|
|||||||
|
|
|
 |
|
|
Strumenti |
02-10-2002, 09:11
|
#1 |
|
Senior Member
Iscritto dal: Aug 2002
Messaggi: 1909
|
bind con firewall
ho una macchina che mi fa da cache nameserver,proxy, e sopra ci voglio mantare anche il firewall. Se lascio aperta la porta 53 (tcp/udp) non funziona nulla.
Le porte aperte sono: http 8080, https 443, dns 53, ssh 25 in ingresso e usita sul firewall. Il server dns è il bind 9. Mi viene il dubbio che i dns per parlarsi tra loro non usino solo la 53. Idee? |
|
|
|
02-10-2002, 09:14
|
#2 |
|
Senior Member
Iscritto dal: Apr 2000
Città: Roma
Messaggi: 15625
|
Prova ad aprire anche la porta 32768 udp.
Inoltre, fai loggare da iptables tutti i pacchetti scartati, così puoi capire che diavolo di porte bind sta cercando di usare. nb la 25 è smtp, la ssh è la 22.
__________________
0: or %edi, %ecx; adc %eax, (%edx); popf; je 0b-22; pop %ebx; fadds 0x56(%ecx); lds 0x56(%ebx), %esp; mov %al, %al andeqs pc, r1, #147456; blpl 0xff8dd280; ldrgtb r4, [r6, #-472]; addgt r5, r8, r3, ror #12 |
|
|
|
|
02-10-2002, 10:14
|
#3 | |
|
Senior Member
Iscritto dal: Aug 2002
Messaggi: 1909
|
Quote:
|
|
|
|
|
|
02-10-2002, 10:16
|
#4 |
|
Senior Member
Iscritto dal: Apr 2000
Città: Roma
Messaggi: 15625
|
Oh, se usi tool grafici per gestire il firewall non ne ho la minima idea. Se hai fatto un tuo script per iptables, allegalo.
__________________
0: or %edi, %ecx; adc %eax, (%edx); popf; je 0b-22; pop %ebx; fadds 0x56(%ecx); lds 0x56(%ebx), %esp; mov %al, %al andeqs pc, r1, #147456; blpl 0xff8dd280; ldrgtb r4, [r6, #-472]; addgt r5, r8, r3, ror #12 |
|
|
|
|
02-10-2002, 11:14
|
#5 |
|
Senior Member
Iscritto dal: Aug 2002
Messaggi: 1909
|
Grazie per l'aiuto!
ecco il mio script: #!/bin/sh export INFACE="eth1" export OUTFACE="eth0" modprobe ip_tables modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_nat_ftp modprobe ip_conntrack_irc modprobe ip_nat_irc echo 1 > /proc/sys/net/ipv4/ip_forward echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route iptables -F INPUT iptables -F FORWARD iptables -F OUTPUT iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP iptables -t nat -A POSTROUTING -o $OUTFACE -j MASQUERADE iptables -A FORWARD -f -i $OUTFACE -j DROP iptables -A FORWARD -f -i $INFACE -j DROP iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A FORWARD -p tcp -i $INFACE --dport 23 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -o $OUTFACE --sport 23 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -i $OUTFACE --dport 23 -m state --state ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -o $INFACE --sport 23 -m state --state ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -i $INFACE --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -o $OUTFACE --sport 22 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -i $OUTFACE --dport 22 -m state --state ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -o $INFACE --sport 22 -m state --state ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp -i $INFACE --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp -o $INFACE --sport 22 -m state --state ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -i $INFACE --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -o $OUTFACE --sport 443 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -i $OUTFACE --dport 443 -m state --state ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -o $INFACE --sport 443 -m state --state ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -i $INFACE --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -o $OUTFACE --sport 21 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -i $OUTFACE --dport 21 -m state --state ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -o $INFACE --sport 21 -m state --state ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -i $INFACE --dport 20 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -o $OUTFACE --sport 20 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -i $OUTFACE --dport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -p tcp -o $INFACE --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -p tcp -i $INFACE --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -o $OUTFACE --sport 25 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -i $OUTFACE --dport 25 -m state --state ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -o $INFACE --sport 25 -m state --state ESTABLISHED -j ACCEPT iptables -A INPUT -p udp -i $INFACE --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -p udp -o $OUTFACE --sport 53 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -p udp -i $OUTFACE --dport 53 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -p udp -o $INFACE --sport 53 -m state --state ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -i $INFACE --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -o $OUTFACE --sport 110 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -i $OUTFACE --dport 110 -m state --state ESTABLISHED -j ACCEPT iptables -A FORWARD -p tcp -o $INFACE --sport 110 -m state --state ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp -i $INFACE --dport 1024:65535 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp -o $OUTFACE --sport 1024:65535 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp -i $OUTFACE --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p tcp -o $INFACE --sport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p udp -i $INFACE --dport 1024:65535 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -p udp -o $OUTFACE --sport 1024:65535 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -p udp -i $OUTFACE --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p udp -o $INFACE --sport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p icmp -i $OUTFACE -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p icmp -i $INFACE -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p icmp -o $OUTFACE -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p icmp -o $INFACE -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -p icmp -i $INFACE -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -p icmp -o $OUTFACE -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -p icmp -i $OUTFACE -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -p icmp -o $INFACE -m state --state ESTABLISHED,RELATED -j ACCEPT così va tutto: squid e dns non fanno storie. Se tappo le porte non privilegiate (dalla 1024 in su) il dns e squid non vanno. Il mio obbiettivo era quello di aprire solo le porte necessarie. Come mi hai suggerito tu aprendo la porta che mi hai detto il dns va. Il proxy continua a non andare. |
|
|
|
|
02-10-2002, 11:45
|
#6 | |
|
Senior Member
Iscritto dal: Jun 2000
Città: S.Giuliano (MI)
Messaggi: 1047
|
la porta 53 tcp e 53 udp devi lasciarla aperta sia in ingresso che in uscita perchè oltre che fornire le info alla rete deve potersi replicare anche dagli altri DNS
un esempio solo con il tcp, t.u.o.IP è il tuo IP pubblico, eth0 è la scheda di rete pubblica (ma potrebbe anche essere ppp0 o ippp0) eth1 è la tua sk di rete privata, n.e.t.IP/mask è la tua rete privata Quote:
 P.S. mentre scrivevo questo post non avevo ancora visto il tuo script, ora ci do un'occhiata P.P.S ovviamente puoi e ti consiglio di usare l'opzione -m state, qui l'ho omessa per brevità
__________________
“No te tomes tan en serio la vida, al fin y al cabo no saldrás vivo de ella” |
|
|
|
|
|
02-10-2002, 11:54
|
#7 | |
|
Senior Member
Iscritto dal: Jun 2000
Città: S.Giuliano (MI)
Messaggi: 1047
|
credo che il tuo problema sia legato al fatto che la porta tcp 53 non sia menzionata da nessuna parte ...
per quanto riguarda le porte non privilegiate, in righe tipo queste Quote:
mi dispiace, ma senza usare le porte sopra la 1024 tagli praticamente qualsiasi cosa... devi tener presente che, se l'utente dal lato client non è amministratore della macchina, può aprire solo quelle per la comunicazione
__________________
“No te tomes tan en serio la vida, al fin y al cabo no saldrás vivo de ella” |
|
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 19:00.
