13 augustus 2001
# Felix Bruin (f.bruin@chello.nl) http://linux-root.ath.cx

# Een hele relatief veilige masquerading firewall waarmee het mogelijk om met
# het hele achterliggende LAN het internet op te kunnen. De default policy wordt
# op 'weiger alles' gezet, waarna er gaten in de firewall worden gemaakt.
# Alleen de variabelen moeten aan de omgeving worden aangepast.
# Hiervoor lever ik GEEN support.
# Kom dus niet aan met mailtjes van 'help, het werkt niet"...

originele versie:

#!/bin/sh

# Masquerading firewall (relatief veilig)
# 13 augustus 2001
# Bart Geverts (bart@hakkefest.linux-site.net)

# Een hele relatief veilige masquerading firewall waarmee het mogelijk om met
# het hele achterliggende LAN het internet op te kunnen. De default policy wordt
# op 'weiger alles' gezet, waarna er gaten in de firewall worden gemaakt.
# Alleen de variabelen moeten aan de omgeving worden aangepast.
# Dit script dient alleen als voorbeeld. Het geeft aan hoe de theorie van
# hierboven kan worden toegepast. Hiervoor lever ik GEEN support.
# Kom dus niet aan met mailtjes van 'help, het werkt niet"...

Waar ik echter een heel stuk minder over ben te spreken is dat je in strijd met de GFDL gehandeld heb. Het verhaal waar dit script uitkomt is namelijk geplaatst on de GNU Free Document License versie 1.1 of later. Dat houdt in dat de copyrights bij de schrijver liggen en dat iedereen het mag distributeren en/of wijzigen. De volledige tekst van de GFDL is te lezen op http://www.gnu.org/copyleft/fdl.html.

Bij deze verzoek ik je dan ook vriendelijk om de copyrights te herstellen.

Verwijderd schreef op 11 oktober 2002 @ 19:32:
oke oke, heren en dames

Hiero dan m'n lang verwachte IPtables script, hopende dat de tweakende gemeenschap alhier er wat aan kan hebben

Firewall Script

Have fun with it

Verwijderd schreef op 11 oktober 2002 @ 22:57:

[...]

/offtopic

Ghehe, heb je je speciaal hiervoor ff geregged?

En zegt de asociale enlightment dat hij niet had gezegd dat hij zei dat het script van hem was, terwijl het wel zo was. Wat een idioot... Maar dat had ik al gezegd

Wie was er zo vriendelijk om Bart in te lichten?
Ik had er zelf niet aan gedacht maar in ieder geval een dike pluim aan de anonieme tipgever.
_{Het kan natuurlijk ook een andere Got user geweest zijn}

hehe.... Misschien dat jullie het nog niet wisten maar er hangt hier meer rond dan de vaste GOt users of users die flamen... Er zijn ook nog mensen die gewoon controleren of de gpl en GFDL regels nageleefd worden....
En die mensen zijn niet dom...

Waar om reageert dat verlichte persoon niet ff?

Uit z'n profiel blijkt dat ie wel geweest is?

Laatste bezoek 12-10-2002 09:16

kej hier een vraagje van een niet zo goede comp kenner,ik lees dat jullie het probleem hebben opgelost van bestanden via messenger clients versturen.
nou wil ik graag weten wat ik nu doen moet om dat ook daadwerkleijk te kunnen doen .
ik heb een desktop die fungeert als server en een notebook die client speelt en wil via mijn notebook bestanden kunnen versturen met messenger er draait geen firewall mee en beidde machines hebben win xp proff please helupppppp alvast bedankt !!

eborn schreef op 10 juni 2002 @ 22:15:
[...]


En ik ben weer een leuk op het gebied van Freesco Draait Freesco ook iptables? Of iets anders waarmee je poorten kunt forwarden? Dan moet het gewoon lukken denk ik. Misschien de source wat tweaken

^{maar zoals ik zei, ik ben een leek in freesco}

Ik ken een vriend die hier denk ik ook wel wat mee kan... als iemand een lijstje met te proberen dingen geeft geef ik het wel aan hem door zodat hij het eens kan proberen...

Hij heeft zijn fout ingezien en het script weggehaald.....

maar is inderdaad niet netjes!!

six10again, dat je mijn verhaal de grond in probeert te trappen is jouw goed recht. Maar onderbouw je kritiek dan wel.

Ik zou iedereen aanraden toch maar wat meer docu erover te lezen ipv klakkeloos van deze site over te nemen:

Dat hoef jij niet te vermelden, dat heb ik zelf al gedaan in de inleiding.

