[iptables] verkeer open tussen servers onderling? - Linux en overige clients

donderdag 8 juli 2004 12:34

Acties:

het Hardware-Hondje :]

Topicstarter

Ik ben bezig met het openen van snmp en nfs tussen verschillende servers onderling. Al deze servers maken gebruik van Linux. Bij het uitlezen van de servers met cacti begon al het eerste probleem. SNMP draait default op port 161 maar bij het uitlezen merk ik dat het ook nodig is een aantal poorten open te zetten op de cacti server tussen: 30024:35535.. blijkbaar wordt er ook met de SNMP server terug gecommuniceerd maar mij is niet duidelijk over welke poorten dit gaat. Ik ben helaas geen echte iptables/firewall expert.

Met NFS stuit ik op hetzelfde probleem. Een hele hoop poorten maar wederom niet duidelijk waarover en hoeveel verkeer er over de firewall gaat. Wat is jullie tacktiek bij het openzetten van de poorten? Gebruiken jullie hier tooltjes voor of doen jullie dit anders?

Een makkelijkere oplossing leek mij het openzetten van alle poorten tussen de servers onderling. Echter zitten er niet in alle servers 2 netwerkkaarten of de mogelijkheid er een tweede in te zetten. Is het met iptables mogelijk een reeks van ip's 135.xx.27.1 t/m 135.xx.27.160 naar elkaar open te zetten (tcp/udp)?

Ik heb al geprobeerd met alles op te zetten:

code:

RANGE="135.xx.27.0/24"

iptables -A OUTPUT -o eth0 -p tcp \
-m state --state ESTABLISHED,RELATED \
-s $IPADDR -d $RANGE -j ACCEPT

iptables -A INPUT -i eth0 -p tcp \
-m state --state ESTABLISHED,RELATED \
-s $RANGE -d $IPADDR -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp \
--tcp-flags ACK,SYN SYN \
-s $IPADDR -d $RANGE -j ACCEPT

Maar dit gaf niet het gewenste resultaat. Hopelijk zijn hier mensen die het mij iets duidelijker kunnen maken! Bedankt!

http://www.xbmcfreak.nl/

donderdag 8 juli 2004 12:58

Acties:

Verwijderd

Zet je firewall volledig open, start tcpdump in logging mode, maak alle connecties die je wilt maken, filter de tcpdump output en stop dit in het iptables script.

donderdag 8 juli 2004 13:33

Acties:

Wilke

Je kunt prima een IP volledige toegang geven, maar besef wel dat er zoiets bestaat als IP spoofing.

Het is al wat beter te maken door (ook) te matchen op MAC-adres, dat is namelijk een stuk lastiger te faken (zeker van buiten het LAN-segment waar de servers in staan, terwijl dat met IP's vaak veel makkelijker kan).

Btw. als je een IP alle toegang wilt geven, waarom dan zo moeilijk met TCP states? Laat dan gewoon alles door... zoiets als 'iptables -A INPUT -o eth0 -p tcp -d $RANGE -j ACCEPT' (syntax niet gecheckt, kan zijn dat het net even anders moet), en hetzelfde voor OUTPUT maar dan met '-s'.

donderdag 8 juli 2004 15:57

Acties:

Gondor

Wilke schreef op 08 juli 2004 @ 13:33:
Je kunt prima een IP volledige toegang geven, maar besef wel dat er zoiets bestaat als IP spoofing.

Het is al wat beter te maken door (ook) te matchen op MAC-adres, dat is namelijk een stuk lastiger te faken (zeker van buiten het LAN-segment waar de servers in staan, terwijl dat met IP's vaak veel makkelijker kan).

Btw. als je een IP alle toegang wilt geven, waarom dan zo moeilijk met TCP states? Laat dan gewoon alles door... zoiets als 'iptables -A INPUT -o eth0 -p tcp -d $RANGE -j ACCEPT' (syntax niet gecheckt, kan zijn dat het net even anders moet), en hetzelfde voor OUTPUT maar dan met '-s'.

Mee eens. Maar je kunt beter -s in de eerste regel zetten en -d in de tweede.

Als in:
Alle INPUT van $RANGE en alle OUTPUT naar $RANGE is toegestaan.

"Peace cannot be kept by force. It can only be achieved by understanding"-Albert Einstein-