IPTABLES probleem met extra Wlan kaart

Pagina: 1
Acties:

  • cold
  • Registratie: Juni 2001
  • Niet online
ik heb sins kort een waln kaartje in mijn server werkt allemaal prima (drivers,pingen)
maar zodraa ik mijn firewall start met de wlan up doet mijn internet het niet meer op alle clients
als wlan0 down is doet alles het prima .

ik heb effe om alles een beetje eenvoudig te houden een simpel standaard firewall genomen en die een beetje aangepast:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
#!/bin/sh

# Masquerading firewall (simpel)

# Een hele eenvoudige masquerading firewall waarmee het mogelijk om met het
# hele achterliggende LAN het internet op te kunnen. Het 'firewall' gedeelte
# bestaat uit het afsluiten van een aantal poorten waarop relatief riskante
# servers draaien. Alleen de variabelen moeten aan de omgeving worden
# aangepast.


############################################################################
# variabelen

# waar iptables staat
IPTABLES="/sbin/iptables"

# interfaces

# interface waarmee gateway aan lokale netwerk zit
INTERNAL_INTERFACE="eth0"
WLAN_INTERFACE="wlan0"
# interface waarmee gateway aan het internet zit
EXTERNAL_INTERFACE="ppp0"

# ipadressen / netwerken
LAN="192.168.0.0/24"        # lokale netwerk
WLAN="10.10.10.0/9"

############################################################################
# clean-up + init

# flush en clear alle rules en zet de tellers op 0
${IPTABLES} -F
${IPTABLES} -X
${IPTABLES} -Z
${IPTABLES} -t nat -F
${IPTABLES} -t nat -X
${IPTABLES} -t nat -Z

# set de default policies
${IPTABLES} -P INPUT ACCEPT
${IPTABLES} -P FORWARD DROP
${IPTABLES} -P OUTPUT ACCEPT
${IPTABLES} -t nat -P PREROUTING ACCEPT
${IPTABLES} -t nat -P POSTROUTING ACCEPT
${IPTABLES} -t nat -P OUTPUT ACCEPT


############################################################################
# initialiseren van de kernel

## Enable IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward


############################################################################
# masquerade

## Alles met afkomst van of bestemming lokale netwerk heeft forwarden
${IPTABLES} -A POSTROUTING -t nat -o ${EXTERNAL_INTERFACE} -j MASQUERADE

${IPTABLES} -A FORWARD -i ${INTERNAL_INTERFACE} \
          -o ${EXTERNAL_INTERFACE} -s ${LAN} -d ! ${LAN} -j ACCEPT

${IPTABLES} -A FORWARD -i ${WLAN_INTERFACE} \
          -o ${EXTERNAL_INTERFACE} -s ${WLAN} -d ! ${WLAN} -j ACCEPT

${IPTABLES} -A FORWARD -o ${INTERNAL_INTERFACE} \
          -i ${EXTERNAL_INTERFACE} -d ${LAN} -s ! ${LAN} \
      -m state --state RELATED,ESTABLISHED -j ACCEPT

${IPTABLES} -A FORWARD -o ${WLAN_INTERFACE} \
          -i ${EXTERNAL_INTERFACE} -d ${WLAN} -s ! ${WLAN} \
      -m state --state RELATED,ESTABLISHED -j ACCEPT


############################################################################
# riskante servers afsluiten

## telnet afsluiten voor de buitenwereld
${IPTABLES} -A INPUT -p tcp --destination-port 23 -i ${EXTERNAL_INTERFACE} \
            -j DROP

${IPTABLES}  --table nat  -A PREROUTING  -i ppp0  -p tcp --dport 4662  -j DNAT --to 192.168.0.2


ik hoop zo voldoende info gegeven te hebben (zo niet dan hoor ik het graag :) )
MVG Cold

MT v3 | EMS 147, VNS 117, BMS 112 | virt ShellyPro3EM (B2500 home-assistant) | Elfin EW11 & Viper Modbus in HA