Vervolgens staan er 3 iptables commandos , en ik garandeer je , www-browsing werkt echt wel zonder die regels

Als je ff verder had gekeken dan had je gezien dat de default policy daar 'DROP' is. Als je daarnaast op de connection-state let (wat daar ook wordt beschreven) gaat dat NIET lukken zonder die regels.

Nog een giller van http://www.nedlinux.nl/~bart/?page=3
"FTP werkt niet vanaf een gemasquerade host
Dat kan kloppen. FTP is een waardeloos protocol. Gebruik SCP in plaats van FTP. Als je toch FTP moet gebruiken kies dan voor passive mode"

Was mij ook al opgevallen in script dat ftp ondersteuning ontbrak.
Helaas is ftp wel wereldwijd ingeburgerd , dus gebruik maar SCP (echt nooit van gehoord) lijkt mij niet zo'n goede tip.
Voor full ftp support is overigens een extra module laden (of in kernel bakken) nodig , + 1 extra iptables regel......

De tekst die je daar quote komt uit de FAQ; ofwel antwoorden op vragen die ik wel eens krijg. Om vanaf een lokaal netwerk een ftp server te bereiken door een NAT server moet je passive ftp gebruiken, active ftp lukt niet. Dat ik ftp een waardeloos protocol vind is mijn eigen mening en scp vind ik een veel beter alternatief. Maar omdat ftp meer is ingeburgerd, geef ik daarnaast ook de de (passive ftp) manier waarop je ftp wel werkend kan krijgen.

Ik sta altijd open voor kritiek, zowel positief als negatief, maar breng het dan wel een beetje professioneel en lees op z'n minst in welke context ik iets heb geschreven.

Bart:

heb ff wat meer tijd genomen , hier wat opbouwende "kritiek"


Als je in het masquerade gedeelte de 3e regel vervangt door een met established/related , werkt active ftp ook. (niet alle ftp-servers ondersteunen zowel activ als passiv)
De SCP regel komt op mij een beetje over als: actieve ftp krijg ik niet werkend , gebruik maar SCP.


Het kopje TCP , en daarop volgende tekst , is zeer verwarrend. Masquerading werkt al , en je hele LAN kan al browsen. Het stuk daarachter gaat echter alleen uit van client programmas op de firewall zelf ( ik draai GEEN webbrowser op mijn firewalls).
De drie daaropvolgende regels laten alleen alle TCP connecties opgezet door firewall door.
Kan misschien in 2 regels
output chain: new,established,related
input chain: established,related


UDP-Traceroute:
Als ik vanaf mijn firewall traceroute draai , krijg ik "PROTO=UDP SPT=1024 DPT=33439"
Jouw script laat alleen source-port > 32768 door , en dus werkt het niet. Moet m.i. >1023 zijn


Servers-stuk:
m.i. zijn hier alle output regels overbodig, en worden door geen enkel IP-pakketje gebruikt!
In het TCP stuk laat je in de output chain immers al established/related pakketten door.
Een hoop sites maken deze "fout" door ipchains erfenis.

hopende te hebben bjigedragen tot verbetering van je website
friends

Kijk, hier hebben we wat aan

>> werkt active ftp ook
't Grote probleem bij active ftp is dat ik constant een '500 Illegal PORT command. ftp: bind: Address already in use'. krijg. 'k Ben hier erg lang mee beziggeweest maar een fatsoenlijke oplossing heb ik niet kunnen vinden. ESTABLISHED en RELATED brengen daar ook geen verandering in. Verder vind ik dit een non-issue omdat vrijwel elke ftp client met passive ftp overweg kan.

>> Het kopje TCP
Dat je geen webbrowser op een firewall hoort te draaien snap ik ook. Maar ik ga uit van een gemiddelde huis tuin en keuken servertje die niet alleen dienst doet als firewall. En dan is het ook erg prettig als je terplekke nieuwe tcp connecties kan opzetten.
Als er niet op tcp vlaggen wordt gelet, kan je de rest van de tcp connecties doorlaten met 2 extra regels, maar dat lukt in dit geval duidelijk niet. Moet wel toegeven dat wat er staat niet alles verklaart, maar in de volgende versie zou dit wel 't geval moeten zijn.