  • Spearhead
  • Registratie: November 2001
  • Laatst online: 14-08-2025
Wat heb je dat masquerading spul ingewikkeld geformuleerd zeg... Volgens mij kun je dat veel eenvoudiger aanpakken door de default policy op forward te zetten, en vervolgens te schrijven dat alles mag, behalve het aanpakken van inkomende connecties op de externe interface. Dan krijg je zoiets als dit:

iptables -N block
iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A block -m state --state NEW -i ! $EXT -j ACCEPT
* Als je connecties wilt binnen laten kun je dat hier doen:
iptables -A block -m state --state NEW -p tcp --dport ssh -j ACCEPT

iptables -A block -j DROP

iptables -A INPUT -j block
iptables -A FORWARD -j block

  • cold
  • Registratie: Juni 2001
  • Niet online
okee het internet werkt nu overal behalve op het wlan netwerk ik kan vanaf de client bv wel naar www.tweakers.net pingen maar als ik de site probeer te openen blijfd die hangen op: Website found Waiting For Reply :(

ps aan de firewall heb ik niks veranderd

[ Voor 10% gewijzigd door cold op 13-01-2004 23:51 ]

MT v3 | EMS 147, VNS 117, BMS 112 | virt ShellyPro3EM (B2500 home-assistant) | Elfin EW11 & Viper Modbus in HA


  • cold
  • Registratie: Juni 2001
  • Niet online
ik kan wel op msn :? waarom wel op msn en geen pagina's bekijken, geen idee

MT v3 | EMS 147, VNS 117, BMS 112 | virt ShellyPro3EM (B2500 home-assistant) | Elfin EW11 & Viper Modbus in HA


  • T-Blizzard
  • Registratie: Juni 2001
  • Laatst online: 21-02 20:42
Volges mij gaat het er iets mis met je dns :)

kan je 213.239.154.35 bijvoorbeeld wel bereiken of pingen? B)

  • cold
  • Registratie: Juni 2001
  • Niet online
T-Blizzard schreef op 14 januari 2004 @ 01:04:
Volges mij gaat het er iets mis met je dns :)

kan je 213.239.154.35 bijvoorbeeld wel bereiken of pingen? B)
pingen is geen probleem openen lukt niet :(
dns is prima ik kan ook gewoon www.tweakers.net pingen
verder doet MSN het ook

[ Voor 3% gewijzigd door cold op 14-01-2004 01:20 ]

MT v3 | EMS 147, VNS 117, BMS 112 | virt ShellyPro3EM (B2500 home-assistant) | Elfin EW11 & Viper Modbus in HA


  • Buffy
  • Registratie: April 2002
  • Laatst online: 26-12-2024

Buffy

Fire bad, Tree pretty

Verander de policy van de FORWARD table eens in ACCEPT en kijk of het dan wel doet.
Zo Nee dan gaat er waarschijnlijk iets fout met het masquereren (of misschien is je routing table niet in orde?).
Zo Ja, voeg dan de regel
code:
1
${IPTABLES} -A FORWARD -j LOG

toe achter de laatste FORWARD rule en kijk in je log files (/var/log/kern.log) welke pakketjes gedropt worden en waarom ze niet matchen met je ACCEPT regels.

That which doesn't kill us, makes us stranger - Trevor (AEon FLux)
When a finger points at the moon, the imbecile looks at the finger (Chinese Proverb)


  • cold
  • Registratie: Juni 2001
  • Niet online
het verandere van de polecy naar accept helpt niet ik zal vanmiddag mijn kernel log posten :)

MT v3 | EMS 147, VNS 117, BMS 112 | virt ShellyPro3EM (B2500 home-assistant) | Elfin EW11 & Viper Modbus in HA


Verwijderd

Zelf gebruik ik de volgende code... Alleen dan kan je via het externe netwerk niet meer naar die computer toe...

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
N_IP_RANGE="192.168.0.0/24"
LAN_IP="192.168.0.1/32"
LAN_BCAST_ADRESS="192.168.0.255/32"
LOCALHOST="127.0.0.1/32"
LOCAL_IFACE="lo"
STATIC_IP="0.0.0.0/0"
INET_IFACE="wlan0"
LAN_IFACE="eth0"
IPTABLES="/sbin/iptables"

/sbin/depmod -a

# Iptables and stuff
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_MASQUERADE

# Connection tracking for iptables?
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc

# Enable dynamic ip's and ip forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/ip_dynaddr

# NAT
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE
$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m limit --limit 5/minute --limit-burst 5 -j LOG

# Default policy
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP

# Chains for icmp/tcp/udp

$IPTABLES -N icmp_packets
$IPTABLES -N tcp_packets
$IPTABLES -N udpincoming_packets

# TCP allowed chain

$IPTABLES -N allowed
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP

# ICMP Rules

$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 0 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 3 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 5 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

# TCP Rules

$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 20 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
#$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 23 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 25 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed
#$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 110 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 113 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 443 -j allowed
#$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 993 -j allowed
#$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 995 -j allowed
#$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 6666-6668 -j allowed

# UDP Rules
$IPTABLES -A udpincoming_packets -p UDP -s 0/0 --source-port 53 -j ACCEPT
$IPTABLES -A udpincoming_packets -p UDP -s 0/0 --source-port 123 -j ACCEPT
$IPTABLES -A udpincoming_packets -p UDP -s 0/0 --source-port 2074 -j ACCEPT
$IPTABLES -A udpincoming_packets -p UDP -s 0/0 --source-port 4000 -j ACCEPT
$IPTABLES -A udpincoming_packets -p UDP -s 0/0 --source-port 27000:28000 -j ACCEPT


# Anti spoofing
$IPTABLES -t nat -A PREROUTING -i $INET_IFACE -s 192.168.0.0/16 -j DROP
$IPTABLES -t nat -A PREROUTING -i $INET_IFACE -s 10.0.0.0/8 -j DROP
$IPTABLES -t nat -A PREROUTING -i $INET_IFACE -s 172.16.0.0/12 -j DROP
$IPTABLES -t nat -A PREROUTING -i $INET_IFACE -s 127.0.0.0/8 -j DROP

#Sommige ip's compleet bannen!
for ip in 152.163.180.0/24 205.188.250.25 205.188.140.0/24 ;
do
$IPTABLES -A INPUT -s $ip -j DENY
$IPTABLES -A OUTPUT -s $ip -j DENY
done

# INPUT chain

$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udpincoming_packets

$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -d $LAN_BCAST_ADRESS -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LOCAL_IFACE -d $LOCALHOST -j ACCEPT
$IPTABLES -A INPUT -p ALL -d $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -d $STATIC_IP -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A INPUT -m limit --limit 30/minute --limit-burst 5 -j LOG

# OUTPUT chain

$IPTABLES -A OUTPUT -p ALL -s $LOCALHOST -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $STATIC_IP -j ACCEPT
$IPTABLES -A OUTPUT -m limit --limit 10/minute --limit-burst 5 -j LOG

echo "*** --- firewall begonnen --- ***"


Dit scriptje heb ik ergens op internet gevonden...
als ik nou ook nog op m'n server zou komen zou ik het leuk vinden...

Weet iemand wat er mis in deze code? ik kan dus via de andere computers wel internetten, maar ik kom via het internet niet meer naar m'n server

  • _JGC_
  • Registratie: Juli 2000
  • Nu online
Goed ten eerste vind ik je firewall wel ok maar ik zou er een kleine aanpassing op maken:

Ten eerste INPUT DROP.