>> PROTO=UDP SPT=1024 DPT=33439
Jah, dat heb ik ook wel eens gezien! Zou je eens kunnen vermelden wat het versie nummer is van jouw traceroute? 'k Heb het idee dat oudere versies een willekeurige unpriv src-poort pakken terwijl recentere in de range 32769:65535 zitten.

>> Servers-stuk
Heb je helemaal gelijk in. Maar wat staat er nou bovenaan dat script? "Het geeft aan hoe de theorie van hierboven kan worden toegepast.". Maw: hier heb je een opzet en ga er zelf maar mee klooien. luitjes die wat met dat verhaal doen hebben vaak weinig tot geen firewall kennis. Om te voorkomen dat niks meer werkt als je een bepaald deel weglaat staan er een paar overbodige regels in.

Dit verhaal heb ik vanuit het niets uitgebouwd en door schade en schande ben ik wijzer geworden. Daarom is het op meerdere plaatsen nogal rommelig. Ben momenteel met een volledige rewrite bezig die een stuk gestruktureerder in elkaar zit.

NAT ftp support:
ftp_conntrack(oid) module laden/in kernel meecompileren , en established/related doet rest.

Zelf ftp server draaien:
In het server stuk hoef je dan alleen maar port 21 open te zetten voor volledig ftp support.
Rest gaat automatisch met established,related en ftp_conntrack

Multi-port support:
Als je ook multiport support in kernel aanzet dan kun je het complete server stuk in 1 iptables commando zetten! Zijn er nu 16 (8 in , 8 out).


UDP stuk:
UDP werkt ook met established/related
Niet alleen ivm besparing commandos, maar zo zorg je er voor dat UDP verbindingen maar 1 kant opgezet kunnen worden.
In jouw script kan ik van buitenaf alle FW UDP poorten >32678 proben , zolang mijn source port maar in range 33434:33523 zit.

btw:
traceroute: Version 1.4a12 Zat in RH7.3 install

Het heeft mij lang geduurd eer ik statefull firewalling (=iptables) doorhad. Dit werd mede veroorzaakt door scripts van diverse websites:
Niet iedereen die een FW spelend krijgt en zijn scriptje online zet heeft helaas in-depth kennis. Er zijn er zelfs die 100% jatten , en alleen hun eigen naam erboven zetten.

>> NAT ftp support
Ik ga d'r nog eens een weekendje mee prutsen...

>> alleen maar port 21 open te zetten voor volledig ftp
Volledig met je eens. In 't script dat ik thuis gebruik is dat intussen ook al zo.

>> Multi-port support
Grote nadeel van multiport vind ik dat je niet per daemon kan opgeven in welke range de source moet liggen. http kan je wagenwijd openzetten, maar bv ssh beperk ik graag tot bepaalde hosts.

>> alle FW UDP poorten >32678 proben
Hoeveel weken had je gedacht daar voor nodig te hebben?

>> traceroute
Dat snap ik dan niet. Die heb ik ook. Gaan we ook nog eens op puzzelen...

>> Multi-port support
"Grote nadeel van multiport vind ik dat je niet per daemon kan opgeven in welke range de source moet liggen. http kan je wagenwijd openzetten, maar bv ssh beperk ik graag tot bepaalde hosts."

SSH dan in aparte rule.

>> alle FW UDP poorten >32678 proben
"Hoeveel weken had je gedacht daar voor nodig te hebben? 8)"

Als er een gat is , kan er een exploit geschreven worden , die er gebruik van maakt.
Ik vertel een klant liever dat ik iets block , dan dat het lang duurt om te kraken.

Zo die Enlightment kan zijn bek ook niet meer laten zien hier, en terecht.

Nico

Overigens zie ik hier geen regels voor MSN poorten instaan die wel verwacht werden en de methode via Reaim werkt niet bij mij.

Heb nu ipt_conntrack gebouwd .. met iptables 1.2.7a en alle patches zitten er nu ook in (patch-o-matic)! Alleen nog geen kans gehad om te testen omdat veel mensen ook achter een firewall werken.

Verder vraag ik me af of het met everybuddy wel werkt ... (MSN Client onder linux)

Het is overigens niet het einde van de wereld als het niet werkt ... maar het zou leuk zijn als het werkt ... Het liefst zonder extra daemon zoals reaim

Nou er staat GEVONDEN bij de titel, maar het lukt dus echt niet, dat proggie is echt gaar. Als je het start krijg je het niet meer afgesloten. Als het nou nog eens werkte....