Dan kan niemand op jou server komen en dan kun jij rustig gaatjes prikken in je firewall.
Dan moet er nog wat veranderd worden en dat is dat je het gewone verkeer wel er doorheen wil laten dat kan met deze regel bijvoorbeeld:
code:
1
2
#Gerelateerde verbindingen open
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Verder al het verkeer op je andere interfaces toe laten en dat doe je met deze:
code:
1
2
#Laat alles toe op interfaces anders dan externe
$IPTABLES -A INPUT -m state --state NEW -i ! $EXT -j ACCEPT

$EXT staat voor de externe interface. Wel wat hier gebeurd is het volgende: Alle verbindingen die niet op de externe interface binnen komen mag je accepteren. Dus dan ben je verzekerd dat je met ssh op je server kan komen. En ik zie een regel voor telnet staan. Dat zou kunnen zijn dat je een telnet server draait. Ik raad je ten zeerste aan om direct over te stappen op een ssh server.

Verder kun je de FORWARD chain wel op accept zetten en de regels die je in FORWARD gezet hebt wel weghalen. Op deze manier kan niemand op jou server komen terwijl jij wel alles kan.

Dus dan krijg je iets in de trant van dit:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
############################################################################
# variabelen

# waar iptables staat
IPTABLES="/sbin/iptables"

# interfaces

# interface waarmee gateway aan lokale netwerk zit
INTERNAL_INTERFACE="eth0"
WLAN_INTERFACE="wlan0"
# interface waarmee gateway aan het internet zit
EXTERNAL_INTERFACE="ppp0"

# ipadressen / netwerken
LAN="192.168.0.0/24"        # lokale netwerk
WLAN="10.10.10.0/9"

############################################################################
# clean-up + init

# flush en clear alle rules en zet de tellers op 0
${IPTABLES} -F
${IPTABLES} -X
${IPTABLES} -Z
${IPTABLES} -t nat -F
${IPTABLES} -t nat -X
${IPTABLES} -t nat -Z
${IPTABLES} -t mangle -F
${IPTABLES} -t mangle -X
${IPTABLES} -t mangle -Z

# set de default policies
${IPTABLES} -P INPUT DROP
${IPTABLES} -P FORWARD ACCEPT
${IPTABLES} -P OUTPUT ACCEPT
${IPTABLES} -t nat -P PREROUTING ACCEPT
${IPTABLES} -t nat -P POSTROUTING ACCEPT
${IPTABLES} -t nat -P OUTPUT ACCEPT


############################################################################
# initialiseren van de kernel

## Enable IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

############################################################################
# masquerade

## Alles met afkomst van of bestemming lokale netwerk heeft forwarden
${IPTABLES} -A POSTROUTING -t nat -o ${EXTERNAL_INTERFACE} -j MASQUERADE

#${IPTABLES} -A FORWARD -i ${INTERNAL_INTERFACE} \
#          -o ${EXTERNAL_INTERFACE} -s ${LAN} -d ! ${LAN} -j ACCEPT

#${IPTABLES} -A FORWARD -i ${WLAN_INTERFACE} \
#          -o ${EXTERNAL_INTERFACE} -s ${WLAN} -d ! ${WLAN} -j ACCEPT

#${IPTABLES} -A FORWARD -o ${INTERNAL_INTERFACE} \
#          -i ${EXTERNAL_INTERFACE} -d ${LAN} -s ! ${LAN} \
#      -m state --state RELATED,ESTABLISHED -j ACCEPT

#${IPTABLES} -A FORWARD -o ${WLAN_INTERFACE} \
#          -i ${EXTERNAL_INTERFACE} -d ${WLAN} -s ! ${WLAN} \
#      -m state --state RELATED,ESTABLISHED -j ACCEPT


############################################################################
# riskante servers afsluiten

## telnet afsluiten voor de buitenwereld
#${IPTABLES} -A INPUT -p tcp --destination-port 23 -i ${EXTERNAL_INTERFACE} \
#            -j DROP

# Poorten die je naar binnen wil doorrouten
# Mldonkey
${IPTABLES}  --table nat  -A PREROUTING  -i ppp0  -p tcp --dport 4662  -j DNAT --to 192.168.0.2

# Established, Related verbindingen toestaan en alles wat nieuw is en wat niet op
# de externe interface binnenkomt toelaten.
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -m state --state NEW -i ! $EXT -j ACCEPT
Pagina: 1