Ik heb nu Messenger versie 5 draaien en het is mogelijk om nu zonder proxy files te verzenden. Ik heb deze lines aan m'n firewall script toegevoegd en het werkt:

$IPTABLES -t nat -A PREROUTING -p tcp -d $ext_ip --dport 6891:6900 -j DNAT --to 10.11.12.15:6891:6900
$IPTABLES -A FORWARD -p tcp -d 10.11.12.15 --dport 6891:6900 -j ACCEPT

Hierin is $ext_ip m'n chello ip-adres en 10.11.12.15 het netwerk adres waarop messenger 5 draait. Bij meerdere machines in je netwerk moet je voor elke machine een poort toewijzen in 6891 -6900.

Compileren ging niet...

friemel:/home/hajo/reaim-0.5# make
gcc -o reaim reaim.c -g -Wall
/tmp/cc31YjEe.o(.text+0x4ca): In function `net_connect_to':
/home/hajo/reaim-0.5/reaim.c:527: `sys_errlist' is deprecated; use `strerror' or `strerror_r' instead

maar wat houd ik toch van debian

friemel:/home/hajo/reaim-0.5# apt-get install reaim
Reading Package Lists... Done
Building Dependency Tree... Done
The following NEW packages will be installed:
reaim
0 packages upgraded, 1 newly installed, 0 to remove and 5 not upgraded.
Need to get 18.7kB of archives. After unpacking 79.9kB will be used.
Get:1 http://belnet.dl.sourceforge.net unstable/main reaim 0.5-2 [18.7kB]
Fetched 18.7kB in 0s (33.9kB/s)
Selecting previously deselected package reaim.
(Reading database ...
26119 files and directories currently installed.)
Unpacking reaim (from .../archives/reaim_0.5-2_i386.deb) ...
Setting up reaim (0.5-2) ...
Starting Transparent proxy for IM behind NAT: reaim.

Verwijderd schreef op 24 oktober 2002 @ 12:37:
Ik heb nu Messenger versie 5 draaien en het is mogelijk om nu zonder proxy files te verzenden. Ik heb deze lines aan m'n firewall script toegevoegd en het werkt:

$IPTABLES -t nat -A PREROUTING -p tcp -d $ext_ip --dport 6891:6900 -j DNAT --to 10.11.12.15:6891:6900
$IPTABLES -A FORWARD -p tcp -d 10.11.12.15 --dport 6891:6900 -j ACCEPT

Hierin is $ext_ip m'n chello ip-adres en 10.11.12.15 het netwerk adres waarop messenger 5 draait. Bij meerdere machines in je netwerk moet je voor elke machine een poort toewijzen in 6891 -6900.

Hmm, hoe bedoel je dat met meerder machines? dat je maar 1 port forward naar een intern ip

of boven - onder die reeks gaat zitten..

Hmm.. bij mij crasht reaim met een segmentation fault als ik iets probeer te zenden.. waardoor dus msn & icq offline gaan..

Verwijderd schreef op 24 oktober 2002 @ 12:37:
Ik heb nu Messenger versie 5 draaien en het is mogelijk om nu zonder proxy files te verzenden. Ik heb deze lines aan m'n firewall script toegevoegd en het werkt:

$IPTABLES -t nat -A PREROUTING -p tcp -d $ext_ip --dport 6891:6900 -j DNAT --to 10.11.12.15:6891:6900
$IPTABLES -A FORWARD -p tcp -d 10.11.12.15 --dport 6891:6900 -j ACCEPT

Hierin is $ext_ip m'n chello ip-adres en 10.11.12.15 het netwerk adres waarop messenger 5 draait. Bij meerdere machines in je netwerk moet je voor elke machine een poort toewijzen in 6891 -6900.

Mmm dit werkt bij mij ook al niet..

Pitmaster schreef op 14 October 2002 @ 09:17:
Zo die Enlightment kan zijn bek ook niet meer laten zien hier, en terecht.

Zelfs z'n icon heeft ie geript, die was vroeger van mij, maar dan met een kleine animatie erin...

*ZUCHT*

Verwijderd schreef op 06 december 2002 @ 23:11:
[...]

Zelfs z'n icon heeft ie geript, die was vroeger van mij, maar dan met een kleine animatie erin...

*ZUCHT*

Beetje mosterd na de maaltijd lijkt me dit. De actualiteit waar je op reageert is inmiddels al zo'n 2 maanden oud.

En aangezien de replies die er onlangs zijn bijgekomen nou niet direct hebben geleid tot een boeiende discussie gaat dit topic maar dicht.